チュートリアル: Microsoft Intune を使用したクラウド ネイティブな Windows エンドポイントの設定と構成

  • [アーティクル]

ヒント

クラウド ネイティブ エンドポイントについて読むと、次の用語が表示されます:

  • エンドポイント: エンドポイントは、携帯電話、Tablet PC、ノート PC、デスクトップ コンピューターなどのデバイスです。 "エンドポイント" と "デバイス" は同じ意味で使用されます。
  • マネージド エンドポイント: MDM ソリューションまたは グループ ポリシー オブジェクトを使用して組織からポリシーを受け取るエンドポイント。 通常、これらのデバイスは組織所有ですが、BYOD または個人所有のデバイスでもかまいません。
  • クラウド ネイティブ エンドポイント: Azure AD に参加しているエンドポイント。 これらはオンプレミス AD に参加していません。
  • ワークロード: 任意のプログラム、サービス、またはプロセス。

このガイドでは、組織のためにクラウド ネイティブな Windows エンドポイント構成を作成するための手順を説明しています。 クラウドネイティブ エンドポイントとその利点の概要については、「クラウド ネイティブなエンドポイントとは」を参照してください。

この機能は、以下に適用されます。

  • Windows クラウドネイティブ エンドポイント

ヒント

Microsoft が推奨する、標準化されたソリューションをベースに構築したい場合は、クラウド構成での Windows に興味をお持ちいただけるかもしれません。 Intune では、ガイド付きシナリオを使用して、クラウド構成で Windows を構成できます。

本ガイドとクラウド構成での Windows との主な違いを下表に示します。

ソリューション 目標
クラウド ネイティブな Windows エンドポイントの概要 (本ガイド) Microsoft の推奨設定に基づき、お客様の環境に合わせた独自の構成を作成し、テストの開始をサポートできるようにガイドします。
クラウド構成での Windows 現場での作業、リモート ワーク、その他のニーズが高い作業者向けに、Microsoft のベスト プラクティスに基づいて事前に事前構築された構成を作成し、適用するガイド付きシナリオ環境。

このガイドは、クラウド構成での Windows と組み合わせて使用することで、事前構築されたエクスペリエンスをさらにカスタマイズすることができます。

始める方法

このガイドでは、5 つの順序立てられたフェーズを使用します。これらのフェーズは互いに積み重なり、クラウド ネイティブな Windows エンドポイント構成の準備に役立ちます。 これらのフェーズを順番に完了すると、具体的な進行状況を確認しながら、新しいデバイスをプロビジョニングする準備が整います。

フェーズ:

Microsoft Intune と Windows Autopilot を使用してクラウドネイティブの Windows エンドポイントを設定するための 5 つのフェーズです。

  • フェーズ 1 – 環境の設定
  • フェーズ 2 - 最初のクラウド ネイティブな Windows エンドポイントの構築
  • フェーズ 3 - クラウド ネイティブな Windows エンドポイントの保護
  • フェーズ 4 - カスタム設定とアプリケーションの適用
  • フェーズ 5 - Windows Autopilot を使用した大規模な展開

このガイドの最後には、クラウド ネイティブな Windows エンドポイントが搭載され、お使いの環境でテストを開始する準備が整います。 作業を開始する前に、「Microsoft Entra参加の実装を計画する方法」のMicrosoft Entra参加計画ガイドをチェックすることもできます。

フェーズ 1 – 環境の設定

フェーズ 1。

最初のクラウド ネイティブな Windows エンドポイントを構築する前に、いくつか重要な要件と構成を確認する必要があります。 このフェーズでは、要件の確認、Windows Autopilot の構成、いくつかの設定やアプリケーションの作成を行います。

手順 1 - ネットワーク要件

クラウド ネイティブな Windows エンドポイントは、いくつかのインターネット サービスにアクセスする必要があります。 オープン ネットワークでテストを開始します。 Windows Autopilot ネットワーク要件に一覧表示されたすべてのエンドポイントへのアクセスを設定した後、企業ネットワークを使用します。

ワイヤレス ネットワークに証明書が必要な場合は、テスト時のイーサネット接続から始めて、デバイス プロビジョニングに必要なワイヤレス接続の最適な方法を決定することができます。

手順 2 - 登録とライセンス

Microsoft Entraに参加してIntuneに登録する前に、チェックする必要がある点がいくつかあります。 MDM ユーザーの名前など、新しいMicrosoft Entra グループIntune作成できます。 次に、特定のテスト ユーザー アカウントを追加し、そのグループで以下の各構成を対象にして、構成の設定中にデバイスを登録できるユーザーを制限できます。 Microsoft Entra グループを作成するには、[基本グループの作成] に移動し、メンバーを追加します

  • 登録の制限
    登録の制限では、Intune を使用した管理に登録できるデバイスの種類を制御できます。 このガイドどおりに登録するには、Windows (MDM) 登録が許可されていることを確認してください (既定の構成)。

    登録の制限に関する詳細については、「Microsoft Intune で登録制限を設定する」をご覧ください。

  • Azure AD デバイスの MDM 設定
    Windows デバイスをMicrosoft Entraに参加させる場合、Microsoft Entraは、MDM に自動的に登録するようにデバイスに指示するように構成できます。 この構成は、Windows Autopilot を動作させるために必要です。

