15
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

Microsoft SecurityAdvent Calendar 2024

Day 5

Ignite 2024:Intune ニュースを萌え語り!

Last updated at Posted at 2024-12-02

2024 年も Ignite の時期がやってきました!

公式には 11/17 週で Ignite は終わっていますが、この週一度たりともリアタイでセッションを視聴できなかった惰眠 (*beauty sleep) むさぼり勢としては今頃1からエンジンがかかってきています。

本記事は、アツいトピックについてとにかく語りたかった Intune ウォッチャーによる萌え語り記事です。
(すでに公式のまとめ記事がありますが、あえて自作....)

以下構成で勝手に振り返ります。

# Contents 備考
1 コア メッセージ "Cloud-native," "AI-driven," and "security-centric" が今年のテーマ!(since there's no too many hyphenated-words)  本セクションでは Intune トピックスの概観をまとめます。
2 注目のアップデート Microsoft 公式の Ignite Intune news まとめ記事でフィーチャーされている発表を、関連記事や breakout sessions デモリンクと感想を交えて振り返ります。
3 いまアツい機能 Ignite 期間中に shout out のあった機能を、既出・新出合わせて羅列します。
4 ご参考:次のイベントはこれ! Ignite 後のこの時期に技術に deep dive できるおすすめイベントを勝手にご紹介です。

少し長めの記事のため、飛ばし読みされるのがおすすめです!

1. コア メッセージ

今年の Ignite で強調された Intune の製品イメージは、ずばり「クラウド ネイティブ」と「AI」だったと思います。

また、セキュリティに焦点を当てている (security-centric) という点もメッセージとしてありました。

As Intune continues to evolve, our commitment to cloud-native, AI-driven, and security-centric solutions remains the focus

Microsoft Intune news at Microsoft Ignite 2024 より (2024年11月27日閲覧。)

去年の Intune トピックとの比較 (主観)
Ignite 2023 における Intune のアツいトピックは、まず「クラウドネイティブ」と「Intune Suite」、その次に「AI」という比重でした。
今年は 4月から Security Copilot の GA (Copilot in Intune はパブリックプレビュー扱い) 2 があり、より「AI」を強調したセッション布陣が組まれているという印象でした。

本セクションでは、感想を交えてそれぞれの概要をまとめます。

クラウドネイティブ

昨今の高度化する脅威とサイロ化するレガシシステム... ソリューションとなるのが Intune!
クラウドネイティブ3なエンドポイント管理の導入がビジネスレジリエンシーを支えるうえで急務だ!という強いメッセージがありました。

whycloudnative.png
(画像出典:Simpler, smarter and more secure endpoint management with Intune)

whycloudmanage.png
(画像出典:Intune Cloud-native Management: Prepare for AI and Next-Gen Cloud PCs)

Intune には modern workplace で必要とされる機能がそろっていて、セキュリティを強化しつつユーザーと管理者双方の生産性を向上させるため機能が充実している (さらに進化し続けている)――Ignite の Intune トピックを総括すると、常にこのメッセージが根底にあるように感じます。

Cloud journey: the road to cloud native (Windows)
現状クラウド活用が進んでいない組織では、どうクラウド導入を進めていくか?

まずは既存デバイスにてハイブリッド構成 (Entra hybrid join, Co-management) をとり、ワークロードを Intune に寄せていくことが推奨されています。
次に、今後新たに調達するデバイスはクラウドネイティブに、Autopilot を活用してプロビジョニングすることが推奨されています。

過去記事の宣伝になりますが... 以前、既存システムのポリシーを Intune に移行・再現するにはどうすればいいか方法論を記事としてまとめました。
また、新しく出た Autopilot についても考察記事を書いていますので、ご参考にどうぞ!

Ignite で紹介された新機能の中には、Windows 365 Link や Apple Vision Pro に対するサポート拡充や macOS 管理のアプデなど、Intune のマルチプラットフォームサポートを強化する発表がたくさんありました。

こうした新機能発表も、Intune の UEM (Unified Endpoint Management) 製品としての機能と魅力をアピールするのに寄与していると思います。
(すべての発表はクラウドネイティブに通ず...)

もっとクラウドネイティブについて知りたい方へ
このセッションがおすすめです!

