次の方法で共有


チュートリアル: Microsoft Intune を使用したクラウド ネイティブな Windows エンドポイントの設定と構成

ヒント

クラウド ネイティブ エンドポイントについて読むと、次の用語が表示されます。

  • エンドポイント: エンドポイントは、携帯電話、Tablet PC、ノート PC、デスクトップ コンピューターなどのデバイスです。 "エンドポイント" と "デバイス" は同じ意味で使用されます。
  • マネージド エンドポイント: MDM ソリューションまたは グループ ポリシー オブジェクトを使用して組織からポリシーを受け取るエンドポイント。 通常、これらのデバイスは組織所有ですが、BYOD または個人所有のデバイスでもかまいません。
  • クラウド ネイティブ エンドポイント: Microsoft Entra に参加しているエンドポイント。 これらはオンプレミス AD に参加していません。
  • ワークロード: 任意のプログラム、サービス、またはプロセス。

このガイドでは、組織のためにクラウド ネイティブな Windows エンドポイント構成を作成するための手順を説明しています。 クラウドネイティブ エンドポイントとその利点の概要については、「 クラウドネイティブ エンドポイントとは」を参照してください。

この機能は、以下に適用されます。

  • Windows クラウドネイティブ エンドポイント

ヒント

Microsoft が推奨する、標準化されたソリューションをベースに構築したい場合は、クラウド構成での Windows に興味をお持ちいただけるかもしれません。 Intune ガイド付きシナリオについては、「 クラウド構成での Windows 10/11」を参照してください。

次の表では、 クラウド構成でのこのガイドと Windows の主な違いについて説明します。


ソリューション 目標
チュートリアル: クラウドネイティブ Windows エンドポイントの概要 (このガイド) Microsoft の推奨設定に基づき、お客様の環境に合わせた独自の構成を作成し、テストの開始をサポートできるようにガイドします。
クラウド構成での Windows より重点的なニーズを持つ現場、リモート、およびその他のワーカーに関する Microsoft のベスト プラクティスに基づいて、事前に構築された構成を作成して適用するガイド付きシナリオ エクスペリエンス。

このガイドは、クラウド構成での Windows と組み合わせて使用することで、事前構築されたエクスペリエンスをさらにカスタマイズすることができます。

始める方法

このガイドでは、5 つの順序立てられたフェーズを使用します。これらのフェーズは互いに積み重なり、クラウド ネイティブな Windows エンドポイント構成の準備に役立ちます。 これらのフェーズを順番に完了すると、具体的な進行状況を確認しながら、新しいデバイスをプロビジョニングする準備が整います。

フェーズ:

Microsoft Intune と Windows Autopilot を使用してクラウドネイティブの Windows エンドポイントを設定するための 5 つのフェーズです。

  • フェーズ 1 – 環境を設定する
  • フェーズ 2 – 最初のクラウドネイティブ Windows エンドポイントを構築する
  • フェーズ 3 – クラウドネイティブ Windows エンドポイントをセキュリティで保護する
  • フェーズ 4 – カスタム設定とアプリケーションを適用する
  • フェーズ 5 – Windows Autopilot を使用して大規模に展開する

このガイドの最後には、クラウド ネイティブな Windows エンドポイントが搭載され、お使いの環境でテストを開始する準備が整います。 作業を開始する前に、「Microsoft Entra 参加の 実装を計画する方法」の Microsoft Entra 参加計画ガイドを確認してください。

フェーズ 1 – 環境の設定

Microsoft Intune でクラウド ネイティブ エンドポイント用に環境を設定するフェーズ 1 を示す画像

最初のクラウド ネイティブな Windows エンドポイントを構築する前に、いくつか重要な要件と構成を確認する必要があります。 このフェーズでは、要件の確認、Windows Autopilot の構成、いくつかの設定やアプリケーションの作成を行います。

手順 1 - ネットワーク要件

クラウド ネイティブな Windows エンドポイントは、いくつかのインターネット サービスにアクセスする必要があります。 オープン ネットワークでテストを開始します。 Windows Autopilot ネットワーク要件に一覧表示されたすべてのエンドポイントへのアクセスを設定した後、企業ネットワークを使用します。

ワイヤレス ネットワークに証明書が必要な場合は、テスト時のイーサネット接続から始めて、デバイス プロビジョニングに必要なワイヤレス接続の最適な方法を決定することができます。

手順 2 - 登録とライセンス

Microsoft Entra に参加して Intune に登録する前に、確認する必要がある点がいくつかあります。 Intune MDM Users という名前など、新しい Microsoft Entra グループを作成できます。 次に、特定のテスト ユーザー アカウントを追加し、そのグループで以下の各構成を対象にして、構成の設定中にデバイスを登録できるユーザーを制限できます。 Microsoft Entra グループを作成するには、[ Microsoft Entra グループとグループ メンバーシップの管理] に移動します。

  • 登録の制限 登録制限を使用すると、Intune で管理に登録できるデバイスの種類を制御できます。 このガイドどおりに登録するには、Windows (MDM) 登録が許可されていることを確認してください (既定の構成)。

    登録の制限に関する詳細については、「Microsoft Intune で登録制限を設定する」をご覧ください。

  • Microsoft Entra Device MDM の設定 Windows デバイスを Microsoft Entra に参加させると、デバイスに MDM に自動的に登録するように Microsoft Entra を構成できます。 この構成は、Windows Autopilot を動作させるために必要です。

    Microsoft Entra Device MDM の設定が正しく有効になっていることを確認するには、「 クイック スタート - Intune で自動登録を設定する」に移動します。

  • Microsoft Entra 企業のブランド化 Microsoft Entra に会社のロゴとイメージを追加すると、ユーザーが Microsoft 365 にサインインするときに、使い慣れた一貫性のある外観が確実に表示されます。 この構成は、Windows Autopilot を動作させるために必要です。

