Configuration Manager のクラウド アタッチを有効にする

  • [アーティクル]

適用対象: Configuration Manager (Current Branch)

バージョン 2111 から、Configuration Manager 環境をクラウド アタッチする方が簡単です。 能率的な既定の推奨設定のセットを選択するか、クラウド アタッチ機能をカスタマイズします。 バージョン 2111 をまだ実行していない場合は、テナント アタッチエンドポイント分析、および共同管理の記事を使用して、クラウド アタッチ機能を有効にします。

クラウド アタッチ構成ウィザードのスクリーンショット

簡略化されたクラウド アタッチ構成

(バージョン 2111 以降に適用します)

推奨される既定の設定を使用すると、組織の適格なデバイスはクラウド アタッチされます。 リッチ分析、クラウド コンソール、リアルタイム デバイス クエリのような機能を有効にします。 既定の設定には、次の機能を含んでいます:

  • すべての適格なデバイスを Intune に自動的に登録できるようにする
    • すべてのワークロードが Configuration Manager を指定した状態で、クライアントを共同管理に登録します
    • デバイスは、共同管理の前提条件を満たす場合、適格です。 これらのデバイスは、標準で容易された共同管理の適格なデバイスコレクションに一覧表示されます。
    • このオプションは、現在 China21Vianet (Azure China Cloud) で利用可能な唯一のオプションです。
  • エンドポイント 分析を有効にする
  • 管理センターへのすべてのデバイスの自動アップロードMicrosoft Intune有効にします (テナント接続)
  • 管理センターにアップロードされたデバイスでレポートを作成するためのMicrosoft Defender for Endpoint データのアップロードMicrosoft Intune有効にします

重要

Microsoft Intune テナントにConfiguration Manager サイトをアタッチすると、サイトは Microsoft にさらに多くのデータを送信します。 テナントアタッチ データ収集 に関する記事では、送信されるデータをまとめたものです。

注:

それぞれのクラウド アタッチ機能の前提条件が満たされていることを確認する。 前提条件の詳細については、「テナント アタッチの前提条件Endpoint analyticsの前提条件、および共同管理の前提条件」を参照してください。

既定の設定を使用したクラウド アタッチ

次の手順を使用して、既定の設定で環境をクラウド アタッチします:

  1. Configuration Manager コンソールから、[管理>クラウド サービス>クラウド アタッチ] に移動します。

  2. リボンから [クラウド アタッチの構成] を選択して、ウィザードを開きます。

  3. Azure Environment を次の一覧から選択します:

    • Azure パブリック クラウド
    • Azure US Government クラウド
    • Azure China クラウド
      • Azure China Cloud で管理センター Microsoft Intune有効にできないエンドポイント分析とデバイスのアップロード

  4. [サインイン] を選びます。 プロンプトが表示されたら、アカウントにサインインします。

  5. [既定の設定 (推奨) を使用する] が選択されていることを確認し、アプリ登録通知が表示されたら、[次へ][はい]の順に選択します。

  6. 概要を確認し、[次へ]を選択 して環境をクラウド アタッチし、ウィザードを完了します。

カスタム設定を使用したクラウド アタッチ

(バージョン 2111 以降に適用します)

カスタム設定を使用して環境をクラウド アタッチするには、次の手順を使用します:

  1. Configuration Manager コンソールから、[管理>クラウド サービス>クラウド アタッチ] に移動します。

  2. リボンから [クラウド アタッチの構成] を選択して、ウィザードを開きます。

  3. Azure Environment を次の一覧から選択します:

    • Azure パブリック クラウド
    • Azure US Government クラウド
    • Azure China クラウド
      • Azure China Cloud で管理センター Microsoft Intune有効にできないエンドポイント分析とデバイスのアップロード

  4. [サインイン] を選びます。 プロンプトが表示されたら、アカウントにサインインします。

  5. [設定のカスタマイズ] オプションを選択して、クラウド アタッチ機能を個別に有効にします。

  6. 既定では、Configuration Managerは資格情報を使用して、Microsoft Entra テナントにアプリを登録します。 このアプリは、オンプレミス サイトと Intune 間のデータの同期について承認を行います。 既に作成したアプリを使用するには、[必要に応じて別の Web アプリをインポートする] を選択して、Configuration Managerクライアント データを Microsoft Endpoint Manager 管理センターに同期します。 詳細については、「以前に作成したMicrosoft Entra アプリケーションをインポートする」を参照してください。

  7. [次へ] を選択して、続行します。 また、アプリケーションの登録を確認Microsoft Entra求めることもできます。 [はい]を選択して、アプリ登録を確認します。

