メイン コンテンツへスキップ
Microsoft 365
登録する

新しい Intune と条件付きアクセス管理コンソールの一般提供

お客様やパートナーにお会いすると、必ずと言っていいほど話題になることがいくつかあります。その中でよく登場するものの 1 つは、エンド ユーザーの生産性と、企業データのセキュリティおよび制御の必要性とのバランスを、どのように取るかということです。この両者の間の綱引きを背景にして、次のようなことがさらに大きな課題として現れます。 テクノロジーの進化が加速し、企業が属する業界の土台そのものも変化している時代の中で、世界中のあらゆる IT チームは、より少ないコストとリソースでより多くの成果を出すように求められています。

その種の会議で私が求められることは、はっきりとしており、しかも常に同じで、「増大していく複雑さの管理と制御を簡素化できる効率的なソリューションが必要です。我々が格闘している複雑さを軽減してくれませんか」というものです。

そこで、うれしいお知らせがあります。  Intune と条件付きアクセスを Azure AD とまとめて管理することが、急速に成長している IT 担当者コミュニティにとって今までよりもずっと簡単になりました。本日、私たちは、Microsoft Intune と EMS の条件付きアクセス機能に関して 2 つの重要なマイルストーンに到達しました。  両方の新しい管理機能が Azure portal で一般提供されたのです。

Intune の再設計から組織が受ける恩恵

Intune が Azure portal に向かっていく動きは、技術的観点から見てきわめて大きな決断です。Intune コンソールが変更されただけでなく、EMS コンソール環境のすべての要素が一体化されました。機能を新しいポータルに移行するプロセスは、管理機能全体の構想を一から練り直す絶好の機会となりました。本日、発表するものには、45,000 を超える有料のお客様のニーズから形成された、モビリティ管理に関する私たち独自のビジョンが反映されています

私たちが達成した進化の誇らしい点は、Azure での Intune が既存のお客様にとって優れたものであるという点です。それは、既存のお客様が今回、すべての Intune MAM および MDM 機能を 1 つに統合された管理機能で管理できるようになり、Azure AD 全体を 1 つの環境でシームレスに利用できるようになったからです。すばらしいことです。

新しい管理機能の “舞台裏” では、さまざまなことが進行しています。管理機能を統合しただけではなく、Intune と Azure Active Directory を共通のアーキテクチャとプラットフォームに統合しました。アーキテクチャが統合されると、それを私たちがサポートするための作業やお客様が使用するための作業が劇的に簡素化され、ID と Enterprise Mobility Management に関する高度なエンドツーエンドのシナリオがいくつも実現可能になります。

Azure での Intune に関して知っておいていただきたいことは、次の 3 つです。

  1. Azure のハイパースケールを利用して構築
    Azure プラットフォームでは Intune の弾力性と信頼性が飛躍的に向上し、ほぼ無制限に拡張できる基盤が提供されます。また、新しい管理機能は、すべてのデバイス フォームファクターのすべてのブラウザーで動作します。そのため、Intune はどこからでも、つまり携帯電話から管理することもできます。
    再設計されたアーキテクチャと新しいコンソールにより、サービスをほぼ無制限に拡張することができます。現在、急速な成長を遂げているお客様は、1 つのテナントで数十万台のデバイスを抱えています。しかし、問題はありません。  あるお客様が約 20 万のユーザーに対して高度なポリシーを適用したと話してくださったのですが、以前は数時間かかっていたものが 3 分未満で終わったそうです。Intune が Azure コンソールに組み込まれたため、ロールベースの強力な管理機能を利用して、権限を委任することができます。
  1. EMS 全体のワークフローに合わせて最適化
    Intune が Azure および Azure ポータルに移行するのに伴って、コンソール機能を Azure Active Directory や Azure Information Protection などの他の中核的な EMS サービスでも使用できるようにしました。密接な関係を持つこれらのサービスの力を組み合わせることで、ID とアクセスの管理、MDM と MAM、情報保護の作業をより効果的に、またより容易に管理することができます。
    例:   Intune を使用して、データへのアクセスを制御するための条件付きアクセス ポリシーのセットを同じポータル環境内に作成した場合は、データへのアクセス後、またデータをモバイル デバイスで使用中にも、データを確実に保護できる追加のアプリ保護ポリシーを、ワンクリックで設定することができます。
    Intune が Azure に移行することで、Azure Active Directory グループと緊密に統合され、ユーザーとデバイスのどちらも、組織のオンプレミス Active Directory と全面的に統合された、ネイティブで動的なターゲット グループとして扱うことができるようになります。
  1. 管理を簡素化、自動化し、Microsoft Graph と連携
    Microsoft Graph API を基礎として構築されている新しい Intune の機能は、システムの広範な連携と自動化への道も開きます。具体的には、お客様は Intune 全体にわたって、そして何らかの形で適合すると思われる他のサービスと組み合わせて、ワークフローを簡素化、自動化、連携できます。このことにより実現できることは、ぜひこちらの投稿を読んでご確認ください。Microsoft Graph API 機能は、現在プレビュー段階です。この機能の一般提供の発表は、次の四半期までお待ちください。