クラウドネイティブにどんなメリットがあるのか、Intune の具体的機能例を交えた説明をしてくれるセッションです。

AI

AI の波が Copilot という形で Intune にもやってきています。
Security Copilot in Intune のアシストを受けて Intune をより使いこなすことができる! というのがコアメッセージです。

imagineifyoucould.png

今回の Ignite では、4月から開始されたパブリックプレビューの中ですでに使える機能の紹介と、今後パブリックプレビューに追加される新機能の発表がありました。
(新機能については、本記事「注目のアップデート」セクションで後述します。)

AI integration in endpoint management
最近の潮流として、「AI 機能が統合・提供されているか?」という点も UEM (Unified Endpoint Management) 製品の加点ポイントとして評価されるようです。

今回個人的に興味深かったのは、AI 活用の基盤にデータ活用があることを前提とした、「デバイスからデータをもっと収集できるようになりました」というナレティブです。

具体的機能としては、Enhanced device inventory (Resource explorer) と Advanced Analytics device query の複数デバイスに対する実行がこれにあたります。
(これらについては、本記事「注目のアップデート」セクションで後述します。)

もっとAIトピックを浴びたい方へ
このセッションがおすすめです!

セキュリティ

Microsoft でセキュリティ製品というと Defender シリーズが直接解ですが、今回 Intune トピックでも 「"Secure Future Initiative" is our north star」 という発言がありました。
(参考Simpler, smarter and more secure endpoint management with Intune)

SFIisnorthstar.png

Secure Future Initiative (SFI) とは
寡聞にして知らず調べたところ、どうやら 2023年 11月にローンチされた Microsoft 製品デザインにセキュリティを組み込む取り組みのようです。
3つのプリンシパル (secure by design, secure by default, secure operations) と 6つの柱が定義されています。

  1. Protect identities and secrets
  2. Protect tenants and isolate production systems
  3. Protect networks
  4. Protect engineering systems
  5. Monitor and detect threats
  6. Accelerate response and remediation

Microsoft CEO の Satya Nadella氏 も言うようにセキュリティは Microsoft の top priority であり、Intune も SFI を指針として製品開発を行っているとのことでした。

個人的には、Intune を指して「これはプロダクティビティツールだから苦笑」(注:セキュリティツールではない、の意) と言われている場面も見たことがあるので、この SFI is our north star という宣言が心に刺さりました。

もっとセキュリティについて知りたい方へ
今回の Ignite における Intune 系 breakout sessions では、「セキュリティ」は根底にあるテーマで、「クラウドネイティブ」や「AI」について語られるコアの部分にセキュリティがありました。

あえて挙げるなら以下から見始めるといいかと思います。

正直、今回は Intune 関連として挙げられているすべてのセッションがセキュリティと関連あるなと思いました。

2. 注目のアップデート

Ignite の醍醐味はやはり、新機能発表!
ということで、このセクションでは Microsoft 公式の Ignite Intune news まとめ記事でフィーチャーされている以下発表を、関連ブログ記事や breakout sessions デモリンクと感想を交えて振り返ります。

Enhanced device inventory

インベントリ情報を追加で取得する新機能がリリースされます!

従来の標準で取得されるデバイスインベントリに加え、専用の構成プロファイルで指定した属性に対して追加でインベントリ情報を取得できるようになります。

11月 12月 に Windows 向けが一足先にロールアウト、来2025年初旬にかけて macOS, iOS/iPadOS, そして Android 向けにも同様の機能がリリースされる予定とのことです。

リリース時期について
当初 Windows 向けは Ignite 発表をもって GA という表現でしたが、2024/11/26付けで公式ブログ記事が更新され、Windows 向けも「12月からロールアウト開始」に訂正されました。

どんな属性 (attributes) の情報が取れるのか、気になるところです。
← 9月時点に公開された TechCommunity のプレビュー記事が参考になりました。
(記事内のFAQセクションでこれ以外の内容にも踏み込んでおりとても参考になります)

What attributes will be available?
Dozens of individual attributes will be available for inventory in these broader information categories:

  • Network adapter and MAC address
  • Battery and health
  • BIOS
  • Disk
  • BitLocker
  • CPU
  • System
  • TPM
  • Video

Device hardware inventory is coming soon to Microsoft Intune より (2024年11月28日閲覧。)

追加で取得した情報は、各デバイスの詳細ページ下「Resource explorer (preview)」タブ下に表示されるそうです。
deviceinventory.png
(画像出典:Simpler, smarter and more secure endpoint management with Intune)

以下主観ですが、Intune はインベントリ収集が弱く、SKYSEA などインベントリ強者の製品があれば併用して補うといった使われ方が多かったです。
今後この新機能によって、どこまでお客様が求めるインベントリ収集とのギャップが埋まるのか楽しみです。
なお、関連記事やセッションは一通り見たつもりですが、この追加インベントリ取得の頻度については情報をまだ見つけられていないので、気になっています。
(ご存じの方いらっしゃればぜひコメント欄で教えてください!)

