準備評価ツールで見つかった問題を修正する
チェックごとに、ツールは 4 つの考えられる結果のいずれかを報告します。
| 結果 | 意味 |
|---|---|
| 準備完了 | 登録を完了する前に操作は必要ありません。 |
| アドバイザリ | 登録とユーザーにとっての最高のエクスペリエンスを得るには、ツールまたはこの記事の手順に従ってください。 登録を完了することはできますが、最初のデバイスを展開する前にこれらの問題を修正する必要があります。 |
| 使用不可能 | これらの問題を修正しないと、登録は失敗します。 ツールまたはこの記事の手順に従って解決します。 |
| Error | 使用しているMicrosoft Entraロールに、このチェックを実行するための十分なアクセス許可がない、またはテナントにMicrosoft Intuneのライセンスが適切に付与されていません。 |
注:
このツールによって報告された結果には、実行した時点での設定の状態のみが反映されます。 後で Microsoft Intune、Microsoft Entra ID、または Microsoft 365 のポリシーに変更を加えた場合、"準備完了" だった項目は "準備ができていない" 可能性があります。Microsoft マネージド デスクトップ操作の問題を回避するには、ポリシーを追加または変更する前に、この記事で説明されている特定の設定をチェックします。
Microsoft Intune 設定
Microsoft Intune管理センターの Intune 設定にアクセスします。
Autopilot 展開プロファイル
Microsoft Managed Desktop デバイスを含む、またはターゲット割り当てグループまたは動的グループを含む既存の Autopilot プロファイルは存在しません。 Microsoft Managed Desktop では、Autopilot を使用して新しいデバイスを構成します。 既存の Autopilot 展開プロファイルがある場合、Microsoft マネージド デスクトップ Autopilot 準備テストを成功させるには、[すべての対象デバイスを Autopilot に変換する] 設定を [いいえ] に設定する必要があります。
| 結果 | 意味 |
|---|---|
| 使用不可能 | すべてのデバイスに割り当てられている Autopilot プロファイルがあります。 詳細については、「Windows Autopilot を使用して Intune に Windows デバイスを登録する」を参照してください。 Microsoft マネージド デスクトップの登録後、Autopilot ポリシーを設定して、モダン ワークプレース デバイス - すべてのMicrosoft Entra グループを除外します。 |
| アドバイザリ | Autopilot プロファイルが、Microsoft マネージド デスクトップ デバイスを含まない割り当て済みまたは動的なMicrosoft Entra グループを対象にしていることを確認します。 詳細については、「Windows Autopilot を使用して Intune に Windows デバイスを登録する」を参照してください。 Microsoft マネージド デスクトップの登録後、モダン ワークプレース デバイス - すべてのMicrosoft Entra グループを除外するように Autopilot プロファイルを設定します。 |
証明書コネクタ
Microsoft Managed Desktop に登録するデバイスで使用される証明書コネクタがある場合、コネクタにエラーは発生しないはずです。 お客様の状況には、次のいずれかのアドバイザリのみが適用されます。 アドバイザリを注意深く確認してください。
| 結果 | 意味 |
|---|---|
| アドバイザリ | 証明書コネクタが存在しません。 コネクタは必要ないようですが、Microsoft Managed Desktop デバイスでネットワーク接続に必要なコネクタがあるかどうかを評価する必要があります。 詳細については、「Microsoft Managed Desktop の証明書とネットワーク プロファイルを準備する」を参照してください。 |
| アドバイザリ | 少なくとも 1 つの証明書コネクタにエラーがあります。 Microsoft Managed Desltop デバイスに証明書を提供するためにこのコネクタが必要な場合は、エラーを解決する必要があります。 詳細については、「Microsoft Managed Desktop の証明書とネットワーク プロファイルを準備する」を参照してください。 |
| アドバイザリ | 証明書コネクタが少なくとも 1 つ存在し、エラーは報告されません。 ただし、展開の準備として、Microsoft Managed Desktop デバイス用のコネクタを再利用するプロファイルを作成する必要がある場合があります。 詳細については、「Microsoft Managed Desktop の証明書とネットワーク プロファイルを準備する」を参照してください。 |
