くらめその情シス:Intuneを使ってできること、できないことをざっくりまとめてみた

2020.08.06

はじめに

こんにちは、情シスの畠山です。

これまで、AzureADとIntuneを使って、WindowsPCとMacを管理できる環境についてお話ししてきました。

過去の記事は、こちらをご覧ください。

くらめその情シス:AzureADとIntuneを使ってPC管理を効率化してみた

今回は、出来上がった環境と、登録したWindowsPCおよびMacに対して、Intuneを使うとどんなことができるのかざっくりとお話しします。

一般的なMDM(Mobile Device Management)の機能ができます、と言ってしまえばそれまでなのですが、具体的にどのような動きをするのかも含めて、お伝えしようと思います。

【この記事の目的】

  • AzureADとIntuneを使用した環境で、WindowsPCに対しリモートから行える機能を紹介する
  • AzureADとIntuneを使用した環境で、Macに対しリモートから行える機能を紹介する

では、さっそくご紹介していきます。

【ご注意ください】

このシリーズでは以下の条件を満たしAzureを既に利用できていることが前提になっています。

  • Office365などでAzureでライセンス管理が利用可能であること
  • AzureADにユーザー、グループ情報があること(AzureAD Connector連携含む)
  • Azureのグローバル管理者アカウントの権限を持っていること
  • 管理対象のWindowsPC、およびMacがすでにIntune登録情報に登録されていること

登録済みデバイスに対して、できること・できないこと(Windows編)

以下の操作は、全てMicrosoft Endpoint Manager admin centerのデバイス|Windowsのデバイスから、対象のデバイスを選択した後の操作になります。

できること

再起動

この管理画面から、遠隔地のWindowsPCを再起動することが可能です。

再起動と言っても、強制的にいきなり再起動されるわけではなく、PC側に「サインアウトしようとしています」のメッセージが表示され、約2分後に再起動が実行されます。

ワイプ

ワイプとは、WindowsPCの設定及びディスクの内容を全て初期化します。

これは、万が一PCを紛失した場合にデータ漏洩等を防ぐ目的で使用できます。

ワイプする際に、2つのオプションが選択できます。

一つ目は、「デバイスを初期化するが、ユーザーアカウントは保持する」というもの。

二つ目は、「デバイスの電源が切れてもワイプを続行する」というもの。

二つ目のオプションは注意が必要です。このオプションを有効にすると、一部のWindows10デバイスが再起動しなくなる可能性があります。

実際に弊社の検証でSurface LapTop3も起動しなくなり、インストーライメージをダウンロードするところからのリカバリーが必要になりました。

なお、この管理画面からの指示に対しては、メッセージ等が出ることはなく、強制的に再起動された後に初期化が始まります。

デバイス内に、リカバリー用のOSイメージが搭載されているマシンでは、その後、再インストールが自動的に始まりますが、そうでないマシンの場合は別途インストールイメージのダウンロードを行ってから、再インストールを行う必要があります。

リタイヤ

リタイヤとは、Intuneの管理下からそのWindowsPCを外す機能です。

このコマンドが実行されると、WindowsPC内にインストールされていた、Intuneを使用するために必要であったエージェント類や、Intuneの機能で設定された各種プロファイル等が削除されます。

なお、WindowsPC内に格納されているデータ等の初期化は行われませんので、組織の機密データが格納されている可能性がある場合は、安易に行うとセキュリティ的にリスクがあります。

また、再度Intuneに登録したい場合は、一度WindowsPCの回復機能を使用して、初期化を行う必要がありますので、この機能を使用する際は以上のことを踏まえて実施して下さい。

削除

削除は、Intuneから対象のデバイス情報を削除して、管理対象から外します。

管理対象から外れると、今までログインしていたAzureADのユーザーではログインできなくなるとともに、Intuneで配布されたソフトウェア等も使用できなくなります。 この時点で、WindowsPCにローカルユーザーがない場合は、ログインすることすら出来なくなりますので、それを避けるためにも、ローカル管理者ユーザーを作成しておくことをお勧めします。

