Windows 10で「リモート削除」できる、Microsoft 365のデバイス管理機能

　Microsoft 365はWindows 10のライセンスやOffice 365が提供されるだけでなく、ユーザーが利用するデバイスを管理・制御するための機能も組み込まれている。これを利用すれば、Officeの各アプリで作成したファイルを自動的に暗号化するなど、さまざまな設定をリモートから行える。今回は、これらの機能の使い方を見ていこう。

ポリシーを作成してPCを制御できる

　Microsoft 365のポータルサイトに管理者アカウントでサインインし、「Microsoft 365管理センター」にアクセスすると、左にある項目の1つとして「デバイス」が表示される。このメニューでは、アプリケーションやデバイスに関するポリシーを作成したり、ユーザーが利用するデバイスの確認などが可能だ。

　ここで作成できるポリシーの種類は、Android、iOS、Windows 10の各アプリケーション管理、そしてデバイスの構成の4種類となっている。ポリシーの種類として「Windows 10のアプリケーション管理」を選ぶと、作業ファイルの暗号化やファイルの保存先の制限、暗号化するファイルの指定などが行える。

ポリシーの追加画面で「Windows 10のアプリケーション管理」を選ぶと、作業ファイルの暗号化やコピー先の制限、対象アプリケーションの指定などを指定できる

ポリシーの種類として「Windows 10デバイスの構成」を選ぶと、各種セキュリティ機能のオン／オフを切り替えられる

　なお、このポリシーの設定では「デバイスの種類」として「個人」と「会社所有」のいずれかを選択することが可能だ。「個人」は従業員が個人として所有しているPC、「会社所有」は従業員に対して会社から貸与しているPCであり、それぞれに応じてポリシーを切り替えることができる。

　ポリシーの種類に「Windows 10デバイスの構成」を選択すると、セキュリティ保護に関する項目を細かく指定できるほか、PCのアイドル時に画面をオフにするまでの時間を指定可能となっている。

　Windows 10のアプリケーション管理と、Windows 10デバイスの構成のいずれも、「これらの設定の該当ユーザー」として、ポリシーを適用するユーザーのグループを指定できる。PCの用途に応じてグループを作成し、それぞれのグループごとに異なるポリシーを割り当てたい、といった場面で使えるだろう。

ポリシーの割り当てに利用するグループを作成する際は、グループの種類として「セキュリティ」を選択する

あらかじめグループの管理画面でメンバーを追加しておき、ポリシーの追加画面で割り当てたいグループを指定する

リモートでのデータ削除もサポート

　Microsoft 365へ個人と会社所有のどちらで登録するかは、Windows 10へのMicrosoft 365アカウントの追加方法で制御できる。

「職場または学校アカウントのセットアップ」画面では、そのままメールアドレスを入力してセットアップを行えば個人のデバイスとして、「このデバイスをAzure Active Directoryに参加させる」を選ぶと、会社所有のデバイスとして、登録ができる

　会社所有として登録する場合は、Windows 10の「設定」－「アカウント」で「職場または学校にアクセスする」を選び、「接続」をクリックした後で「このデバイスをAzure Active Directoryに参加させる」を選ぶ。この後、Microsoft 365のアカウント情報を登録すれば、そのデバイスは会社所有として登録が行われる。

　一方、個人として登録する場合には「職場または学校アカウントのセットアップ」画面から、そのままアカウント情報を入力すればいい。

会社所有のデバイスとして登録したデバイスの一覧が表示される。一覧からデバイスをクリックすれば、利用しているユーザーやデバイスの種類などを確認できるほか、「出荷時の設定にリセット」や「会社のデータの削除」などの操作が行える

　会社所有として登録したPCは、Microsoft 365管理センターの「デバイス」にある「管理」から確認できる。リストからいずれかのPCをクリックすると、そのデバイスを利用しているユーザーのアカウントやデバイスの種類、状態、OSのバージョンなどが確認できる。

　この画面にある「出荷時の設定にリセット」をクリックすると、デバイスを購入したときの元の設定へとデバイスを戻せる。また「会社のデータの削除」をクリックすれば、会社のデータを削除することが可能だ。デバイスが第三者の手に渡り、情報が漏えいする可能性があるといった場合に利用できるだろう。

　Microsoft 365管理センターのメニューにある、「Microsoft Endpoint Manager admin center」にアクセスすれば、デバイスに関する詳細な情報を取得できる。Microsoft Endpoint Manager admin centerのメニューから、「すべてのサービス」、あるいは「お気に入り」から「デバイス」を選択し、さらに「すべてのデバイス」をクリックすれば、会社所有のデバイスをすべて表示できる。その後、いずれかのデバイスを選べば、ハードウェアの詳細やインストールされているアプリなどが確認できる。

「Microsoft Endpoint Manager admin center」では、デバイスのより詳細な情報を確認できる

インストールされているアプリの一覧をチェックすることも可能だ

　このMicrosoft Endpoint Manager admin centerは、Microsoft 365に組み込まれている「Intune」の機能を制御するもので、ほかにもデバイス管理のための数多くの仕組みがある。それらについても、今後紹介していきたい。