重要
Microsoft では、Microsoft Entra参加を使用して、新しいデバイスをクラウドネイティブとしてデプロイすることをお勧めします。 Windows Autopilot を使用するなど、ハイブリッド参加デバイスMicrosoft Entra新しいデバイスを展開することはお勧めしません。 詳細については、「Microsoft Entra参加済みとMicrosoft Entraハイブリッドがクラウドネイティブ エンドポイントに参加している:どのオプションがorganizationに適しているか」を参照してください。
Intuneと Windows Autopilot を使用して、ハイブリッド参加済みデバイスMicrosoft Entra設定できます。 そのためには、この記事の手順のようにします。 ハイブリッド結合Microsoft Entra詳細については、「ハイブリッド結合と共同管理Microsoft Entra理解する」を参照してください。
要件
Windows Autopilot 中にMicrosoft Entraハイブリッド参加を実行するための要件の一覧は、次の 3 つの異なるカテゴリに編成されています。
- 全般 - 一般的な要件。
- デバイス登録 - デバイス登録の要件。
- Intune コネクタ - Intune Connector for Active Directory の要件。
適切なタブを選択して、関連する要件を確認します。
- ハイブリッド参加済みデバイスMicrosoft Entra正常に構成されました。 Get-MgDevice コマンドレットを使用して、デバイスの登録を確認してください。
- ドメインと OU ベースのフィルター処理が Microsoft Entra Connect の一部として構成されている場合は、Windows Autopilot デバイス用の既定の組織単位 (OU) またはコンテナーが同期スコープに含まれていることを確認します。
Windows 自動 MDM 登録を設定する
Azure portalにサインインし、[Microsoft Entra ID] を選択します。
左側のウィンドウで、管理 | Mobility (MDM および WIP)>Microsoft Intune を選択します。
Intuneと Windows を使用して参加済みデバイスMicrosoft Entra展開するユーザーが、MDM ユーザー スコープに含まれるグループのメンバーであることを確認します。
[MDM 利用規約 URL]、[MDM 探索 URL]、[MDM 準拠 URL] の各ボックスには既定値を使用して、[保存] を選択します。
Active Directory 用のIntune コネクタをインストールする
Active Directory 用Intune コネクタ (オフライン ドメイン参加 (ODJ) コネクタとも呼ばれます) の目的は、Windows Autopilot プロセス中にコンピューターをオンプレミス ドメインに参加することです。 Active Directory 用Intune コネクタは、ドメイン参加プロセス中に Active Directory の指定された組織単位 (OU) にコンピューター オブジェクトを作成します。
重要
Intune 2501 以降、Intuneでは、セキュリティを強化し、マネージド サービス アカウント (MSA) を使用して最小限の特権原則に従う更新された Intune Connector for Active Directory を使用します。 Intune内から Active Directory 用Intune コネクタがダウンロードされると、更新された Intune Connector for Active Directory がダウンロードされます。 Active Directory 用の以前のレガシ Intune コネクタは引き続き Intune Connector for Active Directory でダウンロードできますが、今後は更新された Intune Connector for Active Directory インストーラーを使用することをお勧めします。 以前のレガシ Intune Connector for Active Directory は、2025 年 6 月に引き続き動作します。 ただし、機能の損失を回避するには、その前に更新された Intune Connector for Active Directory に更新する必要があります。 詳細については、「Windows Autopilot Hybrid Microsoft Entra 参加デプロイの低特権アカウントを持つ Active Directory 用コネクタのIntune」を参照してください。
Active Directory 用のIntune コネクタの更新は、更新されたバージョンに自動的には行われません。 Active Directory 用のレガシ Intune コネクタは、手動でアンインストールし、更新されたコネクタを手動でダウンロードしてインストールする必要があります。 Intune Connector for Active Directory の手動アンインストールおよびインストール プロセスの手順については、次のセクションで説明します。
インストールされている Active Directory 用のIntune コネクタのバージョンに対応するタブを選択します。
インストールを開始する前に、Active Directory サーバーのIntune コネクタの要件がすべて満たされていることを確認します。
ヒント