また、当初この機能が発表された時、すでに macOS 向けにはカスタム属性があったので「たしかに Windows にも追加属性取得機能ほしいよね~」と思いましたが、今回発表でクロスプラットフォームに展開予定とのことで、嬉しい驚きでした。

製品名称について
GA 前の機能のため、現在の呼称は仮り扱いで今後製品名称が変わる可能性があります。
本記事上では、関連記事・セッション上での呼称の多数決をとって「Enhanced device inventory」と記載しました。
(「Resource explorer」と記載しようか迷いましたが、プレビュー中「Intune Pivot」(ConfigMgrの CM Pivot になぞらえて) と呼ばれていた Advanced Analytics 機能が GA 後「デバイスクエリ」に名前が変わった例があるので....)

Advanced Analytics device query

Multiple device query

Advanced Analytics の機能であるデバイスクエリが、現在の 1台限定から対象を拡大して一度に複数のデバイスを対象にクエリ実行できるようになります!
現在はパブリックプレビュー中で、12月初めのリリースを予定しているそう。

機能名称について
TechCommunity 記事や MS Learn を見ていると、既出の 1台に対するクエリ機能は "Single device query," 新登場の複数台に対するクエリ機能 (preview) は "Multiple device query" と区別した表現が使われていました。

なお、デバイスクエリを使うとリアルタイムで Intune 登録済みデバイスをクエリできるという超革新的利点があります。

Intune 主要機能のポリシー展開が約8時間周期、Intune Management Extension を使うスクリプト・アプリでも 1時間周期ですから、既存機能はリアルタイムに弱いところがありましたが、ついにリアルタイムに対応可能な機能が出たということで (※Remote Help はカウントしない) 去年 Single device query が出たときは本当に疑似目頭が熱くなりました。

Remote Action 実行

クエリ後、デバイスに対してリモートアクション (デバイスアクション)を実行する機能が GA されました。
(昨年の Ignite 期間からこの機能については紹介がありましたが、どうやら当時はプレビュー扱いだったみたいです。)

New device actions for single device query
We're adding the Intune remote device actions to Single device query to help you manage your devices remotely. From the device query interface, you'll be able to run device actions based on query results for faster and more efficient troubleshooting.

What's new in Microsoft Intune (Week of November 18, 2024) - New device actions for single device query より (2024年11月28日閲覧。)

サポートされるアクションの中には、修復 (Remediation) スクリプトのオンデマンド実行も含まれます!
(参考Microsoft Ignite 2024 Book of News)

いい感じのアクションが標準装備されていない... という場合は、スクリプト実装すると可能性は無限大ということになります。

なお余談ですが、Office ClickToRun プロセスのリフレッシュや GPO の更新は「修復」を有効にすると既定で用意されているのですぐに使い始めることができます。
また、証明書の検出や古い証明書のクリアといった「よく使いそう」なスクリプトについても公開情報にサンプルが掲載されています。
(参考修復用の PowerShell スクリプト)

私は個人的に小回りの利く修復機能の大ファンなので、このクエリとの共演をバネにして修復機能界隈が盛り上がることを期待しています。
(途中から「修復」語りになってしまいました)

Copilot in Intune

現在パブリックプレビュー中の Security Copilot in Intune (写真上) に、新たな機能 (写真下) が加わりました!

  • Copilot assistance for policy management
  • Copilot assistance for Troubleshooting
  • Copilot assisted single device query
  • Copilot assistance for querying device data (KQL drafting) ←NEW!
  • Copilot with Windows Autopatch ←NEW!
  • Copilot with Endpoint Privilege Management ←NEW!

copilotpreview.png
copilotpreviewexpanded.png
(画像出典 (上下):Enhance IT expertise and efficiency with Copilot in Microsoft Intune)

機能名称について
今回新たに追加された機能 3つのうち、2つは「Copilot with {機能名}」という構文になっていますが、KQL ドラフトの部分だけ「~querying device data」 と若干 mouthful な感じになっています。

今回「Copilot with Advanced Analytics」という表記が無いか探した (ctrl+F 検索) したのですが、ありませんでした。
現状、Copilot のアシストがあるのはデバイスクエリという Advanced Analytics の一部であり、全機能に対応していないから機能名を冠した名称が無いのかなと思いました。

KQL drafting

クエリを KQL で記述しないといけない点はハードルになり得ますが、Copilot がなんと自然言語によるオープンプロンプトをもとに KQL ドラフトを書いてくれます

Copilot in Intune のデモを見ると分かるのですが、policy management や troubleshooting といった既存のプレビュー機能における Copilot へのプロンプトは、すべて選択肢をクリックすることで実行するプロンプトブック形式になっています。

これに対して、デバイスクエリにおける KQL ドラフト作成はオープンプロンプトを受け付けている点、Copilot in Intune の前進を目撃することができました。
(後述の Copilot with Windows Autopatch においても、オープンプロンプトのデモがありました。)

Copilot in Intune のプロンプトについて
Early Access Program 段階の Copilot は open prompt を受け付けており、ユース ケースとして構成プロファイルなどポリシーの drafting もありました。

ただし、どうやら open prompt だと hallucination リスクが高いそうで、パブリックプレビュー段階の現在は open prompt ではなく promptbook 形式で Copilot が提供されています。
将来的には open prompt 形式にも対応する予定 (時期未定) らしいです。

余談ですが、"Who needs a KQL expert when we have copilot" みたいな煽り表現もセッション中に聞こえました―well, Microsoft の資格で KQL 知識が求められなくなる日は来るのか...? that's the question のように思えますが、みなさんはどう思いますか?

