はじめに:なぜ、今「Microsoft 365 Business Premium」なのか?
小さな組織のIT担当者にとって、日々頭を悩ませるのが「セキュリティソフトのコスト」と「複数ツールの管理の煩雑さ」ではないでしょうか。 昨今、中小規模の組織でもエンドポイントセキュリティやデバイス管理(MDM)の重要性が急務となっています。
そこで今回は、普段管理運用に携わっている実務環境(数十名規模のテナント)をベースに、Microsoft 365 BusinessからBusiness Premiumへアップグレードした際の具体的な移行手順と検証結果をレポートします。実際の運用環境だからこそ見えてきたIntuneやDefenderの挙動、トラブルシューティングについても3回に分けて詳しく解説します。
今回対象とした実運用環境でも、これまでは以下の構成で運用していました。
- Office系アプリ: Microsoft 365 Business (旧Standardなど)
- セキュリティ・資産管理: サードパーティ製のセキュリティソフト
しかし、契約更新のタイミングはバラバラ、管理画面も別々で、運用コストも手間も限界を迎えていました。 そこで今回、これらをすべて「Microsoft 365 Business Premium」へ一本化し、セキュリティとデバイス管理を完全にクラウドへ一元化するプロジェクトを敢行しました。本記事では、その具体的な移行手順と、実戦で得たノウハウを余すことなく公開します!
はじめにお断りしておきますが、私はセキュリティの専門家やM365のコンサルタントではありません。限られたリソース(いわゆる1人情シス環境)の中、二重投資のコストを削り、ネットワーク環境の安全を守るために泥臭く調べ、試行錯誤した結果をまとめた『一運用担当者のリアルな検証・実践記録』です。
実践記録は以下の3編で構成しています。
M365 Business Premium移行とクライアント端末のEntra ID参加ガイド(前編)(この記事)
最強の緊急用アカウント(ブレイクグラス)構築最短ルート(後編)
MacをMicrosoft 365の管理に参加させる手順とWindowsとの違い(番外編)
⚠️ 免責事項(あらかじめお読みください)
本記事に掲載している移行手順や設定内容は、あくまで実務環境において検証・成功した一例であり、すべてのPC環境やMicrosoft 365のテナント設定において動作を保証するものではありません。
実際の移行作業にあたっては、必ず事前にバックアップを取得し、テスト環境等で安全性を確認した上で、ご自身の責任において実施してください。本記事の情報によって生じた不具合やトラブルについて、当サイトは一切の責任を負いかねますのでご了承ください。
🏛️ 1. 迷子にならない!3つの「管理センター」の役割をスッキリ整理
Microsoft 365 Business Premiumに移行すると、管理画面がいくつか登場して混乱しがちです。まずは担当者が絶対に押さえておくべき「3つの管理センター」の役割を整理しておきましょう。
| 管理センター名 | 主な役割・管理対象 |
|---|---|
| M365 管理センター | ユーザーの追加・削除、ライセンスの割り当て、請求・支払いの管理など、すべての基本窓口。 |
| Entra 管理センター (旧Azure AD) | アカウントの認証(MFA)、セキュリティグループ、サインインログの監視など、「IDと認証の要」。 |
| Intune 管理センター | クライアント端末(Windows/Mac)やスマホの遠隔管理、セキュリティポリシー(Defender等)の配信。 |
「基本はM365」、「アカウント周りはEntra」、「PC本体の制御はIntune」と覚えておくと、迷子にならずにスムーズに設定を進められます。
🛑 【最重要の事前準備】BitLocker(暗号化)を一時無効(中断)にする
クライアント端末をEntra IDに参加させる前に、絶対に確認しなければならない超重要トラップがあります。それが、Windowsのドライブ暗号化機能である「BitLocker」です。
多くのPro版PCでは、購入時からこのBitLockerが有効(暗号化された状態)になっています。しかし、この状態のままEntra IDへの参加作業を行うと、暗号化の管理権限の移行がうまく行われず、次回のPC起動時に「BitLocker 回復キーを入力してください」という恐怖のブルー画面が表示され、PCが完全にロックされてしまう大事故が起きるリスクがあります。
社内パニックを防ぐため、作業前に必ず以下の手順でBitLockerの保護を一時的に「中断(または解除)」してください。
(※私はBitLockerを解除しましたが、ご自身の状況に合わせて中断・解除をご判断ください。)
【実践】BitLockerの一時無効化手順
- タスクバーの検索窓に「コントロールパネル」と入力して開きます。
- 「システムとセキュリティ」 ➔ 「BitLocker ドライブ暗号化」 をクリックします。
- 現在のステータスを確認します。
・「BitLocker は無効です」と表示されている場合: そのまま次のEntra ID参加へ進んでOKです。
・「BitLocker は有効です」と表示されている場合: 「保護の中断」(または「BitLocker を無効にする」)をクリックします。 - 「このドライブのデータは保護されなくなります」と警告が出ますが、一時的な作業のためそのまま進めます。ステータスが「中断」または「無効」になったことを確認してください。
これでPCの「足枷(あしかせ)」が外れ、安全にアカウントやデバイスの紐付けを変更できる状態になりました!この状態で、次の「Entra ID参加」のステップへと進みます。
(※Entra IDへの参加とIntuneへの登録が完全に完了した後、改めてBitLockerを有効化すれば、今度は「回復キー」が会社のEntra ID(クラウド)上に自動で安全にバックアップされるようになり、管理が劇的に楽になります!)
