Configuration Managerの Technical Preview 1709 の機能

適用対象: Configuration Manager (テクニカル プレビュー ブランチ)

この記事では、Configuration Managerバージョン 1709 の Technical Preview で利用できる機能について説明します。 このバージョンをインストールして、新しい機能を更新し、Configuration Managerのテクニカル プレビュー サイトに追加できます。 このバージョンのテクニカル プレビューをインストールする前に、「Technical Preview for Configuration Manager」を参照して、技術プレビューの使用に関する一般的な要件と制限事項、バージョン間の更新方法、および技術プレビューの機能に関するフィードバックを提供する方法について理解しておいてください。

このテクニカル プレビューの既知の問題:

• パッシブ モードのサイト サーバーがある場合、プレビュー バージョン 1709 への更新が失敗します。 プレビュー バージョン 1706、1707、または 1708 を実行し、 プライマリ サイト サーバーをパッシブ モードにする場合は、プレビュー サイトをバージョン 1709 に正常に更新する前に、パッシブ モード のサイト サーバーをアンインストールする必要があります。 パッシブ モード サイト サーバーは、サイトがバージョン 1709 を実行した後に再インストールできます。

  パッシブ モード サイト サーバーをアンインストールするには:

  1. コンソールで、[ 管理>Overview>Site Configuration>Servers と Site System Roles に移動し、パッシブ モードのサイト サーバーを選択します。
  2. [ サイト システムの役割 ] ウィンドウで、 サイト サーバー の役割を右クリックし、[ 役割の削除] を選択します。
  3. パッシブ モードのサイト サーバーを右クリックし、[削除] を選択 します。
  4. サイト サーバーがアンインストールされた後、アクティブなプライマリ サイト サーバーでサービス CONFIGURATION_MANAGER_UPDATEを再起動します。

このバージョンで試すことができる新機能を次に示します。

Configuration Manager コンソールでの VPN プロファイルエクスペリエンスの向上

このリリースでは、VPN プロファイル ウィザードとプロパティ ページが更新され、選択したプラットフォームに適した設定が表示されます。 特に次のような場合です。

• 各プラットフォームには独自のワークフローがあります。つまり、新しい VPN プロファイルには、プラットフォームでサポートされている設定のみが含まれます。
• [全般] ページの後に [サポートされているプラットフォーム] ページが表示されるようになりました。 これで、プロパティ値を設定する前にプラットフォームを選択します。
• プラットフォームが Android、Android for Work、または Windows Phone 8.1 に設定されている場合、[サポートされているプラットフォーム] ページは必要なく、表示されません。
• Configuration Manager クライアント ベースのワークフローは、ハイブリッド モバイル デバイス (MDM) クライアント ベースのWindows 10 ワークフローと組み合わされています。同じ設定がサポートされています。
• 各プラットフォーム ワークフローには、そのワークフローに適した設定だけが含まれています。 たとえば、Android ワークフローには Android に適した設定が含まれています。iOS または Windows 10 Mobile に適した設定が Android ワークフローに表示されなくなります。
• Windows 8.1デバイスの場合、Configuration Managerによって管理される設定は明確にマークされます。
• [自動 VPN] ページは廃止され、削除されました。

これらの変更は、新しい VPN プロファイルに適用されます。

互換性リスクを最小限に抑えるために、既存の VPN プロファイルは変更されません。 既存のプロファイルを編集すると、プロファイルの作成時と同じように設定が表示されます。

ぜひ、お試しください。

通常のプロセスを使用して新しい VPN プロファイルを作成します。 VPN プロファイル ウィザードのオプションの最初のページが変更されていることに注意してください。

1. [Assets and Compliance>Overview>Compliance Settings>Company Resource Access>VPN Profiles] に移動し、[VPN プロファイルの作成] を選択します。

2. [全般] ページで名前を入力し、[作成する VPN プロファイルの種類を指定する] で次のいずれかのオプションを選択します。

   • Windows 10
   • Windows 8.1
   • Windows Phone 8.1
   • iOS と macOS
   • Android
   • Android for Work

3. Windows 8.1を選択した場合は、[新しいプロファイルの作成] または [ファイルからインポート] のオプションもあります。

4. ウィザードを完了してプロファイルの作成を完了します。

異なるプラットフォームを選択すると、選択したプラットフォームに関連する設定のみが表示されることに注意してください。

Windows 10 デバイスの共同管理

多くのお客様は、シンプルで低コストのクラウドベースのソリューションを使用して、モバイル デバイスを管理するのと同じ方法で、Windows 10 デバイスを管理したいと考えています。 ただし、従来の管理から最新の管理への移行は困難な場合があります。 Windows 10 バージョン 1607 (Anniversary Update とも呼ばれます) 以降、Windows 10 デバイスに参加して、オンプレミスの Active Directory (AD) とクラウドベースのMicrosoft Entra IDを同時に (ハイブリッド Microsoft Entra ID) できます。 共同管理では、この機能強化を利用し、Configuration ManagerとIntuneの両方を使用して、Windows 10 デバイスを同時に管理できます。 これは、従来の管理から最新の管理への橋渡しを提供し、段階的なアプローチを使用して移行を行うためのパスを提供するソリューションです。

