Intune 2025年12月更新: Admin tasksとAndroid強化
概要
Intuneの2025年12月更新では、EPMやDefender for Endpoint、Multi-Admin Approvalの依頼を一元管理できる「Admin tasks」プレビューや、EPM昇格要求へのスコープタグ適用により、管理運用の効率化とZero Trustに沿った権限制御の強化が進みます。あわせてAndroidでは、Managed Home Screenのオフライン利用やサインイン不要のアプリアクセス、より細かなプライバシー・パスワード制御などが追加され、現場端末の使いやすさとセキュリティを両立できる点が重要です。
はじめに: なぜ重要なのか
エンドポイント管理チームには、セキュリティ リスクを拡大させることなくスピードを上げる継続的なプレッシャーがあります。Intune の最新更新は、ワークフローの統合、アクセス境界の強化、クロスプラットフォーム制御の改善によって「無駄な作業」を排除するという 2025 年のテーマを引き続き推進しています。特に、現場向け Android と Apple の自動登録エクスペリエンスはユーザー満足度を左右し得るため、改善の効果が大きい領域です。
新機能 (2025年11月〜12月)
1) 管理作業を確認する単一の場所 (Public Preview)
新しい Admin tasks ノード (Intune admin center > Tenant administration) で、次を一元化します:
- Endpoint Privilege Management (EPM) のファイル昇格要求
- Defender for Endpoint のセキュリティ タスク
- Multi-Admin Approval の要求
管理者はタスク種別を横断して検索、フィルター、並べ替えができ、コンテキスト切り替えや承認漏れを減らせます。
2) EPM 昇格要求がスコープ タグを尊重
Intune で、EPM 昇格要求のレビューに scope tag enforcement が追加されます。これまでは権限を持つレビュー担当者がテナント全体の要求を閲覧できる可能性がありましたが、今後は Zero Trust 原則に沿って、管理者に割り当てられたスコープに可視性が限定されることで、RBAC の整合性が高まります。
3) Android の改善: UX、アプリ管理、より強力なプライバシー制御
Managed Home Screen に、現場向けのオプションが追加されます:
- Offline mode および app access without sign-in
- より粒度の高い volume controls (通話、着信音、通知、アラーム、メディア)
managed Google Play のカタログ保守では、新しい “Reset to Basic” オプションにより、既定の「承認済みアプリがすべて表示される」状態へ迅速に戻せます。
内部的には、Android 保護が Intune Settings Catalog を通じて拡張され、次が含まれます:
- Block assist content sharing with privileged apps (AI アシスタント/スクリーン リーダーが work profile のコンテキストを取得することを防ぐのに役立つ)
- work profile のプライバシー制御 (例: block Bluetooth contact sharing、仕事用連絡先が個人の caller ID に表示されないようにする)
- work profile の新しいパスワード制御 (有効期限、再利用履歴、失敗時のワイプ)
4) Android のより精密なターゲティング + リアルタイム VPN 強制
Device Management Type を assignment filter のプロパティとして使用できるようになり、Android Enterprise と AOSP のシナリオをまたいだポリシー ターゲティングをより正確に行えます。
さらに、Defender for Endpoint が Android の root を検出した場合、Microsoft Tunnel はデバイスが修復されるまで VPN アクセスを即時にブロックできます (アクティブな接続の切断を含む)。
5) Apple の登録エクスペリエンス設計 (GA)
iOS/iPadOS および macOS Automated Device Enrollment 向けの Setup Assistant customization が generally available になりました。管理者は Setup Assistant の特定画面を表示/非表示にして、デバイスまたはユーザー グループごとにオンボーディングを最適化できます。
6) Windows 365 オンボーディング: Autopilot device prep (Preview)
Windows Autopilot device preparation の automatic mode が、次を対象に public preview になりました:
- Windows 365 Enterprise
- Windows 365 Frontline (dedicated mode)
- Windows 365 Cloud Apps
これにより Cloud PC のプロビジョニング中に device prep ポリシーを適用でき、カスタム イメージへの依存を減らし、より明確なレポートで初日からの準備状況を改善します。
IT 管理者とエンドユーザーへの影響
- 管理者は、より速く信頼性の高いレビュー ワークフロー (およびコンソール移動の削減) を得られます。
- EPM 要求処理における最小権限の境界が強化されます。
- Android フリートは、実用的な現場向け UX 改善と強力なプライバシー制御の恩恵を受けます。特に AI 支援機能が進化する中で重要です。
- Apple ADE は一貫性と使いやすさが向上し、初回起動時の体験が改善されます。
- Windows 365 ユーザーは、必要なアプリ/スクリプトがより早く整った Cloud PC を利用開始できます。
アクション項目 / 次のステップ
- Admin tasks node をパイロットし、承認およびセキュリティ タスクの運用手順書 (runbook) を更新してください。
- スコープ タグ戦略を見直し、EPM レビュー担当者が適切な (そして必要な範囲だけの) 可視性を持つことを確認してください。
- Android では、新しい Settings Catalog 制御 (特に “block assist content sharing”) を評価し、Device Management Type フィルターでポリシー ターゲティングを最適化してください。
- Microsoft Tunnel を使用している場合、root detection → VPN block のワークフローを検証し、ユーザー向けの修復ガイダンスを確認してください。
- Apple ADE では、ペルソナ別 (例: 役員 vs. 現場) に Setup Assistant の画面セットを標準化してください。
- Windows 365 では、パイロット グループで Autopilot device prep (automatic mode) をテストし、CPC + Autopilot device prep のデプロイ レポートを監視してください。
Microsoftテクノロジーの最新情報を入手