次の方法で共有

Intune と Windows Autopilot を使用して Microsoft Entra ハイブリッド参加済みデバイスを展開する

  • [アーティクル]
  • 適用対象:
    Windows 11, ✅ Windows 10

重要

Microsoft では、Microsoft Entra join を使用して、クラウドネイティブとして新しいデバイスをデプロイすることをお勧めします。 Microsoft Entra ハイブリッド参加デバイスとして新しいデバイスを展開することは、Autopilot を通じてなど、推奨されません。 詳細については、「 Microsoft Entra 参加済み」と「Microsoft Entra Hybrid joined in cloud-native endpoints: 組織に適したオプション」を参照してください

Intune と Windows Autopilot を使用して、Microsoft Entra ハイブリッド参加済みデバイスを設定できます。 そのためには、この記事の手順のようにします。 Microsoft Entra ハイブリッド参加の詳細については、「 Microsoft Entra ハイブリッド参加と共同管理について」を参照してください。

前提条件

デバイス登録の前提条件

登録するデバイスは、次の要件に従う必要があります。

  • 現在サポートされているバージョンの Windows を使用します。
  • 以下の Windows Autopilot ネットワーク要件に従ってインターネットにアクセスできる。
  • Active Directory ドメイン コントローラーにアクセスできる。
  • 参加しているドメインのドメイン コントローラーに正常に ping を実行します。
  • プロキシを使用する場合は、Web プロキシ自動検出プロトコル (WPAD) プロキシ設定オプションを有効にして構成する必要があります。
  • OOBE (Out-of-Box Experience) を使用している。
  • OOBE で Microsoft Entra ID がサポートする承認の種類を使用します。

必須ではありませんが、Active Directory フェデレーション サービス (ADFS) 用に Microsoft Entra ハイブリッド参加を構成すると、展開中の Windows Autopilot Microsoft Entra 登録プロセスの高速化が可能になります。 パスワードの使用と AD FS の使用をサポートしていないフェデレーションのお客様は、 Active Directory フェデレーション サービスの prompt=login パラメーターのサポート に関する記事の手順に従って、認証エクスペリエンスを適切に構成する必要があります。

Intune コネクタ サーバーの前提条件

  • Intune Connector for Active Directory は、.NET Framework バージョン 4.7.2 以降で Windows Server 2016 以降を実行しているコンピューターにインストールする必要があります。

  • Intune コネクタをホストしているサーバーは、インターネットと Active Directory にアクセスできる必要があります。

    注:

    Intune コネクタ サーバーには、Active Directory と通信するために必要な RPC ポート要件を含む、ドメイン コントローラーへの標準ドメイン クライアント アクセスが必要です。 詳細については、次の記事を参照してください。

  • スケールと可用性を高めるために、環境内に複数のコネクタをインストールできます。 コネクタは、他の Intune コネクタが実行されていないサーバーにインストールすることをお勧めします。 各コネクタは、サポートする必要がある任意のドメインにコンピューター オブジェクトを作成できる必要があります。

  • 組織に複数のドメインがあり、複数の Intune コネクタがインストールされている場合は、すべてのドメインにコンピューター オブジェクトを作成できるドメイン サービス アカウントを使用する必要があります。 この要件は、Microsoft Entra ハイブリッド参加が特定のドメインにのみ実装されている場合でも当てはまります。 これらのドメインが信頼されていないドメインの場合は、Windows Autopilot が使用されていないドメインからコネクタをアンインストールする必要があります。 それ以外の場合、複数のドメインにまたがる複数のコネクタを使用すると、すべてのコネクタがすべてのドメインでコンピューター オブジェクトを作成できる必要があります。

    このコネクタ サービス アカウントには、次のアクセス許可が必要です。

    • サービスとしてログオンします
    • ドメイン ユーザー グループの一部である必要があります。
    • コネクタをホストする Windows サーバー上のローカル 管理者 グループのメンバーである必要があります。

