>
>
最終更新日
テレワークやハイブリッドワークが定着した現代、企業はPCやスマートフォン,タブレットなど、社内外に散在する多種多様なデバイスの管理という課題に直面しています。これらエンドポイントの安全な運用は、事業継続における最重要課題です。
本記事では、デバイス管理のデファクトスタンダードとして注目される「Microsoft Intune」について解説します。2025〜2026年現在の最新トレンドであるWindows 11へのゼロタッチキッティング需要や、WSUS(Windows Server Update Services)の非推奨化に伴う移行プロセスにも焦点を当て、導入検討に必要な情報を網羅的にお届けします。
Microsoft Intuneとは
この記事でわかること
Microsoft IntuneがマルチOS対応のクラウド型エンドポイント管理プラットフォームであることがわかる。
Windows 11移行やWSUS非推奨化を背景に、オンプレミスからIntuneへの移行が求められる理由がわかる。
MDMとMAMの違いと、自社環境への使い分け方がわかる。
Microsoft Intuneはあらゆる端末の設定とセキュリティをクラウドから一元制御する統合管理プラットフォームです。
Microsoft Intune(マイクロソフト インチューン)は、PC、スマートフォン、タブレットなどの業務用デバイスを場所を問わずに一元管理し、セキュリティを確保するクラウドベースの統合エンドポイント管理(UEM)サービスです。従来のActive Directoryによる管理は社内ネットワーク前提だったが、Intuneはインターネット経由でデバイスを管理するため、テレワーク環境でも社内PCと同等の制御が可能です。認証基盤としては、旧来のAzure Active Directoryから進化した「Microsoft Entra ID」と緊密に連携します。
2025年から2026年にかけて、企業のITインフラは大きな転換期を迎えています。2025年10月14日のWindows 10サポート終了に伴うWindows 11へのPCリプレイス、および2024年9月にMicrosoftが発表したWSUS(Windows Server Update Services)の非推奨化により、多くの企業がオンプレミスの更新プログラム管理からIntuneによるクラウド管理へと舵を切っています。機能の詳細やコンセプトについては、Microsoft Intuneの公式ドキュメントでも紹介されています。
Microsoft Intuneの強みとMDM・MAMの違い
強みはデバイス全体の制御(MDM)と、個人用端末内のアプリ制限(MAM)のハイブリッド運用にあります。
Intuneの大きな強みは、デバイスそのものを管理する「MDM(モバイルデバイス管理)」と、アプリ内のデータを保護する「MAM(モバイルアプリケーション管理)」を混在して運用できる点にあります。会社支給の端末にはMDMを適用して完全な制御を施し、個人所有の端末(BYOD)を業務利用させる場合にはMAMを用いてOutlookやTeams内のデータのみを保護(コピー&ペーストの禁止や画面キャプチャ防止など)し、プライバシーとセキュリティを両立させます。
また、デバイス管理製品を選定するにあたり、他社MDM製品(Appleデバイスに特化したJamf Proや、国内で高いシェアを持つLANSCOPE、SKYSEAなど)との比較・共存を検討する企業が増えています。以下に、主要ツールとの比較を整理します。
比較項目 | Microsoft Intune | Jamf Pro | LANSCOPE / SKYSEA |
|---|---|---|---|
主な強み | Windows連携、M365エコシステム、マルチOS管理 | Apple製品(macOS/iOS)の高度なプロファイル管理 | 国内向け資産管理、詳細な操作ログ取得(USB挿抜、キーボードなど) |
適した用途 | Windows中心、かつマルチOS環境を一元化したい場合 | 社内PCの多くがMacで、Apple専用機能をフル活用したい場合 | 日本独自のコンプライアンス要件(詳細なログ監査)を満たしたい場合 |
共存・併用アプローチ | 中心的なMDMとして利用 | iOS/Mac管理のみJamfに任せ、IntuneとAPI連携して条件付きアクセスを実装 | IntuneでOS更新やパッチ適用を行い、LANSCOPE等で操作ログを収集・保管 |
▲ 会社支給端末(MDM)と個人端末(MAM)における管理・保護範囲の違い
Microsoft Intuneの主要機能一覧とできること
設定の標準化、コンプライアンス監視、アプリ配布の3本柱が運用の基盤となります。
Microsoft Intuneが備える代表的な機能は以下の通りです。
構成プロファイル:Wi-FiやVPNの自動接続設定、機能制限(カメラやUSBの利用制限)をグループ単位で配布し、設定を標準化します。