    Microsoft Entra でカスタム ブランドを構成する方法については、「 組織の Microsoft Entra サインイン ページにブランドを追加する」を参照してください。

  • ライセンス Out Of Box Experience (OOBE) から Intune に Windows デバイスを登録するユーザーには、2 つの重要な機能が必要です。

    ユーザーには次のライセンスが必要です。

    • Microsoft Intune または Microsoft Intune for Education ライセンス
    • 次のオプションのいずれかのようなライセンスで、MDM への自動登録できるもの。
      • Microsoft Entra Premium P1
      • Microsoft Intune for Education

    ライセンスを割り当てるには、「Microsoft Intune ライセンスの割り当て」をご覧ください。

    注:

    ライセンスの種類は、いずれも通常、Microsoft 365 E3 (または A3) 以上のライセンス バンドルに含まれます。 M365 ライセンスの比較は、こちらをご覧ください。

手順 3 - テスト デバイスのインポート

クラウド ネイティブな Windows エンドポイントをテストするには、まず仮想マシンや物理デバイスを準備する必要があります。 次の手順では、デバイスの詳細を取得し、この記事の後半部分で使用する Windows Autopilot サービスにアップロードします。

注:

以下の手順は、テスト用のデバイスをインポートする方法ですが、パートナーや OEM では、購入の一環として、お客様の代理でデバイスを Windows Autopilot にインポートすることができます。 Windows Autopilot に関する詳細は、フェーズ 5 をご覧ください。

  1. Windows (できれば 20H2 以降) を仮想マシンにインストールするか、物理デバイスをリセットして、OOBE のセットアップ画面で待機します。 仮想マシンでは、オプションでチェックポイントを作成することができます。

  2. インターネットに接続するために必要な手順を完了させます。

  3. キーボードの組み合わせ Shift+F10 を使用して、コマンド プロンプトを開きます。

  4. bing.com に ping を送信し、インターネットにアクセスできることを確認します。

    • ping bing.com
  5. 以下のコマンドを実行して PowerShell に切り替えます。

    • powershell.exe
  6. 次のコマンドを実行して、Get-WindowsAutoPilotInfo スクリプトをダウンロードします。

    • Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process
    • Install-Script Get-WindowsAutopilotInfo
  7. プロンプトが表示されたら、Y と入力して承諾します。

  8. 次のコマンドを入力します。

    • Get-WindowsAutopilotInfo.ps1 -GroupTag CloudNative -Online

    注:

    グループ タグを使用すると、デバイスのサブセットに基づいて動的な Microsoft Entra グループを作成できます。 グループ タグは、デバイスのインポート時に設定したり、Microsoft Intune 管理センターで後から変更できます。 手順 4 では、グループ タグ CloudNative を使用します。 テスト用に別のタグ名を設定することができます。

  9. 資格情報プロンプトが表示されたら、Intune 管理者アカウントでサインインします。

  10. フェーズ 2 までは、コンピューターを出荷時の状態にしておきます。

手順 4 - デバイスの Microsoft Entra 動的グループを作成する

このガイドの構成を、Windows Autopilot にインポートするテスト デバイスに制限するには、動的な Microsoft Entra グループを作成します。 このグループには、Windows Autopilot にインポートし、グループ タグ CloudNative を持つデバイスを自動的に含める必要があります。 このグループには、すべての構成やアプリケーションを割り当てることができます。

  1. Microsoft Intune 管理センターを開きます。

  2. [ グループ>新しいグループ] を選択します。 次の詳細を入力します:

    • グループの種類: [セキュリティ] を選択します。
    • [グループ名]:「Autopilot Cloud-Native Windows エンドポイント」と入力します。
    • メンバーシップの種類: [ 動的デバイス] を選択します。
  3. [動的クエリの追加] を選択します。

  4. Rule Syntax セクションで、[編集] を選択します。

  5. 次のようなテキストを貼り付けてください。

    (device.devicePhysicalIds -any (_ -eq "[OrderID]:CloudNative"))

  6. [OK]>[保存]>[作成] の順に選択します。

ヒント

動的グループは、変更があった場合、その内容が反映されるまでに数分かかります。 大規模な組織では、さらに時間がかかる場合もあります。 新しいグループの作成後、数分待ってから、デバイスがグループのメンバーになったことを確認してください。

デバイスの動的グループについては、「デバイスのルール」をご覧ください。

手順 5 - 登録状態ページの構成

登録状態ページは、IT 担当者がエンドポイントをプロビジョニングする間に、エンドユーザー エクスペリエンスを制御するために使用するメカニズムです。 「登録状態ページを設定する」を参照してください。 登録状態ページのスコープを制限するには、新しいプロファイルを作成し、前の手順「デバイスの Microsoft Entra 動的グループを作成する」で作成した Windows エンドポイント グループ Cloud-Native Autopilot をターゲットにすることができます。

  • テスト目的では、次の設定を推奨しますが、必要に応じて自由に調整してください。
    • アプリとプロファイルの構成の進行状況を表示する - はい
    • out-of-box experience (OOBE) によってプロビジョニングされたデバイスにのみページを表示する – はい (既定)

手順 6 - Windows Autopilot プロファイルを作成して割り当てる

Windows Autopilot プロファイルを作成して、テスト デバイスに割り当てることができるようになります。 このプロファイルは、Microsoft Entra に参加するようにデバイスに指示し、OOBE 中に適用する設定を指定します。

  1. Microsoft Intune 管理センターを開きます。

  2. [ デバイス>デバイスのオンボード>Enrollment>Windows>Windows Autopilot>Deployment プロファイルを選択します