Azure をまだお試しでないお客様は、ぜひ、この新しい体験に挑戦してください。実際に確認するには、今すぐ Microsoft Azure portal にログインしてください。 私たちは常にお客様からのフィードバックに耳を傾け、そこから学んでいます。ぜひ皆様のご意見をお聞かせください。  12 月にプレビューを開始してから 10 万件を超える有料および試用のテナントにプロビジョニングされました

条件付きアクセス – Azure portal の新しい管理機能

新しい条件付きアクセスの管理機能も、本日から一般提供されます。Azure での条件付きアクセスにより、Azure Active Directory と Intune の両方について、統合された 1 つのコンソールから充実した機能を利用できます。この機能は、複数の作業を少ないコンソールで実行できるように統合を進めてほしいというご要望を受けて作成しました。本日お届けする機能は、まさにそのご要望どおりのものです。

あらゆる組織は、増え続ける大量のモバイル デバイスをユーザーが利用できるようにするという課題に直面する一方、保護が要求されているデータはネットワーク境界の外側に出てクラウド サービスに移動しており、しかもそれらと並行して、攻撃の厳しさも巧妙さも劇的に高まっているという状況が続いています。IT チームは、企業データへのアクセスに使用される ID、デバイス、アプリに関連するリスクを、物理的な場所も考慮しつつ数値化する方法を必要としています。そして、この 4 つのベクトルからリスクを総合的に把握した上で、企業のアプリやデータへのアクセスを許可またはブロックします。これが成功のための方法です。

条件付きアクセスを利用すると、これを実行して、適切に認証され、検証されたユーザーが、準拠デバイスで、適切なアプリを使用して、適切な条件を満たしている場合にのみ、企業のデータにアクセスできるようにすることができます。ここで利用されている機能は技術的に見て非常に高度ですが、その制御がどれだけ緻密で強力であるかは、見てすぐにわかるとは限りません。Azure の新しい条件付きアクセス機能の場合、次のように 1 つに統合されたビューのすべてのレベルで細かい制御ができます。このテクノロジーの威力は、誰の目にも明らかです。

これからは、統合フローを簡単に実行して、ユーザーデバイスアプリ場所の各レベルでアクセス権を定義する詳細なポリシーを設定できます。 この統合機能を過去 6 か月にわたって数百のお客様にお見せしたところ、多くに共通するコメントは次のようなものでした。  「データを保護するためには ID の管理と保護を Enterprise Mobility Management と連携して運用する必要があると Microsoft が今まで語ってきたことが、今はとてもよくわかります。」 Microsoft のインテリジェント セキュリティ グラフもここに統合されているため、動的なリスク ベースの評価も条件付きアクセスの判断に取り込まれます。

また、大量のデータから得られるユーザーのサインイン リスクに基づいて、リソースへのアクセスを制御することもできます。ポリシーを設定すると、該当する条件の下で作業しているユーザーには、アプリとデータへのリアルタイム アクセス権が付与されます。ただし、条件が変わるとインテリジェント制御が起動して、データを引き続き安全に保ちます。この制御は、たとえば次のとおりです。

  • ユーザーに MFA を要求して、本人確認を行う。
  • デバイスを Intune に参加させるようにユーザーに要求する。
  • 組織のセキュリティ要件を満たすようにデバイスを調整することを促す。
  • すべてのアクセスをブロックしたり、デバイスの内容を完全に消去したりする。
  • ネイティブ アプリ (例: Word) を使用するときと Web アプリ (例: Word Online) を使用するときとで、異なるアクセス権を付与する。

Microsoft は、包括的かつ高度でありながら、簡単に操作できるソリューションを提供できる、独自の地位を確立しています。この種の機能が EMS で実現されているのは、安全でモバイルに対応した生産性を確保するための取り組みのために、これらの機能が基礎から一緒に構築されているためです。

新しい条件付きアクセス コンソールには、Intune と Azure AD のどちらのメニューからもアクセスできます。この機能の実際の動作を確認するには、こちらからエンドポイント ゾーンのエピソードをご覧ください

今後について

Microsoft がイノベーションに対して継続的に取り組んでいくということの意味は、お客様の声に耳を傾け、製品をリリースし、未来に向かって歩むことを決してやめないということです。将来を見据え、私たちはこれからも 1 年を通じて着実なペースで、新しい機能や拡張をリリースしていきます。 この先、すべての新しい Intune と条件付きアクセス機能は新しいポータルを通じて提供しますので、定期的にご確認ください。

追加のお願い:  ご意見を遠慮なくお聞かせください。お客様との対話は、弊社が開発を進める際の最も貴重な情報源です

最後に:   今日という日は、私たちにとって本当に記念すべき日になりました。アーキテクチャと管理機能に関して Microsoft が成し遂げた成果に、心から満足しています。チームとその成果を祝福したいと思います。新しい管理機能がいかに充実して優れているか、またこのサービスがどのように役立っているかについて、非常に多くのお客様からいただいたフィードバックを大変ありがたく思っております。また、繰り返しになってしまうかもしれませんが、統合的な条件付きアクセスなどの目を見張るような新しい独自の価値をお届けしつつ、お客様の作業を簡素化できたという声を耳にして、大変うれしく思います。