Intune

シリーズ記事の19個目です。M365フルクラウド環境を検証目的で構築しています。下記の記事も合わせてどうぞ！ Windows10をAzure ADに参加させる！【M365フルクラウド環境検証 その1】 | Microsoft Cloud Administrators- Azure ADにドメインを追加してユーザーIDをわかりやすくする！【M365フルクラウド環境検証 その2】 | Microsoft Cloud Administrators- M365 E5検証ライセンスを申し込む【M365フルクラウド環境検証 その3】 | Microsoft Cloud Administrators- Intuneへの登録を行う【M365フルクラウド環境検証 その4】 | Microsoft Cloud Administrators- Windows10のデバイス構成プロファイルを作成して割り当てる！BitLockerでディスク暗号化【M365フルクラウド環境検証 その5】 | Microsoft Cloud Administrators- コンプライアンスポリシーを作成して割り当てる！【M365フルクラウド環境検証 その6】 | Microsoft Cloud Administrators- 「条件付きアクセス」で「ベースラインポリシー」を設定する！【M365フルクラウド環境検証 その7】 | Microsoft Cloud Administrators- 条件付きアクセスポリシーを設定してMFAとポリシー準拠デバイスを必須とする！【M365フルクラウド環境検証 その8】 | Microsoft Cloud Administrators- Microsoft Defender ATPを実装する！【M365フルクラウド環境検証 その9】 | Microsoft Cloud Administrators- Office Pro PlusをIntuneから配布する！【M365フルクラウド検証環境 その10】 | Microsoft Cloud Administrators- Exchange Onlineのドメイン設定とメール配送の挙動【M365フルクラウド検証環境 その11】 | Microsoft Cloud Administrators- AutoPilotを構成する！【M365フルクラウド検証環境 その12】 | Microsoft Cloud Administrators- iOS用の接続構成を設定する！【M365フルクラウド環境検証 その13】 | Microsoft Cloud Administrators- Android用の接続構成を設定する！【M365フルクラウド環境検証 その14】 | Microsoft Cloud Administrators- Windowsストアアプリを強制配信する！【M365フルクラウド環境検証 その15】 | Microsoft Cloud Administrators- セルフサービスリセットを構成する！【M365フルクラウド環境検証 その16】 | Microsoft Cloud Administrators- Windows 10 更新リングを構成する！【M365フルクラウド環境検証 その1】 | Microsoft Cloud Administrators - MSI形式のアプリケーションをWindowsに配布する！【M365フルクラウド環境検証 その18】 | Microsoft Cloud Administrators 今回はインストーラーがexe形式のアプリケーションをWindowsに展開します。対象としてGoogle Chromeを展開してみます。 ...

シリーズ記事の18個目です。M365フルクラウド環境を検証目的で構築しています。下記の記事も合わせてどうぞ！ Windows10をAzure ADに参加させる！【M365フルクラウド環境検証 その1】 | Microsoft Cloud Administrators- Azure ADにドメインを追加してユーザーIDをわかりやすくする！【M365フルクラウド環境検証 その2】 | Microsoft Cloud Administrators- M365 E5検証ライセンスを申し込む【M365フルクラウド環境検証 その3】 | Microsoft Cloud Administrators- Intuneへの登録を行う【M365フルクラウド環境検証 その4】 | Microsoft Cloud Administrators- Windows10のデバイス構成プロファイルを作成して割り当てる！BitLockerでディスク暗号化【M365フルクラウド環境検証 その5】 | Microsoft Cloud Administrators- コンプライアンスポリシーを作成して割り当てる！【M365フルクラウド環境検証 その6】 | Microsoft Cloud Administrators- 「条件付きアクセス」で「ベースラインポリシー」を設定する！【M365フルクラウド環境検証 その7】 | Microsoft Cloud Administrators- 条件付きアクセスポリシーを設定してMFAとポリシー準拠デバイスを必須とする！【M365フルクラウド環境検証 その8】 | Microsoft Cloud Administrators- Microsoft Defender ATPを実装する！【M365フルクラウド環境検証 その9】 | Microsoft Cloud Administrators- Office Pro PlusをIntuneから配布する！【M365フルクラウド検証環境 その10】 | Microsoft Cloud Administrators- Exchange Onlineのドメイン設定とメール配送の挙動【M365フルクラウド検証環境 その11】 | Microsoft Cloud Administrators- AutoPilotを構成する！【M365フルクラウド検証環境 その12】 | Microsoft Cloud Administrators- iOS用の接続構成を設定する！【M365フルクラウド環境検証 その13】 | Microsoft Cloud Administrators- Android用の接続構成を設定する！【M365フルクラウド環境検証 その14】 | Microsoft Cloud Administrators- Windowsストアアプリを強制配信する！【M365フルクラウド環境検証 その15】 | Microsoft Cloud Administrators- セルフサービスリセットを構成する！【M365フルクラウド環境検証 その16】 | Microsoft Cloud Administrators- Windows 10 更新リングを構成する！【M365フルクラウド環境検証 その1】 | Microsoft Cloud Administrators 今回はMSI形式のインストーラーのアプリケーションをWindowsに展開します。具体例としてBox Driveを配信してみます。 ...