Intune Connector for Active Directory のインストールと構成を行う管理者は、Active Directory の要件に関するIntune記載されている適切なドメイン権限を持つ方が望ましいが、必須ではない。 この要件により、Active Directory インストーラーと構成プロセス用のIntune コネクタは、コンピューター コンテナーまたはコンピューター オブジェクトが作成される OU 上の MSA のアクセス許可を適切に設定できます。 管理者にこれらのアクセス許可がない場合は、適切なアクセス許可を持つ管理者は、「 組織単位 (OU) でコンピューター アカウントの制限を増やす」セクションに従う必要があります。
インターネット エクスプローラーセキュリティ強化構成をオフにする
バージョン 6.2504.2001.8 以降では、更新された Intune Connector for Active Directory が、Microsoft インターネット エクスプローラー上に構築された WebBrowser ではなく、Microsoft Edge 上に構築された WebView2 を使用するように切り替えました。 この変更は、Windows Serverの [インターネット エクスプローラーセキュリティ強化構成] 設定をオフにする必要がなくなったことを意味します。 インターネット エクスプローラーセキュリティ強化構成設定の問題を回避するには、Intune コネクタ for Active Directory のバージョン 6.2504.2001.8 以降をインストールしてください。
Active Directory 用のIntune コネクタをダウンロードする
Intune Connector for Active Directory がインストールされているサーバーで、Microsoft Intune管理センターにサインインします。
[ホーム] 画面で、左側のウィンドウで [デバイス] を選択します。
デバイス |[概要] 画面の [プラットフォーム別] で [Windows] を選択します。
Windows で |[Windows デバイス ] 画面の [ デバイス オンボード] で、[登録] を選択 します。
Windows で |Windows 登録画面の [Windows Autopilot] で、[Intune コネクタ for Active Directory] を選択します。
[Intune コネクタ for Active Directory] 画面で、[追加] を選択します。
開いた [コネクタの追加] ウィンドウの [Intune コネクタの構成] で、[Active Directory 用のオンプレミス Intune コネクタのダウンロード] を選択します。 リンクは、
ODJConnectorBootstrapper.exe
というファイルをダウンロードします。
Active Directory 用Intune コネクタをサーバーにインストールする
重要
Active Directory 用のIntune コネクタのインストールは、次のドメイン権限を持つアカウントで行う必要があります。
- 必須 - マネージド サービス アカウント コンテナーに msDs-ManagedServiceAccount オブジェクトを作成します。
- 省略可能 - Active Directory の OU のアクセス許可を変更する - 更新された Intune Connector for Active Directory をインストールする管理者にこの権限がない場合は、これらの権限を持つ管理者が追加の構成手順を実行する必要があります。 詳細については、「 組織単位でコンピューター アカウントの制限を増やす」の手順/セクションを参照してください。
ローカル管理者権限を持つアカウントを使用して、Intune Connector for Active Directory がインストールされているサーバーにサインインします。
以前のレガシ Intune Connector for Active Directory がインストールされている場合は、更新された Intune Connector for Active Directory をインストールする前にアンインストールします。 詳細については、「Active Directory 用のIntune コネクタをアンインストールする」を参照してください。
重要
以前のレガシ Intune Connector for Active Directory をアンインストールする場合は、アンインストール プロセスの一環としてレガシ Intune Connector for Active Directory インストーラーを実行してください。 従来の Intune Connector for Active Directory インストーラーで、実行時にアンインストールするように求めるメッセージが表示された場合は、それを選択してアンインストールします。 この手順により、以前のレガシ Intune Connector for Active Directory が完全にアンインストールされます。 従来の Intune Connector for Active Directory インストーラーは、Intune Connector for Active Directory からダウンロードできます。
ヒント
Active Directory 用の Intune コネクタが 1 つだけのドメインでは、最初に更新された Intune Connector for Active Directory を別のサーバーにインストールすることをお勧めします。 更新された Intune Connector for Active Directory を別のサーバーにインストールしてから、現在のサーバーでレガシ Intune Connector for Active Directory をアンインストールする必要があります。 Intune コネクタ for Active Directory を別のサーバーにインストールすると、現在のサーバーで Intune Connector for Active Directory が更新されている間、ダウンタイムが回避されます。
ダウンロードした
ODJConnectorBootstrapper.exe
