組織 が デバイス を 管理 できる よう に する。 個人デバイスを組織のネットワークに登録する

組織の YouTube 設定を管理する

組織 が デバイス を 管理 できる よう に する

マイクロソフトのクラウドサービスを利用しようとしたり、クラウドプラットフォーム上でIDを作成、管理しようとしたり、Windows 10をセットアップしようとしたときにまず1番最初に混乱するのが「個人アカウント」と「組織アカウント」の違いだと思います。 両方の種類のIDが使えるサービス、片方のIDしか使えないサービス、両方のIDが使えるんだけど、実は領域が別れているサービスなど、多種多様な状況です。 私自身かなり長期間に渡って苦しめられてきたというのが正直な所です。 少々技術的に細かい話にもなってしまいますが、しっかりと説明してみたいと思います。 なお、私個人のおすすめは「使える所は全て組織アカウントで統一する」です。 Windows 10の初期セットアップにお困りの方は下記動画をご覧いただければと思います。 あとでこのエントリの残りの文章も読んでいただけるとより深く理解いただけると思います。 歴史的経緯 まず最初にこの話には歴史的経緯があるのだということを認識しておくのがおすすめです。 そして、特に「Azure」関連で度々の仕様変更があり、それが複雑さに拍車をかけています。 具体的には当初、「個人アカウント」でしかAzureの管理ができない時代がありました。 この影響を受けて個人アカウントと組織アカウントの混在や、役割の変化、ドキュメントによって言っていることが違う…等の混乱を生むことになった…というのが私の理解です。 ですので、過去のドキュメントを見る時にはこのあたりも注意してもらうのが良いと思います。 注意:このあたり人によっては全く違う見解、意見を持っているかとは思います。 石を投げないで下さい。 それぞれは「誰が管理者なのか」という点で明確に大きな違いがあります。 無料で作成できるにもかかわらずメールアドレスを取得し、outllok. comでメールの送受信をおこなったり、OneDriveでオンラインストレージを保有し、PCとも同期ができてしまうような非常にお得なアカウントです。 新規に, , 等のメールアドレスを取得してアカウントを作成することも、すでに自分が利用しているメールアドレスをつかってアカウントを作成することもできます。 マイクロソフトアカウントはWindows 10とも統合されており、マイクロソフトアカウントでWindows 10にログインすることもできます。 他にも様々なマイクロソフトのクラウドサービスにて使用することができるアカウントになります。 無料で作成できるアカウントにもかかわらずメールもオンラインストレージもついてくるなんて本当にいい時代になりましたね。 マイクロソフトアカウントに限らずの話ですが このマイクロソフトアカウントの最大のポイントは 「 個人が勝手に作成できる個人利用のためのアカウント」という所です。 単純にインターネット接続とブラウザだけあれば簡単にマイクロソフトアカウントが作成できます。 誰かに承認を得る必要もなければ、組織でコンセンサスを取る必要もありません。 作成したければいくらでも勝手に作成できます。 マイクロソフトアカウントはあくまでも個人が自分で作成したアカウントであるという位置づけです。 ですから、マイクロソフトアカウントに登録してある情報を編集しようと思っても、それができるのはあくまでも本人だけです。 だれか管理者に頼んでパスワードをリセットしてもらったり、メールアドレスを追加してもらったり…というようなことは発生しませんし、他の人にはできません。 ですが、このような運用は本来意図されているものではなく、やめたほうが良いでしょう。 規約をよく読むと禁止されている事かもしれません。 つまり学校や職場等の組織において作成、利用されるアカウントです。 このアカウントは組織的に作成、利用されますので、勝手に個人が作成することはできません。 きちんと管理者がネーミングルールや各種セキュリティポリシーを設定しつつ、入学、入社等のタイミングで作成し、利用者に払い出す形となるのが通常です。 これはまさに、オンプレミス時代のActive Directoryのアカウントを想像してもらえれば良いと思います。 ドメインの管理者が全体に対して権限を持ち、管理をしていました。 それのクラウド時代のクラウド上のアカウントの呼び方が「組織アカウント」なのです。 この「組織アカウント」は実体としてはAzure Active Directory上のアカウントになります。 あえてそういう呼び方はしませんが、オンプレミスのActive Directory上のユーザーアカウントも分類するなら個人アカウントではなく、組織アカウントと考えられますね。 こちらも最大のポイントは「 管理者が作成、管理するものであり、個人では勝手に作成できない組織のためのアカウント」という所です。 Windows 10も進化が進み、新しいバージョンでは直接組織アカウントを使ってWindows 10にログインすることができるようになっています。 組織アカウントはマイクロソフトのクラウドサービスを組織で利用する時に必要となる 組織アカウントはマイクロソフトのクラウドサービスを組織で利用する時に必要となります。 実はマイクロソフトのクラウドサービスの出始めのころは「組織アカウント」という呼び方も「Azure Active Directory」もほぼ説明されていませんでした。 Office 365の前身のBPOSというクラウドサービスのときには単にBPOSに対してIDを作成する、IDを同期するという概念だったと記憶しています。 それこそ、マイクロソフトの提供するクラウドサービスにしても、サービス毎にIDシステムが別々に管理されており、それらが裏で同期するような実装の時代もありました。 部分的には今でもそうかもしれません。 ですが、IDのシステムが全てのクラウドサービスで一環していなければ様々な面で不都合が出てきます。 例えば、ユーザーを作成した直後にAサービスではそのユーザーがすぐ使えるけれども、Bサービスではしばらく待たないと使えない…、グループのメンバーに入れたのにそれがすぐに反映されるサービスと反映サービスがある…となると使いづらいですよね。 ある時から明示的に「Azure Active Directoryに組織アカウントがあり、全てのマイクロソフトのクラウドサービスはAzure Active Directoryと紐付いて動作する」というように大方針が固まり、実装されだしました。 事実と異なる可能性があります。 実はこの方針への転換は道半ばです。 