シリーズ記事の17個目です。M365フルクラウド環境を検証目的で構築しています。下記の記事も合わせてどうぞ！ Windows10をAzure ADに参加させる！【M365フルクラウド環境検証 その1】 | Microsoft Cloud Administrators- Azure ADにドメインを追加してユーザーIDをわかりやすくする！【M365フルクラウド環境検証 その2】 | Microsoft Cloud Administrators- M365 E5検証ライセンスを申し込む【M365フルクラウド環境検証 その3】 | Microsoft Cloud Administrators- Intuneへの登録を行う【M365フルクラウド環境検証 その4】 | Microsoft Cloud Administrators- Windows10のデバイス構成プロファイルを作成して割り当てる！BitLockerでディスク暗号化【M365フルクラウド環境検証 その5】 | Microsoft Cloud Administrators- コンプライアンスポリシーを作成して割り当てる！【M365フルクラウド環境検証 その6】 | Microsoft Cloud Administrators- 「条件付きアクセス」で「ベースラインポリシー」を設定する！【M365フルクラウド環境検証 その7】 | Microsoft Cloud Administrators- 条件付きアクセスポリシーを設定してMFAとポリシー準拠デバイスを必須とする！【M365フルクラウド環境検証 その8】 | Microsoft Cloud Administrators- Microsoft Defender ATPを実装する！【M365フルクラウド環境検証 その9】 | Microsoft Cloud Administrators- Office Pro PlusをIntuneから配布する！【M365フルクラウド検証環境 その10】 | Microsoft Cloud Administrators- Exchange Onlineのドメイン設定とメール配送の挙動【M365フルクラウド検証環境 その11】 | Microsoft Cloud Administrators- AutoPilotを構成する！【M365フルクラウド検証環境 その12】 | Microsoft Cloud Administrators- iOS用の接続構成を設定する！【M365フルクラウド環境検証 その13】 | Microsoft Cloud Administrators- Android用の接続構成を設定する！【M365フルクラウド環境検証 その14】 | Microsoft Cloud Administrators- Windowsストアアプリを強制配信する！【M365フルクラウド環境検証 その15】 | Microsoft Cloud Administrators- セルフサービスリセットを構成する！【M365フルクラウド環境検証 その16】 | Microsoft Cloud Administrators 今回はWindows 10 更新リングを構成します。 ...