ファイルを開き、Intune コネクタ for Active Directory セットアップ インストールを起動します。Intune コネクタ for Active Directory セットアップ インストールの手順を実行します。
インストールの最後に、[Active Directory のコネクタIntune起動] チェック ボックスをオンにします。
注:
[Intune コネクタ for Active Directory の起動] チェック ボックスをオンにせずに Active Directory セットアップ用コネクタIntuneインストールが誤って閉じられた場合は、[Active Directory用コネクタ] Intune を選択してIntune コネクタを再度開くことができます>Intune[スタート] メニューから Active Directory 用コネクタ。
Active Directory 用のIntune コネクタにサインインする
[Intune コネクタ for Active Directory] ウィンドウの [登録] タブで、[サインイン] を選択します。
[サインイン] タブで、Intune管理者ロールのMicrosoft Entra ID資格情報でサインインします。 ユーザー アカウントに Intune ライセンスが割り当てられている必要があります。 サインイン プロセスが完了するまでに数分かかる場合があります。
注:
Intune Connector for Active Directory の登録に使用されるアカウントは、インストール時の一時的な要件にすぎません。 このアカウントは、サーバーが登録された後は使用されません。
サインイン プロセスが完了したら、次の手順を実行します。
- Active Directory のIntune コネクタが正常に登録された確認ウィンドウが表示されます。 [ OK] を選択 してウィンドウを閉じます。
-
"<MSA_name>" という名前のマネージド サービス アカウントが正常に設定された確認ウィンドウが表示されます。 MSA の名前は、#####が 5 文字のランダム文字である
msaODJ#####
形式です。 作成された MSA の名前を書き込み、[ OK] を 選択してウィンドウを閉じます。 MSA の名前は、後で、コンピューター オブジェクトを OU に作成できるように MSA を構成するために必要になる場合があります。
[登録] タブには、Active Directory 用コネクタが登録Intuneが表示されます。 [サインイン] ボタンが灰色表示され、[マネージド サービス アカウントの構成] が有効になっています。
[Intune コネクタ for Active Directory] ウィンドウを閉じます。
Active Directory 用のIntune コネクタがアクティブであることを確認する
認証後、Active Directory 用のIntune コネクタのインストールが完了します。 インストールが完了したら、次の手順に従って、Intuneでアクティブであることを確認します。
まだ開いている場合は、Microsoft Intune管理センターに移動します。 [コネクタの追加] ウィンドウがまだ表示されている場合は、閉じます。
Microsoft Intune管理センターがまだ開いていない場合:
Microsoft Intune 管理センターにサインインします。
[ホーム] 画面で、左側のウィンドウで [デバイス] を選択します。
デバイス |[概要] 画面の [プラットフォーム別] で [Windows] を選択します。
Windows で |[Windows デバイス ] 画面の [ デバイス オンボード] で、[登録] を選択 します。
Windows で |Windows 登録画面の [Windows Autopilot] で、[Intune コネクタ for Active Directory] を選択します。
[Intune コネクタ for Active Directory] ページで、次の手順を実行します。
- [コネクタ名] にサーバーが表示され、[状態] に [アクティブ] と表示されていることを確認します
- Active Directory 用の更新されたIntune コネクタのバージョンが 6.2501.2000.5 以上であることを確認します。
サーバーが表示されない場合は、[更新] を選択するか、ページから移動し、[Intune コネクタ for Active Directory] ページに戻ります。
注:
新しく登録されたサーバーが、Microsoft Intune管理センターの [Intune コネクタ for Active Directory] ページに表示されるまでに数分かかることがあります。 登録済みサーバーは、Intune サービスと正常に通信できる場合にのみ表示されます。
Active Directory 用の非アクティブなIntune コネクタは引き続き [Intune コネクタ for Active Directory] ページに表示され、30 日後に自動的にクリーンアップされます。
Active Directory 用のIntune コネクタがインストールされると、アプリケーションとサービス のログ>Microsoft>Intune>ODJConnectorService のパスの下にあるイベント ビューアーのログインが開始されます。 このパスの下には、管理ログと運用ログがあります。
OU でのオブジェクトの作成を許可するように MSA を構成する (省略可能)
既定では、MSA は Computers コンテナーにコンピューター オブジェクトを作成するためのみアクセスできます。 MSA には、組織単位 (OU) でコンピューター オブジェクトを作成するためのアクセス権がありません。 MSA が OU でオブジェクトを作成できるようにするには、INTUNE コネクタ for Active Directory がインストールされたディレクトリODJConnectorEnrollmentWizard