Office 365、Azure、Dynamics 365等の企業向けのクラウドサービスに関してはそれを契約し、利用開始すると自動的にAzure Active Directoryを利用する形態になりますが、実はまだパートナー向けの各種サービスに関しては個別に存在していて、個人アカウント=マイクロソフトアカウントで認証されるシステムも残っていたりします。 マイクロソフトアカウントで使えるメールアドレス さて、ここまでで「マイクロソフトアカウントは個人のアカウントであり個人が作る」「Azure Active Directoryのアカウントは組織のアカウントであり管理者が作成する」ということで整理できたと思います。 ですが、この流れに一つ矛盾してしまうパターンがあります。 それは以下のパターンです。 個人アカウントであるマイクロソフトアカウントを組織で付与された電子メールアドレスを使用して作成する 個人のアカウントであるマイクロソフトアカウントなのに、組織で付与された電子メールアドレスを使って作成してしまうと、個人のものなのか、組織のものなのか位置づけが分かりづらくなってしまいます。 そしてまさにこのパターンにおいて様々な混乱が引き起こされることになります。 その中でも典型的に混乱しがちなパターンは「個人アカウントと組織アカウントの両方に同じ電子メールアドレスが使われている」という状況です。 何を隠そう、私自身もこのパターンのユーザーです。 会社で利用しているmasahiko. ebisuda jbs. comというアドレスは組織アカウントとしてExchange Onlineをメールシステムとして利用していますが、マイクロソフトアカウントとしてもmasahiko. ebisuda jbs. comを取得してあります。 では、この状態で例えばAzureのポータルに「masahiko. ebisuda jbs. com」としてアクセスすると、どちらのユーザーとしてシステムを利用することになるでしょうか?「masahiko. ebisuda jbs. com」に対してアクセス権を設定したらマイクロソフトアカウントと、組織アカウントのどちらに権限を付与したことになるでしょうか? このあたり、一筋縄ではいかないことがちょっと考えてもらっただけでもわかると思います。 この混乱の時期が結構長く続きましたが、現状はかなり仕様が変更されて改善されてきています。 まず1つはサインインする場面できちんと選択肢が表示され明示的に選択できるようになったことです。 このように、組織アカウントと個人アカウントという概念を知っていれば適切に選択できるようなGUIになりました。 以前はもっとずっと分かりづらかったんです!そして、個人用のMicrosoftアカウントの名前を変更できるという説明もなされるようになりました。 素晴らしいですね。 もう1つは、「個人アカウントであるマイクロソフトアカウントを組織で付与された電子メールアドレスを使用して作成する」ということがある時期から できないようになりました。 このことは下記のブログエントリで説明されています。 この対応は相当の混乱や内容をよく理解できない人の誤解を多く招いたという事実はありますが、少なくとも現状新しくアカウントが作成できなくなり、分かりづらい状態にはなりづらくなっています。 ただし、完全には改善しきれていない状況があるのもまた事実です。 以下、まだ混乱する状況が発生するパターンや条件を見ていきたいと思います。 「職場のメールアドレス」というのはどうやって判定しているのか? Microsoftのブログエントリに下記の文章があります。 本日より、Azure AD で構成済みの電子メール ドメインでは、職場または学校のメール アドレスを使用して Microsoft アカウントを新規作成することが禁止されました。 「職場または学校のメールアドレスである」ということはどうやって判定しているのでしょうか?ちょっと想像しても、結構難しそうだと思うと思います。 これは現状は「Azure Active Directoryに登録されている メール ドメインであれば職場または学校のメールアドレスと判断する」というロジックになっています。 ですので、「すでに学校、会社がOffice365を使っていて、ドメインも登録されていて、Exchange Onlineでは aaa. bbb. cccというメールドメインを使っている」という状況では aaa. bbb. cccというドメインのメールではマイクロソフトアカウントを取得することはできません。 ですが、「Azure Active Directory、Office 365、使っていない」という組織であればそのメールドメインでもってマイクロソフトアカウントを作成することは今でも可能なのです。 そのうえで、その組織がOffice 365を使い始めると…、やはり個人アカウントと組織アカウントでのメールアドレスの重複は発生してしまうことになります。 重複してしまった場合には、個人で利用しているマイクロソフトアカウントのIDを変更することをおすすめします。 アカウントはそのままIDのみ変更することが可能です。 意図せず組織アカウントが生成されるパターンがある さらに混乱に拍車をかけるのは、意図せずに組織アカウントが生成されるパターンがあるという事実です。 有名なところでは、「組織外からAzure Information Protectionで暗号化されたメールを受け取ってそれを開いた」という状況です。 Office 365を使っていなくても、Azure Active Directoryを使っていなくても、暗号化されたメールを受け取れる、表示できるのは素晴らしいことなのですが、Azure Information ProtectionはAzure Active Directory上にIDがありそれをキーにして動作する動きをします。 Azure Active Directory上にアカウントがないと動作できないので…、それがない状況であれば自動的に生成する Azure Active Directory自体も、その中に暗号化されたメールを開こうとしたIDも という動きをします。 なので、なにも意図せずに組織アカウントが作成されているケースというものがあります。 そうすると、個人アカウントと組織アカウントの両方が存在するパターンができてしまい混乱の元になってしまいます。 この動きはどうやら変更されていく模様です。 同じような状況ではワンタイムパスワード方式が主流になっていく模様です。 ただ、このあたりまだまだ変化には時間がかかるものと思いますので注意が必要です。 どの種類のユーザーを利用できるのか? 