Microsoft Intune – 登録 (Windows Desktop PC編)

目次

  1. Microsoft Intune – 基本 (MDM, MAM)
  2. Microsoft Intune – 設定 (MAM アプリケーション展開 for iOS)
  3. Microsoft Intune – 登録 (Windows Desktop PC編)

概要

Windows Desktopのデバイス登録には、事前に、Azure AD の設定が必要です。

また、Windows 7 , 10 で方法が異なります。

 

Windows 10 Desktop デバイスの登録

参考

Intune に Windows 10 Mobile または Windows 10 デスクトップ デバイスを登録する

WindowsMenu>設定>メールとアカウント>職場または学校アカウントを追加

intune0025

 

Intuneのライセンスを割り当てているユーザで、ログインします。

intune0050

intune0060

MicrosoftのストアからIntune(会社のポータル)をインストールします。

インストール後、「開く」をクリックします。

intune0010

 

「アプリをインストールする前にデバイスを登録する必要があります。」と表示されしまいます。

Azure ADの設定が必要です。

intune0030

デバイスを登録するために、Azure ADのIntuneアプリケーションの対象を設定

参考

Windows 10, Azure AD and Microsoft Intune: Automatic MDM enrollment powered by the cloud!

Office365/Intuneが割り当てされている。Azure ADを選択します。

intune0070

「アプリケーション」を選択します。

intune0080

「Intune」を選択します。

「構成」をクリックします。

intune0090

「すべて」を選択して保存します。

intune0100

 

再度、サインアウト後、

WindowsMenu>設定>メールとアカウント>職場または学校アカウントを追加

intune0120

1回目は表示されなかった、「作業PINの作成」というのが表示されました。

intune0130

intune0140

再度「Intune Company Portal」にて、サインアウト・サインインを実施します。

https://portal.manage.microsoft.com

intune0020

以下のようにWindows 10 Desktop デバイスが登録されています。

「デバイス」の 「DESKTOP-P2EFLBE」というNETBIOS名

intune0160

Intune 管理ポータルでも対象のデバイスが確認できました。

intune0150

 

Windows 7 Desktop デバイスの登録

「Intune Company Portal」にて、Windows 7 Desktop でサインインを実施します。

https://portal.manage.microsoft.com

「ここをタップ」をクリックする。

intune0160

「所有のデバイスが表示されていません」を選択して、「登録」をクリックする。

intune0170

ソフトウェアのダウンロードを実施する。

ダウンロードされたソフトウェアを実行します。

intune0180

サインインします。

intune0190

インストールが開始されます。

intune0200

Windows 7 Desktopも表示されました。

intune0210

Intune管理ポータルでもWindows 7 Desktopが登録が確認できます。

intune0220

 

Windows 7 Desktop アンインストール方法

参考

Windows Intune アンインストール方法について (PC デバイス)

Microsoft Intune – 設定 (MAM アプリケーション展開 for iOS)

目次

  1. Microsoft Intune – 基本 (MDM, MAM)
  2. Microsoft Intune – 設定 (MAM アプリケーション展開 for iOS)
  3. Microsoft Intune – 登録 (Windows Desktop PC編)

概要

前回から引き続き Microsoft Intune 設定 (MDM, MAM)

Microsoft IntuneのMAMにてアプリケーションを追加する方法を記載します。

世界的大流行中のPokemon GOで実験してみます。

インストール後の画面

mamapp0160

詳細

Intuneのアプリ、アプリ, アプリの追加

mamapp0010

アプリの追加

mamapp0020

Pokemon Go for iOSのサイトにいきます。
URLをコピーします。

mamapp0030

URLをペーストします。

mamapp0040

発行元、名前等を入力します。

mamapp0050

アップロードします。

mamapp0060

「展開の管理」をします。

mamapp0070

「必須のインストール」を選択します。

mamapp0075

「ユーザ」もしくは「デバイス」を割り付けます。

mamapp0077

 

mamapp0090

iPhoneでIntuneのポータルを開きます。
「会社のアプリ」をタッチします。

mamapp0100

「Pokemon Go」 をタッチします。

mamapp0110

Pokemon Go をインストールします。

mamapp0120

Appのインストールします。

mamapp0130

「ダウンロード」中。。。。

mamapp0140

インストールされました!!

