登録後に設定を調整する

  • [アーティクル]

Microsoft マネージド デスクトップの登録が完了したら、一部の管理設定の調整が必要な場合があります。 確認し必要に応じて調整するには、次の手順を実行します。

  1. 次のセクションで説明するMicrosoft IntuneとMicrosoft Entraの設定を確認します。
  2. いずれかの項目がご利用の環境に該当する場合は、説明に従って調整を行ってください。

注:

次の数か月で操作が続行されるため、Microsoft Managed Desktop に影響を与えるMicrosoft Intune、Microsoft Entra ID、または Microsoft 365 のポリシーに登録した後に変更を加えた場合、Microsoft Managed Desktop が正常に動作しなくなる可能性があります。 サービスに関する問題を回避するには、準備状況の評価ツールで見つかった問題を修正するで説明されている特定の設定を確認してから、そこに記載されているポリシーを変更してください。

Microsoft Intune 設定

Setting 説明
Autopilot 展開プロファイル Autopilot ポリシーを使用する場合は、最新の Workplace Devices -All Microsoft Entra グループを除外するように各ポリシーを更新します。

Autopilot ポリシーを更新するには:

[割り当て] の [除外されたグループ] で、Microsoft マネージド デスクトップの登録中に作成されたモダン ワークプレース デバイス -すべてのMicrosoft Entra グループを選択します。

Microsoft マネージド デスクトップでも Autopilot プロファイルを作成します。このプロファイルの名前は「Modern Workplace」 (Modern Workplace Autopilot Profile) です。 独自の Autopilot プロファイルを更新するときは、Microsoft Managed Desktop によって作成された Modern Workplace Autopilot プロファイルから Modern Workplace Devices -all Microsoft Entra グループを除外しないようにしてください。
条件付きアクセス ポリシー Microsoft マネージド デスクトップ登録後にエンドポイントのMicrosoft Entra ID、Microsoft Intune、またはMicrosoft Defender XDRに関連する新しい条件付きアクセス ポリシーを作成する場合は、モダン ワークプレース サービス アカウント Microsoft Entraグループをそれらのグループから除外します。 詳細については条件付きアクセス: ユーザーとグループをご覧ください。 Microsoft マネージド デスクトップは、これらのアカウントへのアクセスを制限するために、個別の条件付きアクセス ポリシーを保持します。

Microsoft マネージド デスクトップの条件付きアクセス ポリシー (Modern Workplace – 安全なワークステーション ) を確認するには:

Microsoft Intune管理センターに移動し、[エンドポイント セキュリティ] の [条件付きアクセス] に移動します。 名前に "モダン ワークプレース" を含む Microsoft Managed Desktop によって作成されたMicrosoft Entra条件付きアクセス ポリシーは変更しないでください。
多要素認証 Microsoft マネージド デスクトップの登録後にエンドポイントのMicrosoft Entra ID、Intune、またはMicrosoft Defender XDRに関連する条件付きアクセス ポリシーで新しい多要素認証要件を作成する場合は、モダン ワークプレース サービス アカウント Microsoft Entraグループを除外します。 詳細については条件付きアクセス: ユーザーとグループをご覧ください。 Microsoft マネージド デスクトップは、このグループのメンバーへのアクセスを制限するために、個別の条件付きアクセス ポリシーを保持します。

Microsoft マネージド デスクトップ条件付きアクセス ポリシー (Modern Workplace -) を確認するには:

Microsoft Intune管理センターに移動し、[エンドポイント セキュリティ] の [条件付きアクセス] に移動します。
Windows 10 更新リング 作成したWindows 10更新リング ポリシーについては、最新の Workplace Devices -All Microsoft Entra グループを各ポリシーから除外します。 詳細については更新リングの作成と割り当てをご覧ください。

Microsoft マネージド デスクトップでも、更新リング ポリシーの一部を作成し、そのすべてに「Modern Workplace」の名前が含まれます。 例:
  • Modern Workplace 更新ポリシー [Broad]
  • Modern Workplace 更新ポリシー [Fast]
  • Modern Workplace 更新ポリシー [First]
  • Modern Workplace 更新ポリシー [Test]

独自のポリシーを更新する場合は、Microsoft Managed Desktop で作成されたものからモダン ワークプレース デバイス -all Microsoft Entra グループを除外しないようにします。

Microsoft Entra設定

セルフサービス パスワード リセット: すべてのユーザーに対してセルフサービス パスワード リセットを使用する場合は、割り当てを調整してMicrosoft マネージド デスクトップ サービス アカウントを除外してください。

この割り当てを調整するには:

  1. Microsoft Managed Desktop サービス アカウントを除くすべてのユーザーのMicrosoft Entra動的グループを作成する
  2. 割り当てに、「すべてのユーザー」ではなく、そのグループを使用します。

サービス アカウントを見つけて除外する際に使用できる動的クエリの例を次に示します: 

(user.objectID -ne null) and (user.userPrincipalName -ne "MSADMIN@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MSADMININT@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MWAAS_SOC_RO@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MWAAS_WDGSOC@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MSTEST@TENANT.onmicrosoft.com")

このクエリでは、@TENANT をテナント ドメイン名に置き換えてください。