ポータル サイト
Microsoft Managed Desktop では、IT 管理者が Microsoft Managed Desktop デバイスを使用してユーザーの Intune ポータル サイトをインストールする必要があります。
| 結果 | 意味 |
|---|---|
| アドバイザリ | テナントで使用できるポータル サイト アプリケーションがありません。 Microsoft Managed Desktop は、サービスに登録するときにテナントに追加するか、Microsoft Store 統合を使用して Intune からポータル サイトを取得できます。 |
条件付きアクセス ポリシー
条件付きアクセス ポリシーでは、Microsoft Managed Desktop が Intune と Microsoft Entra ID でMicrosoft Entra organization (テナント) を管理できないようにすることはできません。
| 結果 | 意味 |
|---|---|
| 使用不可能 | すべてのユーザーを対象とする条件付きアクセス ポリシーが少なくとも 1 つ存在します。 登録中に、Microsoft Managed Desktop サービス アカウントを関連する条件付きアクセス ポリシーから除外し、新しい条件付きアクセス ポリシーを適用して、これらのアカウントへのアクセスを制限しようとします。 ただし、失敗した場合は、登録エクスペリエンス中にエラーが発生する可能性があります。 ベスト プラクティスとして、Microsoft Managed Desktop サービス アカウントを含まない特定のMicrosoft Entra グループを対象とする割り当てを作成します。 登録後、Microsoft Intune管理センターで Microsoft マネージド デスクトップ条件付きアクセス ポリシーを確認できます。 これらのサービス アカウントの詳細については、「標準の操作手順」を参照してください。 |
| アドバイザリ | Microsoft Managed Desktop が Microsoft Managed Desktop サービスを管理できない可能性がある条件付きアクセス ポリシーがあります。 登録中は、関連する条件付きアクセス ポリシーから Microsoft Managed Desktop サービス アカウントを除外し、新しい条件付きアクセス ポリシーを適用して、これらのアカウントへのアクセスを制限します。 これらのサービス アカウントの詳細については、「標準の操作手順」を参照してください。 |
| Error | Intune 管理者ロールには、このチェックのための十分なアクセス許可がありません。 また、このチェックを実行するには、次のMicrosoft Entraロールを割り当てる必要があります。
|
デバイス コンプライアンス ポリシー
Microsoft Entra organizationの Intune デバイス コンプライアンス ポリシーは、Microsoft マネージド デスクトップ デバイスに影響する可能性があります。
| 結果 | 意味 |
|---|---|
| アドバイザリ | すべてのユーザーに適用される少なくとも 1 つのコンプライアンス ポリシーがあります。 Microsoft Managed Desktop には、Microsoft Managed Desktop デバイスに適用されるコンプライアンス ポリシーも含まれています。 Microsoft Managed Desktop デバイスに適用される組織によって作成されたすべてのコンプライアンス ポリシーを確認して、競合がないことを確認します。 詳細については、「Microsoft Intune でコンプライアンス ポリシーを作成する」を参照してください。 |
デバイスの構成プロファイル
Microsoft Entra organizationの Intune デバイス構成プロファイルは、Microsoft Manage Desktop デバイスまたはユーザーを対象にすることはできません。
| 結果 | 意味 |
|---|---|
| 使用不可能 | すべてのユーザー、すべてのデバイス、またはその両方に適用される構成プロファイルが少なくとも 1 つ存在します。 プロファイルをリセットして、Microsoft Managed Desktop デバイスを含まない特定のMicrosoft Entra グループに適用します。 詳細については、「Microsoft Intune でカスタム設定を使用してプロファイルを作成する」を参照してください。 |
| アドバイザリ | 構成ポリシーに Microsoft Managed Desktop デバイスやユーザーが含まれていないことを確認します。 詳細については、「Microsoft Intune でカスタム設定を使用してプロファイルを作成する」を参照してください。 |