    Microsoft Entraデバイス MDM 設定が適切に有効になっているチェックするには、「クイック スタート - Intuneでの自動登録の設定」に移動します。

  • Azure AD の企業ブランド化
    会社のロゴとイメージをMicrosoft Entraに追加すると、ユーザーが Microsoft 365 にサインインするときに、使い慣れた一貫性のある外観が確実に表示されます。 この構成は、Windows Autopilot を動作させるために必要です。

    Microsoft Entraでカスタム ブランドを構成する方法については、「organizationの Microsoft Entra サインイン ページにブランド化を追加する」を参照してください。

  • ライセンス
    Out Of Box Experience (OOBE) から Intune に Windows デバイスを登録するユーザーには、2 つの主要な機能が必要です。

    ユーザーには次のライセンスが必要です。

    • Microsoft Intune または Microsoft Intune for Education ライセンス
    • 次のオプションのいずれかのようなライセンスで、MDM への自動登録できるもの。
      • Microsoft Entra Premium P1
      • Microsoft Intune for Education

    ライセンスを割り当てるには、「Microsoft Intune ライセンスの割り当て」をご覧ください。

    注:

    ライセンスの種類は、いずれも通常、Microsoft 365 E3 (または A3) 以上のライセンス バンドルに含まれます。 M365 ライセンスの比較は、こちらをご覧ください。

手順 3 - テスト デバイスのインポート

クラウド ネイティブな Windows エンドポイントをテストするには、まず仮想マシンや物理デバイスを準備する必要があります。 次の手順では、デバイスの詳細を取得し、この記事の後半部分で使用する Windows Autopilot サービスにアップロードします。

注:

以下の手順は、テスト用のデバイスをインポートする方法ですが、パートナーや OEM では、購入の一環として、お客様の代理でデバイスを Windows Autopilot にインポートすることができます。 Windows Autopilot に関する詳細は、フェーズ 5 をご覧ください。

  1. Windows (できれば 20H2 以降) を仮想マシンにインストールするか、物理デバイスをリセットして、OOBE のセットアップ画面で待機します。 仮想マシンでは、オプションでチェックポイントを作成することができます。

  2. インターネットに接続するために必要な手順を完了させます。

  3. キーボードの組み合わせ Shift+F10 を使用して、コマンド プロンプトを開きます。

  4. bing.com に ping を送信し、インターネットにアクセスできることを確認します。

    • ping bing.com

  5. 以下のコマンドを実行して PowerShell に切り替えます。

    • powershell.exe

  6. 次のコマンドを実行して、Get-WindowsAutoPilotInfo スクリプトをダウンロードします。

    • Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process
    • Install-Script Get-WindowsAutopilotInfo

  7. プロンプトが表示されたら、Y と入力して承諾します。

  8. 次のコマンドを入力します。

    • Get-WindowsAutopilotInfo.ps1 -GroupTag CloudNative -Online

    注:

    グループ タグを使用すると、デバイスのサブセットに基づいて動的なMicrosoft Entra グループを作成できます。 グループ タグは、デバイスのインポート時に設定したり、Microsoft Intune 管理センターで後から変更できます。 手順 4 では、グループ タグ CloudNative を使用します。 テスト用に別のタグ名を設定することができます。

  9. 資格情報プロンプトが表示されたら、Intune 管理者アカウントでサインインします。

  10. フェーズ 2 までは、コンピューターを出荷時の状態にしておきます。

手順 4 - デバイスの動的グループMicrosoft Entra作成する

このガイドの構成を、Windows Autopilot にインポートするテスト デバイスに制限するには、動的なMicrosoft Entra グループを作成します。 このグループには、Windows Autopilot にインポートし、グループ タグ CloudNative を持つデバイスを自動的に含める必要があります。 このグループには、すべての構成やアプリケーションを割り当てることができます。

  1. Microsoft Intune 管理センターを開きます。

  2. [グループ] [新しいグループ]> の順に選択します。 次の詳細を入力します:

    • グループの種類: [セキュリティ] を選択します。
    • [グループ名]:「Autopilot Cloud-Native Windows エンドポイント」と入力します。
    • メンバーシップの種類: [ 動的デバイス] を選択します。

  3. [動的クエリの追加] を選択します。

  4. Rule Syntax セクションで、[編集] を選択します。

  5. 次のようなテキストを貼り付けてください。

    (device.devicePhysicalIds -any (_ -eq "[OrderID]:CloudNative"))

  6. [OK]>[保存]>[作成] の順に選択します。

ヒント

動的グループは、変更があった場合、その内容が反映されるまでに数分かかります。 大規模な組織では、さらに時間がかかる場合もあります。 新しいグループの作成後、数分待ってから、デバイスがグループのメンバーになったことを確認してください。

デバイスの動的グループについては、「デバイスのルール」をご覧ください。

手順 5 - 登録状態ページの構成

登録状態ページは、IT 担当者がエンドポイントをプロビジョニングする間に、エンドユーザー エクスペリエンスを制御するために使用するメカニズムです。 「登録状態ページを設定する」を参照してください。 登録状態ページのスコープを制限するには、新しいプロファイルを作成し、前の手順「デバイスの動的グループMicrosoft Entra作成する」で作成した Windows エンドポイント グループ Cloud-NativeAutopilot をターゲットにすることができます。

