各種操作 / その他の設定 / Microsoft Intune 監視デバイスのセキュリティーメッセージの表示

Microsoft Intune（以下、Intune）は、デバイスに関するセキュリティー警告など、追加の有用な情報を提供できるツールです。
AVM EXとIntuneを連携することで、Intuneの管理下のデバイスに対しセキュリティー警告が発報されたときに、ネットワークマップにアラームバッジを表示したり、イベントログを出力したりできます。

本ページでは、Intuneからの通知をAVM EXで受信するにあたって必要な、Intuneとの連携方法を解説します。

Note
Intuneプラグインのアラームを発生させる場合は、IntuneクライアントでMicrosoft DefenderやAzure Event Hubsなど、Intuneに必要なアプリケーションを有効にする必要があります。
対応アプリケーションはIntuneのマニュアルを参照してください。

必要なもの

必要なアカウントとライセンス

Microsoftのサービスを使用するうえで、次のアカウントおよびライセンスが必要です。
各種サービスの関連付けやIntuneでのデバイス管理については、Microsoftのドキュメントを参照してください。

■ アカウント

Microsoft Azureアカウント

■ ライセンス

Microsoft Defender for Endpoint P2
Microsoft Entra ID ガバナンス
Microsoft Intune Plan 1
Office 365 E5

プラグイン登録に必要な情報

Intuneの連携には、次の情報が必要です。
いずれもMicrosoft社のAzure portalから確認できます。

クライアントID：
アプリケーションがMicrosoft Intuneにアクセスするために使用される識別子で、アプリケーションの登録時に一意に決定されます。
Microsoft Entra ID 概要 > アプリの登録 > アプリケーション > 概要画面に表示される「アプリケーション (クライアント) ID」を指します。
クライアントシークレット：
アプリケーションがIntuneサービスにアクセスするために使用される秘密の文字列です。
Microsoft Entra ID 概要 > アプリの登録 > アプリケーション > 証明書とシークレット画面にて生成する「値」列の文字列です。

Note
クライアントシークレットは、Azure portalにて「クライアントシークレットの追加」を行った直後しか表示されません。生成後速やかにコピーし、手元のファイルに控えておく必要があります。
テナントID：
Microsoft Entraのテナントの一意な識別子で、テナントの作成の際に、組織のMicrosoft Entra IDの登録時に一意に決定されます。
Microsoft Entra ID 概要 > アプリの登録 > アプリケーション > 概要画面に表示される「ディレクトリ (テナント) ID」にて確認できます。

準備

Microsoft Entra ID側

AVM EXのIntuneプラグインとの通信のためには、Azure portalにて、Intune側のAPIエンドポイントと通信するアプリケーションとしてAVM EXのIntuneプラグインを登録する必要があります。

Azure portal（https://portal.azure.com）にアクセスします。
Azureサービスから「Microsoft Entra ID」をクリックし、Microsoft Entra IDの概要画面に移動します。
左側のメニューで「アプリの登録」をクリックし、アプリの登録画面を表示します。
「新規登録」をクリックし、アプリを登録します。
アプリケーションの登録画面にて、名前を任意に設定し、「登録」ボタンをクリックします。リダイレクト URIは省略してかまいません。
登録されたアプリケーションの基本欄から、次の情報をテキストファイルなどに控えます。
- アプリケーション (クライアント) ID
- ディレクトリ (テナント) ID
左側のメニューから、「証明書とシークレット」をクリックします。
クライアントシークレットを生成します。
「クライアントシークレット」タブにて、「新しいクライアントシークレット」をクリックします。
「クライアントシークレットの追加」サイドパネルにて、任意の説明と有効期間を設定し、「追加」ボタンをクリックします。
生成されたクライアントシークレットをテキストファイルに控えます。
「値」列に表示される文字列を、Intuneプラグインの登録の際に用います。

Note
クライアントシークレットは、Azure portalにて「クライアントシークレットの追加」を行った直後しか表示されません。生成後速やかにコピーし、手元のテキストファイルなどに控えておく必要があります。

以上でIntuneプラグインのアプリケーション登録と、プラグイン登録に必要な情報の収集が完了しました。

AT-Vista Manager EX側

Intuneプラグインの登録

IntuneプラグインはAVM EXに内蔵されています。プラグインライセンスを追加購入したり、別途プラグインをインストールしたりすることなくご利用いただけます。

メインメニューから「システム管理」を選択します。
コンテンツ欄左側の一覧から「プラグイン」を選択します。
プラグイン管理画面下部のプラグイン一覧から、右上の「プラグインを追加」ボタンをクリックします。
サーバー URLに、AVM EXに内蔵のIntuneプラグインに対応したURLを入力し、「プラグインを登録」ボタンをクリックします。
```
https://（AVM EXのIPアドレス）:19443
```
内蔵のIntuneプラグインのプラグイン証明書フィンガープリントが表示されます。
「フィンガープリントの一致を確認」ボタンをクリックします。
Intune セットアップ情報を入力する画面に切り替わります。
別途、Microsoft Entra 管理センターにて設定したクライアントID、クライアントシークレット、テナントIDを入力して、「保存」ボタンをクリックします。

プラグインの連携が成功すると、プラグイン一覧に「Intune」プラグインが追加されます。

Intuneプラグインの追加後は、ネットワークマップにてトポロジー更新が必要です。
以後、Intuneで検出されたデバイスは、ネットワークマップや状態監視画面で確認できるようになります。

Note
Intuneで検出されたデバイスのステータスは反映されません。常にオンラインとして表示されます。

AVM EXで既に表示されているデバイスに関する情報をIntuneが検出した場合、デバイスのMACアドレスが一致すれば、既存のデバイスとマージされて表示されます。
セキュリティー警告やデバイスに関するその他の新しい情報の更新は5分間隔で行われます。