Configuration Managerの Technical Preview 1709 の機能

適用対象: Configuration Manager (テクニカル プレビュー ブランチ)

この記事では、Configuration Managerバージョン 1709 の Technical Preview で利用できる機能について説明します。 このバージョンをインストールして、新しい機能を更新し、Configuration Managerのテクニカル プレビュー サイトに追加できます。 このバージョンのテクニカル プレビューをインストールする前に、「Technical Preview for Configuration Manager」を参照して、技術プレビューの使用に関する一般的な要件と制限事項、バージョン間の更新方法、および技術プレビューの機能に関するフィードバックを提供する方法について理解しておいてください。

このテクニカル プレビューの既知の問題:

• パッシブ モードのサイト サーバーがある場合、プレビュー バージョン 1709 への更新が失敗します。 プレビュー バージョン 1706、1707、または 1708 を実行し、 プライマリ サイト サーバーをパッシブ モードにする場合は、プレビュー サイトをバージョン 1709 に正常に更新する前に、パッシブ モード のサイト サーバーをアンインストールする必要があります。 パッシブ モード サイト サーバーは、サイトがバージョン 1709 を実行した後に再インストールできます。

  パッシブ モード サイト サーバーをアンインストールするには:

  1. コンソールで、[ 管理>の概要>] [サイト構成>サーバー] と [サイト システムの役割] に移動し、パッシブ モードのサイト サーバーを選択します。
  2. [ サイト システムの役割 ] ウィンドウで、 サイト サーバー の役割を右クリックし、[ 役割の削除] を選択します。
  3. パッシブ モードのサイト サーバーを右クリックし、[削除] を選択 します。
  4. サイト サーバーがアンインストールされた後、アクティブなプライマリ サイト サーバーでサービス CONFIGURATION_MANAGER_UPDATEを再起動します。

このバージョンで試すことができる新機能を次に示します。

Configuration Manager コンソールでの VPN プロファイルエクスペリエンスの向上

このリリースでは、VPN プロファイル ウィザードとプロパティ ページが更新され、選択したプラットフォームに適した設定が表示されます。 特に次のような場合です。

• 各プラットフォームには独自のワークフローがあります。つまり、新しい VPN プロファイルには、プラットフォームでサポートされている設定のみが含まれます。
• [全般] ページの後に [サポートされているプラットフォーム] ページが表示されるようになりました。 これで、プロパティ値を設定する前にプラットフォームを選択します。
• プラットフォームが Android、Android for Work、または Windows Phone 8.1 に設定されている場合、[サポートされているプラットフォーム] ページは必要なく、表示されません。
• Configuration Manager クライアント ベースのワークフローは、ハイブリッド モバイル デバイス (MDM) クライアント ベースのWindows 10 ワークフローと組み合わされています。同じ設定がサポートされています。
• 各プラットフォーム ワークフローには、そのワークフローに適した設定だけが含まれています。 たとえば、Android ワークフローには Android に適した設定が含まれています。iOS または Windows 10 Mobile に適した設定が Android ワークフローに表示されなくなります。
• Windows 8.1デバイスの場合、Configuration Managerによって管理される設定は明確にマークされます。
• [自動 VPN] ページは廃止され、削除されました。

これらの変更は、新しい VPN プロファイルに適用されます。

互換性リスクを最小限に抑えるために、既存の VPN プロファイルは変更されません。 既存のプロファイルを編集すると、プロファイルの作成時と同じように設定が表示されます。

ぜひ、お試しください。

通常のプロセスを使用して新しい VPN プロファイルを作成します。 VPN プロファイル ウィザードのオプションの最初のページが変更されていることに注意してください。

1. [資産とコンプライアンスの概要>] >[コンプライアンス設定][会社のリソース アクセスVPN プロファイル] > の順に>移動し、[VPN プロファイルの作成] を選択します。

2. [全般] ページで名前を入力し、[作成する VPN プロファイルの種類を指定する] で次のいずれかのオプションを選択します。

   • Windows 10
   • Windows 8.1
   • Windows Phone 8.1
   • iOS と macOS
   • Android
   • Android for Work