その他

そのほかの機能として、新たに追加Autopilotリセットというのがあります。

新たに開始は、このデバイスをクリーンアップして、Intuneにてインストールされたアプリを削除します。なお、データを残すかどうかをチェックボックスで選択することができます。

Autopilotリセットは、現在の登録情報を破棄(ソフトウェアインストールも含む)して、WindowsPCのIntuneへの登録をやり直すことができます。 なお、この機能を使用するには一定のハードウェア仕様を含めた条件があるようですので、実施に際しては事前にMicrosoftのドキュメント等をご確認ください。

できないこと

Intuneでは、WindowsPCに対して様々なコマンドを発行して、実行させることができますが、できないこともあります。

ここでは、いくつかご紹介しますが、あくまでもこの記事を記述した時点での仕様です。Intuneは、物凄いスピードで進化しているサービスですので、すぐにでもできるようになっている物もあるかもしれませんので、予めご承知おきください。

PCのロック

データやアプリケーションを削除せずに、PCをサインアウトしてログインできないようにする機能はありません。 これは、主にOSレベルでの制御になるため、Windows10の機能改善、もしくは機能追加が行われないと、搭載されないかもしれません。

この機能は、Macでは可能となっています。

位置情報による所在場所確認

GPSなどによる位置情報を取得して、今どこにあるかを確認する機能はありません。

リモートからのパスワードのリセット

これも、残念ながら記事執筆時点ではできないことの一つとなっています。

登録済みデバイスに対して、できること・できないこと(Mac編)

できること

Macに対してIntuneを使用してできること、できないことはWindowsと全て同じではありません。

当然、OSが違いますし、デバイスに対してコマンドを送信する方法も違います。

リモートロック

この機能を使用すると、ロックを解除するためのPINコード(6桁数字)を設定して、Macを再起動します。

起動後は、設定されたPINコードを入力しないと、起動することはできません。

これは、紛失した際にまず最初に行うべきことでしょう。実際に見つかった際にはPINコードを入力すれば、今まで通りの状態で使用することができます。

消去

Macの場合は、Windowsでは「ワイプ」と呼んでいた機能を「消去」と呼びます。

また、メニューも「...」の拡張プルダウンの中にあります。

この機能は、ロックと同様にPINコード(6桁数字)を設定して、再起動をかけますがその際に、ディスクの内容全てを消去します。 また、リカバリーインストールで起動する際にはPINコードの入力が必要になるため、このPINコードを知らなければOSの再インストールすらできません。

リタイヤ

リタイヤでできることは、Windowsと同様にMac内にインストールされていた、Intuneを使用するために必要であったエージェント類や、Intuneの機能で設定された各種プロファイル等が全て削除されます。

MacはWindowsと違って、ユーザーは全てローカルユーザーとして作られていますので、Intuneから削除しても同じユーザーでログインすることが可能になっています。 そのため、Macの管理を止める際には、情報漏洩対策を考慮する場合は「消去」を行うことをお勧めします。

できないこと

Macの場合、Windowsと違ってログインユーザー認証は、基本的にローカルデバイスでの認証になってしまいます。

そのため、そのデバイスを使用するユーザーのパスワードがわかると、正規のユーザーとしてMacを使用することができてしまいます。

それを解決するためには、Macのログイン認証を外部のIdps似て行えるようにするサービスを使用するとか、Jamf Connectを使用してAzureADを使用した認証を行うなど、サードパーティ製のソフトウェアで対応する必要があります。

弊社でも、Jamf Connectを使用したAzureADでの認証を行うべく、準備を進めているところです。

さいごに

Intuneを使用して、いろいろなことができることをざっくりご理解いただけたのではないかと思います。

リモートワークが多くなってきている中で、会社の業務を行う環境の管理(特に、PCやネットワーク)について、どうしたらいいかお悩みの企業も多いかと思います。

そのような際は、是非、弊社までご御相談いただければと思います。

AzureAD&Intuneに関するまとめ記事

AzureAD&Intuneに関して、以下リンクから参照できます。

くらめその情シス:AzureADとIntuneを使ってPC管理を効率化してみた