  • テスト目的では、次の設定を推奨しますが、必要に応じて自由に調整してください。
    • アプリとプロファイルの構成の進行状況を表示する - はい
    • out-of-box experience (OOBE) によってプロビジョニングされたデバイスにのみページを表示する – はい (既定)

手順 6 - Windows Autopilot プロファイルを作成して割り当てる

Windows Autopilot プロファイルを作成して、テスト デバイスに割り当てることができるようになります。 このプロファイルは、デバイスにMicrosoft Entra参加するように指示し、OOBE 中に適用する設定を指定します。

  1. Microsoft Intune 管理センターを開きます。

  2. [デバイス>登録>] [Windows Autopilot展開プロファイル] の順に>選択します。

  3. [プロファイルの作成]、>[Windows PC] の順に選択します。

  4. クラウド ネイティブな Autopilot Windows Endpoint」という名前を入力して、[次へ] を選択します。

  5. 既定の設定を確認して残し、[次へ] を選択します。

  6. スコープ タグを残し、[次へ] を選択します。

  7. Autopilot Cloud-Native Windows エンドポイントという名前で作成したMicrosoft Entra グループにプロファイルを割り当て、[次へ] を選択し、[作成] を選択します。

手順 7 - Windows Autopilot デバイスの同期

Windows Autopilot サービスは、1 日に数回の同期を行います。 また、すぐに同期を開始して、デバイスをテストできる状態にすることもできます。 すぐに同期させるには、以下の操作を行います。

  1. Microsoft Intune 管理センターを開きます。

  2. [デバイス>登録>] [Windows Autopilotデバイス] の順に>選択します。

  3. [同期] を選択します。

同期には数分かかりますが、バックグラウンドで行われます。 同期が完了すると、インポートされたデバイスのプロファイルの状態に [割り当て済み] と表示されます。

手順 8 - 最適な Microsoft 365 エクスペリエンスの構成の設定

構成する必要のある設定をいくつか選択しました。 これらの設定は、クラウド ネイティブな Windows デバイスで最適な Microsoft 365 エンドユーザー エクスペリエンスをデモします。 これらの設定は、デバイス構成設定カタログ プロファイルを使用して構成されます。 詳細については、「Microsoft Intune で設定カタログを使用してポリシーを作成する」をご覧ください。

プロファイルを作成して設定を追加したら、先ほど作成したクラウド ネイティブの Autopilot Windows エンドポイント グループにプロファイルを割り当てます。

  • Microsoft Outlook
    Microsoft Outlook の初回起動時エクスペリエンスを向上させるために、以下の設定を行うと、Outlook の初回起動時にプロファイルが自動的に構成されます。

    • Microsoft Outlook 2016\Account Settings\Exchange (ユーザー設定)
      • Active Directory プライマリ SMTP アドレスに基づいて、最初のプロファイルのみを自動的に構成する - 有効

  • Microsoft Edge
    Microsoft Edge の初回起動時エクスペリエンスを向上させるために、以下の設定を行うと、ユーザーの設定を同期して初回起動時エクスペリエンスをスキップするように Microsoft Edge が構成されます。

    • Microsoft Edge
      • 初回起動時エクスペリエンスとスプラッシュ画面を非表示にする - 有効
      • ブラウザー データの強制的な同期と同期同意プロンプトを表示しない - 有効

  • Microsoft OneDrive

    初回のサインイン時エクスペリエンスを向上させるために、以下の設定を行うと、Microsoft OneDrive に自動的にサインインし、デスクトップ、画像、ドキュメントが OneDrive にリダイレクトされるようになります。 ファイル オンデマンド (FOD) も推奨されます。 既定では有効になっており、次の一覧には含まれません。 OneDrive 同期アプリに推奨される構成の詳細については、「Microsoft OneDrive の推奨される同期アプリの構成」をご覧ください。

    • OneDrive

      • Windows 資格情報を使用して OneDrive 同期アプリにユーザーをサイレント モードでサインインする - 有効
      • Silently move Windows known folders to OneDrive (サイレント モードで Windows の既知のフォルダーを OneDrive に移動する) – 有効

      注:

      詳細については、「既知のフォルダーをリダイレクトする」をご覧ください。

次のスクリーンショットは、おすすめの各設定を構成した設定カタログ プロファイルの例を示しています。

Microsoft Intune の設定カタログ プロファイルの例を示すイメージ。

手順 9 - いくつかのアプリケーションの作成と割り当て

クラウド ネイティブなエンドポイントには、いくつかのアプリケーションが必要です。 まずは、以下のアプリケーションを構成し、先に作成したクラウド ネイティブな Autopilot Windows エンドポイント グループを対象にすることをお勧めします。

  • Microsoft 365 Apps (旧称 Office 365 ProPlus)
    Word、Excel、Outlook などの Microsoft 365 Apps は、Intune に組み込まれた Microsoft 365 apps for Windows アプリ プロファイルを使用して、デバイスに簡単に展開できます。

    • 設定の形式は、XML ではなく構成デザイナーを選択します。
    • 最新チャネルに [現在のチャネル] を選択します。

    Microsoft 365 Apps を展開するには、「Microsoft Intune を使用して Windows デバイスに Microsoft 365 アプリを追加する」をご覧ください。

