いまやPCやスマートフォンはどのような業種・職種であっても必要不可欠なツールとなった。しかし、その一方で端末の一元管理やセキュリティ強化は避けて通れない課題となった。情報システム部門や管理部門には、企業のIT管理でお悩みの方も多いのではないだろうか。特に、PCやモバイル端末が多様化する現代において、効率的かつ安全な管理手法の確立は急務といえるだろう。こうした背景の中で注目を集めているのが、「Microsoft Intune」である。しかしIntuneの導入・運用には見落としがちなポイントが存在するというのをご存じだろうか?今回は、Intune活用の有用性と、利用をはじめる前に知っておきたい7つの落とし穴、そしてそれぞれの対策ポイントについて解説する。

PC、モバイル端末の制御や管理を一元化するMicrosoft Intune

PCやモバイル端末の制御や管理を個別に行なわなければいけず、対応が大変…。そんな悩みを抱える企業は少なくない。いまやPCやスマートフォンは業務になくてはならないツールとなり、ひとりに1台ずつ支給されている企業も少なくない。従業員規模が多ければ多くなるほど、ここを一元化したいというニーズは強くなるはずだ。

そんな悩みを解決しうるのが、「Microsoft Intune」だ。Intuneは、Microsoftが提供するクラウドベースのEMM(Enterprise Mobility Management)サービスであり、モバイルデバイス管理(MDM)やモバイルアプリケーション管理(MAM)をはじめ、デバイスコンプライアンス、アプリケーション配布、デバイス監視など多岐にわたる機能を備えている。Windows 11への移行やWSUS (Windows Server Update Services)の代替策としての検討、ゼロタッチキッティングの実現など、導入を後押しする要因も多い。

Microsoft 365を活用している企業であればIntuneがライセンスに含まれていることもある。また、連携させることで業務効率化とリスク低減の両面で大きなメリットを得ることもできる。IntuneはEMM導入の検討において、第一候補として挙がる存在と言えるだろう。

  • (スライド)「Microsoft Intune」でできること

ちょっと待って!Microsoft Intune導入前に知っておくべき7つの落とし穴

今すぐにでも導入したいIntuneであるが、その導入・運用には、落とし穴が潜んでいることも事実だ。豊富な機能が備わっているだけに、ポリシーの設定がうまく進まなかったり、項目が多くて動作検証に時間がかかったり……。これらの課題は実際に入れてみてはじめて気づくことも多く、事前に考慮できていなかったことで導入・運用が想定通りに進まずに、現場での混乱を招いてしまったというケースも少なくない。

では、その「落とし穴」とも言うべき注意点について見ていこう。

①ポリシー作成にノウハウが必要

(イメージ)Active Directory

Intuneは多機能であるがゆえに、ポリシー設定が複雑になりがちだ。既存のActive Directoryのグループポリシー(GPO)も、すべてをそのまま移行できるとは限らない。たとえば「デスクトップにショートカットを配置する」といった設定はIntuneには存在しないため、代替手段の検討が必要となるのだ。また、似たようなポリシーを複数設定してしまうと競合が発生し、意図通りに動作しないケースも起こりうる。

これらを防ぐためには、要件の明確化や、Intuneでの実装可否の確認、競合を避ける設計が求められる。ただ、設定が困難であったり、そのリソースがないということもあるだろう。その場合は、アウトソースをするという選択肢も検討に入れたいところだ。

②動作検証に手間がかかる

(イメージ)さまざまな端末がある場合、単体テストだけでも多くの時間とリソースを要する

ポリシーが正しく設計されていても、端末への割り当て方法が誤っていれば正常に動作しないことがある。Microsoftが提供する「セキュリティベースライン」だけでも項目数は膨大であり、端末環境が多様な場合は単体テストだけでも多くの時間とリソースを要するのだ。

すぐにでも導入を進めたいところでも、事前の動作検証は必須であるといえるだろう。事前に計画的なプロセスを設計し、必要なリソースを確保することが必要だ。

③アプリ配布にも事前作業が必要

(イメージ)さまざまな形式のファイルを.intunewin形式へ変換する必要がある

Intuneでアプリを配布する際にも、注意すべきポイントがある。.msi形式のファイルが提供されるアプリであれば比較的スムーズに配信できるが、それ以外の形式では.intunewin形式への変換が必要となるのだ。複数形式が混在することはエラーの原因となるため、統一するのが望ましい。とはいえ、アプリの数が多ければ多いほど、その変換作業だけでも膨大な手間がかかることは想像に難くないだろう。

さらに、アプリ間の依存関係や配布順序にも注意が必要だ。たとえば、Javaがインストールされていないと起動しないアプリがある場合、事前にJavaを配布する必要がある。

配布対象のアプリのファイル形式を洗い出すことと、必要に応じて.intunewin形式に統一することは、事前のタスクとして忘れてはいけないポイントだ。

④ライセンスの範囲が分かりづらい

(イメージ)ライセンスの範囲が分かりづらい

IntuneはMicrosoft Entra IDなど他のサービスと密接に連携しているため、ライセンスによっては利用可能な機能の範囲が分かりづらいことがある。管理センターに表示される機能が、実際には別サービスのものであることもあるのだ。