  3. [プロファイルの作成]、>[Windows PC] の順に選択します。

  4. クラウド ネイティブな Autopilot Windows Endpoint」という名前を入力して、[次へ] を選択します。

  5. 既定の設定を確認して残し、[次へ] を選択します。

  6. スコープ タグを残し、[次へ] を選択します。

  7. Autopilot Cloud-Native Windows エンドポイントという名前で作成した Microsoft Entra グループにプロファイルを割り当て、[次へ] を選択し、[作成] を選択します。

手順 7 - Windows Autopilot デバイスの同期

Windows Autopilot サービスは、1 日に数回の同期を行います。 また、すぐに同期を開始して、デバイスをテストできる状態にすることもできます。 すぐに同期させるには、以下の操作を行います。

  1. Microsoft Intune 管理センターを開きます。

  2. [ デバイス>デバイスのオンボード>Enrollment>Windows>Windows Autopilot>Devices を選択します

  3. [同期] を選択します。

同期には数分かかりますが、バックグラウンドで行われます。 同期が完了すると、インポートされたデバイスのプロファイルの状態に [割り当て済み] と表示されます。

手順 8 - 最適な Microsoft 365 エクスペリエンスの構成の設定

構成する必要のある設定をいくつか選択しました。 これらの設定は、クラウド ネイティブな Windows デバイスで最適な Microsoft 365 エンドユーザー エクスペリエンスをデモします。 これらの設定は、デバイス構成設定カタログ プロファイルを使用して構成されます。 詳細については、「Microsoft Intune で設定カタログを使用してポリシーを作成する」をご覧ください。

プロファイルを作成して設定を追加したら、先ほど作成したクラウド ネイティブの Autopilot Windows エンドポイント グループにプロファイルを割り当てます。

  • Microsoft Outlook Microsoft Outlook の初回実行エクスペリエンスを向上させるために、次の設定では、Outlook を初めて開いたときにプロファイルが自動的に構成されます。

    • Microsoft Outlook 2016\Account Settings\Exchange (ユーザー設定)
      • Active Directory プライマリ SMTP アドレスに基づいて、最初のプロファイルのみを自動的に構成する - 有効
  • Microsoft Edge Microsoft Edge の最初の実行エクスペリエンスを向上させるために、次の設定では、ユーザーの設定を同期し、最初の実行エクスペリエンスをスキップするように Microsoft Edge を構成します。

    • Microsoft Edge
      • 初回起動時エクスペリエンスとスプラッシュ画面を非表示にする - 有効
      • ブラウザー データの強制的な同期と同期同意プロンプトを表示しない - 有効
  • Microsoft OneDrive

    初回のサインイン時エクスペリエンスを向上させるために、以下の設定を行うと、Microsoft OneDrive に自動的にサインインし、デスクトップ、画像、ドキュメントが OneDrive にリダイレクトされるようになります。 ファイル オンデマンド (FOD) も推奨されます。 既定では有効になっており、次の一覧には含まれません。 OneDrive 同期アプリに推奨される構成の詳細については、「Microsoft OneDrive の推奨される同期アプリの構成」をご覧ください。

    • OneDrive

      • Windows 資格情報を使用して OneDrive 同期アプリにユーザーをサイレント モードでサインインする - 有効
      • Silently move Windows known folders to OneDrive (サイレント モードで Windows の既知のフォルダーを OneDrive に移動する) – 有効

      注:

      詳細については、「既知のフォルダーをリダイレクトする」をご覧ください。

次のスクリーンショットは、おすすめの各設定を構成した設定カタログ プロファイルの例を示しています。

Microsoft Intune の設定カタログ プロファイルの例を示すスクリーンショット。

手順 9 - いくつかのアプリケーションの作成と割り当て

クラウド ネイティブなエンドポイントには、いくつかのアプリケーションが必要です。 まずは、以下のアプリケーションを構成し、先に作成したクラウド ネイティブな Autopilot Windows エンドポイント グループを対象にすることをお勧めします。

  • Microsoft 365 Apps (旧称 Office 365 ProPlus) Microsoft 365 Apps (Word、Excel、Outlook など) は、Intune の組み込みの Microsoft 365 アプリ for Windows アプリ プロファイルを使用して、デバイスに簡単に展開できます。

    • 設定の形式は、XML ではなく構成デザイナーを選択します。
    • 最新チャネルに [現在のチャネル] を選択します。

    Microsoft 365 Apps を展開するには、「Microsoft Intune を使用して Windows デバイスに Microsoft 365 アプリを追加する」をご覧ください。

  • ポータル サイト アプリ Intune ポータル サイト アプリを必要なアプリケーションとしてすべてのデバイスに展開することをお勧めします。 ポータル サイト アプリは、ユーザーが Intune、Microsoft Store、構成マネージャーなどの複数のソースからアプリケーションをインストールする場合に使用する、ユーザーのためのセルフサービス ハブです。 また、ユーザーはポータル サイト アプリを使用して、デバイスを Intune と同期したり、コンプライアンスの状況を確認したりできます。

    必要に応じてポータル サイトを展開するには、「Intune マネージド デバイス用 Windows ポータル サイト アプリを追加して割り当てる」を参照してください。

  • Microsoft Store App (Whiteboard) Intune はさまざまなアプリを展開できますが、このガイドの作業を簡単にするためにストア アプリ (Microsoft Whiteboard) をデプロイします。 「Microsoft Intune にMicrosoft Store アプリを追加する」の手順に従って、Microsoft Whiteboard をインストールしてください。

フェーズ 2 - クラウド ネイティブな Windows エンドポイントの構築

フェーズ 2。

最初のクラウド ネイティブな Windows エンドポイントを構築するには、[フェーズ 1] > [手順 3] でハードウェア ハッシュを収集して、Windows Autopilot サービスにアップロードしたのと同じ仮想マシンまたは物理デバイスを使用します。 デバイスで Windows Autopilot プロセスを進めます。

  1. Windows PC を Out of Box Experience (OOBE) に再開 (必要な場合はリセット) します。

    注:

    個人用または組織用のセットアップを選択するプロンプトが表示された場合は、Autopilot プロセスがトリガーされていません。 そのような状況では、デバイスを再起動し、インターネットにアクセスできる状態にしてください。 それでもうまくいかない場合は、PC をリセットするか、Windows の再インストールをお試しください。

  2. Microsoft Entra 資格情報 (UPN または AzureAD\username) を使用してサインインします。

  3. 登録状況ページに、デバイス構成の状態が表示されます。

おめでとうございます! 最初のクラウド ネイティブな Windows エンドポイントがプロビジョニングされました。

新しいクラウド ネイティブな Windows エンドポイントでチェックする内容は、以下のとおりです。

  • OneDrive フォルダーがリダイレクトされます。 Outlook を開くと、自動的に Office 365 に接続するように構成されます。

  • [スタート メニュー] から [ポータル サイト] を開き、Microsoft Whiteboard がインストール可能であることを確認します。

  • デバイスから、ファイル共有、プリンター、イントラネット サイトなどのオンプレミス リソースへのアクセスをテストすることを検討してください。

    注:

    Windows Hello for Business Hybrid を設定していない場合、Windows Hello のログオン時に、オンプレミス リソースにアクセスするためのパスワードの入力を求められる場合があります。 シングル サインオンのテストを続けるには、Windows Hello for Business Hybrid を構成するか、Windows Hello ではなくユーザー名とパスワードでデバイスにログオンすることができます。 そのためには、ログオン画面で鍵型のアイコンを選択します。

フェーズ 3 - クラウド ネイティブな Windows エンドポイントの保護

フェーズ 3。

このフェーズは、お客様の組織に合わせたセキュリティ設定の構築をサポートするために設計されています。 このセクションでは、Microsoft Intune のさまざまなエンドポイントのセキュリティ コンポーネントについてご紹介します。

Microsoft Defender ウイルス対策 (MDAV)

Windows の OS 内蔵コンポーネントである Microsoft Defender ウイルス対策の最小構成として、次の設定が推奨されます。 これらの設定は、E3 や E5 などの特定のライセンス契約を必要とせず、Microsoft Intune 管理センターで有効にすることができます。 管理センターで、[エンドポイント セキュリティ]>[ウイルス対策]>[ポリシーの作成]>[Windows 以降]>[プロファイルの種類] = [Microsoft Defender ウイルス対策] に移動します。

クラウド保護:

  • クラウドによる保護を有効にする: はい
  • クラウドによる保護レベル: 未構成
  • Defender クラウド延長タイムアウト (秒単位): 50

リアルタイム保護:

  • リアルタイム保護を有効にする: はい
  • 常時保護を有効にする: はい
  • 受信ファイルと送信ファイルの監視: すべてのファイルを監視
  • 動作の監視を有効にする: はい
  • 侵入防止システムを有効にする: はい
  • ネットワーク保護を有効にする: 有効
  • すべてのダウンロード ファイルと添付ファイルをスキャンする: はい
  • Microsoft のブラウザーで使用されているスクリプトをスキャンする: はい
  • ネットワーク ファイルをスキャンする: 未構成
  • メールをスキャンする: はい

修復:

  • 検査されたマルウェアを保持する日数 (0-90): 30
  • サンプル送信の同意: 安全なサンプルを自動的に送信します
  • 望ましくない可能性のあるアプリに対して実行するアクション: 有効
  • 検出された脅威に対するアクション: 構成
    • 低レベルの脅威: 検疫
    • 中レベルの脅威: 検疫
    • 高レベルの脅威: 検疫
    • 重大な脅威: 検疫

Endpoint Security 内の MDAV プロファイルで構成された設定: セキュリティ:

Microsoft Intune 内の Microsoft Defender ウイルス対策プロファイルの例を示すスクリーンショット。

E3 および E5 のライセンスを付与されたお客様の Microsoft Defender for Endpoint などの Windows Defender の構成については、以下をご覧ください。

Microsoft Defender ファイアウォール

Microsoft Intune のエンドポイント セキュリティを使用して、ファイアウォールとファイアウォール規則を構成します。 詳細については、「Intune のエンドポイント セキュリティのファイアウォール ポリシー」をご覧ください。

Microsoft Defender ファイアウォールは、NetworkListManager CSP を使用して信頼されたネットワークを検出できます。 また、次の OS バージョンを実行しているエンドポイントでドメイン ファイアウォール プロファイルに切り替えることができます。

ドメイン ネットワーク プロファイルを使用すると、信頼されたネットワーク、プライベート ネットワーク、およびパブリック ネットワークに基づいてファイアウォール規則を区別できます。 これらの設定は、Windows カスタム プロファイルを使用して適用できます。

注:

Microsoft Entra 参加エンドポイントは、ドメインに参加しているエンドポイントと同じように、LDAP を利用してドメイン接続を検出することはできません。 代わりに、NetworkListManager CSP を使用して、アクセス可能な場合にエンドポイントをドメイン ファイアウォール プロファイルに切り替える TLS エンドポイントを指定します。

BitLocker 暗号化

Microsoft Intune のエンドポイント セキュリティを使用して、BitLocker を使用した暗号化を構成します。

これらの設定は、Microsoft Intune 管理センターで有効にすることができます。 管理センターで、[ エンドポイント セキュリティ>Manage>Disk の暗号化>ポリシーの作成>Windows 以降>Profile = BitLocker に移動します。

次の BitLocker 設定を構成すると、標準ユーザーに対して 128 ビット暗号化がサイレント モードで有効になります。これは一般的なシナリオです。 ただし、組織のセキュリティ要件が異なる場合があるため、追加の設定については BitLocker のドキュメントを参照してください。

BitLocker - 基本設定:

  • OS および固定データ ドライブのディスク全体の暗号化を有効にする: はい
  • ストレージ カードの暗号化が必須 (モバイルのみ): 未構成
  • サードパーティの暗号化に関するプロンプトを非表示にする: はい
    • Autopilot 中の暗号化の有効化を標準ユーザーに許可する: はい
  • クライアント駆動型の回復パスワードローテーションを構成 する: Microsoft Entra 参加済みデバイスでローテーションを有効にする

