今、モダン管理に注目が集まっています。ハイブリッドワークの普及により、デバイスの利用場所の拡大、セキュリティや運用の強化が必要となります。その解決のための手法の1つがモダン管理です。モダン管理を実現するソリューションとして、実績の高いMicrosoft Intune / Windows Autopilot があります。

今回は、Microsoft Intune / Windows Autopilot に対して、深い知識と経験を持つMKTインターナショナル株式会社 赤井 誠氏に寄稿いただいた、企業での導入検討の視点から見る Microsoft Intune / Windows Autopilotの概要と、導入運用時の注意点をお届けします。

MKTインターナショナル株式会社
代表取締役社長
赤井 誠 氏

Windowsデバイスをモダン管理する

あらためて、モダン管理とは何かについて解説させてください。

モダン管理とは、Windows 10 の登場に合わせて、Microsoftが提唱した、デバイス管理手法のことです。ハイブリッドワークの普及により、デバイスの利用場所が社内・社外関係を問わなくなってきていること、セキュリティの強化や運用の増加などが課題としてあり、その解決のための手法として注目されています。

クリックして拡大表示

2024年は、2025年のWindows 10 サポート終了に向けて、企業は、このモダン管理手法を活用し、円滑で、セキュアにWindows 11への移行を進めることが重要だと考えます。

そこで、まずモダン管理に用いるソリューションとしてMicrosoft Intune / Windows Autopilot の特長、メリット、実施できることを紹介します。そのあとで、Microsoft Intune / Windows Autopilotを利用するために課題と対策を説明します。

Microsoft Intune / Windows Autopilotの特長と実施できること

Microsoft Intuneは、マイクロソフトが提供するクラウド ベースの MDMツールです。

管理対象は、モバイル デバイス、および、Intune クライアント ソフトウェア（エージェント）をインストールする クライアント PCやスマートフォンとなります。

ハイブリッドワークの進展に合わせて、従業員が複数のPCやスマートフォンを持つ時代に入りました。Microsoft Intuneは、このようなIT環境に適したマルチOS ・マルチデバイスを管理できるソリューションです。Windows だけでなく、iOS/iPadOS, Android, macOS, Linux, Chromebook(プレビュー中) が管理できることも特徴の1つです。

Windows Autopilot は、単独のソリューションと誤解されることもあります。そのため、お客様には、「Autopilotは、Intuneの一機能で、Windows PC をゼロタッチでデプロイできます」と説明しています。

もちろん、そのときには“ゼロタッチでデプロイする” ということも説明が必要になります。

従来、PCの展開方法は、企業ではPCベンダーあるいはディストリビューターから届いた梱包された箱から、PCを取り出して、情報システム部門やITソリューションプロバイダーが設定し、従業員に配布を行うといった方法が多く取られていました。

“ゼロタッチでデプロイする” とは、このような方法ではなく、直接、従業員にPCが梱包された箱を届けて、ログインすれば企業で利用するための設定が自動的に実施され、使える環境が設定されることをいいます。情報システム部門やITソリューションプロバイダーが触ることがない＝ゼロタッチ ということになります。

重要なポイントは、Intune / Autopilot を利用すると、ユーザーは、ログインすれば、クラウド経由でPCの設定もセキュリティの設定も、アプリケーションの配布も抜けもれなく対応できることです。すべてを手作業で作業すると、うっかりミスを避けることができません。

Autopilotの設定は、Intuneのメニューから実施します。導入手順は3つの簡単なステップで実現できます。簡単なステップなので、1度、ご説明するとご理解いただけています。

クリックして拡大表示

1. デバイスIDを企業のテナントに登録します。
2. IT管理者あるいはマイクロソフトのクラウドパートナーが企業向けの設定を行います。
3. 配送されたPCにユーザーはIDとパスワードでログインするだけで、必要な設定情報がインターネットからダウンロードされて、使用可能になります。

デバイスIDとは、PCが持つ唯一のIDです。PCベンダー（例：HP）が発行します。

Microsoft Intune / Windows Autopilot を活用すると、様々な設定が可能できます。例えば、次のようなことを紹介しています。

• PCを企業のデバイスとして登録し、PCに名前を付ける
• マイクロソフト製品もサードパーティソフトも管理デバイスに配布する
• Windows Updateを就業時間外に実施する
• 無線LANのSSIDとパスワードを配布する
• 標準のWindows セキュリティ設定を配布する
• 紛失したPCのデータを遠隔削除 など