また、UIや機能の変更が頻繁に行われるため、過去の知識に頼ると誤解が生じる可能性がある。加えて、従来の買い切り型ライセンスとは異なり、ユーザー単位の課金である点にも注意が必要だ。

既存ライセンスに含まれるサービスと機能を整理し、定期的に管理センターを確認することや、ユーザ単位の課金体系を理解しておくことも重要である。

⑤Apple/Android製品の管理にご用心

(イメージ)Apple製品とAndroid製品、どちらもあると管理がむずかしい

IntuneはWindows端末の管理に強みがあるが、実はAppleやAndroid製品の管理には制約がある。macOSやiOSではJamfなどの専用MDMほど細かい制御ができず、設定がうまく反映されないこともある。

Apple製品の管理を自動化するにはApple Business Managerとの連携が不可欠であり、Intuneの範囲外での操作が発生する。また、Android端末においても、Googleの認可を受けていない機種では設定が反映されないケースがあるのだ。

Apple製品の細かい制御が必要な場合はJamfなどの併用を検討し、Apple Business Managerとの連携を前提にするべきだろう。Android端末はAndroid Enterpriseの認可状況を確認することも忘れてはならない。

⑥WSUSの代替利用は慎重に

(イメージ)ネットワーク帯域の圧迫リスクについて

WSUSの新機能開発停止を引き金として、Intuneを代替として検討する企業も増えているが、コスト面や運用要件には注意が必要だ。WSUSは無料で利用できたが、Intuneはユーザ単位のライセンス費用が発生する。

また、Intuneではインターネット経由での配信となるため、ネットワーク帯域の圧迫リスクもある。単なる更新管理だけでなく、ポリシー適用やアプリ配信など+αの要件を満たせるかが重要な判断材料となる。

つまり、IntuneをWSUSの代替として利用する場合は、+αの用途でも活用できるかを確認することが必須となる。ネットワーク帯域の事前確認や「配信の最適化」機能、MCC(Microsoft Connected Cache)の活用も検討していこう。

⑦アップグレードの手動対応

(イメージ)アップグレードの手動対応は煩雑

Intuneからアップグレード用ファイルを配信することは可能だが、実行そのものは手動で行う必要がある。特に大規模環境では、運用負担が増加するリスクがあり、注意が必要だ。アップグレードのタイミングや手順を誤ると、ユーザ体験の低下や業務の中断につながる可能性がある。アップグレードの実行に必要な時間とリソースを事前に確保しておくべきであるということは、忘れてはならない。Windows 11への移行だけを目的とせず、Intuneの他の管理機能と合わせた総合的な活用計画を立てていきたいところだ。

導入から運用まで、Intune活用をスムーズに進めるには?

ここまで読んで、「導入・運用が難しそう…」と思った方もいらっしゃるかもしれない。しかしIntuneが非常に有用なツールであることはもはや疑う余地がない。一方、導入・運用には専門的な知識とリソースが必要となることもまた確かだ。

自社での対応が難しい場合は、導入から運用までをアウトソースするという選択肢も考えてみてほしい。端末の調達やセキュリティ強化まで一括で委託することで、情報システム部門や管理部門の負担を軽減し、コア業務に集中できる環境を整えることが可能となる。

  • (イメージ)「Microsoft Intune」の導入から運用までをアウトソースするという選択肢

中でもおすすめなのが、インターネットイニシアティブ(以下、IIJ)による各種サポートだ。

①IIJ EMM活用支援ソリューション for Microsoft

「IIJ EMM活用支援ソリューション for Microsoft」はIntuneの導入・運用を支援するソリューションだ。複雑な構成プロファイルの設定やポリシーの最適化、 動作検証、アプリ配布などをIIJがサポート。技術面や作業リソースに不安がある企業でも、負担をかけずにIntuneを導入できるだろう。

  • (スライド)IIJ EMM活用支援ソリューション for Microsoft

②IIJ DWPデバイスサプライサービス

Windows 11への移行に伴って端末の入れ替えを検討している方には、PCの購入とキッティング、PCライフサイクルマネジメントが利用できる「IIJ DWPデバイスサプライサービス」もぜひ検討してほしい。紛失対策やセキュリティ、ネットワークなどの機能を組み合わせており、端末の提供からセキュリティ強化までをワンストップでサポートしている。

  • (スライド)IIJ DWPデバイスサプライサービス

③IIJ Touch & Experience College

実際にIntuneを触ってみてから導入を検討したいという方のために、「IIJ Touch & Experience College」がある。これは安全・快適な業務環境を実現するIIJの各種サービスを体感できるプログラムで、Intuneによる端末・データの管理などを実際に体感したいのならば「EMS 徹底体感コース」や「Microsoft 365体感コース」がおすすめだ。

  • (スライド)IIJ Touch & Experience College

いかがだろうか。Intuneを使えばデバイスの管理がしやすくなる一方、よく準備をせずに導入をしてしまうと、予期せぬ混乱を招きかねない。多くの企業が陥りがちな落とし穴と対策を十分に理解した上で、ぜひIIJのサポートを受けながら最適な運用体制を構築してほしい。

関連リンク

インターネットイニシアティブ
法人向けサービス・ソリューションお問い合わせ

[PR]提供:インターネットイニシアティブ