デバイスの種類の制限
Microsoft Managed Desktop デバイスには Intune への登録を許可する必要があります。
| 結果 | 意味 |
|---|---|
| 使用不可能 | 現在、Windows デバイスが Intune に登録されないように、 少なくとも 1 つの登録制限ポリシーが構成されています。 登録制限の設定の手順に従って、Microsoft Managed Desktop ユーザーを対象とする各登録制限ポリシーを設定し、Windows (MDM) 設定を[許可] に変更します。 ただし、個人所有の Windows (MDM) デバイスを [ブロック] に設定できます。 |
登録ステータス ページ
現在、登録ステータス ページ (ESP) が有効になっています。 この機能の Microsoft Managed Desktop パブリック プレビューに参加する場合は、この項目を無視できます。 詳細については、「Autopilot と登録状態ページでの最初の実行エクスペリエンス」を参照してください。
| 結果 | 意味 |
|---|---|
| 使用不可能 | ESP の既定のプロファイルが [アプリケーションとプロファイルの構成の進行状況を表示] に設定されています。 この設定を無効にするか、「登録状態ページを設定する」の手順に従って、Microsoft Entra グループへの割り当てに Microsoft Managed Desktop デバイスが含まれていないことを確認します。 |
| アドバイザリ | [アプリとプロファイルの構成の進行状況の表示] 設定を持つプロファイルが、Microsoft Managed Desktop デバイスを含むMicrosoft Entra グループに割り当てられないことを確認します。 詳細については「登録状態ページの設定」を参照してください。 |
多要素認証
多要素認証では、Microsoft Managed Desktop が Intune と Microsoft Entra ID でMicrosoft Entra organization (テナント) を管理できないようにする必要があります。
| 結果 | 意味 |
|---|---|
| 使用不可能 | 一部の多要素認証ポリシーは、すべてのユーザーに割り当てられている条件付きアクセス ポリシーに 必要 に応じて設定されています。 登録中は、関連する条件付きアクセス ポリシーから Microsoft Managed Desktop サービス アカウントを除外し、新しい条件付きアクセス ポリシーを適用して、これらのアカウントへのアクセスを制限します。 これらのサービス アカウントの詳細については、「標準の操作手順」を参照してください。 |
| アドバイザリ | 条件付きアクセス ポリシーでは多要素認証が必要です。これにより、Microsoft Managed Desktop が Microsoft Managed Desktop サービスを管理できなくなる可能性があります。 登録中は、関連する条件付きアクセス ポリシーから Microsoft Managed Desktop サービス アカウントを除外し、新しい条件付きアクセス ポリシーを適用して、これらのアカウントへのアクセスを制限します。 これらのサービス アカウントの詳細については、「標準の操作手順」を参照してください。 |
| Error | 準備状況評価を実行しているユーザーには、このチェックに対する十分なアクセス許可がありません。 このチェックを実行するには、次のMicrosoft Entraロールが割り当てられている必要があります。
|
PowerShell スクリプト
Windows PowerShell スクリプトは、Microsoft Managed Desktop デバイスを対象とするようには割り当てられません。
| 結果 | 意味 |
|---|---|
| アドバイザリ | Microsoft Entra organization内のWindows PowerShellスクリプトが、Microsoft Manage Desktop デバイスまたはユーザーを対象としていないことを確認します。 すべてのユーザー、すべてのデバイス、またはその両方を対象とする PowerShell スクリプトを割り当てないでください。 ポリシーを変更して、Microsoft マネージド デスクトップ デバイスまたはユーザーを含まない特定のMicrosoft Entra グループを対象とする割り当てを使用します。 詳細については、「Intune の Windows 10 デバイスで PowerShell スクリプトを使用する」を参照してください。 |
地域
Microsoft Managed Desktop でお客様のリージョンがサポートされている必要があります。
| 結果 | 意味 |