前提条件

共同管理を有効にするには、次の前提条件が満たされている必要があります。 一般的な前提条件と、クライアントではない既存のConfiguration Manager クライアントとデバイスにはさまざまな前提条件があります。

既知の問題

共同管理ポリシーを作成した後は、ポリシーを編集できません。 ポリシーを変更するには、ポリシーを削除し、必要な設定で再作成します。

一般的な前提条件

共同管理を有効にするための一般的な前提条件を次に示します。

• Configuration Manager バージョン 1709 のテクニカル プレビュー

• Microsoft Entra ID

• すべてのユーザーの EMS または Intune ライセンス

• Intune サブスクリプション (Intune の MDM 機関を Intune に設定)

  注:

  ハイブリッド MDM 環境 (Configuration Managerと統合Intune) がある場合、共同管理を有効にすることはできません。

既存のConfiguration Manager クライアントのその他の前提条件

• Windows 10バージョン 1709 (Fall Creators Update) 以降
• Microsoft Entraハイブリッド参加済み (AD および Microsoft Entra ID に参加)

新しいWindows 10 デバイスの追加の前提条件

• Windows 10バージョン 1709 (Fall Creators Update) 以降
• Configuration Managerの Cloud Management Gateway

Intuneに切り替えることができるワークロード

共同管理を有効にすると、Configuration Manager は引き続きすべてのワークロードを管理します。 準備ができたら、使用可能なワークロードの管理を開始Intuneできます。 このリリースでは、次のワークロードIntune管理できます。

コンプライアンス ポリシー

コンプライアンス ポリシーでは、条件付きアクセス ポリシーによってデバイスが準拠していると見なされるために遵守する必要があるルールと設定を定義します。 また、コンプライアンス ポリシーを使用して、条件付きアクセスとは別にデバイスのコンプライアンスの問題を監視および修復することもできます。

ビジネス ポリシーのWindows Update

Windows Update for Business ポリシーでは、Windows Update for Business によって直接管理される Windows 10 デバイス向けの Windows 10 機能更新プログラムまたは品質更新プログラムに対して、遅延ポリシーを構成できます。 詳細については、「ビジネスの遅延ポリシーのWindows Updateを構成する」を参照してください。

共同管理デバイス用の Azure 上のIntuneで使用できるリモート アクション

Windows 10 デバイスで共同管理が有効になっている場合は、Azure 上のIntuneから次のリモート アクションを使用できます。

• 工場出荷時のリセット
• 選択的ワイプ
• デバイスを削除する
• デバイスの再起動
• 新しいスタート

共同管理のために Intune を準備する

ワークロードをConfiguration ManagerからIntuneに切り替える前に、Intuneで必要なプロファイルとポリシーを作成して、デバイスが引き続き保護されるようにします。 Configuration Managerにあるオブジェクトに基づいて、Intuneにオブジェクトを作成できます。 または、現在の戦略がレガシまたは従来の管理に基づいている場合は、最新の管理に必要なポリシーとプロファイルを再考する必要があります。 ポリシーとプロファイルを作成するには、次のリソースを使用します。

• ビジネス ポリシーのWindows Update
• デバイスの構成プロファイル

共同管理のアーキテクチャの概要

次の図は、共同管理のアーキテクチャの概要と、それが既存の構成とIntuneインフラストラクチャにどのように適合するかを示しています。

共同管理を有効にするシナリオ

Microsoft Intun eに登録されているWindows 10 デバイスと既存の Windows 10 Configuration Manager クライアントの両方で共同管理を有効にできます。 どちらのシナリオでも、Windows 10デバイスはConfiguration ManagerとIntuneによって同時に管理され、AD とMicrosoft Entra IDに参加します。

Intuneに登録されているデバイス

Windows 10デバイスがIntuneに登録されている場合は、デバイスにConfiguration Manager クライアントをインストールして (特定のコマンド ライン引数を使用して) 共同管理用にクライアントを準備できます。 次に、Configuration Manager コンソールから共同管理を有効にして、特定のWindows 10 デバイスの特定のワークロードをIntuneに移動します。