3. Windows 8.1を選択した場合は、[新しいプロファイルの作成] または [ファイルからインポート] のオプションもあります。

4. ウィザードを完了してプロファイルの作成を完了します。

異なるプラットフォームを選択すると、選択したプラットフォームに関連する設定のみが表示されることに注意してください。

Windows 10 デバイスの共同管理

多くのお客様は、シンプルで低コストのクラウドベースのソリューションを使用して、モバイル デバイスを管理するのと同じ方法で、Windows 10 デバイスを管理したいと考えています。 ただし、従来の管理から最新の管理への移行は困難な場合があります。 Windows 10 バージョン 1607 (Anniversary Update とも呼ばれます) 以降、Windows 10 デバイスに参加して、オンプレミスの Active Directory (AD) とクラウドベースのMicrosoft Entra ID (ハイブリッド Microsoft Entra ID) を同時にオンプレミスの Active Directoryできます。 共同管理では、この機能強化を利用し、Configuration Managerと Intune の両方を使用してWindows 10デバイスを同時に管理できます。 これは、従来の管理から最新の管理への橋渡しを提供し、段階的なアプローチを使用して移行を行うためのパスを提供するソリューションです。

前提条件

共同管理を有効にするには、次の前提条件が満たされている必要があります。 一般的な前提条件と、クライアントではない既存のConfiguration Manager クライアントとデバイスにはさまざまな前提条件があります。

既知の問題

共同管理ポリシーを作成した後は、ポリシーを編集できません。 ポリシーを変更するには、ポリシーを削除し、必要な設定で再作成します。

一般的な前提条件

共同管理を有効にするための一般的な前提条件を次に示します。

• Configuration Manager バージョン 1709 のテクニカル プレビュー

• Microsoft Entra ID

• すべてのユーザーの EMS または Intune ライセンス

• Intune サブスクリプション (Intune の MDM 機関が Intune に設定)

  注:

  ハイブリッド MDM 環境 (Intune とConfiguration Managerの統合) がある場合、共同管理を有効にすることはできません。

既存のConfiguration Manager クライアントのその他の前提条件

• Windows 10バージョン 1709 (Fall Creators Update) 以降
• Microsoft Entraハイブリッド参加済み (AD と Microsoft Entra ID に参加)

新しいWindows 10 デバイスの追加の前提条件

• Windows 10バージョン 1709 (Fall Creators Update) 以降
• Configuration Managerの Cloud Management Gateway

Intune に切り替えることができるワークロード

共同管理を有効にすると、Configuration Manager は引き続きすべてのワークロードを管理します。 準備ができたら、Intune で使用可能なワークロードの管理を開始できます。 このリリースでは、Intune で次のワークロードを管理できます。

コンプライアンス ポリシー

コンプライアンス ポリシーは、条件付きアクセス ポリシーによって準拠していると見なされるためにデバイスが準拠する必要がある規則と設定を定義します。 また、コンプライアンス ポリシーを使用して、条件付きアクセスとは別にデバイスのコンプライアンスの問題を監視および修復することもできます。

ビジネス ポリシーのWindows Update

Windows Update for Business ポリシーでは、Windows Update for Business によって直接管理される Windows 10 デバイス向けの Windows 10 機能更新プログラムまたは品質更新プログラムに対して、遅延ポリシーを構成できます。 詳細については、「ビジネスの遅延ポリシーのWindows Updateを構成する」を参照してください。

共同管理デバイス用に Azure 上の Intune で使用できるリモート アクション

Windows 10 デバイスで共同管理が有効になっている場合は、Azure 上の Intune から次のリモート アクションを使用できます。

• 工場出荷時のリセット
• 選択的ワイプ
• デバイスを削除する
• デバイスの再起動
• 新しいスタート

共同管理のために Intune を準備する

ワークロードをConfiguration Managerから Intune に切り替える前に、Intune で必要なプロファイルとポリシーを作成して、デバイスが引き続き保護されるようにします。 Intune では、Configuration Managerにあるオブジェクトに基づいてオブジェクトを作成できます。 または、現在の戦略がレガシまたは従来の管理に基づいている場合は、最新の管理に必要なポリシーとプロファイルを再考する必要があります。 ポリシーとプロファイルを作成するには、次のリソースを使用します。

• ビジネス ポリシーのWindows Update
• デバイス構成プロファイル

共同管理のアーキテクチャの概要

次の図は、共同管理のアーキテクチャの概要と、それが既存の構成および Intune インフラストラクチャにどのように適合するかを示しています。

共同管理を有効にするシナリオ

Microsoft Intun eに登録されているWindows 10 デバイスと既存の Windows 10 Configuration Manager クライアントの両方で共同管理を有効にできます。 どちらのシナリオでも、Windows 10デバイスはConfiguration Managerと Intune によって同時に管理され、AD と Microsoft Entra ID に参加します。

Intune に登録されているデバイス

Windows 10デバイスが Intune に登録されている場合は、デバイスにConfiguration Manager クライアントをインストールして (特定のコマンド ライン引数を使用して) 共同管理用にクライアントを準備できます。 次に、Configuration Manager コンソールから共同管理を有効にして、特定のWindows 10 デバイスの特定のワークロードを Intune に移動します。