|---|---|
| 使用不可能 | 現在、Microsoft Entra organization リージョンは Microsoft Managed Desktop ではサポートされていません。 詳細については、「Microsoft Managed Desktop のサポートされている地域と言語」を参照してください。 |
| アドバイザリ | Microsoft Entra organizationが配置されている 1 つ以上の国は、Microsoft Managed Desktop ではサポートされていません。 詳細については、「Microsoft Managed Desktop のサポートされている地域と言語」を参照してください。 |
セキュリティ基本計画
セキュリティ ベースライン ポリシーは、どのMicrosoft Managed Desktop デバイスも対象にしないでください。
| 結果 | 意味 |
|---|---|
| 使用不可能 | すべてのユーザー、すべてのデバイス、またはその両方を対象とするセキュリティ ベースライン プロファイルがあります。 ポリシーを変更して、Microsoft マネージド デスクトップ デバイスを含まない特定のMicrosoft Entra グループを対象とする割り当てを使用します。 詳細については、「セキュリティ ベースラインを使用して Intune で Windows 10 デバイスを構成する」をご覧ください。 登録中に、すべての Microsoft Managed Desktop デバイスに新しいセキュリティ ベースラインを適用します。 登録後、Microsoft Intune管理センターの [構成ポリシー] 領域で Microsoft Managed Desktop セキュリティ ベースライン ポリシーを確認できます。 |
| アドバイザリ | すべてのセキュリティ ベースライン ポリシーから Microsoft Managed Desktop デバイスが除外されていることを確認します。 詳細については、「セキュリティ ベースラインを使用して Intune で Windows 10 デバイスを構成する」をご覧ください。 登録中に、すべての Microsoft Managed Desktop デバイスに新しいセキュリティ ベースラインを適用します。 モダン ワークプレース デバイス - すべてのMicrosoft Entra グループは、Microsoft Managed Desktop に登録するときに作成する動的グループです。 登録後にこのグループを除外するには、戻る必要があります。 |
ライセンスのない管理者
この設定は、Microsoft Entra organizationと対話するときに "アクセス許可の不足" エラーを回避するために有効にする必要があります。
| 結果 | 意味 |
|---|---|
| 使用不可能 | [ライセンスのない管理者へのアクセスを許可する] を有効にする必要があります。 詳細については、「ゲスト アカウントの前提条件」を参照してください。 |
Windows アプリ
Microsoft Managed Desktop ユーザーに必要なアプリを確認します。
| 結果 | 意味 |
|---|---|
| アドバイザリ | Microsoft Managed Desktop ユーザーが持つアプリのインベントリを準備する必要があります。 これらのアプリは Intune で展開する必要があるため、既存の Intune アプリの再利用を評価します。 ポータル サイトの使用を検討します (「デバイスにIntune ポータル サイトをインストールする」および「登録状態ページ (ESP)」を参照して、アプリをユーザーに配布します。 詳細については、「Microsoft Managed Desktop のアプリ」および「Autopilot と登録状態ページを使った最初の実行エクスペリエンス」を参照してください。 Microsoft Endpoint Configuration Manager でMicrosoft アカウント担当者に問い合わせて、Intune に移行する準備ができているアプリや調整が必要なアプリを特定することができます。 |
Windows Hello for Business
Microsoft Managed Desktop には、Windows Hello for Business を有効にする必要があります。
| 結果 | 意味 |
|---|---|
| アドバイザリ | Windows Hello for Business が無効になっているか、設定されていません。 「Windows Hello for Business ポリシーの作成」の手順に従って有効にします。 |
Windows 10 以降のリングを更新する
Intune の "Windows 10 以降のリングの更新" ポリシーは、Microsoft マネージド デスクトップ デバイスを対象としてはなりません。