  8. [構成アップロード]ページの[デバイス]セクションで、[テナント アタッチ]を有効にします。 テナントアタッチを使用すると、Configuration Manager デバイスがMicrosoft Intune管理センターのクラウドベースのコンソールにアップロードされます。 アップロードされたデバイスは、クエリの実行、スクリプトの実行、アプリのインストール、デバイスのイベント タイムラインの表示など、目的にかなったアクションを実行できます。

    どのデバイスを Microsoft エンドポイント マネージャーにアップロードするか選択は、次の 2 つのオプションがあります:

    • 自身の Microsoft Endpoint Configuration Manager で管理されているすべてのデバイス (推奨): すべてのデバイスをアップロードする
    • 特定のコレクション: 任意のサブコレクションを含む、特定のコレクションをアップロードする。

  9. [アップロードの構成] ページの [Endpoint Analytics] セクションでは、Microsoft Intuneにアップロードされたデバイスのエンドポイント分析が有効になります。 エンドポイント分析レポートは、ユーザーに提供するエクスペリエンスの品質に焦点を当て、問題を特定して予測的に改善を行うのに役立ちます。

    エンドポイント アナリティクスを有効化するために、[Enable Endpoint Analytics for devices uploaded to Microsoft Endpoint Manager] オプションが選択されていることを確認します。

  10. [アップロードの構成] ページの [ロールベースのアクセス制御] セクションで、[Configuration Managerと対話するクラウド コンソール要求にConfiguration Manager RBAC を適用する] オプションのチェック ボックスをオフにする必要があるかどうかを判断します。 (バージョン 2207 で導入)

  11. Intune 管理センターでエンドポイント セキュリティ レポートを使用する場合は、[管理センター Microsoft Intuneアップロードされたデバイスに関するレポートのMicrosoft Defender for Endpointデータのアップロードを有効にする] オプションをオンにします

  12. [次へ]を選択して、共同管理[有効化]ページに移動します。 共同管理は、Intune にデバイスを登録し、選択したワークロードをクラウドに持ち上げ、管理を簡素化します。 たとえば、条件付きアクセスのワークロードを有効にし、信頼できるユーザーだけが信頼できるアプリを使用して信頼できるデバイス上の組織のリソースにアクセスできます。

    [Intune での自動登録]の下にある次のオプションから共同管理設定を選択します:

    • すべて: すべての適正なデバイスを Intune に登録します
      • デバイスは、共同管理の前提条件を満たす場合、適格です。 これらのデバイスは、標準で容易された共同管理の適格なデバイスコレクションに一覧表示されます。
    • パイロット: 指定したコレクション内のすべての適正なデバイスを Intune に登録します
      • [参照]を選択して [Intune 自動登録]のコレクションを選択します
    • なし: 共同管理を有効にしたり、クライアントを登録したりしない

    注:

    デバイスを登録しても、ワークロードは Intune に移動されません。 準備ができたら、[クラウド アタッチ] ノードの共同管理設定を編集して、移行するワークロードを指定します。

  13. 選択が完了したら、[次へ] を選択して [概要] ページ を表示 します。 Configuration Manager 環境へクラウド アタッチするためのサマリーを評価した後、[次へ] を選択します。

以前に作成したMicrosoft Entra アプリケーションをインポートする (省略可能)

新しいオンボードの際、管理者は、テナント接続へのオンボード中に以前に作成したアプリケーションを指定できます。 複数の階層にわたってMicrosoft Entraアプリケーションを共有または再利用しないでください。 複数の階層がある場合は、それぞれに個別のMicrosoft Entra アプリケーションを作成します。

クラウド接続構成ウィザード (バージョン 2103 以前の共同管理構成ウィザード) のオンボード ページで、[オプションで別の Web アプリをインポートする] を選択して、Configuration Managerクライアント データをエンドポイント マネージャー センター Microsoft Intune同期します。 このオプションを選択すると、Microsoft Entra アプリの次の情報を指定するように求められます。

  • テナント名のMicrosoft Entra
  • テナント ID のMicrosoft Entra
  • アプリケーション名
  • クライアント ID
  • 秘密鍵
  • 秘密鍵の有効期限
  • アプリ ID URI

重要

  • アプリ ID URI は、次のいずれかの形式を使用する必要があります。

    • api://{tenantId}/{string}、たとえば、api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
    • https://{verifiedCustomerDomain}/{string}、たとえば、https://contoso.onmicrosoft.com/ConfigMgrService

    Microsoft Entra アプリの作成の詳細については、「Azure サービスの構成」を参照してください。

  • インポートされたMicrosoft Entra アプリを使用する場合、コンソール通知から今後の有効期限の日付は通知されません。

アプリケーションのアクセス許可と構成をMicrosoft Entraする

オンボーディング中に以前作成したアプリケーションをテナント接続に使用するには、次のアクセス許可が必要です。

次の手順

以下のクラウド アタッチ機能についての詳細情報: