マイクロソフト社員が選ぶ、Microsoft Intuneの注目機能

日本マイクロソフトは11月17日、ハイブリッドワークをテーマとしたイベント「ハイブリッドワーク2022 シーズン2～進化を続けるWindows 11とSurfaceの最新情報～」をハイブリッドで開催した。

当日は5つのセッションにて働き方やリモート会議、セキュリティなど、ハイブリッドワークに関する情報提供が行われた。本記事では、「ゼロトラストで守る! 生産性を落とさないMicrosoft Intuneの魅力」と題した講演の内容を紹介する。

なお、2022年6月には、パンデミックを乗り越えた先の働き方やICTの在り方をテーマにイベントのシーズン1が開催されている。

講演では、「マイクロソフト社員が独断で選ぶこの秋冬ぜったいに押さえたい！おすすめエンドポイント機能ランキング」として、Microsoft Intuneにまつわる注目の話題や機能が紹介された。

マイクロソフト社員が選ぶ「Microsoft Intune」の10の注目ポイント

Windows Hello for Businessのキー認証を簡素化

ランキングの10位は、エンドポイント管理製品全般をMicrosoft Intuneに集約したことが挙げられた。同内容はMicrosoft Ignite 2022で発表された。今後はエンドポイント権限管理機能のほか、アプリの自動パッチ適用などの複数の新機能を提供しMicrosoft 365との連携も強化する予定だという。

9位には、Windows 11をインストール済みのデバイスに重要なメッセージを直接送信できる機能が挙げられた。同機能は近日中にパブリックプレビューを開始する予定だという。

同機能でメッセージを設定しておくことで、Windows 11に実装されている「はじめに」アプリ、タスクバーや通知領域にユーザーごとにカスタマイズされたメッセージを表示できる。例えば、新入社員向けに「●●の研修を受講してください」といったメッセージをリンクのURLと併せて通知することも可能だ。

「Microsoft Intune」から各デバイスに重要なメッセージを直接送信できるようになった

8位は「Windows 365アプリ」のパブリックプレビュー開始だ。Windows 365環境を利用する専用のクライアントである同アプリは、Microsoft Intune上でプロビジョニングを行う。

同アプリはAzure ADのMFA(多要素認証)とMicrosoft Authenticatorに対応しており、アプリの自動更新により常に最新バージョンのWindows 365を利用できる。

7位はWindows Hello for Businessに実装された「クラウドkerberos信頼」だ。

Windows Hello for Businessはパスワードレスの認証方式で、デバイスに紐付けられた生体認証やPINのほか、証明書、キー、Kerberos認証のいずれかを用いて2要素認証を行える。

クラウドkerberos信頼は、パスワードレスのセキュリティキーサインインの展開を簡素化するための機能で、ユーザーがオンプレミスのリソースにアクセスするために、PKI(公開鍵インフラ)の展開や既存PKIの変更、Azure ADとオンプレミスADの間での公開鍵の同期などを行わずにユーザー認証を行える。

「クラウドkerberos信頼」を利用した認証イメージ

米マイクロソフト Microsoft 365 & Security Modern Work Architectの東條敏夫氏は、「Azure ADに参加している端末がkerberosのチケットを取得する点がポイントだ。普段はクラウドに接続して外部からAzure ADにつなぎ、たまに社内のファイルサーバに接続する際にはチケットがあるため、再度サインインを行わなくていい」と解説した。

米マイクロソフト Microsoft 365 & Security Modern Work Architect 東條敏夫氏

Windows 11 22H2で追加されたOSレべルのフィッシング保護機能

6位では、Windows 11の最初のメジャーアップデートである「Windows 11 22H2」について触れられた。Microsoft Intuneに関連した機能強化としては、OSレベルのフィッシング保護機能がある。

同機能はクラウドベースのフィッシング対策およびマルウェア対策機能であるMicrosoft Defender SmartScreenの技術を活用しており、例えば、ユーザーがパスワードを再利用しようとしたり、テキストファイルにパスワードを保存したりしようとすると警告を出すことができる。

OSレベルのフィッシング保護機能の例。テキストファイルにパスワードを保存しようとすると警告が表示される

5位がSurfaceデバイスを一元管理できる「Surfaceポータル」機能の追加だ。同機能ではデバイスのステータスや保証期限を一覧できるほか、マイクロソフトへのサポート要求も行える。

4位が「Windows Autopilot」の関連機能である、「デバイスファームウェア構成インターフェイス(DFCI)管理」が挙げられた。同機能ではMicrosoft Intuneを介して、クラウドからUEFI(Unified Extensible Firmware Interface)の設定をリモート管理できる。

Windows Autopilotで展開されるデバイスのUEFIに、Microsoft Intuneから管理コマンドを実行することで、ファームウェアの設定を管理者がリモートで実行できる。例えば、「UEFIの設定をエンドユーザーに許可しない」「USBドライブを使用させない」といった設定が可能だ。

注目機能1位はWindows Autopatch、更新管理をマイクロソフトに一任

3位には「新しいMicrosoftストアとMicrosoft Intuneの統合」が挙げられた。ビジネス向けおよび教育機関向けのMicrosoftストアは廃止され、2023年の年明けに新しいストアが公開される予定となっている。

新しいMicrosoftストアでは豊富なAPIが提供され、Microsoft Intuneから直接Windowsアプリケーションを検索して、エンドユーザーへの割り当てが可能になる。また、プライベートアプリのレポジトリも用意されているため、自社で作成したアプリをMicrosoft ストアから配布しMicrosoft Intuneで管理することができる。

2位が「高度なエンドポイント管理スイートの提供」だ。今後、Microsoft Intuneにデジタル資産の管理・監視ツールが新たに追加され、新しいスイートとして提供される予定だという。

その中でもEndpoint Privilege Management(エンドポイント特権管理)は、管理者権限のないユーザーに対して管理者アクションを実行するための権限昇格を承諾できる機能だ。同機能は2022年末までにプレビュー提供を開始し、スタンドアロンアドオンおよびスイートの一部として2023年3月に提供開始する予定だ。

例えば、管理者権限のないユーザーがアプリのインストールを行おうとすると、これまでがIDとパスワードの入力が求められていた。同機能を利用するとユーザーにインストールの理由を尋ねて、管理者はユーザーが記入したインストールの理由をMicrosoft Intune上で確認し、特定のアプリのインストールにのみ管理者権限を承諾することができるという。

1位には、Windowsの更新プログラム管理を自動化するサービスの「Windows Autopatch」が挙げられた。

同サービスでは、 PCなどへの更新プログラムのインストールのタイミングと内容を、Test、First、Fast、Broadから成る「リング」(グループ)に分けて設定する。