次の方法で共有

登録後に設定を調整する

  • [アーティクル]

Microsoft マネージド デスクトップの登録が完了したら、一部の管理設定の調整が必要な場合があります。 確認し必要に応じて調整するには、次の手順を実行します。

  1. 次のセクションで説明する Microsoft Intune と Microsoft Entra の設定を確認します。
  2. いずれかの項目がご利用の環境に該当する場合は、説明に従って調整を行ってください。

注:

次の数か月後に操作を継続するため、Microsoft Intune、Microsoft Entra ID、または Microsoft 365 で Microsoft Managed Desktop に影響を与えるポリシーに登録した後に変更を加えた場合、Microsoft Managed Desktop が正常に動作しなくなる可能性があります。 サービスに関する問題を回避するには、準備状況の評価ツールで見つかった問題を修正するで説明されている特定の設定を確認してから、そこに記載されているポリシーを変更してください。

Microsoft Intune 設定

Setting 説明
Autopilot 展開プロファイル Autopilot ポリシーを使用する場合は、最新 の Workplace Devices -All Microsoft Entra グループを除外するように各ポリシーを更新します。

Autopilot ポリシーを更新するには:

[ 割り当て] の [ 除外されたグループ] で、Microsoft マネージド デスクトップの登録中に作成された モダン ワークプレース デバイス - すべての Microsoft Entra グループを選択します。

Microsoft マネージド デスクトップでも Autopilot プロファイルを作成します。このプロファイルの名前は「Modern Workplace」 (Modern Workplace Autopilot Profile) です。 独自の Autopilot プロファイルを更新する場合は、Microsoft Managed Desktop によって作成された Modern Workplace Autopilot プロファイルから Modern Workplace Devices -All Microsoft Entra グループを除外しないようにしてください。
条件付きアクセス ポリシー Microsoft マネージド デスクトップ登録後に Microsoft Entra ID、Microsoft Intune、または Microsoft Defender XDR for Endpoint に関連する新しい条件付きアクセス ポリシーを作成する場合は、 モダン ワークプレース サービス アカウント Microsoft Entra グループをそれらのグループから除外します。 詳細については条件付きアクセス: ユーザーとグループをご覧ください。 Microsoft マネージド デスクトップは、これらのアカウントへのアクセスを制限するために、個別の条件付きアクセス ポリシーを保持します。

Microsoft マネージド デスクトップの条件付きアクセス ポリシー (Modern Workplace – 安全なワークステーション ) を確認するには:

Microsoft Intune 管理センターに移動し、エンドポイント セキュリティ条件付きアクセスに移動します。 Microsoft Managed Desktop によって作成された Microsoft Entra 条件付きアクセス ポリシーの名前に "Modern Workplace" が含まれている場合は、変更しないでください。
多要素認証 Microsoft マネージド デスクトップ登録後に、Microsoft Entra ID、Intune、または Microsoft Defender XDR for Endpoint に関連する条件付きアクセス ポリシーで新しい多要素認証要件を作成する場合は、 モダン ワークプレース サービス アカウント Microsoft Entra グループを除外します。 詳細については条件付きアクセス: ユーザーとグループをご覧ください。 Microsoft マネージド デスクトップは、このグループのメンバーへのアクセスを制限するために、個別の条件付きアクセス ポリシーを保持します。

Microsoft マネージド デスクトップ条件付きアクセス ポリシー (Modern Workplace -) を確認するには:

Microsoft Intune 管理センターに移動し、エンドポイント セキュリティ条件付きアクセスに移動します。
Windows 10 更新リング 作成した Windows 10 更新リング ポリシーの場合は、最新 のワークプレース デバイス -すべての Microsoft Entra グループを各ポリシーから除外します。 詳細については更新リングの作成と割り当てをご覧ください。

Microsoft マネージド デスクトップでも、更新リング ポリシーの一部を作成し、そのすべてに「Modern Workplace」の名前が含まれます。 例:
  • Modern Workplace 更新ポリシー [Broad]
  • Modern Workplace 更新ポリシー [Fast]
  • Modern Workplace 更新ポリシー [First]
  • Modern Workplace 更新ポリシー [Test]

独自のポリシーを更新するときは、Microsoft Managed Desktop で作成されたものからモダン ワークプレース デバイス -All Microsoft Entra グループを除外しないようにしてください。

Microsoft Entra の設定

セルフサービス パスワード リセット: すべてのユーザーに対してセルフサービス パスワード リセットを使用する場合は、割り当てを調整してMicrosoft マネージド デスクトップ サービス アカウントを除外してください。

この割り当てを調整するには:

  1. Microsoft Managed Desktop サービス アカウント を除く すべてのユーザーに対して Microsoft Entra 動的グループを作成する
  2. 割り当てに、「すべてのユーザー」ではなく、そのグループを使用します。

サービス アカウントを見つけて除外する際に使用できる動的クエリの例を次に示します: 

(user.objectID -ne null) and (user.userPrincipalName -ne "MSADMIN@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MSADMININT@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MWAAS_SOC_RO@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MWAAS_WDGSOC@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MSTEST@TENANT.onmicrosoft.com")

このクエリでは、@TENANT をテナント ドメイン名に置き換えてください。