mamapp0150

Pokemon Goを起動します。

mamapp0160

これで仕事中に思う存分、ポケモンGetできます。

mamapp0170

補足

機能制限でAppStoreの「インストール」使用不可してもインストールできます。


当社の場合は「Appの削除」「App内課金」も未使用にしています。

intune0600

調査中:アプリを必須にしていますが自動でのインストールは失敗しています。
ユーザは手動でインストール可能です。

intune0610

必須の場合は、1日程度放置しておくと以下のように、インストールしてと表示されます。

pokemongo600

pokemongo610

参考

Deploy apps in Microsoft Intune (Microsoft Intune でアプリを展開する)

Microsoft Intune – 基本 (MDM, MAM)

目次

  1. Microsoft Intune – 基本 (MDM, MAM)
  2. Microsoft Intune – 設定 (MAM アプリケーション展開 for iOS)
  3. Microsoft Intune – 登録 (Windows Desktop PC編)

概要

Intuneの設定について、主要なところを、確認してみました。
https://docs.microsoft.com/ja-jp/intune/understand-explore/introduction-to-microsoft-intune

  • モバイル デバイス管理 (MDM):
    プロビジョニング、構成、監視、およびデバイスのワイプなどのアクションをデバイスで実行できるように、それらのデバイスを Intune に登録する機能。
    例)
    1. リモートワイプ
    2. Root化デバイスの検出
    3. パスワードポリシーの設定
    4. Wifi設定

  • モバイル アプリケーション管理 (MAM):
    ユーザーのモバイル アプリを公開、プッシュ、構成、セキュリティ保護、監視、および更新する機能。
    例)
    1. アプリケーションの配布(自社 Store)
    2. メール設定
    3. Office365への条件付きアクセス

  • モバイル アプリケーションのセキュリティ (MAMの機能の一部?):
    モバイル アプリの管理の一部として、Intune は会社のデータから個人のデータを分離し、会社のデータを選択的にワイプできるようにすることで、モバイル データをセキュリティ保護するために役立つ機能を備えています
    例)
    1. 許可していない、アプリの間でのコピペ
    2. Office365のSharePoint/OneDrive以外への保存
    3. Office365のSharePoint/OneDriveのリモートで切断

公式のDocument(一読すると良いです)

  1. Microsoft Intune のドキュメント
    特に「展開と使用」を読む
  2. Intune Documentation
    特に[Deploy & Use]を読む

ここ重要(2016/6/23日現在)

条件付きアクセスについて(ポリシー=Password等)

Office 365 サービス用条件付きアクセスのデバイス ポリシー

よく寄せられる質問 (FAQ)

Q: サポートされていないデバイス プラットフォームに対する既定の除外ポリシーとは何ですか。

A: 現在のところ、条件付きアクセス ポリシーは、iOS デバイスおよび Android デバイスのユーザーに選択的に適用されます。その他のデバイス プラットフォームのアプリケーションは、既定では、iOS デバイスおよび Android デバイスの条件付きアクセス ポリシーの影響を受けません。ただし、テナント管理者は、サポートされていないプラットフォームのユーザーへのアクセスを許可しないようにグローバル ポリシーを上書きすることができます。今後、条件付きアクセス ポリシーが拡張されて、Windows を含むその他のプラットフォームのユーザーにもポリシーが適用される予定です。

Q: Office 365 サービスに対する条件付きアクセス ポリシーがブラウザー ベースのアプリ (OWA、ブラウザー ベースの SharePoint など) に拡張されるのはいつですか。

A: 現在のところ、Office 365 サービスへの条件付きのアクセスは、デバイスの機能豊富なアプリケーションに制限されます。今後、条件付きアクセス ポリシーが拡張されて、ブラウザーからサービスにアクセスするユーザーにもポリシーが適用される予定です。

補足

  1. つまり、ポリシー(Password等)に準拠した、デバイスか判断して、メールアプリやSharePointアプリのアクセス制限(Webブラウザー経由は関係ない)はiOSとAndroidしか使えないというです。
  2. 補足:Azure AD Premiumの条件付きアクセス(IP制限、デバイス制限)を利用すれば、
    Intuneとは別機能ですが、iPhoneのOutlookは先進認証(Web認証)を使用しますので、登録済みデバイスでアクセス許可できます。(デバイスの登録時のIP制限が出来るので、登録自体は社内で実施する等)
  3. ※Office Desktopアプリも先進認証にできます。

MAM – iOS(iPhone) – アプリケーション配布

Microsoft Intune 設定 (MAM アプリケーション展開 for iOS)

