Microsoft Intune でできる Windows デバイスの管理 (前編)

こんにちは、エス・ワイ・シーの郷田です。
Microsoft Intune 関連記事第 4 回「 Microsoft Intune でできる Windows デバイスの管理 (前編) 」をお送りいたします。

ではざっくりと Windows デバイスの登録から。

既存 Windows デバイスを Intune に登録する

Intune から自動 MDM 登録が手順も少なく、楽そうなのですが、自動登録を進めようとすると
「 Microsoft Entra ID Premium サブスクライバーのみが使用できます。」とのメッセージが。

自動 MDM 登録を利用するには Microsoft Entra ID の P1 または P2 または Premium のサブスクリプションが必要です。
Entra ID の GOVERNANCE、P2 には試用版がありますが、この試用版を利用するには決済用クレジットカードや住所など、追加情報の登録が必要なようです。

こうなってくると、ちょっとやってみよう感覚ではなくなってきますね。
回避できる方法はないか探っていくと、以下の方法でできそうだということが分かりました。

【Windows デバイスにポータルサイトアプリを導入し、Entra ID と Intune にデバイス登録を行う】

①管理対象の Windows デバイスにログオンし、Microsoft Store を起動します。

②画面上部の検索窓に「ポータルサイト」と入力し、検索します。

③ポータルサイトアプリを開き、インストールを行います。

④ポータルサイトアプリを起動し、Microsoft Intune のサインイン画面で Entra ID に登録されたユーザーでサインインを行います。

⑤画面に従いEntra ID の登録を実施します。

※ 以下の操作を完了するには 対象 PC にログインしているユーザーが、現在の PC の管理者権限を所有している必要があります。

⑥ポータルサイトアプリのホームから MDM への接続を行います。

Windows デバイスを再起動してみる

遠隔で何か操作してみようということで、Windows デバイスを再起動してみます。

① Microsoft Intune 管理センターから [デバイス]-[Windows] をクリックし、登録された Windows デバイスをクリックします。

②画面上部「再起動」をクリックします。

実行後すぐに Windows デバイス上で「サインアウトしようとしています」と 5 分後にシャットダウンする旨のメッセージが表示され、予告時間に再起動しました。

Windows Defender

Windows デバイスの操作で目新しいところだと、Microsoft Intune 管理センターから Windows Defender でのクイックスキャンとフルスキャンが実行可能です。

Windows Defender にマルウェアのデバイスのスキャンを実行させ、その結果を Microsoft Intune に送信させます。

また、「セキュリティ インテリジェンス Windows Defender 更新する 」を実行することで、デバイスの Microsoft Defender ウイルス対策のマルウェア定義を更新できます。

クイックスキャンを実施すると「デバイスアクション状態」欄に実行状況が表示されますが、いつの間にか気づくと保留から完了に変わっている感じです。

Windows デバイスで [Windows]-[ウイルスと脅威の防止] のスキャン履歴で実際にスキャンが行われたことが確認できますが、バックグラウンドで動くため画面上の動きは全くありませんでした。
(本当にできているのか不安になるくらいです)

※ Microsoft Defender for Endpoint Plan1 そのもの、または含有するサブスクリプションをご使用の場合、Microsoft 365 管理センターからセキュリティ管理センター (Microsoft Defender) を利用して、対象デバイスのスキャン実施状況などのステータスを確認することができます。

コンプライアンスポリシー

Windowsデバイス (Windows10) の適用コンプライアンスポリシーは以下になります。

プラットホーム: Windows10 以降
プロファイルの種類: Windows 10/11 compliance policy

できることはざっと以下です。

・デバイスの正常性
 BitLocker、セキュアブート、コードの整合性

・デバイスのプロパティ
 OSバージョン、有効なオペレーティングシステムのビルド

・Configuration Manager のコンプライアンス

・システムセキュリティ
 パスワード、暗号化、ファイアウォール、TPM、ウィルス対策・スパイウェア対策
 Microsoft Defender、リアルタイム保護、Microsoft Defender for Endpoint

iOS デバイス検証の際には Apple Business Manager もしくは Apple School Manager の環境下ではなかったため、コンプライアンスポリシーでパスワードの制限をかけることができず、構成プロファイルで制限をかけました。
Windows デバイスの場合、このような制限はなさそうですので、今回こちらで制限をかけてみましょう。