Microsoft Intune / Windows Autopilot導入の課題と対策

ただし、企業の運用ポリシーやIT環境によって、Microsoft Intune / Windows Autopilotを実際に導入するとなると、知らないと困ってしまう課題もあります。

いくつかの課題を紹介することにしましょう。

キッティングをして出荷したい

お客様によっては、多数のアプリケーションをインストールして利用する場合やネットワークの帯域問題から、事前に必要な設定やアプリケーションをインストールしてから、出荷したいというニーズがあります。こう行った場合のおすすめは、事前プロビジョニングです。

事前プロビジョニングは、作業エリアで事前に共通の設定やアプリケーションの設定を行い、従業員が届いたPCにログインすればユーザー固有の設定のみを実施するため、素早く利用できるようになる展開方法です。

クリックして拡大表示

Windows の推奨セキュリティを設定したい

セキュリティを強化するにあたって、よく質問をもらうのが、Windows セキュリティの推奨設定です。私は、多くの場合、セキュリティベースラインの活用を推奨しています。

セキュリティベースラインは、マイクロソフトが勧めるセキュリティ設定のパッケージです。定期的にアップデートされているため、最新のセキュリティ設定の知見が入っています。そのため、セキュリティベースラインを活用することで、Windows PCに対するセキュリティレベルを一定に保つことができます。

セキュリティベースラインは、Intuneから管理対象のPCに設定することができます。もちろん、Autopilot での展開時に適用することが可能です。

クリックして拡大表示

Intuneポリシー更新間隔を知りたい

Windows PCに対して、新しいポリシーを配布したり、あるいは検証中に素早く結果を確認したいといった要望もいただきます。特に、Intune の管理画面では、更新間隔の設定メニューがないため、どのようにしたらいいかという質問もあります。

Intuneポリシーは、PCが登録された当初は、 3分ごとを15分、15分ごとに2時間、その後に約8時間おきに更新されます。つまり、通常の運用段階に入った場合は、約8時間おきになります。

検証時には、Intune管理ポータル サイトからアプリ＞デバイスの状態の確認、または 設定の同期を開いて、ポリシーまたはプロファイルの更新を行うことで状況をすぐにチェックできます。

これらを理解しておくと、柔軟にポリシーの設定の検証、導入、運用ができるようになると考えます。

運用時の課題：ファームウェアの管理

PCを運用すると言った場合、ファームウェアの管理も重要なポイントです。

ハードウェアを制御するファームウェア(BIOS)は、PCの最重要部分の1つです。ファームウェアは、OSが起動する前に動作するため、ファームウェアが改ざんされても、OS上で動くウイルス対策ソフトでは検出できません。そのため、悪意のあるコードを埋め込まれたりすると、PC内の情報を盗む、操作を妨害することなどが可能となります。

Microsoft Intune では、HP Connect for Intune あるいはDFCI（デバイス ファームウェア構成インターフェイス）を組み合わせて、ファームウェアを管理することができます。DFCIはサポートしているPCベンダーによって利用できるかどうか違います。HP Connect for Intuneは、HPビジネスPC のすべてのモデルで対応しているそうです。

HP Connect for Intune も、DFCI（デバイス ファームウェア構成インターフェイス）も、Microsoft Intune の管理コマンドをファームウェア(BIOS) 経由で設定することができます。例えば、BIOSの一括制御、ハードウェアの制御(例：Wi-Fi + Bluetoothの有効/無効、USBポートからの起動の有効/無効 等) などが可能です。

クリックして拡大表示

ただし、制御できる項目には違いがあります。詳しくは、以前に、記事『ファームウェアが攻撃に対抗できる！HP Connect for Intuneとはどのようなソリューションなのか？』 で解説されていますので、ご確認ください。

最後に

企業で導入を検討する場合、自社の運用ポリシーにあわせて、検証することは重要です。マイクロソフトは、Microsoft Intune / Windows Autopilotを使ってみたいパートナーやユーザー向けに、検証サイトや評価版を提供しています。

試してみたいというユーザーは、日本HPあるいはパートナーにご相談してみてください。

※このコンテンツには日本HPの公式見解を示さないものが一部含まれます。また、日本HPのサポート範囲に含まれない内容や、日本HPが推奨する使い方ではないケースが含まれている可能性があります。また、コンテンツ中の固有名詞は、一般に各社の商標または登録商標ですが、必ずしも「™」や「®」といった商標表示が付記されていません。