個人アカウントと組織アカウントの2種類のアカウントがあり、意図せず両方の種類のアカウントが作成されてしまうパターンがあることも見てきました。 ではどのサービスではどちらの種類のユーザーを利用できるのでしょうか? これがやっかいなことに、完全に「システムによって異なる」というのが現状です。 例えば有名な所だと、Azureは当初個人アカウント マイクロソフトアカウント のみしか利用できませんでした。 次に組織アカウントも利用可能となりました。 そして、ポータルが新ポータルに切り替わったタイミングでマイクロソフトアカウントもまだ使えるのですが、組織アカウントの方が優先して使われる状態になりました。 PowerBIは組織アカウントでしか使えません。 OneDriveは個人アカウントには個人アカウント用の領域が、組織アカウントには組織アカウント用の領域があります。 SharePoint Onlineは組織アカウントとマイクロソフトアカウントの両方が利用できます。 自分がどちらで権限を割り振られているのか理解しておかないとかなり混乱しやすいです。 Azure Enterprise Portalには認証レベルの切り替えという機能すらあります。 このあたりのまちまちさがさらに混乱を深めている気がします…。 Azureは特に特殊 規定のディレクトリの概念 そして1番注意しなければいけないのはAzureです。 Azureには「サブスクリプション」という概念がありますが、そのサブスクリプションには「規定のディレクトリ」という概念があります。 さらに、規定のディレクトリは「変更」できます。 Azureへの権限付与は基本的に「サブスクリプション」単位で行われ、「サブスクリプション」と紐づくAzure Active Directoryの中のユーザーのみが権限設定に使える仕様になっています。 これはつまり組織アカウントですね。 しかし、組織アカウントではあるのですが、それがOffice 365で使っているいつものユーザーを指すのかというと「必ずしもそういうわけではない」です。 Azure Active Directoryはいくつでも自由に作成できますし、そのどのAzure Active Directoryに紐づくのかは管理者がコントロールできるのです。 そして、組織アカウントだけではなくて、個人アカウントでも権限設定が行えるという事実があります。 むしろ普通に契約をして普通に手続きを進めると個人アカウントで権限設定がなされている状態となります。 「招待 権限付与 」するとどちらが呼ばれるのか? ではこの状態でAzure上で「招待」をして管理者を呼ぶと組織アカウントと個人アカウントのどちらが呼ばれるのかというと…、「状況によりまちまち」という恐ろしい状況です。 招待 権限付与 対象が「xxxx outlook. jp」等の生粋の個人アカウントの場合には個人アカウントが招待されます。 招待 権限付与 対象が「xxxx aa. cc」等の生粋の個人アカウントではないアドレスの場合には組織アカウントが招待されます。 2の場合には、Azure Active Directoryは存在するけれども、招待されたアカウントがまだ存在していない場合には新規にアカウントが作成される動作にすらなります。 招待された側は個人アカウントしか明示的に作っていないのに、気がついたら組織アカウントもできてしまっていて…というような状況にもなりえます。 難しいですね。 そして、招待 権限付与 をしようとしているAzure Active Directoryに「すでにそのIDを持つマイクロソフトアカウントが存在する」「すでにそのIDを持つ組織アカウントが存在する」という状況がある場合には、すでに招待されているIDへの権限付与の挙動になるサービスが大多数です。 1番よくあるハマりパターンは• ずいぶん昔にShare Point Onlineでマイクロソフトアカウントを招待してもらっていた• Teamsを組織をまたいで使いたいので『組織アカウント』を新規に招待しようとした• 招待してもらったはずなのに、組織アカウントでTeamsにアクセスできない という状態です。 前提は「マイクロソフトアカウントと組織アカウントのIDが同一」という状況。 この場合にはすでにAAD上にマイクロソフトアカウントが存在しているので、Teamsから組織アカウントを指定しているつもりがマイクロソフトアカウントが指定されてしまっています。 TeamsのGUI上ではマイクロソフトアカウントなのか、組織アカウントなのか区別がつかないのでなぜうまくいかないのか、みんなわからない…ということが頻発します。 この場合はAAD上から該当マイクロソフトアカウントを削除してしまうのが手っ取り早いです。 ただし…SharePoint Online上のドキュメントライブラリにはアクセスできなくなります…。 完全な解決策が存在していない例です。 残念ながら。 結局どうしたらいいのか? 色々と複雑なことを書いてしまいましたが、結局どうしたらいいのか?というとそれはとてもシンプルです。 組織アカウントをきちんと作成、管理し、Office 365も利用する、全てのマイクロソフトのクラウドサービスを組織アカウントにて利用し、個人アカウントは組織アカウントと同じアドレスでは作成、使用しない。 個人アカウントがどうしても必要な状況ではxxxxx outlook. jp等の生粋のマイクロソフトアカウントを作成し、組織のメールアドレスを利用しない。 という状況を作ってしまえば非常にスッキリします。 メールアドレスが異なるので全ての場面においてどちらを対象にしているのかも明確にできます。 そして組織アカウントを軸として様々なセキュリティ対策や、マイクロソフト系以外も含めてすべてのクラウドサービスを利用するように構成していけばよいのです。 Azureには「規定のディレクトリ」という概念があることもお伝えしました。 これも全てのAzureサブスクリプションの既定のディレクトリを組織としてメインで利用しているOffice 365が利用しているAzure Directoryに切り替え、Office 365を使っている組織アカウントでそのままAzureも管理するようにすれば良いです。 結論は非常に単純なので、是非全てのマイクロソフト系のクラウドサービスユーザーがこのような形でディレクトリを構成し、サービスを利用し、不用意なID系のトラブルに巻き込まれないようになることを願っています。 が、やっぱりちょっと複雑過ぎますよね。 色々と不明点やわからない点等あると思いますので、疑問、質問ありましたら右下のチャットウインドウから話しかけていただければと思います。 なお、あまり複雑なものはお仕事としてご依頼下さい 笑.