コンプライアンスポリシー:「OSが最新か」「暗号化されているか」などの基準を設け、非準拠のデバイスをリアルタイムで検知・使用不能にしたり是正を促したりします。
アプリケーションの配布:Microsoft 365 Appsやサードパーティ製アプリをサイレントインストールし、ライセンスやバージョンを適切に管理します。
Windows Autopilot:PCの初期設定(キッティング)を自動化。新品のPCを箱から出して起動し、インターネットに接続するだけで自動セットアップが完了するゼロタッチキッティングを実現します。
Copilot in Intune:2025〜2026年現在、本格的な実用化が進んでいる生成AI機能です。「2つのデバイスにおける設定ポリシーの差分比較」「トラブルシューティングの実行支援」「PowerShellスクリプトの自然言語による自動生成」などが可能です。担当者のスキルに依存せず誰でも操作・設定できるようになるため、情シス部門の属人化解消につながります。
また、Intuneの真価は他のMicrosoftサービスとの緊密な連携にあります。統合ID基盤であるMicrosoft Entra IDと連携することで、「Intuneに登録され、コンプライアンスポリシーに準拠しているデバイスからのみクラウドサービスへのアクセスを許可する」という条件付きアクセスを構築できます。さらに、EDR(Endpoint Detection and Response)製品である「Microsoft Defender for Endpoint」と連携すれば、リスクを検知したデバイスのアクセス権を動的に遮断する高度な防御体制が整います。
Microsoft Intuneのライセンス体系とIntune Suite
基本的なデバイス管理は既存のM365ライセンスでカバーできるが、高度な要件にはアドオンが必要となる。
Microsoft Intuneのライセンスは、多くの場合、企業が既に契約しているMicrosoft 365(M365)やEnterprise Mobility + Security(EMS)のパッケージに含まれています。基本的なMDM/MAM機能を提供する「Microsoft Intune Plan 1」が含まれる代表的なライセンスは、Microsoft 365 Business Premium(中堅・中小企業向け)や、Microsoft 365 E3/E5(大企業向け)です。セキュリティ機能だけを個別に追加したい場合は、EMS E3/E5を選択することも可能です。
さらに、より高度なセキュリティ要件に対応するため、追加アドオンである「Microsoft Intune Suite」の導入が進んでいます。Intune Suiteには以下の高度な機能が含まれており、個別にサードパーティ製品を導入するコストと複雑性を排除します。
Microsoft クラウドPKI:オンプレミスの証明書サーバーを構築することなく、クラウド上で安全にWi-FiやVPN用のクライアント証明書を発行・管理します。
エンドポイント特権管理 (EPM):標準ユーザー権限のPCで、会社が承認した特定のアプリケーションを実行する時のみ、自動で一時的に管理者権限に昇格させる機能です。セキュリティを担保しながら利便性を向上させます。
エンタープライズアプリケーション管理:Adobe ReaderやGoogle Chromeといった非Microsoft製アプリのアップデートカタログを提供し、脆弱性対策としてのアプリ更新を自動化します。
ライセンスごとの詳細な機能差や最新の価格情報については、Microsoft Intuneの公式料金ページをご参照ください。
Microsoft Intuneを導入するメリットと国内企業の成功事例
ゼロトラストセキュリティの確立と、キッティングをはじめとするPC管理工数の削減が最大効果です。
総務省「令和7年版情報通信白書(2025年)」によると、国内パブリッククラウドサービス市場は急成長を続けており、2024年時点で4兆1,423億円(前年比26.1%増)に達しています(最新の数値は白書本編をご参照ください)。この急激なクラウドシフトの波を受け、多くの企業がデバイス管理をオンプレミスからクラウドへ移行しています。Microsoftが公開している導入事例(One New Zealand)では、IntuneとWindows 365などを活用したモダンマネジメントを導入した企業において、従来1台あたり4〜6時間かかっていたPCのキッティング時間がわずか30分へと短縮され、オンボーディングに要する時間を95%削減、最終的に約80万ドルのコスト削減効果が得られたという実証データが公開されています。
Intuneの導入により、単なる管理効率化だけでなく、すべてのアクセスを検証する「ゼロトラストセキュリティ」への転換が可能です。以下に、日本国内における具体的な導入成功事例を共通のフォーマットで紹介します。
中外製薬株式会社(従業員約7,600名規模)