MAM – iOS(iPhone) – 電子メールプロファイル

構成ポリシーで以下のように設定します。

ホスト名:outlook.office365.com

あとは、デェフォルトでOK

参考

Microsoft Intune を使って iOS デバイスに電子メール アクセスをセットアップする

intune0010

結果

残念ながら、 Outlook for iOS は設定されない

intune0020

標準のメールには設定が自動で設定されます。

intune0030

 

intune0040

MAM – 条件付きアクセス

デバイスが準拠していない(パスワード等)場合は,「Exchange Online」「SharePoint/OneDrive」に接続できないようにします。

注意)

  1. Web Browserからのアクセスはこの設定と関係ありません。
    例)以下のoutlook webサイト等
    https://outlook.office.com/owa/
  2. Intuneでは接続できるデバイス数を全体で1~5に設定できます。
    この方法で、1台しか接続できなないようにする設定はできます。
  3. 確実にデバイス制限するにはADFSを使用します。
    AD DS(オンプレミス)にデバイス登録を行い
    ※Intuneの場合はIntuneにデバイス登録時に、AD Syncで自動的にAD DSに登録される
    ADFSに認証時に登録されていないデバイスは許可しない設定をします。
  4. SharePoint/OneDriveについては、iOSとAndroidのみ対象です。

Exchnage Onlineのポリシー

intune0230

SharePoint Online (OneDrive含む)のポリシー
SharePoint/OneDriveについては、iOSとAndroidのみ対象です。

intune0240

コンプライアンスポリシーを違反させます。

現在のiPhoneはパスワード5文字のところを、準拠は6文字に変更

iPhone上では60分以内にパスワードを変更してくださいと言われる

intune0250

上記だとどうしても以下のように準拠にしかなりませんでした。(非準拠の仕方が不明、この辺りは、更に検証が必要)

intune0260

しかたないので、サインアウトして

intune0270

念のためにIntuneのプロファイルを削除して

intune0280

iPhone再起動後、Outlookの メールアカウント削除して追加すると以下のように拒否されるようになりました。

intune0290

 

更に、確認のために、Exchange Onlineポリシー無効にします。

intune0300

Exchange Online条件付きポリシーが無効のため、メールアカウントが以下のように追加できました。

intune0310

intune0320

 

MAM – モバイルアプリ管理  – 組織のデータ保護

注意点:現時点で構成出来るポリシーは iOS, Androidです。(2014/07/20)

mam0800

MAMのメニューはAzureにあります。

Azure のメニューから、参照で[intune]を探します

intune0050

MAMを使用するセキュリティグループをOffice365の セキュリティグループで作成し、MAMで管理したいユーザを追加しておきます。

intune0060

AzureのIntuneにて[ポリシーの追加]をします。

intune0070

[ポリシー]にユーザグループを割り当てます。

Office365で作成した、セキュリティグループを割り当てます

intune0080

対象アプリを割り付けます

intune0090

ポリシーの設定を行います。今回は標準にします(変更しません)

intune0100

結果

Excel, Outlook等のアプリケーションを起動すると、最初の1回だけPINを設定する画面ができてきます。

2日目以降はPINを要求されます。

 

intune0110

一度PINを打つと1時間?程度PINを入力する必要がないです。

intune0120

OneDrive/SharePointにあるデータは、iPhoneに保存できなくなります。

その文章をiPhoneに保存したときに、「保存を許可しません」、と表示されます。

※新規文章作成時(保存していない状況)はどこにも保存できます。一旦、OneDrive/SharePointに保存するとiPhoneに保存できなくなります。

intune0130

組織管理のデータ(OneDrive/SharePoint)のデータですと「コピー・ペースト」もできません。

wordで「コピー」します。

intune0140

iPhoneのノートに「ペースト」できません。

intune0150

許可されたアプリ、PowerPointは「ペースト」できます。

intune0160

MAM – モバイルアプリ管理  – 組織のデータ保護 (注意点:メモへの抜け道)

Outlookでなぜか保存するときに iPhone ローカルのメモに保存できてしまいます。

受信ファイルのzipをタッチします。

intune0400

「メモを追加」をタッチする。

intune0410

iPhoneでメモアプリを起動する。

intune0425

iPhoneのローカルのメモをタッチします。

intune0430

zipが保存されています。

※組織のデータを封じ込めるには、iPhoneをユーザに配るときににメモを使えなくなる必要がありそう。

intune0440

クラウドに保存を実行してみます。

Outlookのメールの添付ファイルをタッチします。

intune0450

Google ドライブに保存する。

intune0460

「保護されたファイル」 「ITポリシーはこのファイルの保存を許可してません。」と表示されます。

intune0470

 