次の

Microsoft 365 でモバイルデバイスの管理を無効にする方法

組織 が デバイス を 管理 できる よう に する

インヴェンティット株式会社 ホールプロダクト部 部長 半田寛之氏 iPhoneやiPad、Android OS搭載端末をはじめとしたスマートデバイスは、ビジネスの質を大きく変えるすぐれたツールである。 そのため、企業側が生産性向上のためにスマートデバイスを貸与する例も少なくない。 社員の私的なデバイスをビジネスに活用する「BYOD Bring Your Own Device 」を検討・採用する組織も増えている。 ところがスマートデバイスは、手軽に持ち運べる利便性ゆえに、紛失や盗難の危険度が大きい。 あるセキュリティベンダーの調査によれば、毎年4. また別の調査によれば、そのスマートフォンを拾った第三者が重要データを"あさる"確率は8~9割にも達するという。 スマートデバイスを適切に管理できれば、安全に利用することができるだろう。 そこで導入が進んでいるのが、統合的かつリモートでデバイスを管理できる「MDM Mobile Device Management 」である。 今回紹介するインヴェンティットのMobiConnectは、一般的なMDM機能を総合的に実装しているだけでなく、MDMを選定するうえで最も重要な「セキュリティ」「管理機能」「料金プラン」という3つのカテゴリで他に抜きん出た特徴を持つ。 なぜMobiConnectが選ばれているのかを知れば、モバイルデバイス管理やBYODに必要な考え方や実践方法が見えてくるはずだ。 スマートデバイスの活用は何よりセキュリティが大事 3キャリアによる提供が始まった「iPhone」は、ビジネスパーソンにも人気のスマートフォンだ。 専用の企業向けアプリを制作するソフトウェアベンダーも増え、ますます利用が拡大している。 iOSでは、「MDMプロファイル」をデバイスにインストールしてMDMの管理下に置き、ここからパスワードポリシーやデバイス制限、WLAN設定などの構成プロファイルをコントロールする必要がある。 ところが一般的なMDM製品のプロファイルは、ユーザーの操作で削除できてしまう。 構成プロファイルはユーザーの削除を防止する設定が可能だが、実はMDMプロファイルが削除されると一緒にすべて削除される。 スマートフォンの紛失・盗難時には、リモートからデータを消去する「ワイプ」が非常に重要であり、どんなMDM製品であっても搭載されている。 しかし、もし第三者がMDMプロファイルを削除してしまえば、MDMの管理下から外れ、ワイプを実行できなくなる。 そこでMobiConnectでは、独自開発により、MDMプロファイルもユーザーが削除できないようにロックをかけられる。 ユーザーが誤って削除することはもちろん、第三者の悪用も防止することができるのだ。 iOSの場合 また、Androidデバイスにおいても、2つの独自セキュリティ対策機能が搭載されている。 1つは、SIMカードへの対策だ。 SIMカードを抜くと通信ができなくなるため、ワイプやロックなどの遠隔制御ができなくなってしまう。 そこでMobiConnectでは、SIMカードが抜かれたときに強制的に端末をロックして、不正な利用を防止するようになっている。 もう1つは、タスクキラー機能への対策である。 タスクキラー機能を持ったアプリは、MDMエージェントアプリも強制的に停止することができる。 MobiConnectでは、タスクキラーを持ったアプリを自動的に検知する機能を備えており、強制的に制御することができる。 タスクキラーなど関係ないように見えるアプリや不正アプリの悪用も防止できるため、セキュリティレベルが向上する。 Androidの場合 管理が容易で安全であるから安心してビジネスに活用できる スマートデバイスの運用で最も重要なのは、どれだけ容易に、柔軟な管理ができるかという点にある。 煩雑だったりして管理がおろそかになると、セキュリティレベルの低下を招くおそれもある。 その点でMobiConnectは、組織に合わせた柔軟な運用を容易に実行できるように、管理機能にも大きな工夫がなされている。 1つは「グループ管理」機能だ。 一般的なMDM製品では、単純なグループ機能しか搭載されておらず、標準的な組織構造に適さないケースが多い。 グループごとのポリシー設定を組織体系に合わせて適用したい場合は、どうしても強引な手法を取らざるを得ず、管理負担が増大してしまう。 一方MobiConnectは99階層まで作成することが可能で、組織体系が複雑な組織でも柔軟に対応することができる。 組織の体系や運用ポリシーに合わせて、管理権限を柔軟に付与することができる 端末ごとに適用できる柔軟なプランが魅力 MobiConnectでは、使用したい機能に合わせて「BYOD」「エントリー」「ベーシック」「スタンダード」という4つのプランが用意されている。 しかもこれらのプランは"端末ごと"に適用可能だ。 例えば、末顧客情報等を取り扱う営業担当者 現場 の端末に対してはフル管理のスタンダードプランを、何らかの検証用や閲覧サービス用などで重要な情報が少ない端末にはロック・ワイプ・情報取得のみが使えるエントリープランを適用するといった運用が可能となる。 組織体系や端末の利用状況に合わせれば、ランニングコストを最適化することができる。 特に2013年3月から新しく始まったBYODプランは、2013年9月にはiOSにも対応し、デバイスの選択肢が大きく広がった。 もちろん、BYOD端末も業務用の端末と同じように管理することが可能である。 さらに、高度なセキュリティ機能を求めるユーザー向けには、「i-FILTERブラウザー」「ベリサイン電子証明書」「マカフィー アンチウイルス」といったオプションサービスが用意されている。 料金体系 料金 説明 企業アカウント登録料 初期料金 30,000円 税別 お申込み初回時にアカウントを登録する際に必要となります 端末1台当たりの年間利用料 エントリープラン 1,800円 税別 ベーシックプラン 2,400円 税別 スタンダードプラン 3,000円 税別 将来を見据えたモバイル管理を インヴェンティットが目指すのは、モバイルアプリ管理 MAM や資産管理を含めた統合管理サービスとしての「MobiConnect」である。 各社のマネジメントサービスやソリューションを組み合わせて活用することで、企業内のさまざまなデバイスとソフトウェア、セキュリティ、利用サービスなどを一括して管理するソリューションを目指し、開発を進めている。

次の

個人アカウントと組織アカウント

組織 が デバイス を 管理 できる よう に する

組織での Windows 10 の管理 - 最新の管理への移行 Manage Windows 10 in your organization - transitioning to modern management• この記事の内容 個人用デバイスを仕事に使用したり、従業員が社外で仕事をする機会が増える中、組織によるデバイス管理の方法に変化が生じています。 Use of personal devices for work, as well as employees working outside the office, may be changing how your organization manages devices. 組織の特定部分ではデバイスに対してきめ細かく詳細な制御が必要になりますが、その他の部分では、最新の作業形態を後押しするような、シナリオベースの簡単な管理方法が求められています。 Certain parts of your organization might require deep, granular control over devices, while other parts might seek lighter, scenario-based management that empowers the modern workforce. Windows 10 は、このような要件の変化に柔軟に対応し、混在環境で簡単に展開することができます。 Windows 10 offers the flexibility to respond to these changing requirements, and can easily be deployed in a mixed environment. 組織で決められている通常のアップグレード スケジュールに従って、Windows 10 デバイスの導入率を徐々に増やすことが可能です。 