  • ポータル サイト アプリ
    必須アプリケーションとして、Intune ポータル サイト アプリをすべてのデバイスに展開することを推奨します。 ポータル サイト アプリは、ユーザーが Intune、Microsoft Store、構成マネージャーなどの複数のソースからアプリケーションをインストールする場合に使用する、ユーザーのためのセルフサービス ハブです。 また、ユーザーはポータル サイト アプリを使用して、デバイスを Intune と同期したり、コンプライアンスの状況を確認したりできます。

    必要に応じてポータル サイトを展開するには、「Intune マネージド デバイス用 Windows ポータル サイト アプリを追加して割り当てる」を参照してください。

  • Microsoft Store アプリ (Whiteboard)
    Intune にはさまざまなアプリを展開できますが、このガイドではシンプルにするために、ストア アプリ (Microsoft Whiteboard) を展開します。 「Microsoft Intune にMicrosoft Store アプリを追加する」の手順に従って、Microsoft Whiteboard をインストールしてください。

フェーズ 2 - クラウド ネイティブな Windows エンドポイントの構築

フェーズ 2。

最初のクラウド ネイティブな Windows エンドポイントを構築するには、[フェーズ 1] > [手順 3] でハードウェア ハッシュを収集して、Windows Autopilot サービスにアップロードしたのと同じ仮想マシンまたは物理デバイスを使用します。 デバイスで Windows Autopilot プロセスを進めます。

  1. Windows PC を Out of Box Experience (OOBE) に再開 (必要な場合はリセット) します。

    注:

    個人用または組織用のセットアップを選択するプロンプトが表示された場合は、Autopilot プロセスがトリガーされていません。 そのような状況では、デバイスを再起動し、インターネットにアクセスできる状態にしてください。 それでもうまくいかない場合は、PC をリセットするか、Windows の再インストールをお試しください。

  2. Microsoft Entra資格情報 (UPN または AzureAD\username) を使用してサインインします。

  3. 登録状況ページに、デバイス構成の状態が表示されます。

おめでとうございます! 最初のクラウド ネイティブな Windows エンドポイントがプロビジョニングされました。

新しいクラウド ネイティブな Windows エンドポイントでチェックする内容は、以下のとおりです。

  • OneDrive フォルダーがリダイレクトされます。 Outlook を開くと、自動的に Office 365 に接続するように構成されます。

  • [スタート メニュー] から [ポータル サイト] を開き、Microsoft Whiteboard がインストール可能であることを確認します。

  • デバイスから、ファイル共有、プリンター、イントラネット サイトなどのオンプレミス リソースへのアクセスをテストすることを検討してください。

    注:

    Windows Hello for Business Hybrid を設定していない場合、Windows Hello のログオン時に、オンプレミス リソースにアクセスするためのパスワードの入力を求められる場合があります。 シングル サインオンのテストを続けるには、Windows Hello for Business Hybrid を構成するか、Windows Hello ではなくユーザー名とパスワードでデバイスにログオンすることができます。 そのためには、ログオン画面で鍵型のアイコンを選択します。

フェーズ 3 - クラウド ネイティブな Windows エンドポイントの保護

フェーズ 3。

このフェーズは、お客様の組織に合わせたセキュリティ設定の構築をサポートするために設計されています。 このセクションでは、Microsoft Intune のさまざまなエンドポイントのセキュリティ コンポーネントについてご紹介します。

Microsoft Defender ウイルス対策 (MDAV)

Windows の OS 内蔵コンポーネントである Microsoft Defender ウイルス対策の最小構成として、次の設定が推奨されます。 これらの設定は、E3 や E5 などの特定のライセンス契約を必要とせず、Microsoft Intune 管理センターで有効にすることができます。 管理センターで、[エンドポイント セキュリティ]>[ウイルス対策]>[ポリシーの作成]>[Windows 以降]>[プロファイルの種類] = [Microsoft Defender ウイルス対策] に移動します。

クラウド保護:

  • クラウドによる保護を有効にする: はい
  • クラウドによる保護レベル: 未構成
  • Defender クラウド延長タイムアウト (秒単位): 50

リアルタイム保護:

  • リアルタイム保護を有効にする: はい
  • 常時保護を有効にする: はい
  • 受信ファイルと送信ファイルの監視: すべてのファイルを監視
  • 動作の監視を有効にする: はい
  • 侵入防止システムを有効にする: はい
  • ネットワーク保護を有効にする: 有効
  • すべてのダウンロード ファイルと添付ファイルをスキャンする: はい
  • Microsoft のブラウザーで使用されているスクリプトをスキャンする: はい
  • ネットワーク ファイルをスキャンする: 未構成
  • メールをスキャンする: はい

修復:

  • 検査されたマルウェアを保持する日数 (0-90): 30
  • サンプル送信の同意: 安全なサンプルを自動的に送信します
  • 望ましくない可能性のあるアプリに対して実行するアクション: 有効
  • 検出された脅威に対するアクション: 構成
    • 低レベルの脅威: 検疫
    • 中レベルの脅威: 検疫
    • 高レベルの脅威: 検疫
    • 重大な脅威: 検疫

Endpoint Security 内の MDAV プロファイルで構成された設定: セキュリティ:

Microsoft Intune 内の Microsoft Defender ウイルス対策プロファイルの例を示すスクリーンショット。

E3 および E5 のライセンスを付与されたお客様の Microsoft Defender for Endpoint などの Windows Defender の構成については、以下をご覧ください。

