Microsoft Intune のサービスリリース 2606 の展開が続いており、最初の 2606 概要で取り上げなかった第 2 波のアップデートが公開されました。これらのアップデートは、AI ガバナンス、ライセンスの変革、Android のセキュリティ強化、Linux サーバー管理にまたがるものであり、Intune が MDM/MAM ツールから戦略的なセキュリティおよび運用プラットフォームへと進化していることを総合的に示しています。
今週注目すべき 2606 の 7 つのアップデートをご紹介します。
1. ChatGPT が Intune の保護アプリに認定
ChatGPT モバイルアプリが Microsoft Intune の保護アプリとして正式に登録されました。これにより、デバイス登録を必要とせず、Intune アプリ保護ポリシー(MAM)を ChatGPT に直接適用できるようになりました。
制御可能な項目:
- ChatGPT から非管理アプリへのコピー/ペーストや「名前を付けて保存」の制限
- 仕事用アカウントで ChatGPT を使用する際のデバイスコンプライアンス要件(脱獄/ルート化なし)
- アプリ PIN または生体認証の強制
- ユーザーの離脱やデバイス紛失時に ChatGPT から組織データを選択的にワイプ
なぜ重要か: これはエンタープライズ AI ガバナンスにおける画期的な出来事です。ChatGPT を全面的にブロックする代わりに、組織は厳格なデータ損失防止(DLP)制御を適用した上で ChatGPT を有効化できるようになりました。OS を管理できない BYOD デバイスでも、ChatGPT への企業データの流入・流出を制御できます。これにより、「ChatGPT を許可すべきか?」から「ChatGPT をどのようにガバナンスするか?」へと議論が移行します。
管理者のアクション: 既存のアプリ保護ポリシーの対象アプリリストに ChatGPT を追加してください。厳格な DLP 設定を適用し、条件付き起動を要求し、サポートチームが ChatGPT の制御方法を理解できるように AI ガバナンスのドキュメントを更新してください。
2. Intune Suite の機能が Microsoft 365 E3 および E5 にバンドル
これは Intune にとって近年最も重要なライセンス変更と言えます。Microsoft は複数の Intune Suite 機能を M365 E3 および E5 ライセンスに直接追加し、個別のアドオン購入の必要性をなくしました。
M365 E3(EMS E3 経由)に新たに含まれる機能:
- Remote Help
- Advanced Analytics
- Intune Plan 2(Microsoft Tunnel for MAM、専用デバイス管理、FOTA アップデート)
M365 E5 には E3 のすべての機能に加えて以下が含まれます:
- Endpoint Privilege Management(EPM)
- Enterprise Application Management(EAM)
- Microsoft Cloud PKI
なぜ重要か: M365 E3/E5 を持つ多くの組織は、別途ライセンスが必要だったためこれらの高度な機能を採用していませんでした。現在、これらの機能は対象テナントに対して Microsoft 365 管理センターでの 30 日通知の上で自動プロビジョニングされます。これにより E3/E5 エコシステム全体のセキュリティベースラインが引き上げられ、IT チームは追加調達なしで最小権限の昇格、エンタープライズアプリのライフサイクル自動化、クラウドベースの PKI にアクセスできるようになります。
管理者のアクション: ライセンス管理者と協力して新しいエンタイトルメントを確認してください。ロールアウトの優先順位: Remote Help → EPM → Tunnel for MAM → EAM 自動アップデート → Cloud PKI。重複するサードパーティツールを見直し、統合とコスト削減の可能性を評価してください。
3. Android Enterprise の新設定: AI エージェントのブロックと接続の強化
Android Enterprise の Intune 設定カタログに、3 つのカテゴリにわたる 15 以上の新設定が追加される大規模なアップデートが行われました。
アプリケーション:
- アプリによるアプリ機能の公開をブロック — 管理対象アプリが、他のアプリやデバイス上の AI エージェントが呼び出せるプログラム的操作を公開できるかどうかを制御します。これは、モバイルデバイス上の AI 主導のアプリオーケストレーションを制御する Microsoft の初の本格的な取り組みです。
- 仕事用プロファイルアプリのウィジェットをブロック — ホーム画面でのウィジェットの表示を制御します
接続性(11 の新設定):
- 機内モード、セルラー 2G、VPN 設定、SMS、発信通話、超広帯域のブロック
- Wi-Fi セキュリティの最小レベル(Open → Personal → Enterprise → Enterprise 192-bit)
- セル放送、モバイルネットワーク設定、ネットワークリセットのブロック
- 5G エンタープライズスライスの優先ネットワークサービス
全般:
- 印刷、ユーザーアイコン変更、壁紙変更、eSIM プロファイル追加のブロック
なぜ重要か: AI エージェントブロックの設定は特に重要です — これは、AI エージェントがユーザーの明示的な意図なしにアプリの操作をオーケストレーションするという新たな脅威に直接対処します。接続性の面では、2G のブロックはよく知られたダウングレード攻撃や傍受のリスクを軽減し、Wi-Fi セキュリティの最小要件は企業のフリート全体で最新の暗号化標準を強制します。
管理者のアクション: 企業の Android デバイスのベースラインポリシーを作成または更新してください。可能な場合は 2G を無効化し、Wi-Fi セキュリティの最小要件を強制し、機密性の高いユーザーグループに対してアプリ機能の公開をブロックするか評価してください。
4. Trustd Mobile が Mobile Threat Defense パートナーとして追加
Trustd Mobile が Intune のサポート対象の Mobile Threat Defense(MTD)パートナーとして追加され、Android 9.0+ および iOS/iPadOS 15.0+ に対応します。