    重要

    マネージド サービス アカウントは、サービス アカウントではサポートされていません。 サービス アカウントはドメイン アカウントである必要があります。

  • Intune コネクタには、Intune と同じエンドポイントが必要です。

Windows 自動 MDM 登録を設定する

  1. Azure portal にサインインし、[Microsoft Entra ID] を選択します。

  2. 左側のウィンドウで、 管理 | Mobility (MDM と WIP)>Microsoft Intune を選択します。

  3. Intune と Windows を使用して Microsoft Entra 参加済みデバイスを展開するユーザーが 、MDM ユーザー スコープに含まれるグループのメンバーであることを確認します。

  4. [MDM 利用規約 URL][MDM 探索 URL][MDM 準拠 URL] の各ボックスには既定値を使用して、[保存] を選択します。

組織単位でコンピューター アカウントの上限を増やす

Intune Connector for Active Directory は、オンプレミスの Active Directory ドメインに autopilot に登録されたコンピューターを作成します。 Intune コネクタをホストするコンピューターには、ドメイン内にコンピューター オブジェクトを作成する権限が必要です。

一部のドメインでは、コンピューターにコンピューターを作成する権限が付与されていません。 また、ドメインには組み込みの制限 (既定値は 10) があり、コンピューター オブジェクトの作成権限を委任されていないすべてのユーザーとコンピューターに適用されます。 権限は、Microsoft Entra ハイブリッド参加済みデバイスが作成される組織単位で Intune コネクタをホストするコンピューターに委任する必要があります。

コンピューターを作成する権限を持つ組織単位は、次と一致する必要があります。

  • ドメイン参加プロファイルに入力された組織単位。
  • プロファイルが選択されていない場合は、組織のドメインのコンピューターのドメイン名。

  1. Active Directory ユーザーとコンピューター (DSA.msc)] を開きます。

  2. Microsoft Entra ハイブリッド参加済みコンピューターの作成に使用する組織単位 >Delegate Control を右クリックします。

    [制御の委任] コマンドのスクリーンショット。

  3. オブジェクト制御の委任次へ] [追加] [オブジェクト タイプ] を選択します。

  4. [オブジェクトの種類] ウィンドウで、[コンピューター]>[OK] の順に選択します。

    [オブジェクトの種類] ウィンドウのスクリーンショット。

  5. [ユーザー、コンピューター、またはグループの選択] ウィンドウの [選択するオブジェクト名を入力してください] ボックスに、コネクタをインストールするコンピューターの名前を入力します。

    [ユーザー、コンピューター、またはグループの選択] ウィンドウのスクリーンショット。

  6. [名前の確認] を選択して、エントリ >OK>Next を検証します

  7. 委任するカスタム タスクを作成する] [次へ] を選択します。

  8. [フォルダ内の次のオブジェクトのみ]>[コンピューター オブジェクト] の順に選択します。

  9. [このフォルダーに選択したオブジェクトを作成する][このフォルダー内の選択したオブジェクトを削除する] を選択します。

    [Active Directory オブジェクトの種類] ウィンドウのスクリーンショット。

  10. 次へ] を選択します。

  11. アクセス許可] で、[フル コントロール] チェック ボックスをオンにします。 このアクションは、他のすべてのオプションを選択します。

    [アクセス許可] ウィンドウのスクリーンショット。

  12. 次へ] [完了] の順に選択します。

Intune コネクタをインストールする

インストールを開始する前に、 すべての Intune コネクタ サーバーの前提条件 が満たされていることを確認してください。

インストール手順

  1. Windows Server では既定で、Internet Explorer セキュリティ強化の構成がオンになっています。 Internet Explorer のセキュリティ強化構成により、Intune Connector for Active Directory への挿入に問題が発生する可能性があります。 Internet Explorer は非推奨であり、ほとんどの場合、Windows Server にもインストールされていないため、Internet Explorer のセキュリティ強化構成を無効にすることをお勧めします。 Internet Explorer のセキュリティ強化構成をオフにするには:

    1. Intune コネクタがインストールされているサーバーで、 サーバー マネージャーを開きます。

    2. サーバー マネージャーの左側のウィンドウで、[ ローカル サーバー] を選択します。

    3. サーバー マネージャーの右側の [プロパティ] ウィンドウで、[IE セキュリティ強化構成] の横にある [オン] または [オフ] リンクを選択します。

    4. [Internet Explorer のセキュリティ強化の構成] ウィンドウで、[管理者] で[オフ] を選択し、[OK] を選択します

  2. Microsoft Intune 管理センターにサインインします。

  3. [ホーム] 画面で、左側のウィンドウで [デバイス] を選択します。

  4. デバイス |[概要] 画面の [プラットフォーム別] で [Windows] を選択します

  5. Windows で |[Windows デバイス ] 画面の [ デバイス オンボード] で、[登録] を選択 します

  6. Windows で |Windows 登録 画面の [Windows Autopilot] で、[ Intune Connector for Active Directory] を選択します。

  7. [Intune Connector for Active Directory]\(Active Directory 用 Intune コネクタ\) 画面で、[追加] を選択します

  8. 手順に従ってコネクタをダウンロードします。

  9. ダウンロードしたコネクタのセットアップ ファイル ODJConnectorBootstrapper.exe を開いて、コネクタをインストールします。

  10. セットアップの最後に、[ 今すぐ構成] を選択します。

  11. [サインイン] を選びます。

  12. Intune 管理者ロールの資格情報を入力します。 ユーザー アカウントに Intune ライセンスが割り当てられている必要があります。

注:

Intune 管理者ロールは、インストール時の一時的な要件です。

認証後、Intune Connector for Active Directory のインストールが完了します。 インストールが完了したら、次の手順に従って、Intune でアクティブであることを確認します。

  1. Microsoft Intune 管理センターにサインインします。

  2. [ホーム] 画面で、左側のウィンドウで [デバイス] を選択します。

  3. デバイス |[概要] 画面の [プラットフォーム別] で [Windows] を選択します

  4. Windows で |[Windows デバイス ] 画面の [ デバイス オンボード] で、[登録] を選択 します

  5. Windows で |Windows 登録 画面の [Windows Autopilot] で、[ Intune Connector for Active Directory] を選択します。

  6. [状態] 列の接続状態が [アクティブ] であることを確認します。

注:

  • コネクタにサインインした後、 Microsoft Intune 管理センターに表示されるまでに数分かかることがあります。 Intune サービスと正常に通信できる場合にのみ表示されます。

  • 非アクティブな Intune コネクタは引き続き [Intune コネクタ] ページに表示され、30 日後に自動的にクリーンアップされます。

Intune Connector for Active Directory がインストールされると、パス Applications and Services Logs>Microsoft>Intune>ODJConnectorService の下でイベント ビューアーへのログ記録が開始されます。 このパスの下には、 管理者 ログと 運用 ログがあります。

注:

Intune コネクタはもともと、ODJ Connector Service というログのアプリケーションとサービス ログの下にあるイベント ビューアーに直接記録されました。 ただし、Intune コネクタのログ記録は、その後、 パス Applications and Services Logs>Microsoft>Intune>ODJConnectorService に移動しました。 元の場所の ODJ コネクタ サービス ログが空であるか更新されていない場合は、代わりに新しいパスの場所を確認してください。

Web プロキシ設定の構成

ネットワーク環境に Web プロキシがある場合は、「 既存のオンプレミス プロキシ サーバーを使用する」を参照して、Intune Connector for Active Directory が適切に動作することを確認します。

デバイス グループを作成する

  1. Microsoft Intune 管理センターで、[グループ>新しいグループ] を選択します。

  2. [ グループ ] ウィンドウで、次のオプションを選択します。

    1. [グループの種類] で、[セキュリティ] を選択します。

    2. [グループ名][グループの説明] を入力します。

    3. [メンバーシップの種類] を選択します。

  3. メンバーシップの種類として [動的デバイス ] が選択されている場合は、[ グループ ] ウィンドウで [ 動的デバイス メンバー] を選択します。

  4. [ルール構文] ボックスで [編集] を選択し、次のいずれかのコード行を入力します。

    • すべての Autopilot デバイスを含むグループを作成するには、次のように入力します。

      (device.devicePhysicalIDs -any _ -startsWith "[ZTDId]")

