今回は、Microsoft Intuneについて、「MDM・MAMって何?」というところから、Azure Active Directory(Azure AD)との連携、そして導入前に知っておきたいデメリットまでをわかりやすく解説します。
テレワークやBYOD(私物デバイス利用)が当たり前になった今、デバイス管理の仕組みを理解しておくことはインフラエンジニアの必須スキルになっています。ぜひ最後まで読んで、Intuneの全体像を掴んでください。
MDM(モバイルデバイス管理)とは?
まず「MDM」という言葉から整理しましょう。MDMとは Mobile Device Management(モバイルデバイス管理)の略称で、会社が従業員のスマートフォン・タブレット・PCなどのデバイスをリモートから一括管理するための仕組みです。
具体的には以下のようなことができます。
- デバイスへのパスワードポリシーの強制(例:8文字以上の複雑なパスワードを要求)
- 業務アプリの一括インストール・削除
- デバイスの紛失時のリモートワイプ(データ消去)
- OSやアプリのアップデート状況の確認・強制
- 会社のWi-FiやVPN設定の自動配布
たとえば、社員が会社支給のノートPCを使っている場合、MDMを使えば管理者は「全社員のPCに同じセキュリティ設定を適用する」といったことを画面上から一括で実行できます。物理的にPCを触ることなく、何百台ものデバイスを管理できるのがMDMの大きな特徴です。
ポイント:MDMは「デバイスそのものを管理する」技術です。会社がデバイスを所有・管理している環境(会社支給デバイス)に特に有効です。
MAM(モバイルアプリケーション管理)とは?
次に「MAM」について解説します。MAMとは Mobile Application Management(モバイルアプリケーション管理)の略称で、デバイス全体ではなく特定のアプリケーションのみを管理・制御する仕組みです。
MDMとMAMの違いは管理の範囲にあります。MDMは「デバイス全体」を管理するのに対し、MAMは「アプリ単位」で管理します。
| 項目 | MDM(デバイス管理) | MAM(アプリ管理) |
|---|---|---|
| 管理範囲 | デバイス全体 | 特定アプリのみ |
| 主な用途 | 会社支給デバイスの統制 | 私物デバイス(BYOD)での業務アプリ管理 |
| プライバシー | デバイス全体を監視できる | 業務アプリ外のプライバシーは守られる |
| デバイス登録 | 必要 | 不要(アプリのみ登録) |
| リモートワイプ | デバイス全体を消去可能 | 業務アプリのデータのみ消去可能 |
MAMは特にBYOD(Bring Your Own Device)環境で威力を発揮します。従業員の私物スマートフォンにMDMを適用すると「会社にプライベートな写真や連絡先を見られそう」と敬遠されることがあります。しかしMAMなら、会社のOutlookアプリやTeamsアプリだけを管理対象にするため、プライベートのデータには一切手を触れません。
メモ:MAMの代表的な機能として「アプリ保護ポリシー」があります。たとえば「OutlookのメールをLINEに貼り付けて送れないようにする(コピー&ペースト禁止)」といった制御が可能です。
Microsoft Intuneとは?
Microsoft Intune はMicrosoftが提供するクラウドベースのエンドポイント管理サービスで、MDMとMAMの両方の機能を一つのプラットフォームで提供しています。
Intuneの特徴を一言で表すなら「クラウドから会社中のデバイスとアプリをまとめて管理できるサービス」です。
Intuneで管理できるデバイス・OS
- Windows(Windows 10 / Windows 11)
- macOS
- iOS / iPadOS(iPhone / iPad)
- Android(スマートフォン・タブレット)
- Linux(Ubuntu等、一部対応)
Intuneの主な機能
| 機能カテゴリ | 具体的な内容 |
|---|---|
| デバイス登録 | デバイスをIntuneに登録し、管理対象として認識させる |
| 構成プロファイル | Wi-Fi・VPN・メール設定などをデバイスに自動配布 |
| コンプライアンスポリシー | 「OSが最新か」「パスワードが設定されているか」等の条件チェック |
| アプリ管理 | 業務アプリの展開・更新・削除をリモートで実施 |
| アプリ保護ポリシー(MAM) | アプリ内のデータ保護(コピー禁止・保存先制限など) |
| リモートアクション | 紛失デバイスのロック・ワイプ・パスコードリセット |
| レポート・監視 | デバイスの状態・コンプライアンス状況を一覧で確認 |
Azure AD(Microsoft Entra ID)との連携
IntuneはMicrosoftのクラウド認証基盤である Azure Active Directory(Azure AD)、現在は Microsoft Entra ID と呼ばれるサービスと密接に連携しています。
注意:2023年よりAzure Active Directory(Azure AD)は「Microsoft Entra ID」に名称変更されました。本記事では広く使われている「Azure AD」という表記も使用しています。
① デバイスの「Azure AD参加」による統合管理
WindowsデバイスをAzure ADに参加させることで、ユーザーはMicrosoftアカウント(職場・学校アカウント)でWindowsにサインインできるようになります。この「Azure AD参加」済みデバイスは、Intuneへの自動登録と組み合わせることで、ユーザーがPCに初めてサインインした瞬間から自動的にIntuneの管理下に入ります。管理者がPCを1台1台手作業で設定する必要がなくなり、セットアップの手間が大幅に省けます。
② 条件付きアクセス(Conditional Access)
Azure ADとIntuneを連携させることで、条件付きアクセスという強力な機能が使えるようになります。条件付きアクセスとは「一定の条件を満たしたデバイス・ユーザーのみ、会社のリソースへのアクセスを許可する」という仕組みです。
- 「Intuneに登録されていないデバイスからはMicrosoft 365にアクセスできない」
- 「コンプライアンスに準拠していないデバイスはSharePointにアクセスできない」
- 「海外からのアクセスには多要素認証(MFA)を必須とする」
③ ユーザー・グループベースのポリシー適用
IntuneのポリシーはAzure ADのユーザーグループに紐づけて配布できます。たとえば「営業部グループ」にはOutlookとSalesforceアプリを自動配布し、「開発部グループ」にはVisual Studio Codeを配布するといった、部門ごとのきめ細かい管理が可能です。Azure ADのグループ管理と組み合わせることで、新入社員のPCに「部署に合わせたアプリや設定を自動適用する」ゼロタッチ展開(Zero Touch Provisioning)が実現できます。
Intune導入のデメリット・注意点
Intuneには多くのメリットがある一方で、導入前に知っておくべきデメリットや注意点も存在します。
① コストがかかる
Intuneは単体では Microsoft Intune Plan 1 として月額課金で提供されています。多くの企業ではMicrosoft 365 Business PremiumやEnterprise Mobility + Security(EMS)などのライセンスバンドルに含まれる形で利用します。従業員数が多い企業では月額費用が相当な額になるため、コスト試算は必須です。
⚠ 注意:Intuneを含むMicrosoft 365ライセンスは為替変動や価格改定の影響を受けることがあります。導入前に最新の公式価格を確認するようにしましょう。
② 学習コストが高い
Intuneの管理ポータルは機能が豊富な分、設定項目が非常に多く、初めて触れる方にとっては覚えることが山積みです。構成プロファイル・コンプライアンスポリシー・アプリ保護ポリシー・条件付きアクセスなど、それぞれの概念と設定方法を理解する必要があります。また、設定ミスが全社員のデバイスに影響を与えるリスクもあるため、テスト環境での十分な検証が必須です。
③ オンプレミス環境との共存が複雑になる場合がある
既存のオンプレミスActive Directory(AD DS)環境がある企業がIntuneを導入する場合、ハイブリッドAzure AD参加という構成が必要になることがあります。この構成ではオンプレミスADとAzure ADを同期させる「Azure AD Connect」の導入も求められ、設計・構築の難易度が上がります。
④ インターネット接続が前提
Intuneはクラウドサービスであるため、デバイスがIntuneのポリシーを受け取るためにはインターネット接続が必要です。工場のような閉域ネットワーク環境や、長期間オフラインになるデバイスには不向きな場合があります。
⑤ macOS・Android・iOSは機能に制限あり
Intuneの機能はWindowsデバイスに対して最も充実しており、macOSやiOS・Androidは一部の機能が制限されたり、設定方法が異なる場合があります。マルチOS環境での管理を検討している場合は、各プラットフォームのIntuneサポート範囲を事前に調べておきましょう。
| デメリット | 対策・ポイント |
|---|---|
| コスト | Microsoft 365バンドルライセンスの活用でコスト最適化 |
| 学習コスト | テスト環境を構築し、段階的に機能を習得する |
| オンプレ共存の複雑さ | ハイブリッド構成の設計を事前に専門家と検討する |
| インターネット依存 | 閉域環境では代替手段(SCCM等)の検討も視野に |
| OS別の機能差 | 各OSの公式ドキュメントでサポート範囲を事前確認 |
IntuneとActive Directoryのグループポリシーはどう使い分ける?
「従来のActive Directory(AD)とグループポリシー(GPO)があればIntuneは不要では?」という疑問をよく聞きます。結論から言うと、管理対象がオンプレミスのみなら既存のADで十分ですが、クラウド・テレワーク・モバイル端末が絡む現代の環境ではIntuneが必要になってきます。
| 比較項目 | グループポリシー(GPO) | Microsoft Intune |
|---|---|---|
| 管理場所 | オンプレミスAD | クラウド(Azure AD) |
| 対応OS | Windowsのみ | Windows・macOS・iOS・Android・Linux |
| 社外デバイスへの適用 | VPN必要(ADに接続要) | インターネット経由で可能 |
| モバイルデバイス管理 | 不可 | 可能(MDM/MAM) |
| テレワーク対応 | VPN環境が必須 | VPN不要でクラウドから管理 |
まとめ
- MDMはデバイス全体を管理する仕組みで、会社支給デバイスの統制に有効
- MAMはアプリ単位で管理する仕組みで、BYODのプライバシーを守りながら業務アプリを保護できる
- Microsoft IntuneはMDM・MAM両方をクラウドで提供するエンドポイント管理サービス
- Azure ADとの連携により、条件付きアクセスやゼロタッチ展開など強力なセキュリティ運用が実現できる
- デメリットとして、コスト・学習コスト・インターネット依存・オンプレ共存の複雑さがある
- 既存のグループポリシー(GPO)との使い分けは「クラウド・テレワーク・モバイル管理が必要か」が判断基準