BitLocker - 固定ドライブの設定:

  • BitLocker 固定ドライブ ポリシー: 構成
  • 固定ドライブの回復: 構成
    • 復元キー ファイルの作成: ブロック済み
    • BitLocker 回復パッケージの構成: パスワードとキー
    • デバイスが回復情報を Azure AD にバックアップすることを必須とする: はい
    • 回復パスワードの作成: 許可
    • BitLocker のセットアップ時に回復オプションを非表示にする: 未構成
    • 回復情報を保存した後、BitLocker を有効にする: 未構成
    • 証明書ベースのデータ回復エージェント (DRA)の使用をブロックする: 未構成
    • BitLocker で保護されていない固定データドライブへの書き込みアクセスをブロックする: 未構成
    • 固定データドライブの暗号化方法の構成: 未構成

BitLocker - OS ドライブ設定:

  • BitLocker システム ドライブ ポリシー: 構成
    • スタートアップ認証が必要: はい
    • 互換性のある TPM スタートアップ キー: 必須
    • 互換性のある TPM スタートアップ PIN: ブロック
    • 互換性のある TPM スタートアップ キー: ブロック
    • 互換性のある TPM スタートアップ キーと PIN: ブロック
    • TPM に互換性がないデバイスで BitLocker を無効にする: 未構成
    • プリブート回復メッセージと URL を有効にする: 未構成
  • システム ドライブの回復: 構成
    • 復元キー ファイルの作成: ブロック済み
    • BitLocker 回復パッケージの構成: パスワードとキー
    • デバイスが回復情報を Azure AD にバックアップすることを必須とする: はい
    • 回復パスワードの作成: 許可
    • BitLocker のセットアップ時に回復オプションを非表示にする: 未構成
    • 回復情報を保存した後、BitLocker を有効にする: 未構成
    • 証明書ベースのデータ回復エージェント (DRA)の使用をブロックする: 未構成
    • PIN の最小の長さ: 空白のままにする
    • オペレーティング システム ドライブの暗号化方法の構成: 未構成

BitLocker - リムーバブル ドライブの設定:

  • BitLocker のリムーバブル ドライブのポリシー: 構成
    • リムーバブル データドライブの暗号化方法の構成: 未構成
    • BitLocker で保護されていないリムーバブル データドライブへの書き込みアクセスをブロックする: 未構成
    • 別の組織で構成されたデバイスへの書き込みアクセスをブロックする: 未構成

Windows ローカル管理者パスワード ソリューション (LAPS)

既定では、組み込みのローカル管理者アカウント (既知の SID S-1-5-500) は無効です。 トラブルシューティング、エンドユーザー サポート、デバイスの回復など、ローカル管理者アカウントにとって有益なシナリオがいくつかあります。 組み込みの管理者アカウントを有効にするか、新しいローカル管理者アカウントを作成することを決定する場合、そのアカウントのパスワードをセキュリティで保護することが重要です。

Windows ローカル管理者パスワード ソリューション (LAPS) は、パスワードをランダム化して Microsoft Entra に安全に保存するために使用できる機能の 1 つです。 Intune を MDM サービスとして使用している場合は、次の手順に従って Windows LAPS を有効にします。

重要

Windows LAPS では、既定のローカル管理者アカウントが有効であると見なされます (名前が変更されたり、別のローカル管理者アカウントを作成したりしたとしても)。 Windows LAPS では、ローカル アカウントの作成や有効化は行われません。

Windows LAPS の構成とは別に、ローカル アカウントを作成または有効にする必要があります。 このタスクのスクリプトを作成したり、アカウント CSPポリシー CSP などの構成サービス プロバイダー (CSP) を使用したりできます。

  1. Windows 10 (20H2 以降) または Windows 11 デバイスに 2023 年 4月 (またはそれ以降) のセキュリティ更新プログラムがインストールされていることを確認してください。

    詳細については、「 Microsoft Entra オペレーティング システムの更新プログラム」を参照してください。

  2. Microsoft Entra で Windows LAPS を有効にする:

    1. Microsoft Entra にサインインします。
    2. [ローカル管理者パスワード ソリューション (LAPS) を有効にする] 設定で、[はい]>[保存] (ページの上部) を選択します。

    詳細については、「 Microsoft Entra で Windows LAPS を有効にする」を参照してください。

  3. Intune で、エンドポイント セキュリティ ポリシーを作成します。

    1. Microsoft Intune 管理センターにサインインします。
    2. [エンドポイント セキュリティ]>[アカウントの保護]>[ポリシーの作成]>[Windows 10 以降]>[ローカル管理者パスワード ソリューション (Windows LAPS)]>[作成] を選択します。

    詳細については、「Intune で LAPS ポリシーを作成する」を参照してください。

セキュリティ基準計画

セキュリティ ベースラインを使用して、Windows エンドポイントのセキュリティを向上させることが実証された一連の構成を適用できます。 セキュリティ ベースラインの詳細については、「Intune の Windows MDM セキュリティ ベースライン設定」をご覧ください。

ベースラインは、おすすめの設定を使用して適用することができ、お客様の要件に応じてカスタマイズすることができます。 ベースラインの設定によっては、予期せぬ結果を引き起こしたり、Windows エンドポイントで実行されているアプリケーションやサービスとの互換性が失われたりする場合があります。 その結果、ベースラインは分離してテストする必要があります。 ベースラインは、他の構成プロファイルや設定を使用せずに、選択したテスト エンドポイントのグループにのみ適用します。

セキュリティ・ベースラインの既知の問題

Windows セキュリティ ベースラインの以下の設定では、Windows Autopilot を使用する場合や標準ユーザーとしてアプリをインストールしようとした場合に問題が発生することがありました。