MAM – モバイルアプリ管理 – ワイプ要求

ユーザとデバイスを選んでワイプ要求をします。

intune0170

PowerPointを起動するとワイプされます。

実際にはOfficeからサインアウトされて OneDrive/SharePointにアクセスできなくなるだけです。

 

 

intune0180

ワイプされたあとは、OneDirve/SharePointがありません。

intune0190

もう一度Office365にサインインします。

intune0200

Office365にサインすると OneDrive/SharePointにアクセスできます。

 

intune0210

データは削除されずに、残っています。
※このワイプは、データの削除ではなく、OneDirve/SharePointのアクセスの切断です。

intune0220

参考

  1. Azure Rights Management with Office365 (EMS 及び Azure RMSの解説)

  2. Microsoft Windows Intune(統合管理ソフトウェア)

  3. Office 365のモバイルデバイス管理機能  (365の無料のMDM, Intuneの機能限定版)

  4. [EMS] 他社 MDM を利用しながらでも Office アプリの保護が可能! Intune MAM without MDM 機能の提供について

  5. Microsoft Intune でのモバイル アプリ管理ポリシーの作成および展開
  6. Microsoft様の解説サイトとってもわかりやすいので、以下の図を参照しておきます。Office365 のE3, E5 は Azure RMSのIRMの機能を使用しているのが以下の図からわかります。

    Office 365 と Azure AD、Intune、Azure RMS の関係について

    image

 

Azure Rights Management with Office365

はじめに

Azure Rights Mangement は、購入するライセンスのところで、とっても迷います

できるだけ、分かり易く解説します

※2016/07/13日現在、複雑なため自己責任でお願いします。

組み合わせ可能なライセンスが以下の表になります

Office Plan 1. Office
Pro plus
2. Azure RMS
IRM機能
Office365プラン
3. Azure RMS
Premium
単体プラン
4. Azure RMS
Premium
(EMSに含む)
Office Home and Business 組合せ可
Office Professional 組合せ可
Office 365 solo 組合せ可
Office 365 Business Essentials 組合せ可
Office 365 Business 組合せ可
Office 365 Business Premium 組合せ可
Office 365 ProPlus 含む 組合せ可
Office 365 Enterprise K1 組合せ可 組合せ可
Office 365 Enterprise E1 組合せ可 組合せ可
Office 365 Enterprise E3 含む 含む 組合せ可
Office 365 Enterprise E5 含む 含む 組合せ可
Exchange Online Plan 1 組合せ可 組合せ可
Exchange Online Plan 2 組合せ可 組合せ可
Exchange Online Kisok 組合せ可 組合せ可

 

タイトル 内容
1. Office Pro plus
(Officeアプリケーション)
  • IRM のアクセス制限の機能がアプリに含まれているので、すぐにIRMを実施できる。
    ※[Outlook application(Pro plus)  or  Outlook Web App] +[Exchange online] の組み合わせですとメールの本文を含めた暗号化が可能
  • PC用のOfficeアプリケーション で Professonal Plus以外は、無料の[RMS共有アプリ]の[Microsoft RMS Office Addins]が必要、その場合は Outlook applicationでは、本文の暗号化はできません。
  • 古いですが、エディション比較
    Office 2010 製品エディション
2. Azure RMS
IRM機能
Office365プラン
  • E3, E5 に付随するライセンス、「Azure RMS Premium」のIRMの機能が使用できます
  • 「Azure RMS Premium」の追跡、アクセス許可取消は使用できませんが、RMS共有アプリも使用できます。
3. Azure RMS
Premium
単体プラン
  • RMSの全機能使用できる、Office365のプランに追加した場合は、IRMも使用できる
  • RMS Connector(ディレクトリ同期必須)
  • テンプレートカスタマイズ
  • Microsoft のWeb Site
    Microsoft Azure Rights Management
4. Azure RMS
Premium
EMS

Microsoft様の解説サイト

とってもわかりやすいので、以下の図を参照しておきます。

Office365 のE3, E5 は Azure RMSのIRMの機能を使用しているのが以下の図からわかります。

Office 365 と Azure AD、Intune、Azure RMS の関係について

image

Office の製品エディションの比較

古いですが見つからないので

Office 2010 製品エディション

rms0220

 

IRMの概要 (information rights management)

