Intune 2024年10月の新機能まとめ

この記事の内容

  • オンプレミスデバイスへのなりすまし防止に対応する証明書マッピングの新しいアプローチが追加されました
  • 勤務時間外の通知ミュートやTeamsアクセスブロックができる「Working Time」機能が利用可能になりました
  • 通知ミュート中の動作を制御する「Quiet Time」機能が導入されました
  • Windows Autopilotのデバイス準備機能が中国リージョン向けにも対応しました
  • 2025年2月に予定されるKDCの強制変更に向けた事前対応が推奨されています

オンプレミスデバイスへのなりすまし防止(Anti-Spoofing for On-Premises Devices)

2022年5月10日のセキュリティアップデート(KB5014754)により、Active DirectoryのKDC(Key Distribution Center)の動作が変更されました。これにより、証明書ベースの認証で使われるSCEP(Simple Certificate Enrollment Protocol)の証明書に、追加のセキュリティ識別子(SID)が埋め込まれるようになっています。

この強化されたマッピング(ストロングマッピング)を義務付ける変更が、2025年2月に施行予定です。それまでは従来の仕組みでも動作しますが、2025年2月以降は新しい強力なマッピングが有効でなければ認証が通らなくなります。

当初、IntuneのiOSの証明書にこのSIDマッピングを適用する方法が2024年2月に公開されましたが、ユーザーからのフィードバックを受けて別のアプローチが検討されることになりました。

新しいアプローチ

今月のリリースで追加された新しいアプローチは、証明書プロファイルのSID変数をSAN(Subject Alternative Name)の値の一部として扱うというものです。

証明書プロファイルの設定では、Subject Alternative Nameのセクションで複数の値を定義できます。初期リリースでサポートされているプラットフォームは以下のとおりです。

  • Windows
  • iPadOS
  • iOS
  • macOS

Androidのサポートは翌月以降の予定とのことです。

注意: 証明書周りの設定は多くの設定パターンが存在するため、本番環境全体への適用前に必ず一部の端末でテストを実施し、問題がないことを確認してから展開してください。セキュリティに直結する設定であるため、慎重な対応が求められます。

Working Time(勤務時間管理)

今月のリリースで、IT管理者がユーザーの勤務時間外に通知をミュートしたり、Teamsへのアクセスをブロックしたりする設定ができるようになりました。

この機能は主に、シフト勤務などで勤務時間帯が標準と異なるユーザー向けに設計されています。勤務時間外に通知が届いてしまい、ついTeamsにアクセスして仕事をしてしまう、といった状況を防ぐことができます。

利用前の前提条件

この機能を使用する前に、Working Time APIをテナントに統合しておく必要があります。事前に設定しておかないと、ユーザーが本来アクセスできるはずのものにアクセスできなくなる可能性があるため、必ずドキュメントを参照してから実装してください。

2交代・3交代などのシフト勤務が行われている職場では、特に有用な機能です。

Quiet Time(静粛時間)

Quiet Timeとは、Intuneで通知がミュートされている時間帯の動作を定義する機能です。

ミュート中はポップアップウィンドウや通知バッジは表示されませんが、ユーザーがアプリを手動で開けばメッセージを確認することは可能です。

一方、Working Timeによるアクセスブロックが設定されている場合は、勤務時間外にアクセスしようとすると完全にブロックされる動作となります。管理者はこのブロックが適用される時間帯をユーザーごとに指定することができます。

Windows Autopilot デバイス準備の中国対応

Windows Autopilotのデバイス準備機能が、中国リージョン向けにも利用可能になりました。

中国では「21Vianet(世紀互聯)」によって運営されるクラウド環境が使われており、グローバルのIntuneとは一部機能の違いがあります。今回のアップデートにより、その環境でもAutopilotによるデバイスのプロビジョニングが行えるようになっています。

まとめ

2024年10月のIntuneアップデートは、セキュリティ強化を主な目的とした内容でした。

中でも最も重要なのは証明書マッピング(ストロングマッピング)への対応です。2025年2月に強制化が予定されているため、オンプレミスのActive Directory環境とIntuneを組み合わせて利用している場合は、早めに新しいSIDベースのSANアプローチへの移行テストを開始することを強くお勧めします。

Working TimeとQuiet Timeの機能は、シフト勤務者が多い組織でワークライフバランスを守るための有効な手段となります。事前にAPIの統合が必要な点に注意して、ドキュメントをよく読んだ上で導入を検討してみてください。