  • ローカル ポリシーのセキュリティ オプション\管理者特権プロンプトの動作 (既定 = セキュリティで保護されたデスクトップで同意を要求する)
  • 標準的なユーザー昇格要求の動作 (既定 = 昇格要求を自動的に拒否する)

詳細については、「 Windows Autopilot とのポリシーの競合のトラブルシューティング」を参照してください。

ビジネス向け更新プログラム

Windows Updates for Business は、デバイスに更新プログラムをインストールする方法とタイミングを制御するためのクラウド テクノロジです。 Intune では、Windows Update for Business は以下の機能を使用して構成することができます。

詳細については、以下をご覧ください。

Windows Updates をより詳細に制御し、構成マネージャーを使用している場合は、共同管理を検討してください。

フェーズ 4 - カスタマイズの適用とオンプレミスの構成の確認

フェーズ 4。

このフェーズでは、組織固有の設定やアプリを適用し、オンプレミスの構成を確認します。 このフェーズは、お客様の組織に特化したカスタマイズの構築をサポートするのに役立ちます。 Windows のさまざまなコンポーネントに注目し、オンプレミスの AD グループ ポリシー環境から既存の構成を確認し、それをクラウド ネイティブなエンドポイントに適用する方法を紹介します。 次のような各セクションに分かれます。

Microsoft Edge

Microsoft Edge の展開

Microsoft Edge が搭載されているデバイスでは、以下の操作を実行します。

  • Windows 11
  • Windows 10 20H2 以降
  • Windows 10 1803 以降は、2021 年 5 月以降の月例累積セキュリティ更新プログラムが適用されます。

ユーザーがサインインすると、Microsoft Edge は自動的に更新されます。 展開中に Microsoft Edge の更新をトリガーするには、次のコマンドを実行できます。

Start-Process -FilePath "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" -argumentlist "/silent /install appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062}&appname=Microsoft%20Edge&needsadmin=True"

Microsoft Edge を以前のバージョンの Windows に展開するには、「Microsoft Edge for Windows を Microsoft Intune に追加する」をご覧ください。

Microsoft Edge の構成

ユーザーが Microsoft 365 の資格情報でサインインする場合に適用される Microsoft Edge エクスペリエンスの 2 つのコンポーネントは、Microsoft 365 管理センターで構成できます。

  • Microsoft Edge のスタート ページのロゴは、Microsoft 365 管理センターの [組織] セクションを構成することでカスタマイズできます。 詳細については、「組織で使用する Microsoft 365 のテーマをカスタマイズする」をご覧ください。

  • Microsoft Edge の既定の新しいタブ ページには、Office 365 情報や個人用設定されたニュースが表示されます。 このページの表示方法は、Microsoft 365 管理センターの [設定]>[組織設定]>[ニュース]>[Microsoft Edge 新規タブ ページ] でカスタマイズできます。

設定カタログ プロファイルを使用して、Microsoft Edge のその他の機能を設定することもできます。 たとえば、組織のために特定の同期設定を構成する必要がある場合などです。

  • Microsoft Edge
    • 同期から除外する種類の一覧を構成する - パスワード

スタートとタスク バーのレイアウト

Intune を使用して、標準のスタート画面とタスク バーのレイアウトをカスタマイズして設定することができます。

設定カタログ

設定カタログは、構成可能なすべての Windows 設定が一覧表示される単一の場所です。 この機能を使用すると、ポリシーを作成する方法、および使用可能なすべての設定を表示する方法が簡単になります。 詳細については、「Microsoft Intune で設定カタログを使用してポリシーを作成する」をご覧ください。

注:

  • 一部の設定はカタログでは使用できない可能性がありますが、Intune デバイス構成プロファイルのテンプレートで使用できます。

  • グループ ポリシーでよく使用される設定の多くは、既に設定カタログで利用可能です。 詳細については、「モバイル デバイス管理での最新のグループ ポリシー設定のパリティ」をご覧ください。

  • ADMX テンプレートまたは設定カタログ (推奨) のいずれかを活用する場合は、Windows 10 バージョン 2004 以降を対象とした 2021 年 9 月の ‘火曜日の修正プログラム’ 更新プログラム (KB5005565) でデバイスを必ず更新してください。 今回の月間更新プログラムには、KB5005101 が含まれており、1,400 以上のグループ ポリシー設定が MDM に反映されます。 この更新プログラムでエラーが発生した場合は、Intune 管理センターの設定の横に '適用なし' というメッセージが表示されます。 当初は Enterprise および Edu バージョンの Windows にのみ対応しますが、2022 年 5 月の時点で、これらの追加設定は Windows 10/11 の pro バージョンでも機能するようになりました。 Windows 10/11 の Pro バージョンを使用している場合は、「モバイル デバイス管理のグループ ポリシー設定パリティ」の最新版で説明されているように、Windows 10 には KB5013942 以降、Windows 11 には KB5013943 以降をインストールしてください。

以下は、設定カタログで利用可能な設定のうち、お客様の組織に適したものです。

  • Azure Active Directory 優先テナント ドメイン この設定では、ユーザーのユーザー名に追加する優先テナント ドメイン名を構成します。 優先テナント ドメインを使用すると、ユーザーのドメイン名が優先テナント ドメインと一致する限り、UPN 全体ではなく、ユーザー名のみで Microsoft Entra エンドポイントにサインインできます。 異なるドメイン名を持つユーザーは、UPN 全体を入力することができます。

    この設定は以下で検索できます。

    • 認証
      • 優先 AAD テナント ドメイン名 - contoso.onmicrosoft.com のようにドメイン名を指定します。
  • Windows スポットライト 既定では、Windows のいくつかのコンシューマー機能が有効になっており、選択したストア アプリがインストールされ、ロック画面にサード パーティの提案が表示されます。 これは、設定カタログの [エクスペリエンス] セクションで制御できます。