Microsoft Defender ファイアウォール

Microsoft Intune のエンドポイント セキュリティを使用して、ファイアウォールとファイアウォール規則を構成します。 詳細については、「Intune のエンドポイント セキュリティのファイアウォール ポリシー」をご覧ください。

Microsoft Defender ファイアウォールは、NetworkListManager CSP を使用して信頼されたネットワークを検出できます。 また、次の OS バージョンを実行しているエンドポイントでドメイン ファイアウォール プロファイルに切り替えることができます。

ドメイン ネットワーク プロファイルを使用すると、信頼されたネットワーク、プライベート ネットワーク、およびパブリック ネットワークに基づいてファイアウォール規則を区別できます。 これらの設定は、Windows カスタム プロファイルを使用して適用できます。

注:

参加済みエンドポイントMicrosoft Entra LDAP を利用して、ドメインに参加しているエンドポイントと同じ方法でドメイン接続を検出することはできません。 代わりに、NetworkListManager CSP を使用して、アクセス可能な場合にエンドポイントをドメイン ファイアウォール プロファイルに切り替える TLS エンドポイントを指定します。

BitLocker 暗号化

Microsoft Intune のエンドポイント セキュリティを使用して、BitLocker を使用した暗号化を構成します。

これらの設定は、Microsoft Intune 管理センターで有効にすることができます。 管理センターで、[エンドポイント セキュリティ]>[ディスク暗号化]>[ポリシーの作成]>[Windows 以降]>[プロファイル] = [BitLocker] に移動します。

次の BitLocker 設定を構成すると、標準ユーザーに対して 128 ビット暗号化がサイレント モードで有効になります。これは一般的なシナリオです。 ただし、組織のセキュリティ要件が異なる場合があるため、追加の設定については BitLocker のドキュメントを参照してください。

BitLocker - 基本設定:

  • OS および固定データ ドライブのディスク全体の暗号化を有効にする: はい
  • ストレージ カードの暗号化が必須 (モバイルのみ): 未構成
  • サードパーティの暗号化に関するプロンプトを非表示にする: はい
    • Autopilot 中の暗号化の有効化を標準ユーザーに許可する: はい
  • クライアント主導の回復パスワード ローテーションを設定する: Azure AD に参加したデバイスでローテーションを有効にする

BitLocker - 固定ドライブの設定:

  • BitLocker 固定ドライブ ポリシー: 構成
  • 固定ドライブの回復: 構成
    • 復元キー ファイルの作成: ブロック済み
    • BitLocker 回復パッケージの構成: パスワードとキー
    • デバイスが回復情報を Azure AD にバックアップすることを必須とする: はい
    • 回復パスワードの作成: 許可
    • BitLocker のセットアップ時に回復オプションを非表示にする: 未構成
    • 回復情報を保存した後、BitLocker を有効にする: 未構成
    • 証明書ベースのデータ回復エージェント (DRA)の使用をブロックする: 未構成
    • BitLocker で保護されていない固定データドライブへの書き込みアクセスをブロックする: 未構成
    • 固定データドライブの暗号化方法の構成: 未構成

BitLocker - OS ドライブ設定:

  • BitLocker システム ドライブ ポリシー: 構成
    • スタートアップ認証が必要: はい
    • 互換性のある TPM スタートアップ キー: 必須
    • 互換性のある TPM スタートアップ PIN: ブロック
    • 互換性のある TPM スタートアップ キー: ブロック
    • 互換性のある TPM スタートアップ キーと PIN: ブロック
    • TPM に互換性がないデバイスで BitLocker を無効にする: 未構成
    • プリブート回復メッセージと URL を有効にする: 未構成
  • システム ドライブの回復: 構成
    • 復元キー ファイルの作成: ブロック済み
    • BitLocker 回復パッケージの構成: パスワードとキー
    • デバイスが回復情報を Azure AD にバックアップすることを必須とする: はい
    • 回復パスワードの作成: 許可
    • BitLocker のセットアップ時に回復オプションを非表示にする: 未構成
    • 回復情報を保存した後、BitLocker を有効にする: 未構成
    • 証明書ベースのデータ回復エージェント (DRA)の使用をブロックする: 未構成
    • PIN の最小の長さ: 空白のままにする
    • オペレーティング システム ドライブの暗号化方法の構成: 未構成

BitLocker - リムーバブル ドライブの設定:

  • BitLocker のリムーバブル ドライブのポリシー: 構成
    • リムーバブル データドライブの暗号化方法の構成: 未構成
    • BitLocker で保護されていないリムーバブル データドライブへの書き込みアクセスをブロックする: 未構成
    • 別の組織で構成されたデバイスへの書き込みアクセスをブロックする: 未構成

Windows ローカル管理者パスワード ソリューション (LAPS)

既定では、組み込みのローカル管理者アカウント (既知の SID S-1-5-500) は無効です。 トラブルシューティング、エンドユーザー サポート、デバイスの回復など、ローカル管理者アカウントにとって有益なシナリオがいくつかあります。 組み込みの管理者アカウントを有効にするか、新しいローカル管理者アカウントを作成することを決定する場合、そのアカウントのパスワードをセキュリティで保護することが重要です。

Windows ローカル管理者パスワード ソリューション (LAPS) は、パスワードをランダム化して安全にMicrosoft Entraに格納するために使用できる機能の 1 つです。 Intune を MDM サービスとして使用している場合は、次の手順に従って Windows LAPS を有効にします。