ディレクトリにある ODJConnectorEnrollmentWizard.exe.config
XML ファイルに OU を追加する必要があります (通常はC:\Program Files\Microsoft Intune\ODJConnector\
)。
OU でのオブジェクトの作成を許可するように MSA を構成するには、次の手順に従います。
Intune Connector for Active Directory がインストールされているサーバーで、Intune Connector for Active Directory がインストールされている
ODJConnectorEnrollmentWizard
ディレクトリ (通常はC:\Program Files\Microsoft Intune\ODJConnector\
) に移動します。ODJConnectorEnrollmentWizard
ディレクトリで、テキスト エディターでODJConnectorEnrollmentWizard.exe.config
XML ファイル (メモ帳など) を開きます。ODJConnectorEnrollmentWizard.exe.config
XML ファイルで、MSA がコンピューター オブジェクトを作成するためのアクセス権を持つ必要がある任意の OU を追加します。 OU 名は識別名にする必要があり、該当する場合はエスケープする必要があります。 次の例は、OU 識別名を持つ XML エントリの例です。<appSettings> <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format. The ODJ Connector will only have permission to create computer objects in these OUs. The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY): Domain contains the following OUs: - OU=HybridDevices,DC=contoso,DC=com - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" --> <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" /> </appSettings>
必要なすべての OU が追加されたら、
ODJConnectorEnrollmentWizard.exe.config
XML ファイルを保存します。OU のアクセス許可を変更するための適切なアクセス許可を持つ管理者は、[スタート] メニューから [Intune コネクタ for Active Directory>Intune Connector for Active Directory に移動して、Intune コネクタ for Active Directory を開きます。
重要
Active Directory 用Intune コネクタをインストールして構成する管理者に OU アクセス許可を変更するアクセス許可がない場合は、セクション/手順「組織単位のコンピューター アカウントの制限を増やす」に従う必要があります。代わりに、OU のアクセス許可を変更するアクセス許可を持つ管理者が従う必要があります。
[Intune コネクタ for Active Directory] ウィンドウの [登録] タブで、[マネージド サービス アカウントの構成] を選択します。
"<MSA_name>" という名前のマネージド サービス アカウントが正常に設定された確認ウィンドウが表示されます。 [ OK] を選択 してウィンドウを閉じます。
Web プロキシ設定の構成
ネットワーク環境に Web プロキシがある場合は、「Intune コネクタ for Active Directory のプロキシ設定を構成する」を参照して、Intune コネクタ for Active Directory が適切に動作することを確認します。
組織単位でコンピューター アカウントの上限を増やす
重要
この手順は、次のいずれかの条件でのみ必要です。
- Intune Connector for Active Directory をインストールして構成した管理者は、「Intune コネクタ for Active Directory 要件」で説明されているように適切な権限を持っていませんでした。
- XML ファイルは、MSA がアクセス許可を持つ必要がある OU を追加するように変更されませんでした。
Active Directory 用コネクタIntune目的は、コンピューターをドメインに参加させ、OU に追加することです。 このため、Intune コネクタ for Active Directory に使用されるマネージド サービス アカウント (MSA) には、コンピューターがオンプレミス ドメインに参加している OU 内にコンピューター アカウントを作成するためのアクセス許可が必要です。
Active Directory の既定のアクセス許可では、Active Directory 用 Intune コネクタによるドメイン参加は、Active Directory の OU に対するアクセス許可の変更なしで最初に機能する場合があります。 ただし、MSA が 10 台を超えるコンピューターをオンプレミス ドメインに参加しようとすると、Active Directory では、オンプレミス ドメインへの最大 10 台のコンピューターへの参加が既定で許可されるため、動作を停止します。
次のユーザーは、10 台のコンピューター ドメイン参加制限によって制限されません。