    • エクスペリエンス
      • Windows コンシューマー向け機能を許可する - ブロック
      • Windows スポットライトでのサードパーティのおすすめを許可する (ユーザー) - ブロック
  • Microsoft Store 組織は通常、エンドポイントにインストールできるアプリケーションを制限する必要があります。 この設定は、Microsoft Store でインストールできるアプリケーションを制御したい場合に使用します。 この設定により、ユーザーは承認されていないアプリケーションをインストールできなくなります。

  • ゲームをブロックする 組織は、企業エンドポイントをゲームのプレイに使用できないことを好む場合があります。 [設定] アプリ内の [ゲーム] ページは、以下の設定で完全に非表示にすることができます。 設定ページの表示範囲に関する追加情報については、CSP ドキュメントおよび ms-settings URI スキーム リファレンスをご覧ください。

    • Settings
      • ページ表示範囲リスト - hide:gaming-gamebar;gaming-gamedvr;gaming-broadcasting;gaming-gamemode;gaming-trueplay;gaming-xboxnetworking;quietmomentsgame
  • タスク バーのチャット アイコンの表示を制御する Windows 11 タスク バーのチャット アイコンの表示は、ポリシー CSP を使用して制御できます。

    • エクスペリエンス
      • チャット アイコンの構成 - 無効
  • Teams デスクトップ クライアントがサインインできるテナントを制御する

    このポリシーがデバイスで構成されている場合、ユーザーは、このポリシーで定義されている "テナント許可リスト" に含まれる Microsoft Entra テナントに所属するアカウントでのみサインインできます。 "テナント許可リスト" は、Microsoft Entra テナント ID のコンマ区切りリストです。 このポリシーを指定し、Microsoft Entra テナントを定義することで、個人用の Teams へのサインインもブロックします。 詳細については、「デスクトップ デバイスでのサインインを制限する方法」をご覧ください。

    • 管理用テンプレート \ Microsoft Teams
      • Teams へのサインインを特定のテナントのアカウントに制限する (ユーザー) - 有効

デバイスの制限

Windows デバイス制限テンプレートには、Windows 構成サービス プロバイダー (CSP) を使用して Windows エンドポイントを安全に管理するために必要な設定が多く含まれています。 これらの設定は、順次、設定カタログで利用できるようになる予定です。 詳細については、「デバイスの制限」をご覧ください。

デバイス制限テンプレートを使用するプロファイルを作成するには、Microsoft Intune 管理センターで[デバイス>管理デバイス>Configuration>Create>New policy]\(新しいポリシー\) に移動し>プラットフォーム >テンプレート プロファイルの種類に [Windows 10 以降] を選択します。

  • デスクトップの背景画像 URL (デスクトップのみ) Windows Enterprise または Windows Education SKU で壁紙を設定するには、この設定を使用します。 ファイルをオンラインでホストするか、ローカルにコピーされたファイルを参照します。 この設定を構成するには、[デバイスの制限] プロファイルの [構成の設定] タブで、[個人用設定] を展開し、[デスクトップの背景画像の URL (デスクトップのみ)] を構成します。

  • デバイスのセットアップ中にユーザーがネットワークに接続することを要求 するこの設定により、コンピューターがリセットされた場合にデバイスが Windows Autopilot をスキップするリスクが軽減されます。 この設定では、出荷時エクスペリエンスのフェーズでデバイスがネットワークに接続されている必要があります。 この設定を構成するには、[デバイスの制限] プロファイルの [構成の設定] タブで、[全般] を展開し、[デバイスのセットアップ中、ユーザーにネットワークへの接続を求める] を構成します。

    注:

    次回デバイスがワイプまたはリセットされたときに、この設定が有効になります。

配信最適化

配信最適化は、サポートされているパッケージをダウンロードする作業を複数のエンドポイントで共有することで、帯域幅の消費を抑えるために使用されます。 配信最適化は、自己組織化された分散型キャッシュで、クライアントがネットワーク上のピアなどの代替ソースからパッケージをダウンロードできるようにします。 これらのピア ソースは、従来のインターネットベースのサーバーを補完するものです。 配信最適化に使用できるすべての設定と、サポートされているダウンロードの種類については、「Windows の更新プログラム向け配信最適化」でご覧いただけます。

配信最適化の設定を適用するには、Intune 配信最適かプロファイルまたは設定カタログ プロファイルを作成します。

組織でよく使用される設定には、次のようなものがあります。

  • ピアの選択の制限 – サブネット。 この設定では、ピア キャッシュを同じサブネット上のコンピューターに制限します。
  • グループ ID。 配信最適化クライアントは、同じグループのデバイスとのみコンテンツを共有するように構成できます。 グループ ID は、ポリシー経由で GUID を送るか、DHCP 範囲の DHCP オプションを使用して直接構成することができます。

Microsoft Configuration Manager をお使いのお客様は、配信最適化コンテンツをホストするために使用できる接続済みキャッシュ サーバーを展開できます。 詳細については、「Configuration Manager における Microsoft 接続済みキャッシュ」をご覧ください。

ローカル管理者

すべての Microsoft Entra 参加済み Windows デバイスへのローカル管理者アクセスを必要とするユーザー グループが 1 つだけの場合は、 Microsoft Entra 参加済みデバイスローカル管理者に追加できます。

IT ヘルプ デスクやその他のサポート スタッフが、選択したデバイス グループのローカル管理者権限を持つことが必要な場合があります。 Windows 2004 以降では、次の構成サービス プロバイダー (CSP) を使用することで、この要件を満たすことができます。

  • 理想的にはローカル ユーザーとグループ CSP を使用しますが、これには Windows 10 20H2 以降が必要です。
  • Windows 10 20H1 (2004) の場合は、制限付きグループ CSPを使用します (更新アクションはなく、置き換えのみ)。
  • Windows 10 20H1 (2004) 以前の Windows バージョンでは、グループは使用できず、個人アカウントのみ使用できます。