重要

Windows LAPS では、既定のローカル管理者アカウントが有効であると見なされます (名前が変更されたり、別のローカル管理者アカウントを作成したりしたとしても)。 Windows LAPS では、ローカル アカウントの作成や有効化は行われません。

Windows LAPS の構成とは別に、ローカル アカウントを作成または有効にする必要があります。 このタスクのスクリプトを作成したり、アカウント CSPポリシー CSP などの構成サービス プロバイダー (CSP) を使用したりできます。

  1. Windows 10 (20H2 以降) または Windows 11 デバイスに 2023 年 4月 (またはそれ以降) のセキュリティ更新プログラムがインストールされていることを確認してください。

    詳細については、「オペレーティング システムの更新プログラムのMicrosoft Entra」を参照してください。

  2. Microsoft Entraで Windows LAPS を有効にします。

    1. Microsoft Entraにサインインします。
    2. [ローカル管理者パスワード ソリューション (LAPS) を有効にする] 設定で、[はい]>[保存] (ページの上部) を選択します。

    詳細については、「Microsoft Entraでの Windows LAPS の有効化」を参照してください。

  3. Intune で、エンドポイント セキュリティ ポリシーを作成します。

    1. Microsoft Intune 管理センターにサインインします。
    2. [エンドポイント セキュリティ]>[アカウントの保護]>[ポリシーの作成]>[Windows 10 以降]>[ローカル管理者パスワード ソリューション (Windows LAPS)]>[作成] を選択します。

    詳細については、「Intune で LAPS ポリシーを作成する」を参照してください。

セキュリティ基準計画

セキュリティ ベースラインを使用して、Windows エンドポイントのセキュリティを向上させることが実証された一連の構成を適用できます。 セキュリティ ベースラインの詳細については、「Intune の Windows MDM セキュリティ ベースライン設定」をご覧ください。

ベースラインは、おすすめの設定を使用して適用することができ、お客様の要件に応じてカスタマイズすることができます。 ベースラインの設定によっては、予期せぬ結果を引き起こしたり、Windows エンドポイントで実行されているアプリケーションやサービスとの互換性が失われたりする場合があります。 その結果、ベースラインは分離してテストする必要があります。 ベースラインは、他の構成プロファイルや設定を使用せずに、選択したテスト エンドポイントのグループにのみ適用します。

セキュリティ・ベースラインの既知の問題

Windows セキュリティ ベースラインの以下の設定では、Windows Autopilot を使用する場合や標準ユーザーとしてアプリをインストールしようとした場合に問題が発生することがありました。

  • ローカル ポリシーのセキュリティ オプション\管理者特権プロンプトの動作 (既定 = セキュリティで保護されたデスクトップで同意を要求する)
  • 標準的なユーザー昇格要求の動作 (既定 = 昇格要求を自動的に拒否する)

詳細については、「Windows Autopilot ポリシーの競合」をご覧ください。

ビジネス向け更新プログラム

Windows Updates for Business は、デバイスに更新プログラムをインストールする方法とタイミングを制御するためのクラウド テクノロジです。 Intune では、Windows Update for Business は以下の機能を使用して構成することができます。

詳細については、以下をご覧ください。

Windows Updates をより詳細に制御し、構成マネージャーを使用している場合は、共同管理を検討してください。

フェーズ 4 - カスタマイズの適用とオンプレミスの構成の確認

フェーズ 4。

このフェーズでは、組織固有の設定やアプリを適用し、オンプレミスの構成を確認します。 このフェーズは、お客様の組織に特化したカスタマイズの構築をサポートするのに役立ちます。 Windows のさまざまなコンポーネントに注目し、オンプレミスの AD グループ ポリシー環境から既存の構成を確認し、それをクラウド ネイティブなエンドポイントに適用する方法を紹介します。 次のような各セクションに分かれます。

Microsoft Edge

Microsoft Edge の展開

Microsoft Edge が搭載されているデバイスでは、以下の操作を実行します。

  • Windows 11
  • Windows 10 20H2 以降
  • Windows 10 1803 以降は、2021 年 5 月以降の月例累積セキュリティ更新プログラムが適用されます。

ユーザーがサインインすると、Microsoft Edge は自動的に更新されます。 展開中に Microsoft Edge の更新をトリガーするには、次のコマンドを実行できます。

Start-Process -FilePath "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" -argumentlist "/silent /install appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062}&appname=Microsoft%20Edge&needsadmin=True"

Microsoft Edge を以前のバージョンの Windows に展開するには、「Microsoft Edge for Windows を Microsoft Intune に追加する」をご覧ください。

Microsoft Edge の構成

ユーザーが Microsoft 365 の資格情報でサインインする場合に適用される Microsoft Edge エクスペリエンスの 2 つのコンポーネントは、Microsoft 365 管理センターで構成できます。

  • Microsoft Edge のスタート ページのロゴは、Microsoft 365 管理センターの [組織] セクションを構成することでカスタマイズできます。 詳細については、「組織で使用する Microsoft 365 のテーマをカスタマイズする」をご覧ください。

  • Microsoft Edge の既定の新しいタブ ページには、Office 365 情報や個人用設定されたニュースが表示されます。 このページの表示方法は、Microsoft 365 管理センターの [設定]>[組織設定]>[ニュース]>[Microsoft Edge 新規タブ ページ] でカスタマイズできます。