業種・規模:医薬品製造・販売(約7,600名)
課題:従来のオンプレミスベースのデバイス管理手法では、リモートワーク急増に伴う社外PCのセキュリティコントロールや、システム更新の制御が困難になっていた。
施策:デバイス管理基盤をオンプレミスからMicrosoft Intuneを活用したクラウドベースのモダンマネジメントへ一新。
成果:社外にあるPCのセキュリティ状態を完全に可視化・適正化。情報システム部門の運用負荷を大幅に軽減するとともに、運用コストの削減に成功した。
富士通株式会社(グローバル数万人規模)
業種・規模:ITサービス・ソリューション(グローバル数万人規模)
課題:全社DXプロジェクト「フジトラ(Fujitsu Transformation)」において、国や地域ごとに分散していたデバイス管理ツールを統一し、セキュリティ基準を世界同一水準に引き上げる必要があった。
施策:グローバル共通のデバイス管理ツールにMicrosoft Intuneを標準採用。Windows Autopilotによるキッティング自動化も導入。
成果:オンプレミス型管理からの完全脱却を達成。世界中の端末に対してセキュリティポリシーの自動適用と可視化を実現し、Windows Autopilotにより各地域の調達・配布にかかる管理工数を劇的に削減した。
コムチュア株式会社(DX推進企業)
業種・規模:システムインテグレーション・コンサルティング(DX推進企業)
課題:ハイブリッドワークの進展と急激な社員増加に伴い、手作業によるPCキッティングやスマートフォンの初期設定が情報システム部門、および各配属部門の重い負担となっていた。
施策:既に社内で導入されていた「Microsoft 365」ライセンスに含まれるIntuneを有効活用。PC、Android、iOSを一括でIntuneの管理下に置いた。
成果:デバイスの初期セットアップ、主要業務アプリやOS更新プログラムの配布を自動化。ライフサイクル管理全体の運用工数を最小化しつつ、デバイスのセキュリティ統制を飛躍的に強化した。
Microsoft Intuneのデメリットと導入時の失敗パターン
多機能ゆえの設計難易度の高さと、従来のオンプレミス運用とのギャップが導入の障壁となります。
多くの導入メリットを持つIntuneですが、その設計思想は従来のオンプレミスActive Directoryとは大きく異なります。あらかじめ把握しておきたい3つの落とし穴を整理します。
誤解①:従来のマスターイメージによるクローニングをそのままAutopilotに置き換えようとする
失敗例:Windows Autopilotは、OSイメージそのものを配布する仕組みではなく、工場出荷状態のOSに対しIntuneから差分データとしてアプリや設定を流し込む仕組みです。ここに、従来のレガシーな巨大アプリケーションや独自の重いドライバーをすべてクラウド経由で一度に配布しようとすると、セットアップが途中でエラーになり、キッティングが頓挫します。
対策:ゼロタッチキッティングへ移行する際は、まず配布するアプリケーション自体を厳選・スリム化するか、クラウドベースのSaaSへの移行を並行して進める必要があります。
誤解②:オンプレADの「グループポリシー(GPO)」を丸ごとIntuneに移行しようとする
失敗例:長年かけて社内で蓄積された数百項目におよぶGPOを、精査することなくそのままIntuneの「構成プロファイル」に移植しようとすると、設定間で複雑な競合が発生し、ネットワーク不通などの予期せぬトラブルを引き起こします。
対策:クラウドでのモダンマネジメントへの移行は、ADの設定をそのまま引き継ぐのではなく、セキュリティポリシー自体を一度フラットに棚卸しし、「ゼロトラスト」の考え方に従って極限までシンプルなポリシーに再設計する好機と捉えるべきです。
誤解③:「Intuneを入れればセキュリティ対策は完璧」と過信する
失敗例:Intuneを導入しただけでセキュリティ対策が完了したと思い込み、マルウェアの侵入防御や感染時の検知(EDR)運用をおろそかにしてしまうケースです。
対策:Intuneはあくまで「デバイスの設定や状態を制御・監査するツール」です。脅威対策の主軸は「Microsoft Defender for Endpoint」などのセキュリティ製品であり、「Intuneのコンプライアンスポリシーで、Defenderが正常稼働している安全なデバイスのみ社内データへのアクセスを許容する(条件付きアクセス)」という多層防御の設計があって初めて強固なゼロトラストが機能します。
Microsoft Intuneの導入を成功させる5つのステップ
要件定義からPoC、段階的な全社展開に至るロードマップの策定が成功を左右します。
Microsoft Intuneの導入にあたっては、場当たり的な設定を避けるため、以下の5フェーズで進めることを推奨します。各フェーズのタイムラインと主な実施内容、および導入前のセルフチェックリストを以下に示します。
フェーズ | 期間の目安 | 主な実施内容 |