    • Intune の [グループ タグ] フィールドは、Microsoft Entra デバイスの OrderID 属性にマップされます。 特定のグループ タグ (OrderID) を持つすべての Autopilot デバイスを含むグループを作成するには、次のように入力します。

      (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")

    • 特定の発注書 ID を持つすべての Autopilot デバイスを含むグループを作成するには、次のように入力します。

      (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")

  5. [保存]>[作成] の順に選択します。

Autopilot デバイスを登録する

Autopilot デバイスを登録するには、次のいずれかの方法を選択します。

既に登録されている Autopilot デバイスを登録する

  1. [対象のすべてのデバイスを Autopilot に変換する] を [はい] に設定して、Autopilot 展開プロファイルを作成します。

  2. Autopilot に自動的に登録する必要があるメンバーを含むグループにプロファイルを割り当てます。

詳しくは、「Autopilot Deployment プロファイルを作成する」をご覧ください。

登録されていない Autopilot デバイスを登録する

Windows Autopilot にまだ登録されていないデバイスは、手動で登録できます。 詳細については、「手動登録」を参照してください。

OEM からデバイスを登録する

新しいデバイスを購入する場合、一部の OEM は、組織の代わりにデバイスを登録できます。 詳細については、「OEM 登録」を参照してください。

登録済みの Autopilot デバイスを表示する

デバイスが Intune に登録される前に、 登録済みの Windows Autopilot デバイスは 3 か所に表示されます (名前はシリアル番号に設定されています)。

  • Microsoft Intune 管理センター[Windows Autopilot デバイス] ウィンドウ。 [デバイス>By プラットフォーム] を選択する |Windows>Device オンボード |登録[Windows Autopilot] で、[デバイス] を選択します
  • デバイス |Azure portal のすべてのデバイス ウィンドウ。 [デバイス]>[すべてのデバイス] を選択します。
  • Microsoft 365 管理センターAutopilot ペイン。 [ デバイス>Autopilot] を選択します。

Windows Autopilot デバイスが 登録されると、デバイスは次の 4 つの場所に表示されます。

  • デバイス |Microsoft Intune 管理センターの [すべてのデバイス] ウィンドウ。 [デバイス]>[すべてのデバイス] の順に選択します。
  • Windows |Microsoft Intune 管理センターの [Windows デバイス] ウィンドウ。 [デバイス>By プラットフォーム] を選択する |Windows
  • デバイス |Azure portal のすべてのデバイス ウィンドウ。 [デバイス]>[すべてのデバイス] を選択します。
  • Microsoft 365 管理センター[アクティブなデバイス] ウィンドウ。 [ デバイス>アクティブなデバイス] を選択します

注:

デバイスが登録された後も、デバイスは Microsoft Intune 管理センター[Windows Autopilot デバイス] ウィンドウと Microsoft 365 管理センター[Autopilot] ペインに表示されますが、これらのオブジェクトは Windows Autopilot 登録済みオブジェクトです。

デバイスが Autopilot に登録されると、デバイス オブジェクトは Microsoft Entra ID で事前に作成されます。 デバイスがハイブリッド Microsoft Entra 展開を通過すると、設計上、別のデバイス オブジェクトが作成され、エントリが重複します。

VPN

次の VPN クライアントがテストおよび検証されます。

  • インボックス Windows VPN クライアント
  • Cisco AnyConnect (Win32 クライアント)
  • Pulse Secure (Win32 クライアント)
  • GlobalProtect (Win32 クライアント)
  • Checkpoint (Win32 クライアント)
  • Citrix NetScaler (Win32 クライアント)
  • SonicWall (Win32 クライアント)
  • FortiClient VPN (Win32 クライアント)

VPN を使用する場合は、Windows Autopilot 展開プロファイルの [AD 接続のスキップ] チェック オプションで [はい] を選択します。 Always-On VPN は自動的に接続されるため、このオプションは必要ありません。

注:

この VPN クライアントの一覧は、Windows Autopilot で動作するすべての VPN クライアントの包括的な一覧ではありません。 Windows Autopilot との互換性とサポート可能性、または Windows Autopilot での VPN ソリューションの使用に関する問題については、それぞれの VPN ベンダーにお問い合わせください。