- 管理者またはドメイン管理者グループのユーザー: 最小特権の原則モデルに準拠するために、MICROSOFT は MSA を管理者またはドメイン管理者にすることはお勧めしません。
- コンピューター アカウントを作成するための組織単位 (OU) と Active Directory のコンテナーに対する委任されたアクセス許可を持つユーザー: この方法は、最小限の特権原則モデルに従っているため推奨されます。
この制限を解決するには、MSA には、コンピューターがオンプレミス ドメインに参加している組織単位 (OU) で [コンピューター アカウントの作成 ] アクセス許可が必要です。 Active Directory 用Intune コネクタは、次のいずれかの条件が満たされている限り、MSA のアクセス許可を OU に設定します。
- Intune コネクタ for Active Directory をインストールする管理者には、OU に対するアクセス許可を設定するために必要なアクセス許可があります。
- Intune コネクタ for Active Directory を構成する管理者には、OU に対するアクセス許可を設定するために必要なアクセス許可があります。
管理者が active Directory 用Intune コネクタをインストールまたは構成する際に、OU に対するアクセス許可を設定するために必要なアクセス許可がない場合は、次の手順に従う必要があります。
OU に対するアクセス許可を設定するために必要なアクセス許可としてアカウントを使用して、Active Directory ユーザーとコンピューター コンソールにアクセスできるコンピューターにサインインします。
DSA.msc を実行してActive Directory ユーザーとコンピューター コンソールを開きます。
目的のドメインを展開し、Windows Autopilot 中にコンピューターが参加している組織単位 (OU) に移動します。
注:
Windows Autopilot 展開中にコンピューターが参加する OU は、後でドメイン 参加プロファイルの構成と割り当ての 手順で指定します。
OU を右クリックし、[プロパティ] を選択 します。
注:
コンピューターが OU ではなく既定の Computers コンテナーに参加している場合は、[ コンピューター ] コンテナーを右クリックし、[ 制御の委任] を選択します。
開いた OU の [プロパティ ] ウィンドウで、[ セキュリティ ] タブを選択します。
[ セキュリティ ] タブで、[ 詳細設定] を選択します。
[ セキュリティの詳細設定] ウィンドウで、[ 追加] を選択します。
[ アクセス許可エントリ ] ウィンドウの [ プリンシパル] の横にある [プリンシパルの選択] リンク を選択 します。
[ ユーザー、コンピューター、サービス アカウント、またはグループの選択 ] ウィンドウで、[ オブジェクトの種類 ]ボタンを選択します。
[オブジェクトの種類] ウィンドウで、[サービス アカウント] チェック ボックスを選択し、[OK] を選択します。
[ユーザー、コンピューター、サービス アカウント、またはグループの選択] ウィンドウの [選択するオブジェクト名を入力します] で、Active Directory 用のIntune コネクタに使用する MSA の名前を入力します。
ヒント
MSA は、Active Directory 用のIntune コネクタのインストールの手順/セクションで作成され、#####が 5 文字のランダムな文字である
msaODJ#####
の名前形式を持ちます。 MSA 名が不明な場合は、次の手順に従って MSA 名を見つけます。- Active Directory 用Intune コネクタを実行しているサーバーで、[スタート] メニューを右クリックし、[コンピューターの管理] を選択します。
- [ コンピューターの管理 ] ウィンドウで、[ サービスとアプリケーション ] を展開し、[ サービス] を選択します。
- 結果ウィンドウで、ODJConnector for Active Service という名前Intuneサービスを見つけます。 MSA の名前は、[ ログオン] 列に一覧表示されます。
[ 名前の確認] を選択して、MSA 名エントリを検証します。 エントリが検証されたら、[ OK] を選択します。
[ アクセス許可エントリ ] ウィンドウで、[ 適用先: ] ドロップダウン メニューを選択し、[ このオブジェクトのみ] を選択します。
[アクセス許可] で、すべての項目の選択を解除し、[コンピューター オブジェクトの作成] チェックボックスのみを選択します。
[ OK] を選択 して、[ アクセス許可エントリ] ウィンドウを閉じます。
[ セキュリティの詳細設定] ウィンドウで、[ 適用 ] または [OK] を 選択して変更を適用します。
デバイス グループを作成する
Microsoft Intune管理センターで、[グループ>新しいグループ] を選択します。
[ グループ ] ウィンドウで、次のオプションを選択します。
[グループの種類] で、[セキュリティ] を選択します。
[グループ名] と [グループの説明] を入力します。
[メンバーシップの種類] を選択します。
メンバーシップの種類として [動的デバイス ] が選択されている場合は、[ グループ ] ウィンドウで [ 動的デバイス メンバー] を選択します。
[ルール構文] ボックスで [編集] を選択し、次のいずれかのコード行を入力します。
すべての Windows Autopilot デバイスを含むグループを作成するには、次のように入力します。
(device.devicePhysicalIDs -any _ -startsWith "[ZTDId]")
Intuneの [グループ タグ] フィールドは、Microsoft Entra デバイスの OrderID 属性にマップされます。 特定のグループ タグ (OrderID) を持つすべての Windows Autopilot デバイスを含むグループを作成するには、次のように入力します。