Intune にまだ登録されていないWindows 10デバイスの場合は、Azure での自動登録を使用してデバイスを登録できます。 新しいWindows 10 デバイスの場合、Windows Autopilot を使用して、Intune にデバイスを登録する自動登録を含む Out of Box Experience (OOBE) を構成できます。

構成マネージャー クライアント

クライアントConfiguration ManagerデバイスをWindows 10している場合は、これらのデバイスを登録し、Configuration Manager コンソールから共同管理を有効にすることができます。 Configuration Managerは、Microsoft Entraテナント情報に基づいて Intune への自動登録をトリガーします。

共同管理のためにWindows 10デバイスを準備する

AD と Microsoft Entra ID に参加し、Configuration Managerで Intune とクライアントに登録されているWindows 10デバイスで共同管理を有効にすることができます。 新しいWindows 10デバイスの場合、および Intune に既に登録されているデバイスの場合は、共同管理する前にConfiguration Manager クライアントをインストールします。 既にクライアントConfiguration ManagerされているWindows 10デバイスの場合は、Intune にデバイスを登録し、Configuration Manager コンソールで共同管理を有効にすることができます。

クライアントをインストールするコマンド ラインConfiguration Manager

まだクライアントにConfiguration ManagerされていないWindows 10デバイス用のアプリを Intune で作成します。 次のセクションでアプリを作成するときは、次のコマンド ラインを使用します。

ccmsetup.msi クラウド管理ゲートウェイ相互認証エンドポイントの CCMSETUPCMD="/mp:<URL/ クラウド管理ゲートウェイ相互認証エンドポイント>> SMSSiteCode=Sitecode> SMSMP=<<https://<FQDN of MP> AADTENANTID=<Microsoft Entra テナント ID> AADTENANTNAME=<テナント名> AADCLIENTAPPID=<Server AppID forMicrosoft Entra統合>AADRESOURCEURI=https://<Resource ID>"

たとえば、次の値がある場合:

• クラウド管理ゲートウェイの相互認証エンドポイントの URL: https://contoso.cloudapp.net/CCM_Proxy_MutualAuth/72057594037928100

  注:

  クラウド管理ゲートウェイの相互認証エンドポイント値の URL については、vProxy_Roles SQL ビューで MutualAuthPath 値を使用します。

• 管理ポイント (MP) の FQDN: sccmmp.corp.contoso.com

• サイトコード: PS1

• Microsoft Entra テナント ID: 72F988BF-86F1-41AF-91AB-2D7CD011XXXX

• Microsoft Entraテナント名: contoso

• Microsoft Entra クライアント アプリ ID: bef323b3-042f-41a6-907a-f9faf0d1XXXX

• リソース ID URI のMicrosoft Entra: ConfigMgrServer

  注:

  Microsoft Entra リソース ID URI の値には、vSMS_AAD_Application_Ex SQL ビューにある IdentifierUri 値を使用します。

次のコマンド ラインを使用します。

ccmsetup.msi CCMSETUPCMD="/mp:https://contoso.cloudapp.net/CCM_Proxy_MutualAuth/72057594037928100 CCMHOSTNAME=contoso.cloudapp.net/CCM_Proxy_MutualAuth/72057594037928100 SMSSiteCode=PS1 SMSMP= AADTENANTID=https://sccmmp.corp.contoso.com 72F988BF-86F1-41AF-9 1AB-2D7CD011XXXX AADTENANTNAME=contoso AADCLIENTAPPID=bef323b3-042f-41a6-907a-f9faf0d1XXXX AADRESOURCEURI=https://ConfigMgrServer"

ヒント

サイトのコマンド ライン パラメーターは、次の手順に従って確認できます。

1. Configuration Manager コンソールで、[管理>の概要>>Cloud Services Co-management] に移動します。
2. [ホーム] タブの [管理] グループで、[ 共同管理の構成 ] を選択して、共同管理オンボード ウィザードを開きます。
3. [サブスクリプション] ページで、[ サインイン ] をクリックして Intune テナントにサインインし、[ 次へ] をクリックします。
4. [Enablement] ページの [Intune に登録されているデバイス] セクションで [コピー] をクリックしてコマンド ラインをクリップボードにコピーし、手順で使用するコマンド ラインを保存してアプリを作成します。
5. [ キャンセル] をクリックしてウィザードを終了します。

新しいWindows 10 デバイス

新しいWindows 10デバイスの場合は、Autopilot サービスを使用して、デバイスを AD に参加させ、ID をMicrosoft Entraしたり、Intune にデバイスを登録したりするなど、すぐに使えるエクスペリエンスを構成できます。 次に、Intune でアプリを作成し、Configuration Manager クライアントを展開します。