Copilot with Windows Autopatch

Windows Autopatch を使った更新管理業務に関する全般 (例:計画、トラブルシュート、結果分析) をアシストしてくれるそうです。

そして、自然言語によるオープンプロンプト対応です!
(開発に全面協力したAutopatch チームに拍手!)

With this new integration Copilot will support key tasks in the update process—from planning and troubleshooting to analyzing deployment outcomes—empowering IT teams to proactively prepare for and resolve update issues, all through a natural language interface.

Transforming endpoint management with Copilot in Intune より (2024年11月28日閲覧。)

Windows Autopatch は 2023年に GA した後も進化を繰り返し、最初よりもできることが遥かに増えている機能なので、本当に私も今日から Copilot のアシストが欲しいくらいです。

なお、後述しますが Windows Update for Business deployment service を吸収して Autopatch ブランドはさらに大きくなっているので、そういう意味でも進化を続ける機能に Copilot がついた意義は大きいと感じます。

Copilot with Endpoint Privilege Management

Intune Suite の Endpoint Privilege Management (EPM) にて、利用者からが support approval request を出した実行ファイルの脆弱性を Copilot が診断してくれます!

これまでは、リクエストを受けた管理者が「そのモジュールは安全なのか?」「このリクエストは承認していいのか?」と判断に迷ったり逐一検索して業務が増えたりする課題があったそうです。

EPM は、通常標準ユーザー権限で Windows を利用しているアカウントに対して just-in-time で (一時的に) ローカル管理者権限を付与する機能のため、malicious なファイルに対する elevation をうっかり承認しないよう慎重を期す必要があります。

copilotwithEPM.png
(画像出典:Transforming endpoint management with Copilot in Intune)

脆弱性情報のソースは Microsoft Defender Threat Intelligence だそうです。
(参考Transforming endpoint management with Copilot in Intune)

この種のタスクは人間より Copilot の方が得意そうですし、このアシストは管理者の業務軽減にもセキュリティ強化にもつながっていいですね。

Windows 365 Link サポート

大注目の Windows 365 利用に最適化されたデスクトップ型 Windows、Windows 365 Link を Intune で管理できます!

既定でデバイス名プリフィックス「WCPC」が設定され、SKU ファミリ名も「WCPC」だそうです。

Windows 365 Link の Intune 管理
こちら、任意なのかと思ったら必須だとのことでした。
(2024/11/27 開催 Microsoft 社セミナー「Windows 11 ウェビナー 最新の24H2を解説」より。)

また面白いのが、Microsoft Defender for Endpoint のセンサーが既定で有効で無効化できない仕様だそうです。
(Defender for Business は使えないのか?という点は一旦置いておくとして)

To also help you provide a more secure experience, security baseline policies are enabled by default. Features like Secure Boot, the dedicated Trusted Platform Module, Hypervisor Code Integrity, BitLocker encryption, and the Microsoft Defender for Endpoint detection and response sensor can’t be turned off, further helping to secure the device.

Windows 365 Link—the first Cloud PC device for Windows 365 より (2024年11月28日閲覧。)

これまでも AVD, CloudPC (Windows 365) と Windows が多様化するにつれ Intune 管理対象の Windows も対応して多様化してきました。
そこに今日 (こんにち) Windows 365 Link が加わったと。
今回の Ignite で脚光を浴びる新しいエンドポイントは Copilot + PC だと思っていたので、正直驚きました。

なお、Intune が Windows 365 Link に対応することにより、管理者は既存デバイスのポリシーを使いまわしたり、慣れ親しんだ管理センターで一元管理したり (以下省略、W365登場時と同じ話です。)

Apple Vision Pro サポート

Apple の XR デバイス、Vision Pro へのサポートが追加になります!