(device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")
特定の発注書 ID を持つすべての Windows Autopilot デバイスを含むグループを作成するには、次のように入力します。
(device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")
[保存]>[作成] の順に選択します。
Windows Autopilot デバイスを登録する
Windows Autopilot デバイスを登録するには、次のいずれかの方法を選択します。
既に登録されている Windows Autopilot デバイスを登録する
[すべてのターゲット デバイスを Autopilot に変換する] を [はい] に設定して、Windows Autopilot 展開プロファイルを作成します。
Windows Autopilot に自動的に登録する必要があるメンバーを含むグループにプロファイルを割り当てます。
詳細については、「 Windows Autopilot プロファイルを構成する」を参照してください。
登録されていない Windows Autopilot デバイスを登録する
Windows Autopilot にまだ登録されていないデバイスは、手動で登録できます。 詳細については、「手動登録」を参照してください。
OEM からデバイスを登録する
新しいデバイスを購入する場合、一部の OEM は、organizationの代わりにデバイスを登録できます。 詳細については、「OEM 登録」を参照してください。
登録済みの Windows Autopilot デバイスを表示する
デバイスがIntuneに登録される前に、登録済みの Windows Autopilot デバイスが 3 か所に表示されます (名前はシリアル番号に設定されています)。
- Microsoft Intune管理センターの [Windows Autopilot デバイス] ウィンドウ。 [デバイス>By プラットフォーム] を選択する |Windows>Device オンボード |登録。 [Windows Autopilot] で、[デバイス] を選択します。
- デバイス |Azure portalのすべてのデバイス ウィンドウ。 [デバイス]>[すべてのデバイス] を選択します。
- Microsoft 365 管理センターの [Autopilot] ペイン。 [ デバイス>Autopilot] を選択します。
Windows Autopilot デバイスが 登録されると、デバイスは次の 4 つの場所に表示されます。
- デバイス |Microsoft Intune管理センターのすべての [デバイス] ウィンドウ。 [デバイス]>[すべてのデバイス] の順に選択します。
- Windows |Microsoft Intune管理センターの [Windows デバイス] ウィンドウ。 [デバイス>By プラットフォーム] を選択する |Windows。
- デバイス |Azure portalのすべてのデバイス ウィンドウ。 [デバイス]>[すべてのデバイス] を選択します。
- Microsoft 365 管理センターの [アクティブなデバイス] ウィンドウ。 [ デバイス>アクティブなデバイス] を選択します。
注:
デバイスが登録されると、デバイスは引き続きMicrosoft Intune管理センターの [Windows Autopilot デバイス] ウィンドウとMicrosoft 365 管理センターの [Autopilot] ペインに表示されますが、これらのオブジェクトは Windows Autopilot 登録済みオブジェクトです。
デバイス オブジェクトは、デバイスが Windows Autopilot に登録されると、Microsoft Entra IDで事前に作成されます。 デバイスがハイブリッド Microsoft Entra展開を通過すると、設計上、別のデバイス オブジェクトが作成され、エントリが重複します。
VPN
次の VPN クライアントがテストおよび検証されます。
- インボックス Windows VPN クライアント
- Cisco AnyConnect (Win32 クライアント)
- Pulse Secure (Win32 クライアント)
- GlobalProtect (Win32 クライアント)
- Checkpoint (Win32 クライアント)
- Citrix NetScaler (Win32 クライアント)
- SonicWall (Win32 クライアント)
- FortiClient VPN (Win32 クライアント)
VPN を使用する場合は、Windows Autopilot 展開プロファイルの [AD 接続チェックスキップ] オプションで [はい] を選択します。 Always-On VPN は自動的に接続されるため、このオプションは必要ありません。
注:
この VPN クライアントの一覧は、Windows Autopilot で動作するすべての VPN クライアントの包括的な一覧ではありません。 Windows Autopilot との互換性とサポート可能性、または Windows Autopilot での VPN ソリューションの使用に関する問題については、それぞれの VPN ベンダーにお問い合わせください。
サポートされていない VPN クライアント
次の VPN ソリューションは Windows Autopilot では動作しないことが わか っているため、Windows Autopilot での使用はサポートされていません。
- UWP ベースの VPN プラグイン
- ユーザー証明書が必要なすべてのクライアント
- DirectAccess
注:
この一覧からの特定の VPN クライアントの省略は、自動的にサポートされているか、Windows Autopilot で動作することを意味するものではありません。 この一覧には、Windows Autopilot で動作しないことが わかっている VPN クライアントのみが一覧表示されます。
Windows Autopilot 展開プロファイルを作成して割り当てる
Windows Autopilot 展開プロファイルは、Windows Autopilot デバイスを構成するために使用されます。
Microsoft Intune 管理センターにサインインします。
[ホーム] 画面で、左側のウィンドウで [デバイス] を選択します。
デバイス |[概要] 画面の [プラットフォーム別] で [Windows] を選択します。
Windows で |[Windows デバイス ] 画面の [ デバイス オンボード] で、[登録] を選択 します。
Windows で |Windows 登録 画面の [Windows Autopilot] で、[ 展開プロファイル] を選択します。
[Windows Autopilot 展開プロファイル] 画面で、[プロファイルの作成] ドロップダウン メニューを選択し、[Windows PC] を選択します。
[ プロファイルの作成 ] 画面の [ 基本 ] ページで、[ 名前] とオプションの [説明] を入力します。
割り当てられたグループ内のすべてのデバイスが自動的に Windows Autopilot に登録される場合は、[ すべての対象デバイスを Autopilot に変換] を [はい] に設定します。 割り当てられたグループ内のすべての企業所有の Windows Autopilot 以外のデバイスは、Windows Autopilot 展開サービスに登録されます。 個人所有のデバイスは Windows Autopilot に登録されません。 登録が処理されるまで 48 時間待ちます。 デバイスの登録を解除してリセットすると、Windows Autopilot によって再び登録されます。 この方法でデバイスを登録した後、この設定を無効にするか、プロファイルの割り当てを削除しても、Windows Autopilot 展開サービスからデバイスは削除されません。 代わりに、デバイスを直接削除する必要があります。 詳細については、「 Windows Autopilot デバイスを削除する」を参照してください。
[次へ] を選択します。
[Out-of-box experience (OOBE)] ページの [配置モード] で、[ユーザー ドリブン] を選択します。
[Microsoft Entra IDに参加] ボックスで、ハイブリッド参加Microsoft Entra選択します。
VPN サポートを使用してorganizationのネットワークからデバイスを展開する場合は、[ドメイン接続チェックのスキップ] オプションを [はい] に設定します。 詳細については、「VPN サポートを使用したハイブリッド参加Microsoft Entraユーザー駆動モード」を参照してください。
必要に応じて、[Out-of-box experience (OOBE)] ページで残りのオプションを構成します。
[次へ] を選択します。
[スコープ タグ] ページで、プロファイルのスコープ タグを選択します。
[次へ] を選択します。
[割り当て] ページで、[含めるグループの選択] を選択>デバイス グループを検索して選択>選択します。
[次へ]>[作成] を選択します。
注:
Intune割り当てられたグループ内の新しいデバイスを定期的にチェックし、それらのデバイスにプロファイルを割り当てるプロセスを開始します。 Windows Autopilot プロファイルの割り当てのプロセスに関連するいくつかの異なる要因により、割り当ての推定時間はシナリオによって異なる場合があります。 これらの要因には、Microsoft Entra グループ、メンバーシップルール、デバイスのハッシュ、Intuneと Windows Autopilot サービス、インターネット接続などがあります。 割り当て時間は、特定のシナリオに関連するすべての要因と変数によって異なります。
(省略可能) 登録状態ページを有効にする
Microsoft Intune 管理センターにサインインします。
[ホーム] 画面で、左側のウィンドウで [デバイス] を選択します。
デバイス |[概要] 画面の [プラットフォーム別] で [Windows] を選択します。
Windows で |[Windows デバイス ] 画面の [ デバイス オンボード] で、[登録] を選択 します。
Windows で |Windows 登録 画面の [Windows Autopilot] で、[ 登録の状態] ページを選択します。
[登録ステータス ページ] ウィンドウで、[既定]>[設定] の順に選択します。
[アプリとプロファイルのインストール進行状況を表示する] ボックスで、[はい] を選択します。
必要に応じて、他のオプションを構成します。
[保存] を選択します。
ドメイン参加プロファイルを作成して割り当てる
Microsoft Intune管理センターで、デバイス>管理デバイス |構成>Policies>Create>New Policy。
開 いたプロファイルの作成ウィンドウで 、次のプロパティを入力します。
- 名前: 新しいプロファイルのわかりやすい名前を入力します。
- 説明: プロファイルの説明を入力します
- [プラットフォーム]: [Windows 10 以降] を選択します。
- プロファイルの種類: [ テンプレート] を選択し、テンプレート名 [ドメイン参加] を選択して、[ 作成] を選択します。
[名前] と [説明] を入力し、[次へ] を選択します。
[コンピューター名プレフィックス] と [ドメイン名] を指定します。