Intuneにまだ登録されていないWindows 10デバイスの場合は、Azure での自動登録を使用してデバイスを登録できます。 新しいWindows 10デバイスの場合、Windows Autopilot を使用して、Intuneにデバイスを登録する自動登録を含む Out of Box Experience (OOBE) を構成できます。

構成マネージャー クライアント

クライアントConfiguration ManagerデバイスをWindows 10している場合は、これらのデバイスを登録し、Configuration Manager コンソールから共同管理を有効にすることができます。 Configuration Managerは、Microsoft Entraテナント情報に基づいて、Intuneへの自動登録をトリガーします。

共同管理のためにWindows 10デバイスを準備する

AD とMicrosoft Entra IDに参加し、IntuneとクライアントにConfiguration Managerで登録されているWindows 10デバイスで共同管理を有効にすることができます。 新しいWindows 10デバイスの場合や、Intuneに既に登録されているデバイスの場合は、共同管理する前にConfiguration Manager クライアントをインストールします。 クライアントが既にConfiguration ManagerされているWindows 10デバイスの場合は、Intuneを使用してデバイスを登録し、Configuration Manager コンソールで共同管理を有効にすることができます。

クライアントをインストールするコマンド ラインConfiguration Manager

クライアントがまだConfiguration ManagerされていないWindows 10デバイス用のアプリをIntuneに作成します。 次のセクションでアプリを作成するときは、次のコマンド ラインを使用します。

ccmsetup.msi CCMSETUPCMD="/mp:<URL of cloud management gateway mutual auth endpoint>/ CCMHOSTNAME=<URL of cloud Management Gateway の相互認証エンドポイント> SMSSiteCode=<Sitecode> SMSMP== https://<MP のFQDN> AADTENANTID=<Microsoft Entra テナント ID> AADTENANTNAME=<Tenant name> AADCLIENTAPPID=<Server AppID forMicrosoft Entra統合>AADRESOURCEURI=https://<Resource ID>"

たとえば、次の値がある場合:

• クラウド管理ゲートウェイの相互認証エンドポイントの URL: https://contoso.cloudapp.net/CCM_Proxy_MutualAuth/72057594037928100

  注:

  クラウド管理ゲートウェイの相互認証エンドポイント値の URL については、vProxy_Roles SQL ビューで MutualAuthPath 値を使用します。

• 管理ポイント (MP) の FQDN: sccmmp.corp.contoso.com

• サイトコード: PS1

• Microsoft Entra テナント ID: 72F988BF-86F1-41AF-91AB-2D7CD011XXXX

• Microsoft Entraテナント名: contoso

• Microsoft Entra クライアント アプリ ID: bef323b3-042f-41a6-907a-f9faf0d1XXXX

• リソース ID URI のMicrosoft Entra: ConfigMgrServer

  注:

  Microsoft Entra リソース ID URI の値には、vSMS_AAD_Application_Ex SQL ビューにある IdentifierUri 値を使用します。

次のコマンド ラインを使用します。

ccmsetup.msi CCMSETUPCMD="/mp:https://contoso.cloudapp.net/CCM_Proxy_MutualAuth/72057594037928100 CCMHOSTNAME=contoso.cloudapp.net/CCM_Proxy_MutualAuth/72057594037928100 SMSSiteCode=PS1 SMSMP=https://sccmmp.corp.contoso.com AADTENANTID=72F988BF-86F1-41AF-91AB-2D7CD011XXXX AADTENANTNAME=contoso AADCLIENTAPPID=bef323b3-042f-41a6-907a-f9faf0d1XXXX AADRESOURCEURI=https://ConfigMgrServer"

ヒント

サイトのコマンド ライン パラメーターは、次の手順に従って確認できます。

1. Configuration Manager コンソールで、[管理>Overview>Cloud Services>Co-management] に移動します。
2. [ホーム] タブの [管理] グループで、[ 共同管理の構成 ] を選択して、共同管理オンボード ウィザードを開きます。
3. [サブスクリプション] ページで、[サインイン] をクリックし、Intune テナントにサインインし、[次へ] をクリックします。
4. [有効化] ページで、[Intuneに登録されているデバイス] セクションで [コピー] をクリックしてコマンド ラインをクリップボードにコピーし、手順で使用するコマンド ラインを保存してアプリを作成します。
5. [ キャンセル] をクリックしてウィザードを終了します。

新しいWindows 10 デバイス

新しいWindows 10デバイスの場合は、Autopilot サービスを使用して、AD とMicrosoft Entra IDにデバイスを参加させるだけでなく、デバイスをIntuneに登録するなど、すぐに使えるエクスペリエンスを構成できます。 次に、Intuneでアプリを作成し、Configuration Manager クライアントをデプロイします。