You can shift the percentage of Windows 10 devices gradually, following the normal upgrade schedules used in your organization. 組織によっては、正式なアップグレード プロセスの準備が完全に整うまで、いったん Windows 10 デバイスを導入してから Windows 7 にダウングレードするという検討がなされる場合もあります。 Your organization might have considered bringing in Windows 10 devices and downgrading them to Windows 7 until everything is in place for a formal upgrade process. この選択では標準化によってコストを節約できるように見えますが、ダウングレードは行わずに Windows 10 で可能になるコスト ダウンを直ちに活用する方が、大幅な節約が可能になります。 While this may appear to save costs due to standardization, greater savings can come from avoiding the downgrade and immediately taking advantage of the cost reductions Windows 10 can provide. Windows 10 デバイスは以前のバージョンの Windows と同じプロセスおよびテクノロジで管理できるため、複数のバージョンを簡単に共存させることができます。 組織では、さまざまな種類のデバイスでさまざまなオペレーティングシステムをサポートし、Microsoft Endpoint Configuration Manager、Microsoft Intune、その他のサードパーティ製製品などの共通のツールセットを通じてそれらを管理することができます。 Your organization can support various operating systems across a wide range of device types, and manage them through a common set of tools such as Microsoft Endpoint Configuration Manager, Microsoft Intune, or other third-party products. このような "管理された多様性" を活用すると、セキュリティと管理性に対する基準を維持しつつ、新しい Windows 10 デバイスで実現する生産性強化 充実したタッチやインクのサポートなど によるメリットをユーザーに提供することができます。 これにより、個人レベルと組織レベルの両方で、Windows 10 の利点をずっと早く取り入れることができます。 It can help you and your organization benefit from Windows 10 much faster. 次の 6 分間のビデオでは、ユーザーが新しい製品デバイスを持ち込んだときに、企業ネットワークに接続しなくても、数分で個人用の設定と管理されたエクスペリエンスを有効にして作業を始められるようすを紹介します。 This six-minute video demonstrates how users can bring in a new retail device and be up and working with their personalized settings and a managed experience in a few minutes, without being on the corporate network. また、IT 部門でポリシーと構成を適用してデバイスのコンプライアンスを確保する方法も紹介します。 It also demonstrates how IT can apply policies and configurations to ensure device compliance. 注意 このビデオでは、従来の Azure ポータルを使用した構成プロセスについて説明します。 これは廃止されています。 The video demonstrates the configuration process using the classic Azure portal, which is retired. お客様は、新しい Azure Portal を使用する必要があります。 Customers should use the new Azure portal. このトピックでは、混在環境での Windows 10 の展開を含めて、Windows 10 を展開および管理する方法に関するガイドラインを示します。 This topic offers guidance on strategies for deploying and managing Windows 10, including deploying Windows 10 in a mixed environment. ここでは、各種のに加えて、デバイス ライフ サイクルの 4 つの段階について説明します。 The topic covers plus the four stages of the device lifecycle:• Windows 10 の管理オプション Reviewing the management options with Windows 10 次の図に示すように、Windows 10 にはさまざまな管理オプションが用意されています。 Windows 10 offers a range of management options, as shown in the following diagram: 図に示されているように、Microsoft は、グループポリシー、Active Directory、Microsoft Configuration Manager などのテクノロジを使用して、高度な管理性とセキュリティのサポートを提供しています。 As indicated in the diagram, Microsoft continues to provide support for deep manageability and security through technologies like Group Policy, Active Directory, and Microsoft Configuration Manager. サービスとしての Windows を通じて提供される今後の Windows 革新では、Microsoft Intune、Azure Active Directory、Azure Information Protection、Office 365、ビジネス向け Microsoft Store などのクラウド サービスが重要な役割を果たします。 Future Windows innovations, delivered through Windows as a Service, are complemented by cloud services like Microsoft Intune, Azure Active Directory, Azure Information Protection, Office 365, and the Microsoft Store for Business. 展開とプロビジョニング Deployment and Provisioning Windows 10 の場合、従来の OS 展開を引き続き使用することもできますが、"そのまますぐに管理" することもできます。 To transform new devices into fully-configured, fully-managed devices, you can:• またはなどのクラウドベースのデバイス管理サービスによって有効になるように、動的プロビジョニングを使用してイメージを再作成しないようにします。 