詳細については、「Microsoft Entra 参加済みデバイスでローカル管理者グループを管理する方法」を参照してください。

グループ ポリシーから MDM 設定への移行

グループ ポリシーからクラウド ネイティブ デバイス管理への移行を検討する場合、デバイス構成を作成するためのいくつかのオプションがあります。

  • 新たにスタートし、必要に応じてカスタム設定を適用します。
  • 既存のグループ ポリシーを確認し、必要な設定を適用します。 グループ ポリシー分析などのツールを使用できます。
  • グループ ポリシー分析を使用して、サポートされている設定のデバイス構成プロファイルを直接作成します。

クラウド ネイティブな Windows エンドポイントへの移行は、エンドユーザーのコンピューティング要件を確認し、将来に向けて新しい構成を確立する機会になります。 可能な限り、最小限のポリシーを使用して新たに開始します。 ドメイン参加済みの環境や、Windows 7 や Windows XP などの以前の OS から、不要な設定や従来の設定を引き継がないようにしましょう。

新たに開始するために、現在の要件を確認し、その要件を満たすための最小限の設定をまとめて実装します。 要件には、規制や必須のセキュリティ設定、エンドユーザー エクスペリエンスを強化するための設定などがあります。 ビジネスでは、IT ではなく要件のリストを作成します。 すべての設定は文書化され、理解される必要があり、目的を満たす内容である必要があります。

既存のグループ ポリシーから MDM (Microsoft Intune) に設定を移行することは望ましい方法ではありません。 クラウド ネイティブな Windows に移行する場合は、既存のグループ ポリシー設定を解除したり変更したりすることを意図してはいけません。 代わりに、対象ユーザーがどのような設定を必要としているのかを検討します。 最新の管理対象デバイスとの関連性や互換性を判断するために、環境内の各グループ ポリシー設定を確認するのは時間がかかり、現実的ではありません。 すべてのグループ ポリシーと個別の設定を評価しようとすることは避けてください。 代わりに、ほとんどのデバイスやシナリオに対応する共通のポリシーを評価することに集中してください。

代わりに、必須のグループ ポリシー設定を特定し、それらの設定を利用可能な MDM 設定と確認します。 あらゆるギャップが解決しない場合は、クラウド ネイティブなデバイスへの移行を妨げるブロッカーとなっていることを表している可能性があります。 グループ ポリシー分析などのツールを使用して、グループ ポリシー設定を分析し、MDM ポリシーに移行できるかどうかを判断できます。

スクリプト

組み込みの構成プロファイル以外で構成が必要な設定やカスタマイズには、PowerShell スクリプトを使用できます。 詳細については、「Microsoft Intune で Windows デバイスに PowerShell スクリプトを追加する」をご覧ください。

ネットワーク ドライブとプリンターのマッピング

クラウド ネイティブなシナリオには、マップされたネットワーク ドライブ用の組み込みのソリューションはありません。 代わりに、Teams、SharePoint、OneDrive for Business への移行をお勧めします。 移行できない場合は、必要に応じてスクリプトの使用を検討してください。

個人用ストレージについては、手順 8 - 最適な Microsoft 365 エクスペリエンスの構成の設定で、OneDrive の Known Folder Move を構成しました。 詳細については、「既知のフォルダーをリダイレクトする」をご覧ください。

ドキュメントの保存については、SharePoint とファイル エクスプローラーの統合や、ライブラリをローカルに同期する機能を利用することもできます (以下を参照)。SharePoint および Teams ファイルをコンピューターと同期する

企業の Office ドキュメント テンプレートを使用する場合、通常は内部サーバーにありますが、最近では、どこからでもテンプレートにアクセスできる新しいクラウドベースのテンプレートも検討してください。

印刷のソリューションは、ユニバーサル印刷を検討してください。 詳細については、以下をご覧ください。

アプリケーション

Intune は、さまざまな種類の Windows アプリケーションの展開をサポートします。

MSI、EXE、またはスクリプト インストーラーを使用するアプリケーションがある場合は、Microsoft Intune の Win32 アプリ管理を使用して、これらのアプリケーションをすべて展開できます。 これらのインストーラーを Win32 形式にまとめることで、柔軟性が高まり、通知、配信最適化、依存関係、検出ルール、Windows Autopilot の登録状態ページのサポートなどのメリットが得られます。

注:

インストール中の競合を防ぐために、Windows の基幹アプリまたは Win32 アプリ機能のみを使用することをお勧めします。 .msi または .exe としてパッケージされたアプリケーションがある場合、GitHub で利用可能なMicrosoft Win32 コンテンツ準備ツールを使用して、それらを Win32 アプリ (.intunewin) に変換できます。

フェーズ 5 - Windows Autopilot を使用した大規模な展開

フェーズ 5。

クラウド ネイティブな Windows エンドポイントを構成し、Windows Autopilot を使用してプロビジョニングして、さらにデバイスをインポートする方法を検討してください。 また、パートナーやハードウェアの供給元と協力して、クラウドから新しいエンドポイントのプロビジョニングを開始する方法も検討してください。 次のリソースを確認して、ご所属の組織に最適なアプローチを決定してください。

何らかの理由で Windows Autopilot が適していない場合は、Windows 用の他の登録方法があります。 詳細については、「Windows デバイス向け Intune 登録メソッド」をご覧ください。

クラウド ネイティブなエンドポイントのガイダンスに従う

  1. 概要: クラウド ネイティブなエンドポイントとは
  2. 🡺 チュートリアル: クラウド ネイティブな Windows エンドポイントの概要 (こちら)
  3. 概念: Microsoft Entra 参加済みとハイブリッド Microsoft Entra 参加済み
  4. 概念: クラウド ネイティブなエンドポイントとオンプレミス リソース
  5. 高度な計画ガイド
  6. 既知の問題と重要な情報

役に立つオンライン リソース