シリーズ記事の15個目です。M365フルクラウド環境を検証目的で構築しています。下記の記事も合わせてどうぞ！ Windows10をAzure ADに参加させる！【M365フルクラウド環境検証 その1】 | Microsoft Cloud Administrators- Azure ADにドメインを追加してユーザーIDをわかりやすくする！【M365フルクラウド環境検証 その2】 | Microsoft Cloud Administrators- M365 E5検証ライセンスを申し込む【M365フルクラウド環境検証 その3】 | Microsoft Cloud Administrators- Intuneへの登録を行う【M365フルクラウド環境検証 その4】 | Microsoft Cloud Administrators- Windows10のデバイス構成プロファイルを作成して割り当てる！BitLockerでディスク暗号化【M365フルクラウド環境検証 その5】 | Microsoft Cloud Administrators- コンプライアンスポリシーを作成して割り当てる！【M365フルクラウド環境検証 その6】 | Microsoft Cloud Administrators- 「条件付きアクセス」で「ベースラインポリシー」を設定する！【M365フルクラウド環境検証 その7】 | Microsoft Cloud Administrators- 条件付きアクセスポリシーを設定してMFAとポリシー準拠デバイスを必須とする！【M365フルクラウド環境検証 その8】 | Microsoft Cloud Administrators- Microsoft Defender ATPを実装する！【M365フルクラウド環境検証 その9】 | Microsoft Cloud Administrators- Office Pro PlusをIntuneから配布する！【M365フルクラウド検証環境 その10】 | Microsoft Cloud Administrators- Exchange Onlineのドメイン設定とメール配送の挙動【M365フルクラウド検証環境 その11】 | Microsoft Cloud Administrators- AutoPilotを構成する！【M365フルクラウド検証環境 その12】 | Microsoft Cloud Administrators- iOS用の接続構成を設定する！【M365フルクラウド環境検証 その13】 | Microsoft Cloud Administrators- Android用の接続構成を設定する！【M365フルクラウド環境検証 その14】 | Microsoft Cloud Administrators 今回はWindowsストアアプリを強制配信してみます。 ...

シリーズ記事の14個目です。M365フルクラウド環境を検証目的で構築しています。下記の記事も合わせてどうぞ！ Windows10をAzure ADに参加させる！【M365フルクラウド環境検証 その1】 | Microsoft Cloud Administrators- Azure ADにドメインを追加してユーザーIDをわかりやすくする！【M365フルクラウド環境検証 その2】 | Microsoft Cloud Administrators- M365 E5検証ライセンスを申し込む【M365フルクラウド環境検証 その3】 | Microsoft Cloud Administrators- Intuneへの登録を行う【M365フルクラウド環境検証 その4】 | Microsoft Cloud Administrators- Windows10のデバイス構成プロファイルを作成して割り当てる！BitLockerでディスク暗号化【M365フルクラウド環境検証 その5】 | Microsoft Cloud Administrators- コンプライアンスポリシーを作成して割り当てる！【M365フルクラウド環境検証 その6】 | Microsoft Cloud Administrators- 「条件付きアクセス」で「ベースラインポリシー」を設定する！【M365フルクラウド環境検証 その7】 | Microsoft Cloud Administrators- 条件付きアクセスポリシーを設定してMFAとポリシー準拠デバイスを必須とする！【M365フルクラウド環境検証 その8】 | Microsoft Cloud Administrators- Microsoft Defender ATPを実装する！【M365フルクラウド環境検証 その9】 | Microsoft Cloud Administrators- Office Pro PlusをIntuneから配布する！【M365フルクラウド検証環境 その10】 | Microsoft Cloud Administrators- Exchange Onlineのドメイン設定とメール配送の挙動【M365フルクラウド検証環境 その11】 | Microsoft Cloud Administrators- AutoPilotを構成する！【M365フルクラウド検証環境 その12】 | Microsoft Cloud Administrators- iOS用の接続構成を設定する！【M365フルクラウド環境検証 その13】 | Microsoft Cloud Administrators 前回はiOSでのサービス接続を実現しましたので、今回はAndroidを対象にしてみたいと思います。 ...