Office365 テナント内で[Azure Rights Management]を有効にする

rms0020

rms0030

[Azure Rights Management]をユーザに割り付ける

rms0010

 補足
以下はOffice 365 Business Plemium+EMS(Enterprise Mobility Suite)の画面です。
※ EMSのライセンスの中に、2つあるのがわかります。
[Azure Rights Management Plemium]+[Azure Rights Management]

rms0210

IRM Office Professional で使用する場合

Excelに[アクセスの制限]ボタンがある

rms0070

Outlookに[アクセス許可]ボタンがある

rms0080

 

IRM Office Home and Business / Business で使用する場合

以下はOffice Business

rms0040

Excelに[アクセスの制限]ボタンがない

rms0050

Outlookに[アクセス許可]ボタンがない

rms0060

アクセス許可ができないので、[RMS共有アプリ]の[Microsoft RMS Office Addins]をインストールします

以下のようにOfficeの中にRMS Office Addins がインストールされていますので、ボタンを押します。

rms0100

以下のようにTXT,PDF Officeファイル等も 、[RMS共有アプリ]の機能で暗号化できます。

rms0110

ファイルを保護します。

ここで追跡も選べますが、最初にファイル暗号化します。
※追跡は [Azure RMS Premium]なら可能です

rms0120

 

権限の詳細設定ができます。

rms0200

 

rms0130

rms0140

 

rms0150

Azure RMS Premium ですと追跡できます。

rms0160

rms0170

rms0180

 

Azure RMS Premium でない、E3,E5のIRMの場合は以下のようになり追跡のためにログインできません。

rms0190

 

RMS共有アプリケーション

Officeなくても動作します。
※以下はOffice アプリケーションインストールしていないのでExcelのアイコンが表示されません

RMSで保護すると、

  1. [xlsx] ファイルはそのまま
  2. [txt]ファイルは[ptxt]
  3. [bmp]ファイルは[pbmp]
  4. [zzz]ファイルは[zzz.pfile] ※拡張子未対応のものはこうなります。

 

rms0230

共有相手

フリーメール系は共有できないようです。
gmail.com, outlook.com, hotmail.com, yahoo.co.jp

onmicrosoft.comはOKのようです

フリーメール以外の相手に共有します。
※ファイルを保護 or 保護してメールで送信する

例)以下はgmail
rms0240

共有相手は、Azure RMSがなければ、以下でサイインして、RMS共有アプリをダウンロードします。

https://portal.aadrm.com/

このサイトで、アカウントを作成できます。Azure RMS 個人(Indivisual)
※Azure RMSライセンスを所有していない場合

rms0280

Azure RMS共有アプリケーションで開きます。(アプリケーション起動時にログイン画面表示されます)

以下にはテキストの内容がでています。

コピー保護がかかっているので、真っ黒になります。

rms0290

Azure RMS を所有していない場合は、個人用(individual)のAzure RMS(無料)が作成されます。

メールアドレス充てに送信した場合は以下のURLがリンクされていますので、アクセスして個人用Azure RMSを作成します。

https://portal.aadrm.com/

rms0010

rms0020

RMSテンプレートカスタマイズ

確認中(ライセンス、動作)

One drive for Business

確認中(ライセンス、動作)

Azure RMS Premium という名前になった時期 (EMSに含まれる)

http://japan.zdnet.com/article/35084713/

なお、Microsoftは2015年に、EMSに「Advanced Threat Analytics」(同社がAoratoの買収で得た技術)を追加搭載した際、EMSにバンドルされていたAzure RMSを「Premium」バージョンにアップデートしている。

Azure RMS 単独購入(Premiumと書いていないが購入するときに Premiumという表示されれる)

https://products.office.com/ja-jp/business/microsoft-azure-rights-management

Microsoft Azure Rights Management は、Office 365 Enterprise E3 プランと E4 プランに含まれています。また、次のプランと共に単体で購入することもできます: Office 365 Enterprise E1、Office 365 Enterprise K1、Exchange Online プラン 1、Exchange Online プラン 2、Exchange Online Kiosk。

参考

  1. Office 365 と Azure AD、Intune、Azure RMS の関係について
  2. Office 365 と Azure RMS (IRM、共有アプリケーション)
  3. Azure RMS 共有アプリケーション利用に必要なライセンスとその違い (検証結果)
  4. Azure RMS ベーシック導入プラン
    個人用(Indivisual)のRMSがわかる。
  5. Azure Rights Management による社外ユーザとのセキュアなコンテンツ共有の実現
    全体がよくわかる(2014年度なのすこし古い)