これが意味すること: Trustd Mobile の脅威シグナルは Intune のコンプライアンスおよび条件付きアクセスに直接統合されます。高重大度の脅威が検出されたデバイスは自動的に非準拠としてマークされ、企業リソースへのアクセスがブロックされます。
また、Intune 管理センターに新しい Mobile Threat Defense ロールカテゴリが導入され、広範な Intune 権限を付与せずに MTD 管理を委任できるようになりました。
管理者のアクション: MTD ソリューションを評価中の場合は、Trustd Mobile を候補リストに追加してください。コネクタを設定し、リスクレベルをコンプライアンスアクションにマッピングし、一部のユーザーでパイロット実施してください。
5. Remote Help が Azure Virtual Desktop の RemoteApp に対応
Remote Help が Azure Virtual Desktop の RemoteApp セッションをサポートするようになり、フルデスクトップセッションだけでなく RemoteApp セッションにも対応しました。ヘルプデスクの担当者は、RemoteApp セッション内で個別に公開されたアプリを安全に表示・操作できるようになりました。
なぜ重要か: アプリのみを公開するロックダウンされた AVD 環境を実行している組織は、物理 PC やフル AVD デスクトップと同じ Remote Help ツールでサポートできるようになりました。これによりサポート運用が統一され、従来のリモートサポートツールよりも優れた監査と RBAC が提供されます。
管理者のアクション: サポートスタッフが最新の Remote Help クライアントを使用していることを確認してください。サポートランブックに RemoteApp のトラブルシューティングワークフローを含めてください。M365 E3 のバンドルで Remote Help を新たに利用できるようになった場合は、従来のリモートサポートツールの統合を検討してください。
6. Microsoft Tunnel が RHEL 9.7 に対応
Microsoft Tunnel Gateway が Red Hat Enterprise Linux 9.7 をサーバーディストリビューションとしてサポートするようになり、コンテナエンジンとして Podman 5.8.2 が必要になります。
移行時の注意点:
- Podman v3 コンテナは Podman 5.8.2 と互換性がありません — コンテナを再作成し、Microsoft Tunnel を再インストールする必要があります
- RHEL 9.x は ip_tables モジュールを自動的にロードしません — インストール前に手動でロードする必要があります
- 新しい環境に合わせて SELinux とファイアウォールの設定を計画してください
管理者のアクション: 古い RHEL バージョンで Tunnel Gateway を実行している場合は、9.7 への移行を計画してください。自動化スクリプトを更新し、従来のコンテナエンジンではなく Podman を使用するようにしてください。
7. Linux Server 向け Defender Antivirus の新設定
Microsoft Defender Antivirus on Linux Server のエンドポイントセキュリティ アンチウイルスポリシーに 2 つの新設定が追加されました:
- オフラインのセキュリティインテリジェンスアップデート — Defender が Linux Server デバイスでシグネチャを最新の状態に保つ方法を管理します。これには、オフライン時のアップデートも含まれます。インターネットへの直接アクセスが制限されている隔離されたネットワークや高セキュリティネットワーク(DMZ、OT、規制環境)のサーバーにとって重要です。
- スケジュールスキャン — Defender が Linux デバイスでスケジュールスキャンをいつ実行するかを管理します。これにより、Linux での予測可能で監査可能なマルウェアスキャンが Windows と同等のレベルに近づきます。
これらの設定は、Intune に登録された Linux Server デバイスと、Microsoft Defender for Endpoint のセキュリティ設定管理で管理されている Linux デバイスの両方で機能します。
なぜ重要か: これにより、Linux のアンチウイルス管理のためのアドホックスクリプトや手動の cron ジョブが不要になります。Microsoft のより広範な Controlled Configuration イニシアチブと組み合わせることで、Windows と Linux にまたがる統一されたエンドポイント保護戦略へと組織を導きます。
管理者のアクション: Intune で Linux AV のベースラインを定義してください。メンテナンスウィンドウ中にスケジュールスキャンを設定し、内部アップデートサーバーを通じたオフラインシグネチャ配布のポリシーを設定してください。
全体的な展望
サービスリリース 2606 の第 2 波のアップデートは、Intune の 3 つの戦略的方向性を強化するものです:
- AI 対応管理 — ChatGPT の保護から Android の AI エージェントブロックまで、Intune はエンタープライズ AI ガバナンスの管理プレーンになりつつあります
- ライセンスの民主化 — Suite の機能を E3/E5 にバンドルすることで、多くの組織で高度なセキュリティ機能の採用を妨げていた調達の障壁を取り除きます
- プラットフォームの収束 — Linux サーバー管理、Android Enterprise の強化、AVD サポートが単一の管理プレーンの下で統合されています
IT 管理者へのメッセージは明確です: Intune はもはや単なる MDM ツールではありません。デバイスフリート全体のエンドポイントセキュリティ、AI ガバナンス、運用効率のための戦略的プラットフォームになりつつあります。
最初の 2606 記事ですでに取り上げた内容: EAM for GCC High/DoD、EAM 自動アップデート、macOS PKG 自動アップデート、iOS 向け WPA3-Personal、M365 Apps セキュリティベースライン v2512。Windows 25H2 ベースラインの IE11 COM オートメーションブロックは別途取り上げました。