💻 2. クライアント端末を「Entra ID(旧Azure AD)参加」させる具体的手順と【重要方針】
社内にActive Directory(AD)サーバーを置かない中小企業が、クラウドでクライアント端末を一元管理するための核心部分です。
💡 当社の重要方針:既存の「ローカルアカウント」を維持する
ここで、中小企業のIT担当者として非常に重要な運用のポイント(方針)があります。
多くの解説サイトでは「Entra IDに完全移行し、Windowsのログイン自体もM365アカウントに切り替える」方法が紹介されています。しかし、これをやってしまうとWindows内に新しいユーザー環境(プロファイル)が作られてしまい、エンドユーザーがこれまで使っていたデスクトップの壁紙、ファイルの配置、ブラウザのお気に入り、各種アプリの設定などがすべて見えなくなり、対象環境が大混乱に陥ります。
そこで今回は、「これまで慣れ親しんだWindowsの『ローカルアカウント』でのログイン運用はそのまま維持しつつ、裏側でデバイスだけをEntra IDに参加させ、Intuneの管理下に置く」という、実務上最もハードルが低い現実的なルートを選択しました。
⚠️ 事前チェック
参加させるクライアント端末のOSが Windows 10/11 Pro であることを確認してください(HomeエディションはEntra ID参加ができません)。
【実践】既存環境を壊さないEntra ID参加のステップ
- エンドユーザーが普段使っている「ローカルアカウント」でWindowsにログインします。
- Windowsの 「設定」 ➔ 「アカウント」 を開きます。
- 「職場または学校へのアクセス」 をクリックします。
- 「接続」 ボタンをクリックします。
- 【超重要・最大の罠】 画面中央に表示される「メールアドレスの入力欄」には何も入力せず、その下にある小さな青いリンク文字 「このデバイスをMicrosoft Entra IDに参加させる」 をクリックします。
(※ここで普通に上の入力欄にメールアドレスを入れてしまうと、単なる「個人PCへのアカウント追加(お仕事用アカウントの登録)」になってしまい、組織による完全なデバイス管理下に置くことができません!) - エンドユーザーのM365アカウント(メールアドレスとパスワード)を入力し、画面の指示に従って進めれば完了です。
完了後、一度PCをサインアウト(または再起動)すると、いつものローカルアカウントとパスワードでWindowsにログインして(そのままの環境で)作業を再開できます。
👥 移行後の状態はどうなる?
この手順で行うと、クライアント端末の所有権(マネジメント権)だけが対象環境のM365(Intune)に紐付きます。
エンドユーザーは明日からも、これまでと全く同じローカルアカウント環境(デスクトップやデータもそのまま)でPCを起動して仕事を続けることができますが、裏側では対象環境が指定したセキュリティポリシー(Defenderの強制やアップデート管理など)がIntuneから自動的に適用されるという、まさに「いいとこ取り」の運用が実現します。
🔑 3. PCにインストール済み「365アプリ」のライセンス移行術
「上位ライセンス(Premium)に切り替えたら、クライアント端末に入っているOfficeアプリは再インストールが必要なの?」という疑問が必ず湧きます。
結論から言うと、再インストールの必要は原則ありません!
スムーズなライセンス切り替え手順
- M365管理センターにログインします。
- 対象ユーザーのページを開き、既存のライセンス(Business Standardなど)のチェックを外し、新しく 「Business Premium」にチェックを入れて保存 します。
(実務環境は、すでに「Business Premium」にチェックが入っていました。) - クライアント端末で、ExcelまたはWordを起動します。
- 「ファイル」 ➔ 「アカウント」 画面を開き、「ライセンスの更新」 ボタンをクリックします。(または、一度サインアウトして、新しい Premium ライセンスが割り当たったアカウントで再度サインインします。)
これだけで、PCの中身を汚すことなく、裏側のライセンスだけが綺麗にPremium(高度なセキュリティ連携機能付き)へと切り替わります。
🛡️ 4. サードパーティ製セキュリティソフトの「お見送り」
ライセンスの切り替えとEntra IDへの参加が完了したら、これまで使っていたサードパーティ製のセキュリティソフトをアンインストールします。
「ウイルス対策ソフトを消して大丈夫?」と不安になるかもしれませんが、安心してください。サードパーティ製ソフトが消えると、Windows標準の「Windows Defender」が自動的に目を覚まします。
さらにBusiness Premiumの力によって、このDefenderが企業向けの強力なEDR機能(Defender for Business)へと自動的にアップグレードされ、Intune管理センターから社内全体の安全性を一元監視できるようになります。これで、セキュリティの二重投資と管理の分散から完全に脱却できました!
→ 後編 「最強の緊急用アカウント(ブレイクグラス)構築最短ルート」 はこちら
→ 番外編「MacをMicrosoft 365の管理に参加させる手順とWindowsとの違い」 はこちら
コメント