サポートされていない VPN クライアント

次の VPN ソリューションは Windows Autopilot では動作しないことが わか っているため、Windows Autopilot での使用はサポートされていません。

  • UWP ベースの VPN プラグイン
  • ユーザー証明書が必要なすべてのクライアント
  • DirectAccess

注:

この一覧からの特定の VPN クライアントの省略は、自動的にサポートされているか、Windows Autopilot で動作することを意味するものではありません。 この一覧には、Windows Autopilot で動作しないことが わかっている VPN クライアントのみが一覧表示されます。

AutoPilot Deployment プロファイルを作成して割り当てる

Autopilot Deployment プロファイルは、Autopilot デバイスを構成する場合に使用されます。

  1. Microsoft Intune 管理センターにサインインします。

  2. [ホーム] 画面で、左側のウィンドウで [デバイス] を選択します。

  3. デバイス |[概要] 画面の [プラットフォーム別] で [Windows] を選択します

  4. Windows で |[Windows デバイス ] 画面の [ デバイス オンボード] で、[登録] を選択 します

  5. Windows で |Windows 登録 画面の [Windows Autopilot] で、[ 展開プロファイル] を選択します。

  6. [Windows Autopilot 展開プロファイル] 画面で、[プロファイルの作成] ドロップダウン メニューを選択し、[Windows PC] を選択します。

  7. [ プロファイルの作成 ] 画面の [ 基本 ] ページで、[ 名前] とオプションの [説明] を入力します。

  8. 割り当てられたグループ内のすべてのデバイスが自動的に Windows Autopilot に登録される場合は、[ すべての対象デバイスを Autopilot に変換][はい] に設定します。 割り当てられたグループ内のすべての企業所有の Autopilot 以外のデバイスは、Autopilot デプロイ サービスに登録されます。 個人所有のデバイスは Autopilot に登録されません。 登録が処理されるまで 48 時間待ちます。 デバイスの登録が解除され、リセットされると、Autopilot によって再び登録されます。 この方法でデバイスを登録した後、この設定を無効にするか、プロファイルの割り当てを削除しても、Autopilot 展開サービスからデバイスは削除されません。 代わりに、デバイスを直接削除する必要があります。 詳細については、「 Autopilot デバイスの削除」を参照してください。

  9. [次へ] を選択します。

  10. [Out-of-box experience (OOBE)] ページの [配置モード] で、[ユーザー ドリブン] を選択します。

  11. [ Microsoft Entra ID に参加する ] ボックスで、[ Microsoft Entra ハイブリッド参加済み] を選択します。

  12. VPN サポートを使用して組織のネットワークからデバイスを展開する場合は、[ ドメイン接続チェックのスキップ ] オプションを [はい] に設定します。 詳細については、「 Vpn サポートを使用した Microsoft Entra ハイブリッド参加のユーザー 駆動モード」を参照してください。

  13. 必要に応じて、[Out-of-box experience (OOBE)] ページで残りのオプションを構成します。

  14. [次へ] を選択します。

  15. [スコープ タグ] ページで、プロファイルのスコープ タグを選択します。

  16. [次へ] を選択します。

  17. [割り当て] ページで、[含めるグループの選択] を選択>デバイス グループを検索して選択>選択します

  18. [次へ]>[作成] を選択します。

注:

Intune は、割り当てられたグループ内の新しいデバイスを定期的にチェックし、それらのデバイスにプロファイルを割り当てるプロセスを開始します。 Autopilot プロファイル割り当てのプロセスに関連するいくつかの異なる要因により、割り当ての推定時間はシナリオによって異なる場合があります。 これらの要因には、Microsoft Entra グループ、メンバーシップ ルール、デバイスのハッシュ、Intune と Autopilot サービス、インターネット接続などがあります。 割り当て時間は、特定のシナリオに関連するすべての要因と変数によって異なります。