1. 新しいWindows 10デバイスの Autopilot を有効にします。 詳細については、「 Windows Autopilot の概要」を参照してください。
2. デバイスがIntuneに自動的に登録されるように、Microsoft Entra IDでの自動登録を構成します。 詳細については、「Microsoft Intuneの Windows デバイスを登録する」を参照してください。
3. Configuration Manager クライアント パッケージを使用してIntuneでアプリを作成し、共同管理するデバイスWindows 10にアプリをデプロイします。 Microsoft Entra IDを使用してインターネットからクライアントConfiguration Managerインストールする手順を実行するときは、コマンド ラインを使用してクライアントをインストールします。

Intune または Configuration Manager クライアントに登録されていないデバイスWindows 10

Intuneに登録されていないデバイスやConfiguration Manager クライアントを持つWindows 10デバイスの場合は、自動登録を使用してデバイスをIntuneに登録できます。 次に、Intuneでアプリを作成し、Configuration Manager クライアントをデプロイします。

1. デバイスがIntuneに自動的に登録されるように、Microsoft Entra IDでの自動登録を構成します。 詳細については、「Microsoft Intuneの Windows デバイスを登録する」を参照してください。
2. Configuration Manager クライアント パッケージを使用してIntuneでアプリを作成し、共同管理するデバイスWindows 10にアプリをデプロイします。 Microsoft Entra IDを使用してインターネットからクライアントConfiguration Managerインストールする手順を実行するときは、コマンド ラインを使用してクライアントをインストールします。

Intune に登録されている Windows 10 デバイス

Intuneに既に登録されているWindows 10デバイスの場合は、Intuneでアプリを作成して、Configuration Manager クライアントをデプロイします。 Microsoft Entra IDを使用してインターネットからクライアントConfiguration Managerインストールする手順を実行するときは、コマンド ラインを使用してクライアントをインストールします。

Configuration Manager ワークロードを Intune に切り替える

前のセクションでは、共同管理用Windows 10デバイスを準備しました。 これらのデバイスは AD とMicrosoft Entra IDに参加し、Intuneに登録され、Configuration Manager クライアントを持ちます。 AD に参加し、Configuration Manager クライアントを持っているが、Microsoft Entra IDに参加していないデバイスや、Intuneに登録されていないWindows 10デバイスが残っている可能性があります。 次の手順では、共同管理を有効にし、共同管理のためにWindows 10 デバイスの残りの部分 (Intune登録のないクライアントConfiguration Manager) を準備し、特定のConfiguration Managerワークロードを に切り替えることを開始する手順を示します。Intune。

1. Configuration Manager コンソールで、[管理>Overview>Cloud Services>Co-management] に移動します。
2. [ホーム] タブの [管理] グループで、[ 共同管理の構成 ] を選択して、共同管理オンボード ウィザードを開きます。
3. [サブスクリプション] ページで、[サインイン] をクリックし、Intune テナントにサインインし、[次へ] をクリックします。
4. [ステージング] ページで、次の設定を構成し、[ 次へ] をクリックします。
   • パイロット グループ: パイロット グループには、選択した 1 つ以上のコレクションが含まれています。 このグループは、共同管理の段階的ロールアウトの一部として使用します。 小規模なテスト コレクションから開始し、さらに多くのユーザーとデバイスに共同管理をロールアウトする際に、さらにコレクションをパイロット グループに追加できます。 パイロット グループのコレクションは、共同管理プロパティからいつでも変更できます。
   • 運用: この設定を選択すると、サポートされているすべてのWindows 10デバイスが共同管理に対して有効になります。 1 つ以上のコレクションを使用して 除外グループ を構成します。 このグループ内のいずれかのコレクションのメンバーであるデバイスは、共同管理の使用から除外されます。
5. [有効化] ページで、[パイロット] または [すべて] ([ステージング] ページで構成した設定に応じて) を選択して、Intuneで自動登録を有効にし、[次へ] をクリックします。 [パイロット] を選択すると、パイロット グループのメンバーである Configuration Manager クライアントのみがIntuneに自動的に登録されます。 これにより、クライアントのサブセットの共同管理を有効にして、最初に共同管理をテストし、段階的なアプローチを使用して共同管理をロールアウトすることができます。
6. [ワークロード] ページで、Intuneで管理するワークロードConfiguration Manager切り替えるかどうかを選択し、[次へ] をクリックします。 スライダーを使用して、ワークロードをパイロット グループに切り替えるか、すべてのWindows 10 クライアントに切り替えるかを選択します ([ステージング] ページで構成した設定に応じて)。
7. 共同管理を有効にするには、ウィザードを完了します。

関連項目

テクニカル プレビュー ブランチのインストールまたは更新の詳細については、「Configuration Managerのテクニカル プレビュー」を参照してください。