シリーズ記事の10個目です。M365フルクラウド環境を検証目的で構築しています。下記の記事も合わせてどうぞ！ Windows10をAzure ADに参加させる！【M365フルクラウド環境検証 その1】 | Microsoft Cloud Administrators- Azure ADにドメインを追加してユーザーIDをわかりやすくする！【M365フルクラウド環境検証 その2】 | Microsoft Cloud Administrators- M365 E5検証ライセンスを申し込む【M365フルクラウド環境検証 その3】 | Microsoft Cloud Administrators- Intuneへの登録を行う【M365フルクラウド環境検証 その4】 | Microsoft Cloud Administrators- Windows10のデバイス構成プロファイルを作成して割り当てる！BitLockerでディスク暗号化【M365フルクラウド環境検証 その5】 | Microsoft Cloud Administrators- コンプライアンスポリシーを作成して割り当てる！【M365フルクラウド環境検証 その6】 | Microsoft Cloud Administrators- 「条件付きアクセス」で「ベースラインポリシー」を設定する！【M365フルクラウド環境検証 その7】 | Microsoft Cloud Administrators- 条件付きアクセスポリシーを設定してMFAとポリシー準拠デバイスを必須とする！【M365フルクラウド環境検証 その8】 | Microsoft Cloud Administrators- Microsoft Defender ATPを実装する！【M365フルクラウド環境検証 その9】 | Microsoft Cloud Administrators 今回の記事では、IntuneからWindows 10端末にOffice Pro Plus を配布するように設定してみたいと思います。 Intuneの配信設定 クライアント側挙動 クライアント側で同期しつつ、状況を確認します。 特に何も画面には表示されていませんが、裏でインストールが走っているようです。 ...

シリーズ記事の9つ目です。M365フルクラウド環境を検証目的で構築しています。下記の記事も合わせてどうぞ！ Windows10をAzure ADに参加させる！【M365フルクラウド環境検証 その1】 | Microsoft Cloud Administrators- Azure ADにドメインを追加してユーザーIDをわかりやすくする！【M365フルクラウド環境検証 その2】 | Microsoft Cloud Administrators- M365 E5検証ライセンスを申し込む【M365フルクラウド環境検証 その3】 | Microsoft Cloud Administrators- Intuneへの登録を行う【M365フルクラウド環境検証 その4】 | Microsoft Cloud Administrators- Windows10のデバイス構成プロファイルを作成して割り当てる！BitLockerでディスク暗号化【M365フルクラウド環境検証 その5】 | Microsoft Cloud Administrators- コンプライアンスポリシーを作成して割り当てる！【M365フルクラウド環境検証 その6】 | Microsoft Cloud Administrators- 「条件付きアクセス」で「ベースラインポリシー」を設定する！【M365フルクラウド環境検証 その7】 | Microsoft Cloud Administrators- 条件付きアクセスポリシーを設定してMFAとポリシー準拠デバイスを必須とする！【M365フルクラウド環境検証 その8】 | Microsoft Cloud Administrators 今回はMicrosoft Defender ATPを実装してみたいと思います。 Intune で Microsoft Defender ATP を有効にする まず、IntuneでMicrosoft Defender ATPを有効にします。 デバイス構成プロファイルの作成 ...

シリーズ記事の7つ目です。M365フルクラウド環境を検証目的で構築しています。下記の記事も合わせてどうぞ！ Windows10をAzure ADに参加させる！【M365フルクラウド環境検証 その1】 | Microsoft Cloud Administrators- Azure ADにドメインを追加してユーザーIDをわかりやすくする！【M365フルクラウド環境検証 その2】 | Microsoft Cloud Administrators- M365 E5検証ライセンスを申し込む【M365フルクラウド環境検証 その3】 | Microsoft Cloud Administrators- Intuneへの登録を行う【M365フルクラウド環境検証 その4】 | Microsoft Cloud Administrators- Windows10のデバイス構成プロファイルを作成して割り当てる！BitLockerでディスク暗号化【M365フルクラウド環境検証 その5】 | Microsoft Cloud Administrators- コンプライアンスポリシーを作成して割り当てる！【M365フルクラウド環境検証 その6】 | Microsoft Cloud Administrators 今回は「条件付きアクセス」にてベースラインポリシーを構成します。 条件付きアクセス 条件付きアクセスは、認証時、クラウドサービスへのアクセス時に色々と柔軟な条件設定を行えますが、「ベースとして設定しておくべき項目」ということでMicrosoftがbaseline policyを用意してくれています。今回はそれを単純に有効化します。 これらの設定によって相当強力にセキュリティが守られることになります。 ただ、やはり管理者自体をロックアウトしてしまう危険性があるので注意が必要です。 多要素認証の構成 Azure AuthenticatorでQRコードをスキャンします。 これで必要な箇所で多要素認証が利用できて大変セキュアになりました。 シリーズの次の記事はこちら！ 条件付きアクセスポリシーを設定してMFAとポリシー準拠デバイスを必須とする！【M365フルクラウド環境検証 その8】 | Microsoft Cloud Administrators