設定カタログ プロファイルを使用して、Microsoft Edge のその他の機能を設定することもできます。 たとえば、組織のために特定の同期設定を構成する必要がある場合などです。

  • Microsoft Edge
    • 同期から除外する種類の一覧を構成する - パスワード

スタートとタスク バーのレイアウト

Intune を使用して、標準のスタート画面とタスク バーのレイアウトをカスタマイズして設定することができます。

設定カタログ

設定カタログは、構成可能なすべての Windows 設定が一覧表示される単一の場所です。 この機能を使用すると、ポリシーを作成する方法、および使用可能なすべての設定を表示する方法が簡単になります。 詳細については、「Microsoft Intune で設定カタログを使用してポリシーを作成する」をご覧ください。

注:

  • 一部の設定はカタログでは使用できない可能性がありますが、Intune デバイス構成プロファイルのテンプレートで使用できます。

  • グループ ポリシーでよく使用される設定の多くは、既に設定カタログで利用可能です。 詳細については、「モバイル デバイス管理での最新のグループ ポリシー設定のパリティ」をご覧ください。

  • ADMX テンプレートまたは設定カタログ (推奨) のいずれかを活用する場合は、Windows 10 バージョン 2004 以降を対象とした 2021 年 9 月の ‘火曜日の修正プログラム’ 更新プログラム (KB5005565) でデバイスを必ず更新してください。 今回の月間更新プログラムには、KB5005101 が含まれており、1,400 以上のグループ ポリシー設定が MDM に反映されます。 この更新プログラムでエラーが発生した場合は、Intune 管理センターの設定の横に '適用なし' というメッセージが表示されます。 当初は Enterprise および Edu バージョンの Windows にのみ対応しますが、2022 年 5 月の時点で、これらの追加設定は Windows 10/11 の pro バージョンでも機能するようになりました。 Windows 10/11 の Pro バージョンを使用している場合は、「モバイル デバイス管理のグループ ポリシー設定パリティ」の最新版で説明されているように、Windows 10 には KB5013942 以降、Windows 11 には KB5013943 以降をインストールしてください。

以下は、設定カタログで利用可能な設定のうち、お客様の組織に適したものです。

  • Azure Active Directory テナント ドメイン
    この設定では、ユーザーのユーザー名に付加される優先テナントのドメイン名を構成します。 優先テナント ドメインを使用すると、ユーザーのドメイン名 Microsoft Entraが優先テナント ドメインと一致する限り、ユーザーは UPN 全体ではなく、ユーザー名のみを使用してエンドポイントにサインインできます。 異なるドメイン名を持つユーザーは、UPN 全体を入力することができます。

    この設定は以下で検索できます。

    • 認証
      • 優先 AAD テナント ドメイン名 - contoso.onmicrosoft.com のようにドメイン名を指定します。

  • Windows スポットライト
    既定では、Windows のいくつかのコンシューマー向け機能が有効になっており、選択したストア アプリがインストールされたり、ロック画面にサードパーティのおすすめが表示されたりします。 これは、設定カタログの [エクスペリエンス] セクションで制御できます。

    • エクスペリエンス
      • Windows コンシューマー向け機能を許可する - ブロック
      • Windows スポットライトでのサードパーティのおすすめを許可する (ユーザー) - ブロック

  • Microsoft Store
    企業は、通常、エンドポイントでインストールできるアプリケーションを制限しようとします。 この設定は、Microsoft Store でインストールできるアプリケーションを制御したい場合に使用します。 この設定により、ユーザーは承認されていないアプリケーションをインストールできなくなります。

  • ゲームのブロック
    組織では、エンドポイントがゲームに使用されないことが望まれている場合があります。 [設定] アプリ内の [ゲーム] ページは、以下の設定で完全に非表示にすることができます。 設定ページの表示範囲に関する追加情報については、CSP ドキュメントおよび ms-settings URI スキーム リファレンスをご覧ください。

    • Settings
      • ページ表示範囲リスト - hide:gaming-gamebar;gaming-gamedvr;gaming-broadcasting;gaming-gamemode;gaming-trueplay;gaming-xboxnetworking;quietmomentsgame

  • タスク バーのチャット アイコンの表示を制御する Windows 11 タスク バーのチャット アイコンの表示は、ポリシー CSP を使用して制御できます。

    • エクスペリエンス
      • チャット アイコンの構成 - 無効

  • Teams デスクトップ クライアントがサインインできるテナントを制御する

    このポリシーがデバイスで構成されている場合、ユーザーは、このポリシーで定義されている "テナント許可リスト" に含まれるMicrosoft Entra テナントに所属するアカウントでのみサインインできます。 "テナント許可リスト" は、Microsoft Entraテナント ID のコンマ区切りリストです。 このポリシーを指定し、Microsoft Entra テナントを定義することで、個人用の Teams へのサインインもブロックします。 詳細については、「デスクトップ デバイスでのサインインを制限する方法」をご覧ください。

    • 管理用テンプレート \ Microsoft Teams
      • Teams へのサインインを特定のテナントのアカウントに制限する (ユーザー) - 有効