11月に GA 予定と TechCommunity ブログにはあるので、この Ignite 後の一週間... または次週? あたりにまた What's new in Microsoft Intune に出てくると思います。

今回は visionOS 上の Microsoft Teams アプリに対するアプリ保護ポリシー (App Protection Policy, APP) が先行リリースされます。
(MDM サポートはロードマップにあるので、直近では MAM-only の利用になります。)

2025年初旬にかけて、以下にもサポートを広げる予定とのこと:

  • アプリ保護ポリシー対象の拡大:Microsoft 365 Apps、Intune SDK による 3rd party 製アプリのサポート
  • MDM サポートの開始:visionOS と tvOS を予定

VR ゴーグル系はまだレアながら、Hololens 2 は製造業のお客様で Intune 管理 + Autopilot でプロビジョニングすることがあると聞いたことがあります。

Hololens 2、生産終了へ
Hololens 2 は在庫無くなり次第販売終了、サポートは2027年12月31日で終了予定だそうです。

今後 visionOS も製造業とかで使われるのかな.... と思ったのですが、めちゃくちゃ高価だそうで...
これを使っているのは、かなりの visionary company なんだろうなと思いました。
検証できる日は遠そうです。

Apple Vision Pro のお値段
599,800円~、または24回払いで24,991円/月~

個人的には、「アプリ保護ポリシーから来たか!」という点が刺さりました。
近年急速にサポート対象を広げている Intune ですが、プラットフォームによってどの機能から Intune デビューするかが異なり、それを観測するのも面白いです。

コント:「あなたの Intune はどこから?」

  • Linux:わたしはコンプライアンスポリシーから
  • ChromeOS:わたしはデバイスアクションから...
  • visionOS:わたしはアプリ保護ポリシーから ←NEW!

みたいな。
(というか Ignite のセッションで「Intune はマルチプラットフォーム対応だから!」と宣伝する時、決まって「Windows, macOS, iOS/iPadOS, Android, Linux」とリストされ、ChromeOSが呼ばれないのですが...? ドウナッテルノ)

macOS 証明書ストレージ

マルチプラットフォームという文脈で近年決まって shout out される macOS ですが、なんと証明書をユーザーキーチェーンにストアすることが可能になります!

これまではデバイスキーチェーンにしかストアする選択肢が無かったとのこと。
これは、Mac ユーザーの方々いかがでしょうか。
(ぜひ感想をコメントください!)

Windows ARM64 (Copilot + PC) サポート

Intune が、ARM64 ベースの Windows、つまり Copilot + PC にもサポートを広げます
一足先に、Endpoint Privilege Management (EPM) が ARM64 のフルサポートを開始するそうです。

Ignite では、"Intune will develp and support ARM devices moving forward, to all the capabilities that we are developping now, moving forward" という発表もありました。
(参考Intune Cloud-native Management: Prepare for AI and Next-Gen Cloud PCs)

← 表現がふわっとしているので、「え、どういうこと?」と思って字幕も出して複数回再生しましたが、前後の文脈も加味すると、「Intune で現在 Windows 向けに提供しているすべての機能を ARM64 ベース向けにも提供できるよう前のめりで対応する所存だから安心してほしい」と解釈できそうです。

なお、Intune 系列の breakout sessions では Copilot + PC が取り上げられたのはこの程度で、思っていたよりもあっさり目という印象を持ちました。
まだ市場の浸透度もこれからという感じはありますし、それを反映しているのかな... とも思ったのですが、みなさまはどう思いますか?(突然の問いかけ)

Windows など、Intune テーマではない別のセッションでは盛り上がっていたのかもしれないですね!

3. いまアツい機能

Ignite には直近のホットなトピック振り返りまとめという側面もあります。
新発表以外にも触れられたトピックをみることで、いま何が注目されているのか参考にすることができます。

また、Book of News で Intune 章に記載が無かったとしても、Windows など他の章に Intune 関連トピックがある例もありました。

以下、それらを拾って振り返っていきます!

更新管理

Windows Hotpatch

再起動を要さない Windows セキュリティ更新の仕組みです。
すでに Windows Server 向けにあった技術を応用して、Windows 11 Enterprise 24H2 向けにパブリックプレビューが発表されました。
なお本機能の利用には、Intune と Windows Autopatch の利用が必要になります。
(このため、Windows Enterprise ライセンスが必須)

Hotpatch の仕組みの詳細はぜひ TechCommunity ブログをご参照ください。
簡単に抜粋すると、毎月再起動不要なのではなく、1年を 4分割し、各分割の頭の月で再起動アリの累積更新を適用し、続く 2か月は再起動無しで hotpatch 更新する、このサイクルを繰り返すそうです。

また、利用に際しては Intune にて Windows Autopatch の QU ポリシーでオプトインするそうです。

現在 Hotpatch を使わないまでも Intune の update ring でアクティブ時間を定義することは可能ですが、エンタープライズ環境ほど再起動にはセンシティブなものなので、1年のうちに起こる更新契機の再起動の回数自体を減らせる hotpatch はかなり注目の機能と思います。

今後は Autopatch を使っていない組織でもカスタムの update ring ポリシーでオプトインできるようになればいいですが、まずは専用サポート枠のある Autopatch から試験的にロールアウトを始めたいのかもしれませんね。

Windows Autopatch unification

Windows Autopatch 自体の進化もさることながら、Windows Update for Business (WUfB) deployment service が Autopatch ブランドに吸収されました。

昨 Ignite 期から告知されており、WUfB ファンの間では "unification (統合)" といえばこのことで、着目していた人が多い印象です。

なお実際に unification が GA されたのは MVP の Joao Ferreira氏によると 2024年9月中旬あたりのようです。
(参考Autopatch Unification General Availability)

この統合により、Autopatch 向けに開発されたリッチなレポート機能を non Autopatch user (旧 WUfB deployment service) も使えるようになりました!