(省略可能) DN 形式で組織単位 (OU) を指定します。 以下のオプションがあります。
- Active Directory 用のIntune コネクタを実行している Windows デバイスにコントロールを委任する OU を指定します。
- organizationのオンプレミスの Active Directoryのルート コンピューターにコントロールを委任する OU を指定します。
- このフィールドを空白のままにすると、コンピューター オブジェクトが Active Directory の既定のコンテナーに作成されます。 既定のコンテナーは通常、
CN=Computers
コンテナーです。 詳細については、「 Active Directory ドメイン内のユーザーとコンピューターのコンテナーをリダイレクトする」を参照してください。
有効な例:
OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com
OU=Mine,DC=contoso,DC=com
無効な例:
-
CN=Computers,DC=contoso,DC=com
- コンテナーを指定できません。 代わりに、ドメインの既定値を使用するには、値を空白のままにします。 -
OU=Mine
- ドメインは、DC=
属性を使用して指定する必要があります。
組織単位の値を引用符で囲まないようにしてください。
[OK]>[作成] を選択します。 プロファイルが作成されて、一覧に表示されます。
手順「デバイス グループの作成」で使用したのと同じグループにデバイス プロファイルを割り当てます。 別のドメインまたは OU にデバイスを参加させる必要がある場合は、異なるグループを使用できます。
注:
Microsoft Entraハイブリッド結合の Windows Autopilot の名前付け機能では、%SERIAL% などの変数はサポートされていません。 コンピューター名のプレフィックスのみがサポートされます。
Active Directory 用のIntune コネクタをアンインストールする
Active Directory 用のIntune コネクタは、実行可能ファイルを使用してコンピューターにローカルにインストールされます。 Active Directory 用のIntune コネクタをコンピューターからアンインストールする必要がある場合は、コンピューター上でもローカルで実行する必要があります。 Intune コネクタ for Active Directory は、Intune ポータルまたは graph API 呼び出しでは削除できません。
サーバーから Active Directory 用Intune コネクタをアンインストールするには、Windows Server OS のバージョンに適したタブを選択し、次の手順に従います。
Intune コネクタ for Active Directory をホストしているコンピューターにサインインします。
[スタート] メニューを右クリックし、[設定>Apps>Installed apps] を選択します。
または
次の [アプリ] > [インストールされているアプリ] ショートカットを 選択します。
[アプリ >インストール済みアプリ] ウィンドウで、[Intune コネクタ for Active Directory] を見つけます。
[Intune コネクタ for Active Directory] の横にある [...>] を選択します。アンインストールし、[アンインストール] ボタンを選択します。
Active Directory 用Intune コネクタはアンインストールに進みます。
場合によっては、元の Intune Connector for Active Directory インストーラー
ODJConnectorBootstrapper.exe
が再度実行されるまで、Intune コネクタ for Active Directory が完全にアンインストールされないことがあります。 Intune Connector for Active Directory が完全にアンインストールされていることを確認するには、ODJConnectorBootstrapper.exe
インストーラーをもう一度実行します。 [アンインストール] を求めるメッセージが表示されたら、 を選択してアンインストールします。 それ以外の場合は、ODJConnectorBootstrapper.exe
インストーラーを閉じます。注:
従来の Intune Connector for Active Directory インストーラーは、Intune Connector for Active Directory からダウンロードでき、アンインストールにのみ使用する必要があります。 新しいインストールの場合は、更新された Intune Connector for Active Directory を使用します。
次の手順
Windows Autopilot を構成したら、それらのデバイスを管理する方法について説明します。 詳細については、「Microsoft Intune デバイスの管理とは」を参照してください。
関連コンテンツ
- デバイス ID とは
- クラウドネイティブ エンドポイントの詳細については、こちらをご覧ください。
- Microsoft Entra参加済みとMicrosoft Entraハイブリッドがクラウドネイティブ エンドポイントに参加しています。
- チュートリアル: Microsoft Intuneを使用してクラウドネイティブ Windows エンドポイントを設定して構成する。
- 方法: Microsoft Entra参加の実装を計画する。
- Windows エンドポイント管理変換のフレームワーク。
- ハイブリッド Azure AD と共同管理のシナリオについて説明します。
- リモート Windows Autopilot とハイブリッド Azure Active Directory 参加での成功。