Avoid reimaging by using dynamic provisioning, enabled by a cloud-based device management services such as or. で構築される、自己完結型のプロビジョニング パッケージを作成します。 Create self-contained provisioning packages built with the. を使用してカスタム画像を展開するなど、従来のイメージング手法を使用します。 Use traditional imaging techniques such as deploying custom images using. には、さまざまなオプションがあります。 You have multiple options for. Windows 7 または Windows 8. 1 を実行している既存のデバイスについては、堅牢なインプレース アップグレード プロセスを使用して、既存のアプリ、データ、設定をすべて自動的に維持しつつ、Windows 10 への移行を高速かつ安全に行うことができます。 For existing devices running Windows 7 or Windows 8. 1, you can use the robust in-place upgrade process for a fast, reliable move to Windows 10 while automatically preserving all the existing apps, data, and settings. このことは、展開コストの大幅な削減だけではなく、生産性の向上にもつながります。 既存環境で使用していたものに、移行後もそのままアクセスできるため、エンドユーザーの生産性が低下することはありません。 This can mean significantly lower deployment costs, as well as improved productivity as end users can be immediately productive — everything is right where they left it. もちろん、必要であれば、Windows 7 で現在使用しているのと同じツールを使用して、従来のワイプ アンド ロード アプローチによる移行を行うこともできます。 Of course, you can also use a traditional wipe-and-load approach if you prefer, using the same tools that you use today with Windows 7. ID と認証 Identity and Authentication クラウド ベースの ID、認証、および管理には、Windows 10 のほか、 などのサービスを新しい方法で使用できます。 You can use Windows 10 and services like in new ways for cloud-based identity, authentication, and management. 必要に応じて、 "Bring Your Own Device" BYOD や "Choose Your Own Device" CYOD の機能をユーザーに提供することができます。 同時に、特定のアプリケーションやリソースを使用するために、ドメイン参加が必要な PC やタブレットを管理している会社もあります。 At the same time, you might be managing PCs and tablets that must be domain-joined because of specific applications or resources that are used on them. ユーザーとデバイスの管理は、次の 2 つのカテゴリに分けて考えることができます。 You can envision user and device management as falling into these two categories:• Office 365 などの SaaS アプリ用に、モバイル ユーザーが会社のデバイス CYOD または個人のデバイス BYOD を使用。 Corporate CYOD or personal BYOD devices used by mobile users for SaaS apps such as Office 365. Windows 10 では、従業員が自分のデバイスを自分でプロビジョニングできます。 With Windows 10, your employees can self-provision their devices:• 会社のデバイスの場合は、 を使用して社内アクセスをセットアップできます。 For corporate devices, they can set up corporate access with. Intune MDM による自動登録と共に Azure AD Join をユーザーに提供する場合、ユーザーは でデバイスを設定し、会社で管理された状態に変えることができます。 この設定は、すべてクラウドから操作できます。 When you offer them Azure AD Join with automatic Intune MDM enrollment, they can bring devices into a corporate-managed state in , all from the cloud. Azure AD Join は、臨時雇用スタッフ、パートナー、その他のパートタイム従業員にも適したソリューションです。 Azure AD Join is also a great solution for temporary staff, partners, or other part-time employees. これらのアカウントは、オンプレミスの AD ドメインから分離できますが、必要な社内リソースにアクセスできます。 These accounts can be kept separate from the on-premises AD domain but still access needed corporate resources. 個人デバイスの場合も、従業員は新しいシンプルな を利用して、仕事用のアカウントを Windows に追加し、自分のデバイスから仕事用のリソースにアクセスできます。 Likewise, for personal devices, employees can use a new, simplified to add their work account to Windows, then access work resources on the device. 従来のアプリケーションや重要なリソースへのアクセスには、ドメインに参加している PC とタブレットを使用。 Domain joined PCs and tablets used for traditional applications and access to important resources. 重要なリソースとしては、認証を要する従来のアプリケーションおよびリソース、機密性の高いリソースへのオンプレミス アクセスなどが考えられます。 These may be traditional applications and resources that require authentication or accessing highly sensitive or classified resources on-premises. オンプレミスの ドメインがある場合、Windows 10 では、従業員のデバイスが参加すると、自動的に Azure AD に登録されます。 これにより、以下が利用可能になります。 This provides:• クラウドとオンプレミスのリソースに、どこからでもシングル サインオンでアクセス Single sign-on to cloud and on-premises resources from everywhere• デバイスの状態や構成に基づく、会社のリソースへの to corporate resources based on the health or configuration of the device• Windows Hello Windows Hello ドメインに参加している Pc やタブレットは、引き続きクライアントまたはグループポリシーを使用して管理できます。 