Enterprise App Management - guided update

2024年 9月に、Intune Suite Enterprise App Management に更新制御の新しい機能が追加されました。

Update Enterprise App Catalog apps
Enterprise App Management is enhanced to allow you to update an Enterprise App Catalog app. This capability guides you through a wizard that allows you to add a new application and use supersedence to update the previous application.
For more information, see Guided update supersedence for Enterprise App Management.

What's new in Microsoft Intune - Update Enterprise App Catalog apps (Week of September 23, 2024) より (2024年11月28日閲覧。)

Graph からアプリ更新情報を取得して、展開中のアプリに更新があればレポート表示、そこから 置換による更新用アプリの作成が可能です。

個人的には、この機能がどこまでマネージドかという点、動作確認は必要になる認識なので要注意だと思っています。

プライベートプレビュー段階でデモを見ました (下リンクに公開されています) が、その際 "supercedense field is pre-filled, but uninstall yes/no toggle is for the customers to control" という主旨の話がありました。
(参考AMA: Enterprise App Management, Advanced Analytics in Intune Suite)

置換の際にアプリをアンインストールするかどうかは、管理者が動作検証した上でアプリの仕様に応じた設定を実装してほしい (ここに Microsoft は関与しないので管理者責任でやってね) ということです。

いまこちらがどういう扱いになっているのか気になるところですが、公開情報上には以下の記載がありました。
SLA が無いということは、更新実装はカスタマー責任というスタンスは変わっていないのではと思います。

What is the Service Level Agreement (SLA) for when an app update is available in the catalog?
No SLA is currently available.

Microsoft Intune Enterprise Application Management - FAQ より (2024年11月28日閲覧。)

Platform SSO

Intune Mac Management 界の crown jewel、それが Platform SSO です。
おととしの Ignite で匂わせがあり、昨年の Ignite で発表があり、今年の 5月にパブリックプレビューになりました。

macOS のサインインに Entra ID のアカウントを利用するエンタープライズ向けの機能です。

今回の Ignite でも諸所でデモが披露されていました。

BYOD macOS のシングルサインオン
Platform SSO (OS サインインに Entra アカウントを使うタイプのSSO) ではないですが、一応 BYOD macOS でも SSO の構成ができます。
こちらの場合は、ローカルアカウントで OS にサインインした後に、Company Portal に紐づけられた Entra ID アカウントで各サイトやアプリに SSO する動作になります。 (Company Portal が SSO のブローカーアプリになります。)

Microsoft Edge for Business

Edge for Business だけで特設記事を書いてもいいくらい今回は面白い発表があったなと思います。
こちらの公式まとめ記事と埋め込み動画が、Edge ニュースのキャッチアップに最適でした:Ignite 2024: Transform your workday with the latest Edge for Business features

個人的には、以下の 5点が刺さりました:

  • MAM サポート
  • Purview サポート
  • Scareware 対策機能
  • Shared password encryption 機能
  • Edge ポリシー管理

MAM サポート

Intune のアプリ保護ポリシーによる DLP4 対策が、Edge for Business アプリではマルチプラットフォーム (iOS/iPadOS, Android, Windows) に対応しているという点、宣伝がありました。

さらに Ignite の breakout session では、Windows における Edge の アプリ保護サポートが今後は "managed device" (Intune に MDM 登録されたデバイス) にも拡大される予定、と告知がありました。
"coming soon next year" とのことで、期待高まります!
(参考Simpler, smarter and more secure endpoint management with Intune)

Windows における Edge の アプリ保護 (Windows MAM)
GA 当時に検証した内容を記事にまとめてアップしています。
ご興味のある方はご参考にどうぞ!

Purview サポート

Microsoft Purview Information Protection による、Edge for Business で開いたオンラインの Microsoft 365 ドキュメントに対する情報保護が現在プレビュー中、年内に GA 予定とのことです!

