Microsoft Intuneの新しい管理コンソールがAzureポータルに正式に統合：Microsoft Azure最新機能フォローアップ（34）

Azure Active Directory（Azure AD）の管理機能に続き、Microsoft Intuneの管理機能がAzureポータルのブレードとして正式に統合されました。同時に、Azure ADとIntuneの管理ブレードへの「条件付きアクセス」によるアクセス制御が可能になりました。

[山市良，テクニカルライター]

連載目次

Silverlightベースの「Intune管理コンソール」は「クラシックポータル」に

　2017年5月、Azureクラシックポータルに残されていたMicrosoft Azure Active Directory（以下、Azure AD）の管理機能が、「Azure Active Directory」ブレードおよび「Azure AD管理センター」として、新しいAzureポータルに正式に統合されました。

• Azure ADの管理機能を統合したポータル「Azure AD管理センター」（本連載 第31回）

　そして、2017年6月、Microsoft Intuneの管理機能が「Microsoft Intune」ブレードおよび「Intuneモバイルアプリケーション管理」ブレードとして、Azureポータルに統合されました。これまでの「Microsoft Intune管理コンソール」は今後、Microsoft Intuneの「クラシックポータル」ということになります。

• The New Intune and Conditional Access Admin Consoles are GA［英語］（Enterprise Mobility and Security Blog）

　Microsoft Intuneは、クライアントPC、モバイルデバイス、アプリケーション、セキュリティを管理するための基盤をクラウドで提供するサービスです。さまざまなプラットフォームが管理対象となるため、Microsoft Intune管理コンソールはMicrosoft SilverlightをベースとしたクロスプラットフォームのWebポータルとして登場しました（画面1）。

画面1　Microsoft SilverlightベースのMicrosoft Intune管理者コンソール（これからはクラシックポータルに）

　Microsoft Silverlightは一時期、マイクロソフトのWebアプリ開発技術の中心にありましたが、現在はプラグイン拡張に依存しないHTML5にシフトしています。Windows 10の標準ブラウザであるMicrosoft Edgeは、Microsoft Silverlightに対応していません。また、Google Chrome、Mozilla Firefoxも、最新バージョン（Chrome 42以降、Firefox 52以降）ではMicrosoft Silverlightをサポートしていません（画面2）。

画面2　最新のFirefoxでMicrosoft Intune管理者コンソールにサインインしたところ。Microsoft Edgeでは、自動的にInternet Explorer 11で開かれる

　現在、Microsoft Intune管理コンソールを利用できるのは、事実上、WindowsのInternet Explorer 10／11だけになっています。

　Azureポータルはプラグインに依存しない、クロスプラットフォームのWebポータルです。Microsoft Silverlightに対するこのような状況の中、Microsoft Intuneの管理機能についても、Azureポータルへの統合が進められてきました（画面3）。そして、2017年6月8日にプレビュー版から正式版へとなりました。

画面3　Microsoft Intune管理コンソールの一部の機能は、完全にAzureポータルに移行している

Azureポータルに統合された2つのIntune管理ブレード

　Azureポータルでは「Marketplace」（＋をクリック）または「More services」（＞をクリック）から「Intune」と「Intuneアプリ保護」を選択することで、Microsoft IntuneブレードとIntuneモバイルアプリケーション管理ブレードの2つを開くことができます。

　Microsoft Intuneブレードは主にPCとモバイルデバイス管理（MDM）の構成と管理（画面4）、Intuneモバイルアプリケーション管理ブレードはモバイルアプリ管理（MAM）の構成と管理を行うためのものです（画面5）。

画面4　Microsoft Intuneブレードでは、PCとモバイルデバイスを管理する

画面5　Intuneモバイルアプリケーション管理ブレードでは、クラウドアプリやデスクトップアプリへのアクセスをポリシーで管理する

　例えば、Windows 10 バージョン1607以降が搭載する「Windows Information Protection」（旧称、Enterprise Data Protection：エンタープライズデータ保護）機能は、Intuneモバイルアプリケーション管理ブレードの「アプリに関するポリシー」で作成できます。

Azure AD／Intune管理ポータルへの「条件付きアクセス」

　クラウドの管理ポータルはIDとパスワードがあれば、どこからでもサインインして管理できるというメリットがあります。一方で、IDとパスワードが漏えいしたり、破られたりすると、誰でもセキュリティ侵害できるという不安があります。Azureポータルでは、これまでも管理者アカウントで「多要素認証（Azure MFA）」を有効化することで、ID保護を強化することができました。

　Microsoft Intuneの管理機能の統合と同時に、「条件付きアクセス」と呼ばれる新しいセキュリティ機能がMicrosoft IntuneブレードおよびAzure Active Directoryブレードで正式に利用可能になりました。なお、Azure Active Directoryブレードでこの機能を利用するには、Azure Active Directory Premiumライセンスが必要です。

　「条件付きアクセス」を利用すると、プラットフォームの種類、場所（信頼できるIPアドレス）といった条件で、多要素認証（Azure MFA）やMicrosoft Intuneに登録済みデバイス、ドメイン参加済みPCからのみ、ポータルへのアクセスを許可するという細かいアクセス制御が可能になります（画面6）。なお、この機能は条件設定を誤ると、何もかもブロックされてしまい、ポータルにアクセスできなくなってしまうことに注意が必要です。

画面6　Azure Active Directorブレードの「条件付きアクセス」

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Cloud and Datacenter Management（Oct 2008 - Sep 2016）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。