Domain joined PCs and tablets can continue to be managed with the client or Group Policy. さまざまなシナリオやデバイスが混在した環境で Windows 10 と Azure AD によって仕事用リソースへのアクセスを最適化する方法については、「」をご覧ください。 For more information about how Windows 10 and Azure AD optimize access to work resources across a mix of devices and scenarios, see. 組織内の役割を確認する際に、ドメイン参加を必要とするユーザーやデバイスを特定するには、以下に示す一般的なデシジョン ツリーを使用できます。 As you review the roles in your organization, you can use the following generalized decision tree to begin to identify users or devices that require domain join. 残りのユーザーを Azure AD に切り替えることも検討してください。 Consider switching the remaining users to Azure AD. 設定と構成 Settings and Configuration 構成の要件は、必要な管理のレベル、管理されているデバイスやデータ、業種別の要件など、複数の要素によって定義されます。 Your configuration requirements are defined by multiple factors, including the level of management needed, the devices and data managed, and your industry requirements. その一方で、従業員は IT によって厳しいポリシーが個人デバイスに適用されることを懸念しつつ、会社のメールやドキュメントへのアクセスを必要としています。 Meanwhile, employees are frequently concerned about IT applying strict policies to their personal devices, but they still want access to corporate email and documents. Windows 10 では、PC、タブレット、電話に共通した MDM レイヤーを通じて、一貫性のある構成セットを作成できます。 With Windows 10, you can create a consistent set of configurations across PCs, tablets, and phones through the common MDM layer. MDM: を使用すると、あらゆる設定を公開しなくても、管理上の意図を反映した設定を構成できます MDM: gives you a way to configure settings that achieve your administrative intent without exposing every possible setting. これに対し、グループ ポリシーでは詳細な設定が公開され、個々に制御する必要があります。 MDM の利点の 1 つは、軽量かつ効率的なツールを使用して、プライバシー、セキュリティおよびアプリケーションの幅広い管理設定を適用できることです。 In contrast, Group Policy exposes fine-grained settings that you control individually. One benefit of MDM is that it enables you to apply broader privacy, security, and application management settings through lighter and more efficient tools. MDM では、オンプレミスのドメインに参加しているデバイスを必要とする GP を使わずに、インターネットに接続されたデバイスを対象としてポリシーを管理することもできます。 MDM also allows you to target Internet-connected devices to manage policies without using GP that requires on-premises domain-joined devices. 日常的に社外へ持ち出すデバイスの場合、MDM は最適な選択肢です。 This makes MDM the best choice for devices that are constantly on the go. グループポリシーと Microsoft Endpoint 構成マネージャー: 組織では、Internet Explorer の1500構成可能なグループポリシー設定など、より細かいレベルでドメインに参加しているコンピューターを管理する必要がある場合もあります。 そうである場合は、グループポリシーと構成マネージャーが引き続き管理します。 If so, Group Policy and Configuration Manager continue to be excellent management choices:• Windows ベースのツールで会社のネットワークに接続された、ドメイン参加している Windows PC およびタブレットをきめ細かく構成するには、グループ ポリシーが最適です。 Group Policy is the best way to granularly configure domain joined Windows PCs and tablets connected to the corporate network using Windows-based tools. Microsoft は、新しい Windows の各バージョンで、グループ ポリシー設定の追加を継続します。 Microsoft continues to add Group Policy settings with each new version of Windows. 堅牢なソフトウェアの展開、Windows 更新プログラム、OS の展開を伴う詳細な構成については、Configuration Manager もお勧めのソリューションです。 Configuration Manager remains the recommended solution for granular configuration with robust software deployment, Windows updates, and OS deployment. 更新とサービス Updating and Servicing サービスとしての Windows を使用すると、IT 部門では、新しい Windows リリースごとに複雑なイメージング ワイプ アンド ロード プロセスを実行する必要がなくなります。 With Windows as a Service, your IT department no longer needs to perform complex imaging wipe-and-load processes with each new Windows release. Current Branch CB または Current Branch for Business CBB では、シンプルな 多くの場合は自動の 修正プロセスを通じて、デバイスが最新機能と品質更新プログラムを受信します。 Whether on current branch CB or current branch for business CBB , devices receive the latest feature and quality updates through simple — often automatic — patching processes. 