| 結果 | 意味 |
|---|---|
| 使用不可能 | すべてのデバイス、すべてのユーザー、またはその両方を対象とする "更新リング" ポリシーがあります。 ポリシーを変更して、Microsoft マネージド デスクトップ デバイスを含まない特定のMicrosoft Entra グループを対象とする割り当てを使用します。 詳細については、「Intune で Windows 10 ソフトウェア更新プログラムを管理する」を参照してください。 |
| アドバイザリ | [モダン ワークプレース デバイス ] - [すべてのMicrosoft Entra] グループが、更新リング ポリシーによって除外されていることを確認します。 これらのポリシーにMicrosoft Entraユーザー グループを割り当てた場合は、Microsoft Managed Desktop ユーザーを追加するすべてのMicrosoft Entra グループ (または同等のグループ) も、更新リング ポリシーによって除外されていることを確認します。 詳細については、「Intune でWindows 10および 11 のソフトウェア更新プログラムを管理する」を参照してください。 モダン ワークプレース デバイス - すべてとモダン ワークプレース - すべてのMicrosoft Entra グループは、Microsoft Managed Desktop に登録するときに作成するグループです。 登録後にこのグループを除外するには、戻る必要があります。 |
Microsoft Entra設定
Azure portal Microsoft Entra設定にアクセスできます。
Intune の登録
Microsoft Entra organization内のWindows 10以降のデバイスは、Intune に自動的に登録できる必要があります。
| 結果 | 意味 |
|---|---|
| アドバイザリ | MDM ユーザー スコープが、[なし] ではなく、[一部] または [すべて]に設定されていることを確認します。 [一部] を選択した場合は、登録後に戻り、[モダン ワークプレース - すべてのMicrosoft Entra グループ] グループ、またはすべての Microsoft Managed Desktop ユーザーを対象とする同等のグループを選択します。 詳細については、「Microsoft Intuneを使用して Windows デバイスの登録を設定する」を参照してください。 |
アドホック サブスクリプション
("false" に設定されている場合) Enterprise State Roaming が正しく機能しない可能性がある設定を確認する方法をアドバイスします。
| 結果 | 意味 |
|---|---|
| アドバイザリ | AllowAdHocSubscriptions が True に設定されていることを確認します。 そうしないと、Enterprise State Roaming が機能しない可能性があります。 詳細については、Set-MsolCompanySettings を参照してください。 |
Enterprise State Roaming
Enterprise State Roaming を有効にする必要があります。
| 結果 | 意味 |
|---|---|
| アドバイザリ | Enterprise State Roaming が [すべての] または [選択された] グループに対して有効になっていることを確認します。 詳細については、「Microsoft Entra ID でエンタープライズ状態ローミングを有効にする」を参照してください。 |
ゲスト招待の設定
既定の設定ではディレクトリ内のすべてのユーザーとゲストがゲストを招待できるため、Microsoft マネージド デスクトップではゲスト招待設定の調整をお勧めします。
| 結果 | 意味 |
|---|---|
| アドバイザリ | [メンバー ユーザーおよび特定の管理者の役割に割り当てられたユーザーが、メンバーのアクセス許可を持つゲストを含むゲストを招待できる] が有効にされている必要があります。 詳細については、「ゲスト アカウントの前提条件」を参照してください。 |
ゲスト ユーザー アクセス
Microsoft Managed Desktop ではゲスト アクセスを調整することを推奨しています。というのは、規定の設定では、ディレクトリ内のすべてのゲストが、メンバーと同じアクセス権を持つことを許されているからです。
| 結果 | 意味 |
|---|---|
| アドバイザリ | ゲスト ユーザーは、ディレクトリ オブジェクトのプロパティとメンバーシップへのアクセスが制限 されている必要があります。 詳細については、「ゲスト アカウントの前提条件」を参照してください。 |
ライセンス
Microsoft Managed Desktop を使用するには、多くのライセンスが必要です。