色々と忙しくて間が空いてしまいましたが、シリーズ記事の5つ目です。下記の記事も合わせてどうぞ！ Windows10をAzure ADに参加させる！【M365フルクラウド環境検証 その1】 | Microsoft Cloud Administrators - Azure ADにドメインを追加してユーザーIDをわかりやすくする！【M365フルクラウド環境検証 その2】 | Microsoft Cloud Administrators - M365 E5検証ライセンスを申し込む【M365フルクラウド環境検証 その3】 | Microsoft Cloud Administrators - Intuneへの登録を行う【M365フルクラウド環境検証 その4】 | Microsoft Cloud Administrators さて、今回はIntune上でWindows10用のプロファイルを作成し、適用して行きたいと思います。 デバイス構成プロファイルの作成と適用 まずはデバイス構成プロファイルを作成します。 たとえば、デバイスの制限でWindows Defenderの設定を構成してみました。 Windows 10になら全てに適用されるように構成してみます。 全てのデバイスとユーザーに適用しました。 同じような感じであれこれと設定してみました。 1つポイントとして Windows 10のEndpoint Protectionの構成の「Windows暗号化」 があります。 この設定を行うとWindows 10側でBitLockerでの暗号化操作を求められます。 Windows暗号化の挙動 Windows 10のEndpoint Protectionの構成にて「Windows暗号化」を「必要」にした結果、Windows 10上では下記のようにBitLockerで暗号化を求められました。 この状態で一晩おいた状態が下記です。管理下にある3台のWindows10に対して適用が行われ、報告がなされています。 適用失敗してしまっているものはコントロールしなくてはいけませんが、基本的なデバイス構成ポリシーの作成方法と適用方法に関しては単純にGUI上で選択するのみなので難しくないですね。 そして、エラーと報告されているもののトラブルシューティングの方法を学ぶ必要がありそうです。 エラー報告について Endpoint Protectionの構成に関してはエラーで報告されています。 ...

シリーズ記事の6つ目です。M365フルクラウド環境を検証目的で構築しています。下記の記事も合わせてどうぞ！ Windows10をAzure ADに参加させる！【M365フルクラウド環境検証 その1】 | Microsoft Cloud Administrators - Azure ADにドメインを追加してユーザーIDをわかりやすくする！【M365フルクラウド環境検証 その2】 | Microsoft Cloud Administrators - M365 E5検証ライセンスを申し込む【M365フルクラウド環境検証 その3】 | Microsoft Cloud Administrators - Intuneへの登録を行う【M365フルクラウド環境検証 その4】 | Microsoft Cloud Administrators - Windows10のデバイス構成プロファイルを作成して割り当てる！BitLockerでディスク暗号化【M365フルクラウド環境検証 その5】 | Microsoft Cloud Administrators 今回はコンプライアンスポリシーを作成して割り当てたいと思います。 コンプライアンスポリシーの作成 設定は組織毎に自由に設定することにないります。「自組織では何をもって『コンプライアンス』に合格しているとするのか？」ということをここで定義するということですね。 これでポリシーの設定ができました。 端末がきちんとコンプライアンスポリシーに準拠しているかどうかチェックされるようになりました。 これをもって、条件付きアクセスにて「コンプライアンスポリシーに準拠済みのクライアント端末のみがサービスにアクセスできる」というような条件も書けるようになります。 シリーズの次の記事はこちら！ 「条件付きアクセス」で「ベースラインポリシー」を設定する！【M365フルクラウド環境検証 その7】 | Microsoft Cloud Administrators