1. 新しいWindows 10デバイスの Autopilot を有効にします。 詳細については、「 Windows Autopilot の概要」を参照してください。
2. デバイスが Intune に自動的に登録されるように、Microsoft Entra ID で自動登録を構成します。 詳細については、「Microsoft Intuneの Windows デバイスを登録する」を参照してください。
3. Configuration Manager クライアント パッケージを使用して Intune でアプリを作成し、共同管理するWindows 10デバイスにアプリをデプロイします。 コマンド ラインを使用して、Microsoft Entra ID を使用してインターネットからクライアントをインストールする手順を実行するときに、クライアントConfiguration Managerインストールします。

Intune またはConfiguration Manager クライアントに登録されていないデバイスWindows 10

Intune に登録されていないデバイスやConfiguration Manager クライアントを持つWindows 10デバイスの場合は、自動登録を使用して Intune にデバイスを登録できます。 次に、Intune でアプリを作成し、Configuration Manager クライアントを展開します。

1. デバイスが Intune に自動的に登録されるように、Microsoft Entra ID で自動登録を構成します。 詳細については、「Microsoft Intuneの Windows デバイスを登録する」を参照してください。
2. Configuration Manager クライアント パッケージを使用して Intune でアプリを作成し、共同管理するWindows 10デバイスにアプリをデプロイします。 コマンド ラインを使用して、Microsoft Entra ID を使用してインターネットからクライアントをインストールする手順を実行するときに、クライアントConfiguration Managerインストールします。

Intune に登録されている Windows 10 デバイス

Intune に既に登録されているWindows 10デバイスの場合は、Intune でアプリを作成して、Configuration Manager クライアントを展開します。 コマンド ラインを使用して、Microsoft Entra ID を使用してインターネットからクライアントをインストールする手順を実行するときに、クライアントConfiguration Managerインストールします。

Configuration Manager ワークロードを Intune に切り替える

前のセクションでは、共同管理用Windows 10デバイスを準備しました。 これらのデバイスは AD と Microsoft Entra ID に参加し、Intune に登録され、Configuration Manager クライアントを持ちます。 AD に参加し、Configuration Manager クライアントを持っているが、Microsoft Entra ID に参加していない、または Intune に登録されていないWindows 10デバイスが残っている可能性があります。 次の手順では、共同管理を有効にし、共同管理のために残りのWindows 10 デバイス (Intune 登録のないクライアントConfiguration Manager) を準備し、特定のConfiguration Managerワークロードを Intune に切り替えることを可能にする手順を示します。

1. Configuration Manager コンソールで、[管理>の概要>>Cloud Services Co-management] に移動します。
2. [ホーム] タブの [管理] グループで、[ 共同管理の構成 ] を選択して、共同管理オンボード ウィザードを開きます。
3. [サブスクリプション] ページで、[ サインイン ] をクリックして Intune テナントにサインインし、[ 次へ] をクリックします。
4. [ステージング] ページで、次の設定を構成し、[ 次へ] をクリックします。
   • パイロット グループ: パイロット グループには、選択した 1 つ以上のコレクションが含まれています。 このグループは、共同管理の段階的ロールアウトの一部として使用します。 小規模なテスト コレクションから開始し、さらに多くのユーザーとデバイスに共同管理をロールアウトする際に、さらにコレクションをパイロット グループに追加できます。 パイロット グループのコレクションは、共同管理プロパティからいつでも変更できます。
   • 運用: この設定を選択すると、サポートされているすべてのWindows 10デバイスが共同管理に対して有効になります。 1 つ以上のコレクションを使用して 除外グループ を構成します。 このグループ内のいずれかのコレクションのメンバーであるデバイスは、共同管理の使用から除外されます。
5. [有効化] ページで、[ パイロット ] または [ すべて ] ([ステージング] ページで構成した設定に応じて) を選択して Intune で自動登録を有効にし、[ 次へ] をクリックします。 [パイロット] を選択すると、パイロット グループのメンバーである Configuration Manager クライアントのみが Intune に自動的に登録されます。 これにより、クライアントのサブセットの共同管理を有効にして、最初に共同管理をテストし、段階的なアプローチを使用して共同管理をロールアウトすることができます。
6. [ワークロード] ページで、Intune で管理するワークロードConfiguration Manager切り替えるかどうかを選択し、[次へ] をクリックします。 スライダーを使用して、ワークロードをパイロット グループに切り替えるか、すべてのWindows 10 クライアントに切り替えるかを選択します ([ステージング] ページで構成した設定に応じて)。
7. 共同管理を有効にするには、ウィザードを完了します。

関連項目

テクニカル プレビュー ブランチのインストールまたは更新の詳細については、「Configuration Managerのテクニカル プレビュー」を参照してください。