これは待ってた方多いのではないでしょうか。

個人的には、Windows 視点で見るとこれまで MAM で DLP をするとアプリ利用時保護ができず、MIP で DLP をするとブラウザ利用時保護できず、という排他の関係にあったのだなと面白く思いました。

Scareware 対策機能

例のエセ Microsoft サポート詐欺 (scareware) に対する防御手段ができました。
(デモを見ると、まさにエセサポート画面が例として使われていて面白いです:Ignite 2024: Transform your workday with the latest Edge for Business features)

Scareware blocker は、Machine learning で詐欺表示を検知し、警告/ブロック してくれます。
来る数か月のうちに (in the coming months) パブリックプレビュー予定とのことです。

Shared password encryption 機能

運用チームが共有アカウントを利用している例がありますが、特定サイトに対しサインインアカウントを事前指定し、パスワードを暗号化して連携する機能が出ました。
パスワードの実値はユーザーにも表示されないそうで、シームレスなサインオンエクスペリエンスとセキュリティ強化どちらもゲットできるそうです。

こちらも来る数か月のうちに、Microsoft 365 Business Premium / E3 / E5 サブスクリプション向けにプレビュー開始予定だそうです。

Edge ポリシー管理

先述の shared password のような機能は、ユーザーを指定してポリシー展開・適用して実現するわけですが、このポリシー管理が Microsoft 365 admin center と Intune admin center 双方からできるようになります。

Edge 管理者が Intune 管理者である必要はない、という考えらしいです。
記事によると、特に SMB (small and/or medium sized business) で Microsoft 365 admin center が使われることを想定しているそうです。

If you’re a pro at policy management or are an enterprise customer, you likely use Microsoft Intune to configure policies, and you can manage Edge for Business there too. For browser specialists, small or medium sized businesses, or those that want a guided experience, we recommend the Edge management service in the Microsoft 365 admin center.

Ignite 2024: Transform your workday with the latest Edge for Business features より (2024年11月28日閲覧。)

たしかに Edge for Business も機能拡張によって細かい設計が可能になってきていますし、なんなら Intune 担当じゃなくて Edge 担当をつけて設計も運用も Microsoft 365 admin center でやる未来もありなのではと思いました。
(ご検討ください☆)

Multiple managed accounts for MAM

現在、Intune の MAM5 は 1つのアプリにつき 1つの managed account しかサポートしていません。

このため、アプリ自体が multi identity をサポートしている場合も、アプリ保護ポリシーが適用できるのは最初に追加されたアカウント (managed account) に対してのみで、その後追加するアカウントにアプリ保護ポリシーが割り当てられていたとしても、さらにその保護ポリシーを適用することができません。
(参考App Protection Policies not support multiple accounts/profiles in Microsoft Teams appsMultiple Identity Support for Intune MAM Policies)

これが、今後は複数の managed account に対応する計画があるとのことです。
前々からロードマップには存在しているので知名度が上がってきていると思いますが、Ignite でも shout out がありました☆

現在、「ゲストアカウントにも本当はアプリ保護ポリシーを必須にしたいけど multiple managed account のサポートが無いから MFA で良しとしている」という組織もあるかと思います。
または、各組織からメンバーアカウントを払い出してもらっているフリーランサーが、BYOD スマホ上でうまくアカウント追加ができずフラストレーションをためている例もあるのではないでしょうか。
(Multiple managed accounts 自体が frontline woker へのサポート拡充という文脈で語られているので、Microsoft としては後者のシナリオをメインで想定していそうです。)

今後はこうした場合も躊躇なくアプリ保護を適用、要求していくことができるようになります。

Windows Autopilot device preparation

「クライドネイティブ」というコンテキストで、今年 5月に GA された Autopilot の新しいソリューションである Windows Autopilot device preparation (デバイスの準備) への shout out がありました。

なんでも、いまはプロビジョニング完了後に自動的に Company Portal アプリを起動する動作となっているそうで、ユーザーによるコンプライアンス確認や任意のアプリのインストールなど、セルフサービスへの動線が完備されている点もアピールポイントだそうです。

Windows Autopilot デバイスの準備とは
これまでもあった Autopilot とどう違うのか、GA当時に検証した内容を記事にしてアップしています。
ご興味のある方はご参考にどうぞ!

あれから一部既知の事象が解消されたり、What's new にあるように「enrollmentProfileName」属性値が更新されるようになったり進化がありますが、コアの部分は同じですのでまだ使えます...!