シリーズ記事の8つ目です。M365フルクラウド環境を検証目的で構築しています。下記の記事も合わせてどうぞ！ Windows10をAzure ADに参加させる！【M365フルクラウド環境検証 その1】 | Microsoft Cloud Administrators- Azure ADにドメインを追加してユーザーIDをわかりやすくする！【M365フルクラウド環境検証 その2】 | Microsoft Cloud Administrators- M365 E5検証ライセンスを申し込む【M365フルクラウド環境検証 その3】 | Microsoft Cloud Administrators- Intuneへの登録を行う【M365フルクラウド環境検証 その4】 | Microsoft Cloud Administrators- Windows10のデバイス構成プロファイルを作成して割り当てる！BitLockerでディスク暗号化【M365フルクラウド環境検証 その5】 | Microsoft Cloud Administrators- コンプライアンスポリシーを作成して割り当てる！【M365フルクラウド環境検証 その6】 | Microsoft Cloud Administrators- 「条件付きアクセス」で「ベースラインポリシー」を設定する！【M365フルクラウド環境検証 その7】 | Microsoft Cloud Administrators 今回は条件付きアクセスポリシーを設定してみたいと思います。 条件付きアクセスポリシーの作成 adminを除き、全てのユーザーは多要素認証を受けた上で、ポリシーに準拠した安全な端末でしかクラウドサービスにアクセスできないように構成してみます。 全てのユーザーを対象にしつつ、adminだけはロックアウトしないように除外しておくことにします。 クラウドアプリはAADに登録されているクラウドアプリです。Microsoft 365 E5環境なのですでに沢山ありますが、全てのクラウドアプリを対象にします。 これで、ユーザーはどのクラウドサービスへのアクセス時にも多要素認証が要求され、端末としてもポリシーに準拠して適切にマルウェア対策機能が動いていて、暗号化されている…等のコンプライアンスポリシーのクリアが求められることになりました。 例えば、ID,Passwordを知っている上で、MFAの要素を持っていたとしても、きちんとコンプライアンス・ポリシーを満たさない環境からアクセスしようとすると下記のようにブロックされます…！ ここまでやってしまえばかなりセキュアですが、次回はさらにこれを推し進めて、Microsoft Defender ATPとも連携させたいと思います。 シリーズの次の記事はこちら！ Microsoft Defender ATPを実装する！【M365フルクラウド環境検証 その9】 | Microsoft Cloud Administrators

この記事はシリーズの4つ目の記事です。他の記事も参考にしてください！ Windows10をAzure ADに参加させる！【M365フルクラウド環境検証 その1】 | Microsoft Cloud Administrators- Azure ADにドメインを追加してユーザーIDをわかりやすくする！【M365フルクラウド環境検証 その2】 | Microsoft Cloud Administrators- M365 E5検証ライセンスを申し込む【M365フルクラウド環境検証 その3】 | Microsoft Cloud Administrators さて、今回はMicrosoft 365にてデバイス管理を構成していきたいと思います。具体的にはIntuneの話になります。 管理コンソールはどれを使う？ Intuneの構成ならAzure管理ポータルから行うのかな？とも思いますが、Microsoft 365という括りになるとどうでしょうか？こういうときはまずきちんとMicrosoftから提供されているドキュメントを確認したいところですね。 Intune をセットアップするときに、Azure portal でのみ作業してデバイスを管理するか、または Intune と Microsoft 365 を一緒に使用してデバイスを管理するかを選択することもできます。 「Migrating mobile device management to Intune in the Azure portal」(Azure portal でモバイル デバイス管理を Intune に移行する) は Microsoft IT のケース スタディです。 このケース スタディでは、Microsoft IT が最新のデバイス管理アプローチをどのように選択したかを参照し、得られた教訓をお読みください。 Microsoft 365 でのデバイス管理 | Microsoft Docs デバイス管理の管理センターは、モバイル デバイスに関するタスクの管理と実行を行うためのワンストップ ショップです。 このワークスペースには、デバイス管理のために使用するサービス (Intune や Azure Active Directory など) と、クライアント アプリの管理のために使用するサービスが含まれています。 ...