| 結果 | 意味 |
|---|---|
| 準備未完了 | Microsoft マネージド デスクトップ サービスを操作、構成、使用するには、有効で十分なライセンスが必要です。 詳細については、「Microsoft Managed Desktop テクノロジ」および「ライセンスの詳細」を参照してください。 |
Microsoft Managed Desktop のサービス アカウント
既存のアカウント名は、Microsoft Managed Desktop サービスを管理するために Microsoft Managed Desktop によって作成されたアカウント名と競合する可能性があります。
| 結果 | 意味 |
|---|---|
| 使用不可能 | Microsoft Managed Desktop によって作成されたアカウント名と競合するアカウント名が少なくとも 1 つ存在します。 Microsoft アカウント担当者と協力して、これらのアカウント名を除外してください。 セキュリティ リスクを最小限に抑えるために、アカウント名をパブリックに一覧表示しません。 |
セキュリティ管理者の役割
特定のセキュリティ ロールを持つユーザーには、Microsoft Defender for Endpoint でそれらのロールが割り当てられている必要があります。
| 結果 | 意味 |
|---|---|
| アドバイザリ | ユーザーがMicrosoft Entra organizationでこれらのロールのいずれかに割り当てられている場合は、それらのロールもMicrosoft Defender for Endpointで割り当てられていることを確認します。 そうしないと、これらのロールを持つ管理者は管理センターにアクセスできなくなります。
詳細については、「ロールベースのアクセス制御のロールの作成と管理」を参照してください。 |
セキュリティの既定値
Microsoft Entra ID のセキュリティの既定値により、Microsoft Managed Desktop がデバイスを管理できなくなります。
| 結果 | 意味 |
|---|---|
| 使用不可能 | セキュリティの既定値が有効になっています。 [セキュリティの既定値] をオフにし、条件付きアクセス ポリシーを設定します。 詳細については、「条件付きアクセス ポリシーを作成する」を参照してください。 |
セルフサービス パスワードのリセット
セルフサービス パスワード リセット (SSPR) は、Microsoft Managed Desktop サービス アカウントを除くすべての Microsoft Managed Desktop ユーザーに対して有効にすることができます。
詳細については、「チュートリアル: ユーザーがセルフサービス パスワード リセットを使用してアカウントのロックを解除したり、パスワードMicrosoft Entraリセットしたりできるようにする」を参照してください。
| 結果 | 意味 |
|---|---|
| アドバイザリ | SSPR の [選択済み] 設定には Microsoft Managed Desktop ユーザーが含まれ、Microsoft Managed Desktop サービス アカウントは除外されていることを確認してください。 Microsoft Managed Deskop サービス アカウントは、SSPR が有効になっていると想定どおりに機能しません。 |
標準ユーザーの役割
既定では、Microsoft Managed Desktop ユーザーはローカル管理者特権を持たない "標準ユーザー" になります。 ユーザーは、登録が成功すると、Microsoft Managed Desktop Standard ユーザー デバイス プロファイルを介して標準ユーザー ロールが効果的に割り当てられます。
| 結果 | 意味 |
|---|---|
| アドバイザリ | Microsoft Managed Desktop ユーザーは、登録後に Microsoft Managed Desktop デバイスに対するローカル管理者特権を持たなくなります。 |
Microsoft 365 Apps for enterprise
OneDrive
[特定のドメインに参加している PC でのみ同期を許可] 設定は Microsoft Managed Desktop と競合します。 OneDrive の設定には、OneDrive 管理者センターでアクセスできます。
| 結果 | 意味 |
|---|---|
| アドバイザリ | [特定のドメインに参加している PC でのみ同期を許可] 設定を使用しています。 この設定は、Microsoft Managed Desktop では機能しません。 この設定を無効にします。 代わりに、条件付きアクセス ポリシーを使用するように OneDrive を設定します。 詳細については、「条件付きアクセスの展開を計画する」を参照してください。 |