・モバイルデバイスのロックを解除するときにパスワードを要求する : 必要
・単純なパスワード : ブロック
・パスワードの種類 : 英数字
・パスワードの最小文字数 : 4 (推奨値そのまま)
・パスワードの有効期限(日数) : 41 (推奨値そのまま)
・再使用を禁止するパスワード世代数 : 5 (推奨値そのまま)

・コンプライアンス非準拠に対するアクション
 デバイスに非準拠のマークをつける

ポリシー適用後、管理下 Windows デバイスでログインしようとすると
「サインインする前に新しいパスワードを設定する必要があります。」
とのメッセージが表示され、パスワード変更を促されます。

そこで制限に引っかかりそうな以下のパスワードを設定してみたところ

「 12345abc 」(単純なパスワード : ブロック)
「 1!a 」(最小文字数 : 4)

「パスワードを更新できませんでした。新しいパスワードとして指定された値は、パスワードの長さ、複雑さ、または履歴に関するドメインの要求を満たしていません」
と受け付けてもらえませんでした。
今回設定のパスコード要件をすべて満たす例としては「 Qwe13579 」などが挙げられます。

また、
・ファイアウォール : 必要

の設定を加え、Windows デバイスでファイアウォールの設定を「無効」に設定したところ
ポータルサイトのデバイスの状態に

「会社のリソースにアクセスできない
このデバイスはコンプライアンスポリシーとセキュリティポリシーを満たしていません。会社のリソースにアクセスできるようにするには、このデバイスにいくつかの変更を加える必要があります。
デバイスではファイアウォールが有効にされている必要があります。」

のメッセージが表示され、Microsoft Intune 管理センター側でも非準拠デバイスとしてマークされました。

なんと、Windows 端末でもリモートワイプが使えます

持ち出し PC 紛失や盗難時など Intune 側からリモートワイプで初期化できます。
Windows の場合 OS プリインストール状態初期セットアップ前まで戻り、Mac の場合 OS も含めて消去されます。

Mac は残念ながら手元にありませんが、Window デバイスなら手元にありますので実際にやってみます!

①Microsoft Intune 管理センターから [デバイス]-[Windows] をクリックし、登録された Windows デバイスをクリックします。

②画面上部「ワイプ」をクリックします。

「<端末名> をワイプしてよろしいですか」という重々しいメッセージと、ワイプ後登録状態とユーザーアカウントを保持するかのチェックボックス/デバイスの電源が切れてもワイプを続行するかのチェックボックスが表示されます。

後者はきっと紛失時に電源切断でワイプを阻止できなくするためのものでしょうね。
今回は両方ともチェック無しで、「ワイプ」ボタンをクリックします。

Microsoft Intune 管理センター側で「ワイプが開始されました」とのメッセージが。

1 分ほど経過しましたが、端末側変化なし。
        
管理センターからデバイスのワイプ状況を見ると、「保留中」のステータス。
数分様子を見たのですが、Windows デバイスにも変化がなく、あれ、失敗かな、、と思い、調べようとした瞬間

Windows デバイスのデスクトップ画面がブラックアウトし、再起動しました。
そして、メーカーロゴとともに

この PC を初期状態に戻しています (xx%)

のメッセージが。どうやら少し時間がかかっただけのようです。

100% になったところで Out of Box Experience (初期セットアップ) の地域設定に画面遷移しました。
画面に従いセットアップを実施しましたが、ディスク含め全て初期化されていました。

まとめ

今回は Windows デバイスの管理ですが、触ってみた感じ前回 iOS 端末の管理と画面配置や操作方法などの共通点が多く、デバイス登録が済んでからは比較的楽に検証ができました。

Windows デバイス用に 別の MDM を新規導入して一から運用や操作を確立するのと比較して、かかる労力も時間も雲泥の差だと思いますので、Microsoft Intune を利用して複数種のデバイスを管理するメリットは十分にあると感じました。

次回は構成プロファイルとその他便利機能、そして今ある機器で Windows Autopilot の疑似検証ができないものか、試行錯誤の結果をご報告いたします。
できれば物理端末でやりたいと思ってはいますが、、果たして。

以上、「 Microsoft Intune でできる Windows デバイスの管理 (前編) 」でした。
是非、次回記事もご覧ください。