皆さんこんにちは。胡田です。 ADFSでクレームルールを書いて様々なコントロールを行う…ということは技術的に可能なのですが、ものによっては意味がない、正しくない実装になってしまいますので注意してください。 例えば1例として、User-Agentを用いてアクセスをコントロールするような実装があります。ぐぐると解説記事もいっぱい出てきます。例えば以下。 - Restrict iOS apps which can access to Office 365 services (ADFS required) – beanexpert ADFSのクレームルールでuser agent(x-ms-client-user-agent)を参照してそれが特定の値であれば許可/拒否する…ということが開設されています。 これははっきり言ってひどい実装です。 HTTP(S)プロトコルにおいて、User-Agentヘッダはクライアントアプリが任意の値を埋め込むことが非常に簡単に行えるものです…、というかそもそもが自己申告制のものでして…こんなものを信じてなにかをコントロールするというのは「あなたは犯罪者ですか？」という質問の答えで許可/拒否するようなものです。 例えば「user agent change」というキーワードあたりでちょっとググるだけでも山ほどツールや手法が出てきます。 - user agent change - Google 検索 例えばProxyで書き換えるようなことも簡単にできますね。 - user agent change proxy - Google 検索 このあたりはHTTPプロトコルがそもそもどんなものなのか、ということを知っていれば当たり前に分かる話ではありますが…。 何をどのポイントでコントロールするか、というのはなかなかに難しいトピックではありますが、ADFSで色々とコントロールしようとするのは、Microsoftの今後の方向性からいっても相当の悪手だと思います。 MicrosoftソリューションであればAzure AD Premium( + Intune)を活用するのが吉だと思います。

Announcing Azure Network Watcher – Network Performance Monitoring and Diagnostics Service for Azure | Blog | Microsoft Azure 1 user Have you ever felt the need to diagnose a critical problem and you needed access to packet data from a virtual machine? What if you c… [azure.microsoft.com ](http://b.hatena.ne.jp/ebibibi/?url=https%3A%2F%2Fazure.microsoft.com%2F) - テクノロジー - あとで読む - [](http://b.hatena.ne.jp/ebibibi/)ebibibi w, b, azure 16 clicks 2017/03/23 - System Center Configuration Manager エージェントと Microsoft Intune (MDM) による管理の共存について – Japan System Center Support Team Blog 1 user みなさま、こんにちは。System Center サポート チームです。 Windows 10 の展開に伴い、タブレットなどのモバイル デバイスに搭載された Windows 10 端末の管理をご検討いただく中で、System Center Configuration… ...

卒業式シーズン真っ只中、今週のトピックスです。 - CSP における OMS の使用について【3/15 更新】 – Microsoft Partner Network ブログ 2 users （この記事は 2017 年 2 月 17 日にHybrid Cloud Best Practices blog に掲載された記事 OMS in CSP の翻訳です。最新情報についてはリンク元のページをご参照ください。) クラウド ソリューション プロバイダー (C… [blogs.technet.microsof... ](http://b.hatena.ne.jp/ebibibi/?url=https%3A%2F%2Fblogs.technet.microsoft.com%2F) - テクノロジー - あとで読む - [](http://b.hatena.ne.jp/ebibibi/)ebibibi w, b, csp, oms, azure 18 clicks 2017/03/17 - Announcing Azure SQL Database Premium RS, 4TB storage options, and enhanced portal experience | Blog | Microsoft Azure 2 users Get credits that enable: 4 Windows or Linux Virtual Machines 24 x 7 for a month And much more… Learn more ...