Config Refresh

意外にも Book of News の Windows 章で shout out があったので、Config Refresh についても記載します。
Windows 向けの、デバイス上にキャッシュされた MDM ポリシーを管理者指定のカスタム間隔 (30分から 24時間の間で指定) でリフレッシュ、再適用する機能です。

昨年の Ignite で予告後、今年の4月ごろに Intune admin center に出現し (アーリーアダプター達から「なんかうまく動かないんだけど?」という声がちらほらあり) その後 7月に2024年6月更新以降の Win11 22H2/23H2 で正常に使えるようになったそうです。

もともと GPO が 90分間隔でリフレッシュするのに対し、Intune の MDM ポリシー同期周期が約8時間というのが長すぎるという課題が起点だそうです。
Config Refresh 自体、同期間隔を短縮する機能ではない (Intune から新しいポリシー情報を取得してくる機能ではない) ですが、すくなくともキャッシュされているポリシーを再度強制することができます。

これにより、悪意のあるプログラムなどで設定が書き換えられたとしても以前よりも遥かに早く書き戻す (元の設定を強制する) ことができ、セキュリティが強化できるとのことです。

4. ご参考:次のイベントはこれ!

以上、Ignite では大量の情報振り返り、新発表がありました。
まだ興奮も冷めやらない感じですが、さらに燃料補給することができます!

Ignite 後のこの時期に技術に deep dive できるイベントが予定されていますので、軽く触れて終わりにします。

Tech Community Live: Microsoft Security

Ignite のオンデマンドビデオページに本イベントの告知リンクがついていました。
2024年12月3日 (Pacific Standard Time)、みっちりセキュリティトピックでライブイベントをやるそうです。

Ask Microsoft Anything (AMA) 系なので、事前に各セッションページに質問をコメントしておくと、当日取り上げてもらえる or 後日コメントで返信をもらえるチャンスがあります!

自分の疑問への答えを得る場として活用してもいいですし、ほかの技術者はこのトピックに関してどんなことを気にしているのか市場動向調査としても活用できます。

Technical Takeoff: Windows and Microsoft Intune

ここ数年、少なくとも 2022年と 2023年は Ignite の次週から次月あたりのタイミングで、Technical Takeoff という名前のギーク向けセッションシリーズがありました。

次回の Technical Takeoff が 3回目だそうです。
(少なくとも Windows, Intune ネタは。)

[...] the third installment of the Microsoft Technical Takeoff for Windows and Microsoft Intune!
―― Microsoft Technical Takeoff for Windows and Microsoft Intune より (2024/11/27 閲覧。)

より個々の技術に踏み込んだセッションが目白押しで、ここまで見るとより製品動向をつかむことができます!
(結構量がありますが後日ビデオ公開されるので、私は 1年ほどかけてちまちま見る派です。情報の宝庫です✨)

2022年版のTechnical Takeoffセッションの中身は、当時最新ながら現在では古い情報もありますので、ご参考程度に。

気になる Ignite 2024 後の Technical Takeoff はというと.... なんと 2025年 3月に予定とのことです! (2024/11/18 に情報解禁)

セッションリストは 2025年 1月に公開予定だそう。楽しみですね!

We'll reveal the agenda in January. Until then, make sure you Add to calendar and select Attend to let us know you're coming.
―― Microsoft Technical Takeoff for Windows and Microsoft Intune より (2024/11/27 閲覧。)

例年に比べると「今回はだいぶ遅い日程でやるんだな」という印象を持ちましたが、今回の Ignite で発表/紹介された機能の中にも 2025年初旬をリリース目途とされているものがあるので、それらが出そろう前後くらいのタイミングを狙ったのかなとも思いました。

さいごに

今年の Ignite も、なかなかのボリュームでした。
リアルタイムで参加された方は本当にお疲れ様です。

今回、特に気になったのに記事中で触れられなかった話題がありますので、さいごに形だけでもメンションを...
私自身まだあまり詳しいくない話題のため掲載を諦めましたが、今後キャッチアップ・ウォッチしていきたいと思っています。

また、Ignite の後も魅力的なイベントが続きますね。
私はまだまだ Technical Takeoff シリーズが終わるまでは Ignite が終わった気がしません!

みなさまはどんな Ignite を過ごされましたか?

  1. 編集注:本記事を作成したのは11/25週です。さすがに遅いやろ(妄想)と思われそうなので念のため...

  2. 参考:Microsoft Copilot for Security is generally available on April 1, 2024, with new capabilities

  3. ここで Microsoft が提唱するクラウドネイティブとは、エンドポイントが Entra ID と Intune に参加/登録されている状態を指します。(参考:Intune Cloud-native Management: Prepare for AI and Next-Gen Cloud PCs)

  4. DLP = Data Loss Prevension、データ漏洩防止

  5. 「MAM」について:MAM は Mobile Application Management または Microsoft Application Management の略称。広義では MDM (Mobile Device Management) と対になる概念として、モバイルデバイス上のアプリ管理全般 (アプリ展開、更新管理含む) を指します。Intune 界隈ではもっと狭義の概念として、MDM 登録せずにアプリ保護/構成ポリシーのみを適用して使う管理形態 (MAM only) を指すこともあります。ここで使われている MAM は、ほぼアプリ保護ポリシーのことを指しています。

15
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
15
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?