|---|---|---|
1. 要件定義 | 1ヶ月 | 対象OSの選定(Windows, macOS, iOS, Android等)、BYODの有無の決定、セキュリティ要件の整理 |
2. 基本設計 | 1ヶ月 | 構成プロファイル、コンプライアンスポリシーの策定、M365ライセンス割り当て計画 |
3. テスト(PoC) | 1〜2ヶ月 | IT部門など一部の先行ユーザーでの実機テスト、競合やエラーの検証・修正 |
4. 段階的展開 | 1〜2ヶ月 | 部署や拠点を限定した部分展開、マニュアルの整備、ヘルプデスク体制の構築 |
5. 全社展開・運用 | 継続 | 全社への完全展開、セキュリティ状況のダッシュボード監視、ポリシーの継続改善 |
情シス担当者向け:Intune導入前セルフチェックリスト
チェック項目 | 確認ステータス | 備考 |
|---|---|---|
自社が保有している現在のMicrosoft 365ライセンスにIntune Plan 1が含まれているか | [ ] はい / [ ] いいえ | Business PremiumやE3/E5にあらかじめ内包されています |
管理対象となるデバイスの種類とOSバージョンは明確になっているか | [ ] はい / [ ] いいえ | 古いOSはIntuneのサポート対象外となる場合があります |
個人の私物スマートフォンを業務に利用させる(BYOD)予定があるか | [ ] はい / [ ] いいえ | BYODがある場合はMAM(アプリ保護ポリシー)の設計が必須です |
移行対象とするグループポリシー(GPO)の棚卸しと不要設定の削除は完了しているか | [ ] はい / [ ] いいえ | 不要なレガシー設定の引き継ぎは競合トラブルの原因になります |
証明書の配布やアプリの自動パッチなど、高度なセキュリティ要件(Intune Suiteが必要な要件)があるか | [ ] はい / [ ] いいえ | クラウドPKIやEPMを必要とする場合は、追加ライセンスの予算化が必要です |
▲ 計画から全社展開までをスムーズに進めるIntune導入の5つのフェーズ
よくある質問
Q:Microsoft IntuneはmacOSやiOSも管理できますか?
A:はい、管理可能です。Windowsだけでなく、macOS、iOS/iPadOS、Android、Linuxなどの主要なマルチOSに対応しており、単一の管理コンソールからデバイスポリシーの適用やインベントリの確認を行えます。
Q:自社で既にLANSCOPEを導入していますが併用可能ですか?
A:はい、併用可能です。Intuneで更新プログラム適用や条件付きアクセスを制御し、LANSCOPEで日本特有の緻密な操作ログ取得や資産管理を行うという、機能の得意分野に応じた共存運用を選ぶ企業は非常に多く存在します(参考:LANSCOPEとMicrosoft Intuneの連携について)。
Q:Microsoft Intune Suiteを導入するべき判断基準は何ですか?
A:以下のいずれかに該当する場合が導入の目安です。
①オンプレミスの証明書サーバー(CA)を廃止してクラウドPKIに移行したい場合
②ユーザーの管理者権限を剥奪しつつ、承認済みアプリの実行時のみ一時的な権限昇格を許可したい場合(エンドポイント特権管理)
③サードパーティ製アプリのパッチ適用を自動化したい場合(エンタープライズアプリケーション管理)
こうした高度なセキュリティ要件を、複数の単体製品を組み合わせることなく1つのエージェントで完結させたいときにIntune Suiteを検討してください。
▲ アドオン「Microsoft Intune Suite」の導入が必要かを判定する意思決定フロー
まとめ
デバイスのクラウド管理とゼロトラストセキュリティを両立させるMicrosoft Intuneは、情報システム部門の運用基盤として今後さらに存在感を高めるプラットフォームです。まずは自社が現在保有しているMicrosoft 365のライセンス(E3/E5、Business Premiumなど)を確認し、追加費用なしでIntune Plan 1が利用可能であるか調べることから始めましょう。スモールステップでの検証が、確実なモダンマネジメントへの第一歩となります。
✅ 自社のM365ライセンス(E3/E5/Business Premium等)にIntune Plan 1が含まれているか確認した
✅ 管理対象となるOSの種類・バージョンとBYODの有無を棚卸しした
✅ 既存のグループポリシー(GPO)を精査し、不要なレガシー設定の削除をスケジュールした
✅ クラウドPKIやエンドポイント特権管理(EPM)が必要か判断し、Intune Suiteの要否を検討した
✅ 本番展開前にIT部門など少人数でのPoC(テスト環境検証)計画を立案した
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。
