このドキュメントでは、BeyondCorp Enterprise と Microsoft Intune の統合を設定する方法について説明します。この統合を設定するには、Intune の設定、Endpoint Verification の設定、Azure Workload ID の設定、組織部門での Microsoft Intune の有効化が必要です。
準備
-
BeyondCorp Enterprise 向けに Intune を設定するには、次の手順を行います。
- サポートされている構成を理解して、環境がネットワーク要件を満たしていることを確認します。
- 試用版のサブスクリプションにログインするか、新しい Intune サブスクリプションを作成します。
- 会社のドメイン名に Intune を接続するように DNS 登録を設定する。
- ユーザーとグループを追加するか、Active Directory に接続して Intune と同期します。
- ユーザーにライセンスを割り当てて、Intune を使用する権限を付与します。
詳しくは、Intune を設定するをご覧ください。
組織内のデバイスで次のいずれかのオペレーティング システムが実行されていることを確認します。
- macOS バージョン 10.11 以降
- Microsoft® Windows 10 以降
- 組織の Endpoint Verification を設定します。
Intune に接続
- Microsoft 365 テナント ID を確認します。
- アプリケーションを登録してアプリケーション ID を取得します。
管理コンソールのホームページから、[デバイス] にアクセスします。
[デバイス] に移動- ナビゲーション メニューで [モバイルとエンドポイント] > [設定] > [サードパーティ統合] > [セキュリティ パートナーと MDM パートナー] > [管理] の順にクリックします。
- [Microsoft Intune] を見つけて [Open connection] をクリックします。
[Intune に接続する] ダイアログで、[Azure ディレクトリのテナント ID] フィールドにテナント ID を入力して、[Azure アプリケーション ID] フィールドにアプリケーション ID を入力します。
- 会社所有のデバイスのみをインポートするか、すべてのデバイスをインポートするかに応じて、次のいずれかの操作を行います。
- 会社所有デバイスのみをインポートするには、[会社所有デバイスのみをインポート] をクリックして設定を切り替えます。[インポートするデバイスのプロパティ] セクションで、BeyondCorp Enterprise に保存するプロパティを選択します。
すべてのデバイスをインポートするには、[インポートするデバイスのプロパティ] セクションで、BeyondCorp Enterprise に保存するプロパティを選択します。
device identifier、last sync time、serial number、wifi MAC addressなどの必須デバイス プロパティはデフォルトで収集されます。Intune によって収集されるデバイス プロパティの詳細については、Intune のデバイス プロパティをご覧ください。
- [続行] をクリックします。
- [サービス アカウント ID] の情報をコピーします。
- [サービス アカウント ID] を使用して、Azure ワークロード ID に対して Intune デバイスからのデータ収集を承認します。
- 外部 ID プロバイダを信頼するようにアプリを構成します。
対応するフィールドに次の値を指定します。
- 名前: 連携した認証情報の任意の名前。
- サブジェクト鍵識別子: コピーしたサービス アカウント ID。
- 発行元:
https://accounts.google.com。
- アプリに権限を付与します。
DeviceManagementManagedDevices.Read.All権限とDeviceManagementApps.Read.All権限を検索し、Microsoft Graph に追加します。 API 権限のリクエストを行う場合は、[アプリケーションの権限] を選択します。DeviceManagementManagedDevices.Read.Allは、すべてのデバイスと、Intune が管理しているプロパティへの読み取りアクセス権を提供します。DeviceManagementApps.Read.Allは、デバイス削除イベントの Intune 監査ログへの読み取りアクセス権を提供します。- アプリケーションに関して構成された権限に対する管理者の同意を付与します。
- 外部 ID プロバイダを信頼するようにアプリを構成します。
- [Connect to Intune] ダイアログで [Connect] をクリックします。
Intune への接続が open に設定されています。
組織部門に対して Intune を有効にする
Intune を使用してデバイス情報を収集するには、次の手順で組織部門向けに Intune を有効にします。
管理コンソールのホームページから、[デバイス] にアクセスします。
[デバイス] にアクセスする- ナビゲーション メニューで、[モバイルとエンドポイント] > [設定] > [サードパーティ統合] > [セキュリティ パートナーと MDM パートナー] の順にクリックします。
- [組織部門] ペインで、組織部門を選択します。
[Microsoft Intune] のチェックボックスをオンにして、[保存] をクリックします。
これで、Microsoft Intune がセキュリティと MDM のパートナーのリストに追加されました。組織の規模によっては、Endpoint Verification と Intune 間の接続を確立するのに数秒かかる場合があります。接続の確立後、デバイスから Intune のデータが報告されるまでに数分から 1 時間かかる場合があります。
デバイスで Intune データを確認する
管理コンソールのホームページから、[デバイス] にアクセスします。
[デバイス] に移動- [エンドポイント] をクリックします。
組織部門で、Intune が有効になっているデバイスを選択します。
![[デバイス] ページ](https://cloud.google.com/static/beyondcorp-enterprise/images/device-inventory.png?hl=ja)
Microsoft Intune のデータが [サードパーティ サービス] セクションに表示されていることを確認します。
![[デバイス] ページ 2](https://cloud.google.com/static/beyondcorp-enterprise/images/intune-data1.png?hl=ja)
完全な詳細を確認するには、[サードパーティ サービス] セクションを展開します。
次の図は、Intune によって収集されたデータの詳細を示しています。
![[デバイス] ページ 2](https://cloud.google.com/static/beyondcorp-enterprise/images/intune-data2.png?hl=ja)
Intune によって報告されるコンプライアンス状態は、大きく分けて次のコンプライアンス状態に分類されます。
| Google 管理コンソールでのコンプライアンスの状態 | Intune によって報告されたコンプライアンス状態 |
|---|---|
COMPLIANCE_STATE_UNSPECIFIED |
unknown、configManager |
COMPLIANT |
compliant |
NON_COMPLIANT |
noncompliant、conflict、error、inGracePeriod |