(省略可能) 登録状態ページを有効にする

  1. Microsoft Intune 管理センターにサインインします。

  2. [ホーム] 画面で、左側のウィンドウで [デバイス] を選択します。

  3. デバイス |[概要] 画面の [プラットフォーム別] で [Windows] を選択します

  4. Windows で |[Windows デバイス ] 画面の [ デバイス オンボード] で、[登録] を選択 します

  5. Windows で |Windows 登録 画面の [Windows Autopilot] で、[ 登録の状態] ページを選択します。

  6. [登録ステータス ページ] ウィンドウで、[既定]>[設定] の順に選択します。

  7. [アプリとプロファイルのインストール進行状況を表示する] ボックスで、[はい] を選択します。

  8. 必要に応じて、他のオプションを構成します。

  9. [保存] を選択します。

ドメイン参加プロファイルを作成して割り当てる

  1. Microsoft Intune 管理センターで、デバイス>管理デバイス |構成>Policies>Create>New Policy

  2. いたプロファイルの作成ウィンドウで 、次のプロパティを入力します。

    • 名前: 新しいプロファイルのわかりやすい名前を入力します。
    • 説明: プロファイルの説明を入力します
    • [プラットフォーム]: [Windows 10 以降] を選択します。
    • プロファイルの種類: [ テンプレート] を選択し、テンプレート名 [ドメイン参加] を選択して、[ 作成] を選択します。

  3. [名前][説明] を入力し、[次へ] を選択します。

  4. [コンピューター名プレフィックス][ドメイン名] を指定します。

  5. (省略可能) DN 形式組織単位 (OU) を指定します。 以下のオプションがあります。

    • Intune コネクタを実行している Windows デバイスにコントロールを委任する OU を指定します。
    • 組織のオンプレミス Active Directory 内のルート コンピューターにコントロールを委任する OU を指定します。
    • このフィールドを空白のままにすると、コンピューター オブジェクトが Active Directory の既定のコンテナーに作成されます。 既定のコンテナーは通常、 CN=Computers コンテナーです。 詳細については、「 Active Directory ドメイン内のユーザーとコンピューターのコンテナーをリダイレクトする」を参照してください。

    有効な例:

    • OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com
    • OU=Mine,DC=contoso,DC=com

    無効な例:

    • CN=Computers,DC=contoso,DC=com - コンテナーを指定できません。 代わりに、ドメインの既定値を使用するには、値を空白のままにします。
    • OU=Mine - ドメインは、 DC= 属性を使用して指定する必要があります。

    組織単位の値を引用符で囲まないようにしてください。

  6. [OK]>[作成] を選択します。 プロファイルが作成されて、一覧に表示されます。

  7. 手順「デバイス グループの作成」で使用したのと同じグループにデバイス プロファイルを割り当てます。 別のドメインまたは OU にデバイスを参加させる必要がある場合は、異なるグループを使用できます。

注:

Microsoft Entra ハイブリッド結合用の Windows Autopilot の名前付け機能では、 %SERIAL% などの変数はサポートされていません。 コンピューター名のプレフィックスのみがサポートされます。

ODJ コネクタをアンインストールする

ODJ コネクタは、実行可能ファイルを使用してコンピューターにローカルにインストールされます。 ODJ コネクタをコンピューターからアンインストールする必要がある場合は、コンピューター上でもローカルで実行する必要があります。 ODJ コネクタは、Intune ポータルまたは Graph API 呼び出しでは削除できません。

コンピューターから ODJ コネクタをアンインストールするには、次の手順に従います。

  1. ODJ コネクタをホストしているコンピューターにサインインします。
  2. [スタート] メニューを右クリックし、[設定] を選択します。
  3. [ Windows の設定] ウィンドウで、[アプリ] を選択 します
  4. [ アプリ & 機能] で、[ Intune Connector for Active Directory] を見つけて選択します。
  5. [ Intune Connector for Active Directory] で、[ アンインストール ] ボタンを選択し、もう一度 [ アンインストール ] ボタンを選択します。
  6. ODJ コネクタはアンインストールに進みます。

次の手順

Windows Autopilot を構成したら、それらのデバイスを管理する方法について説明します。 詳細については、「Microsoft Intune デバイスの管理とは」を参照してください。

関連コンテンツ