詳しくは、「」をご覧ください。 For more information, see. Intune による MDM では、組織内のクライアント コンピューターに Windows 更新プログラムを適用するためのツールが提供されます。 MDM with Intune provide tools for applying Windows updates to client computers in your organization. ConfigurationManager を使用すると、メンテナンスウィンドウや自動展開ルールなど、これらの更新プログラムの豊富な管理機能と追跡機能を利用できます。 ConfigurationManager allows rich management and tracking capabilities of these updates, including maintenance windows and automatic deployment rules. 次のステップ Next steps 組織内のデバイス管理を最新の手法で行うためのプロセスは、さまざまなステップを通じて開始できます。 There are a variety of steps you can take to begin the process of modernizing device management in your organization: 現在の管理方法を評価し、今すぐ投資を検討します。 Assess current management practices, and look for investments you might make today. 現在のプラクティスのうち、このままで良いものはどれで、変更できるものはどれですか? Which of your current practices need to stay the same, and which can you change? 特に、従来の管理作業のうち、現行のままにしておく必要があるのはどの要素で、最新な手法に変更できるのはどの要素ですか? Specifically, what elements of traditional management do you need to retain and where can you modernize? カスタム イメージングを最低限に抑える、設定管理を評価し直す、認証と準拠を再評価するなど、どのステップを実行した場合も、直ちにメリットを実感できます。 Whether you take steps to minimize custom imaging, re-evaluate settings management, or reassesses authentication and compliance, the benefits can be immediate. さまざまなユース ケースと環境内の管理ニーズを評価します。 Assess the different use cases and management needs in your environment. 軽量かつシンプルな管理によるメリットが得られるようなデバイスのグループはありますか? Are there groups of devices that could benefit from lighter, simplified management? たとえば、BYOD デバイスには、当然ながらクラウド ベースの管理が適しています。 BYOD devices, for example, are natural candidates for cloud-based management. 厳しく管理されるデータを扱うユーザーやデバイスについては、おそらくオンプレミスの Active Directory ドメインによる認証が必要になります。 Users or devices handling more highly regulated data might require an on-premises Active Directory domain for authentication. Configuration Manager と EMS を使用すると、ビジネス ニーズに合わせ、さまざまなデバイスを対象として、最新の管理方法を柔軟かつ段階的に導入できます。 Configuration Manager and EMS provide you the flexibility to stage implementation of modern management scenarios while targeting different devices the way that best suits your business needs. この記事のデシジョン ツリーを確認します。 Review the decision trees in this article. 移行は段階的に行います。 Take incremental steps. 最新のデバイス管理方法への切り替えを一晩で慌てて行う必要はありません。 現行のオペレーティング システムやデバイスを残したまま、新しいオペレーティング システムやデバイスを導入できます。 New operating systems and devices can be brought in while older ones remain. このような "管理された多様性" を活用すると、セキュリティと管理性に対する基準に従って現行デバイスの保守を続行しつつ、新しい Windows 10 デバイスで実現する生産性強化によるメリットをユーザーに提供することができます。 Windows 10 バージョン1803以降では、GP とその同等の MDM ポリシーがデバイスで設定されている場合に、MDM ポリシーが GP より優先されるように、新しいポリシー が追加されました。 Starting with Windows 10, version 1803, the new policy was added to allow MDM policies to take precedence over GP when both GP and its equivalent MDM policies are set on the device. GP の環境を維持したまま MDM ポリシーの実装を開始できます。 You can start implementing MDM policies while keeping your GP environment. 同等の gp ポリシーの MDM ポリシーの一覧を次に示します。 Here is the list of MDM policies with equivalent GP - 既存の投資を最適化します。 Optimize your existing investments. 従来のオンプレミス管理からクラウドベースによる最新の管理方法に移行する間、Configuration Manager と Intune の柔軟なハイブリッド アーキテクチャを活用できます。 On the road from traditional on-premises management to modern cloud-based management, take advantage of the flexible, hybrid architecture of Configuration Manager and Intune. Configuration Manager 1710 以降では、共同管理を使用して、構成マネージャーと Intune の両方を使用して Windows 10 デバイスを同時に管理できます。 Starting with Configuration Manager 1710, co-management enables you to concurrently manage Windows 10 devices by using both Configuration Manager and Intune. 詳細については、次のトピックを参照してください。 See these topics for details:• 関連トピック Related topics• 関連記事.

次の