[Intune] 今後の Microsoft Intune での Windows 10 管理について
こんにちは。Microsoft Intune サポート チームです。
今回は Intune の PC エージェントで Windows 10 を管理しているユーザー向けに、今後の MDM への移行を見据えたご案内をいたします。
現在の PC エージェント管理から、より先進的な MDM への移行をご検討ください。
---------------------------------------------
■ Intune の PC エージェント管理の歴史
---------------------------------------------
Microsoft Intune (旧称 Windows Intune) が 2011 年 4 月に PC 向けの管理サービスとしてリリースされてから 4 年が経過しました。
当時の Intune は MDM (モバイル デバイス管理) 機能を持たず、Windows XP・7 を対象に PC エージェントによる管理を提供していました。
Intune の PC エージェント管理における代表的な機能としては、以下の 3 つが挙げられます。
・更新プログラムの個別の承認とインストール タイミングの指定
・Defender / Endpoint Protection の制御
・インベントリの取得
一方で、Intune の PC エージェント管理における制約として、「Windows 10 の機能更新プログラムが適用する機能が無い」という点がありました。
--------------------------------------------------------------------------
■ Windows 10 の管理手法について (MDM と PC エージェント管理)
--------------------------------------------------------------------------
Windows 10 が 2014 年 10 月にリリースされてからはや 3 年半が経過しました。
Intune では Windows 10 の管理手法として MDM と PC エージェント管理の 2 つの方法を提供してきました。
このうち MDM は Azure ポータルで、PC エージェント管理は Intune クラシック ポータルで管理操作を行います。
PC エージェント管理がクラシック ポータルのみで利用可能なことからも分かるように、今後の Windows 10 の管理手法は MDM が主流になっていきます。
非常に重要なことですが、PC エージェント管理では Windows Update の機能更新 (Feature Update) を展開することができません。(品質更新プログラムは展開可能)
そのため、PC エージェントをご利用のお客様は Windows 10 の機能更新 (Fall Creators Update や Spring Creators Update) の更新が適用できないという大きな問題を抱えます。
現在の Windows 10 のサービス モデルでは、継続的に機能更新を適用していただくことが必要となっています。
クラシック ポータルの PC エージェント管理ではこれが実現できないため、Azure ポータルの MDM 管理へ移行していただくことが極めて望ましい状況です。
最新の管理方式へスムーズに移行できるように検討を行っていただく必要があります。
"組織での Windows 10 の管理 - 最新の管理への移行" /ja-jp/windows/client-management/manage-windows-10-in-your-organization-modern-management
---------------
■ MDM への移行
---------------
MDM へ移行する場合、PC エージェントの代表的な 2 つの機能はどのように賄えば良いのでしょうか?
[1] 更新プログラムの個別の承認とインストール タイミングの指定
まず、Windows 10 のセキュリティ品質更新プログラムではロールアップの更新モデルを採用しているため、個別のパッチの承認を管理する必要はありません。
MDM 管理では以下のようにインストールのタイミングを制御できます。
・Windows 10 の更新リング - 「半期チャネル」か「半期チャネル (ターゲット) 」か
・品質更新プログラムの延期期間 - 0-30 日間の間で延期期間を指定可能です
・機能更新プログラムの延期期間 - 0-180 日間の間で延期期間を指定可能です
・品質更新プログラム展開の一時停止 - 最大 35 日間停止することができます。いつでも展開を再開できます。
・機能更新プログラム展開の一時停止 - 最大 35 日間停止することができます。いつでも展開を再開できます。
また、PC エージェントと同じ粒度で更新プログラムを制御したい場合は、MDM に加えて WSUS をご利用いただくことも可能です。
Intune で Windows 10 PC を MDM 管理しつつ、同時に WSUS でも管理することが可能です。
[2] Defender / Endpoint Protection の制御
MDM でも Defender / Endpoint Protection の制御は可能です。
/ja-jp/intune/device-restrictions-windows-10#windows-defender-antivirus
これにより、Defender の様々な設定を行うことができます。
なお、MDM で管理する場合は Microsoft Intune Endpoint Protection はインストールされません。
これが、Intune PC クライアントで管理する場合との違いです。
[3] インベントリの取得
残念ながら MDM で取得できるインベントリの内容には制限があります。
それでも、端末名、OS バージョン、シリアル番号、ストレージ容量といった情報は収集することができます。
また、アプリ情報のインベントリは、Intune で配布して管理されているアプリのみ情報収集されます。
"Microsoft Intune に登録されているモバイル デバイスのソフトウェア インベントリ" /ja-jp/sccm/mdm/deploy-use/software-inventory-mobile-devices
より詳細なインベントリ情報を取得したい場合は、Windows 10 を Configuration Manager と Intune で「共同管理」することができます。
この場合、Configuration Manager エージェントがインストールされますので、詳細なインベントリ情報を Configuration Manager 管理画面で確認可能です。
"Windows 10 デバイスの共同管理" /ja-jp/sccm/core/clients/manage/co-management-overview
[4] Windows 10 への機能更新の適用
MDM へ移行した場合、PC エージェントの欠点であった機能更新プログラムの適用はどのように解決されるのでしょうか?
MDM では Microsoft Update または WSUS を更新ソースとして利用することで、機能更新プログラムを適用することができます。
- MDM へ単純移行した場合
この場合は、Microsoft Update からインターネット経由で機能更新プログラムを受信し適用することができます。
前述の [1] でご紹介した設定により、機能更新プログラムのインストール タイミングを制御することができます。
- WSUS での管理を行う場合
この場合は、WSUS の機能によって機能更新プログラムの展開を細かく制御することができます。
WSUS サポート チームにて発行しているこちらのブログ記事をご参照ください。
https://blogs.technet.microsoft.com/jpwsus/2018/01/26/win10-matome/
- Windows 10 を Configuration Manager と Intune で「共同管理」する場合
この場合は、Configuration Manager の機能によって機能更新プログラムの展開を細かく制御することができます。