寒い週末になりました。さて、今週のトピックスです。 - arm and api for creation and managing OMS – Customer Feedback for Microsoft Azure 1 user We would like to add new OMS Workspaces using arm templates or powershell api. That way we could fully automate the creation of OMS f… [feedback.azure.com ](http://b.hatena.ne.jp/ebibibi/?url=http%3A%2F%2Ffeedback.azure.com%2F) - テクノロジー - あとで読む - [](http://b.hatena.ne.jp/ebibibi/)ebibibi w, b, oms, arm, powershell 28 clicks 2017/01/20 - OMS Security malware assessment adds support for more antimalware vendors – Operations Management Suite Blog 1 user FAST FACT : OMS Security is adding support for Symantec Endpoint Protection and Trend Micro Deep Security to its Antimalware assessme… ...

“Identity is the new control plane” これがMicrosoftのモバイル戦略の最新のキーワードです。 Azure AD, Microsoft Intune and Windows 10 – Using the cloud to modernize enterprise mobility! - Active Directory Blog - Site Home - TechNet Blogs http://blogs.technet.com/b/ad/archive/2015/06/12/azure-ad-microsoft-intune-and-windows-10-using-the-cloud-to-modernize-enterprise-mobility.aspx 上記のブログが非常に「濃い」内容だったので、自分の考えの整理も兼ねて内容のサマリーを…。 Windows 10デバイス(スマートフォン、タブレット、PC等)がAzure ADに参加すると自動的に会社のポリシーに従ってMDMに登録される。会社のデバイスでも、個人のデバイスでも。 - 以下の要素に基づいたポリシーベースのアクセスコントロールでリソースを保護する O365等のアプリケーション - デバイスのヘルスやコンプライアンス状態 - ユーザーのプロファイル、属性、グループ - 認証強度 - アクセス元の場所 - クラウドのアプリケーションとオンプレミスのアプリケーションとの両方に、同一のポリシーでのアクセスコントロールを可能にする - これら全てをクラウドで実現する。新しいサーバーもネットワークデバイスも不必要。VPNも不必要。ほんの数時間で実現できる。 マイクロソフトは個人デバイスの持ち込みであっても、会社のデバイスであってもきちんと自動的にコントロール可能となるシナリオを重視していることがよくわかります。ECSライセンスだと個人のデバイスにOSの実行権限もOfficeの実行権限もつきますしね。 「会社のデバイスのみを会社のデータにアクセスさせる(≒以下に個人所有のデバイスのアクセスをブロックできるか)」というポリシーの企業も特に日本では多いと感じていますが、BYODによって個人にも会社にもメリットを出そうという考え方は合理的だと個人的に思います。 この大きな方向性の中で、会社のデータをいかに個人に不便を与えることなく安全に守るか。これをOSとクラウドで実現しようというわけですね。さすがはOSまで作っているマイクロソフト…といったところでしょうか。(もちろんWindows10以外のOSへの対応も進むものと思われますが!) AzureAD(premium)にて柔軟なポリシー設定ができないのがいままで色々とネックとなりADFS含めて他のソリューションが色々と必要な状況がありましたが、ついにMicrosoftのクラウドサービスだけで完結できるようになりますね。 軸足がどんどんオンプレミスからクラウド側にうつすことが「可能」になってきています。そしてWindows10においてはモバイルデバイスとPCとの境目は全くなくなる事になります。まさにモバイルファースト、クラウドファーストという感じですね。 Windows10ではOSのセットアップ時にAzure ADに参加が非常に簡単にできます。 個人利用のWindows10も簡単にAzure ADに参加できます。 管理者がIntuneにデバイスの管理ポリシーを設定し、Azure ADに条件に基づいたアクセスコントロールポリシーを設定します。 Intuneはデバイスがきちんとコンプライアンス設定が満たされているかを評価し、その結果をAzure ADにレポートします。 この時、きちんと「デバイス」とそれを使用している「ユーザー」が紐づくのが大きなポイントですね。 ...