デバイスの制限

Windows デバイス制限テンプレートには、Windows 構成サービス プロバイダー (CSP) を使用して Windows エンドポイントを安全に管理するために必要な設定が多く含まれています。 これらの設定は、順次、設定カタログで利用できるようになる予定です。 詳細については、「デバイスの制限」をご覧ください。

デバイス制限テンプレートを使用するプロファイルを作成するには、Microsoft Intune管理センターで、[デバイス>構成>の作成>] [Windows 10 以降の選択] または [プロファイルの種類>] [デバイスの制限] の [プラットフォームテンプレート] に移動します。

  • デスクトップの背景画像の URL (デスクトップのみ)
    この設定は、Windows Enterprise または Windows Education の SKU に壁紙を設定する場合に使用します。 ファイルをオンラインでホストするか、ローカルにコピーされたファイルを参照します。 この設定を構成するには、[デバイスの制限] プロファイルの [構成の設定] タブで、[個人用設定] を展開し、[デスクトップの背景画像の URL (デスクトップのみ)] を構成します。

  • デバイスのセットアップ中、ユーザーにネットワークへの接続を求める
    この設定により、コンピューターがリセットされた場合に、デバイスが Windows Autopilot をスキップするリスクを軽減することができます。 この設定では、出荷時エクスペリエンスのフェーズでデバイスがネットワークに接続されている必要があります。 この設定を構成するには、[デバイスの制限] プロファイルの [構成の設定] タブで、[全般] を展開し、[デバイスのセットアップ中、ユーザーにネットワークへの接続を求める] を構成します。

    注:

    次回デバイスがワイプまたはリセットされたときに、この設定が有効になります。

配信最適化

配信最適化は、サポートされているパッケージをダウンロードする作業を複数のエンドポイントで共有することで、帯域幅の消費を抑えるために使用されます。 配信最適化は、自己組織化された分散型キャッシュで、クライアントがネットワーク上のピアなどの代替ソースからパッケージをダウンロードできるようにします。 これらのピア ソースは、従来のインターネットベースのサーバーを補完するものです。 配信最適化に使用できるすべての設定と、サポートされているダウンロードの種類については、「Windows の更新プログラム向け配信最適化」でご覧いただけます。

配信最適化の設定を適用するには、Intune 配信最適かプロファイルまたは設定カタログ プロファイルを作成します。

組織でよく使用される設定には、次のようなものがあります。

  • ピアの選択の制限 – サブネット。 この設定では、ピア キャッシュを同じサブネット上のコンピューターに制限します。
  • グループ ID。 配信最適化クライアントは、同じグループのデバイスとのみコンテンツを共有するように構成できます。 グループ ID は、ポリシー経由で GUID を送るか、DHCP 範囲の DHCP オプションを使用して直接構成することができます。

Microsoft Configuration Manager をお使いのお客様は、配信最適化コンテンツをホストするために使用できる接続済みキャッシュ サーバーを展開できます。 詳細については、「Configuration Manager における Microsoft 接続済みキャッシュ」をご覧ください。

ローカル管理者

参加 Microsoft Entraしているすべての Windows デバイスへのローカル管理者アクセスを必要とするユーザー グループが 1 つだけある場合は、参加済みデバイスローカル管理者Microsoft Entraに追加できます。

IT ヘルプ デスクやその他のサポート スタッフが、選択したデバイス グループのローカル管理者権限を持つことが必要な場合があります。 Windows 2004 以降では、次の構成サービス プロバイダー (CSP) を使用することで、この要件を満たすことができます。

  • 理想的にはローカル ユーザーとグループ CSP を使用しますが、これには Windows 10 20H2 以降が必要です。
  • Windows 10 20H1 (2004) の場合は、制限付きグループ CSPを使用します (更新アクションはなく、置き換えのみ)。
  • Windows 10 20H1 (2004) 以前の Windows バージョンでは、グループは使用できず、個人アカウントのみ使用できます。

詳細については、「参加済みデバイスでローカル管理者グループを管理する方法Microsoft Entra」を参照してください。

グループ ポリシーから MDM 設定への移行

グループ ポリシーからクラウド ネイティブ デバイス管理への移行を検討する場合、デバイス構成を作成するためのいくつかのオプションがあります。

  • 新たにスタートし、必要に応じてカスタム設定を適用します。
  • 既存のグループ ポリシーを確認し、必要な設定を適用します。 グループ ポリシー分析などのツールを使用できます。
  • グループ ポリシー分析を使用して、サポートされている設定のデバイス構成プロファイルを直接作成します。

クラウド ネイティブな Windows エンドポイントへの移行は、エンドユーザーのコンピューティング要件を確認し、将来に向けて新しい構成を確立する機会になります。 可能な限り、最小限のポリシーを使用して新たに開始します。 ドメイン参加済みの環境や、Windows 7 や Windows XP などの以前の OS から、不要な設定や従来の設定を引き継がないようにしましょう。

新たに開始するために、現在の要件を確認し、その要件を満たすための最小限の設定をまとめて実装します。 要件には、規制や必須のセキュリティ設定、エンドユーザー エクスペリエンスを強化するための設定などがあります。 ビジネスでは、IT ではなく要件のリストを作成します。 すべての設定は文書化され、理解される必要があり、目的を満たす内容である必要があります。

既存のグループ ポリシーから MDM (Microsoft Intune) に設定を移行することは望ましい方法ではありません。 クラウド ネイティブな Windows に移行する場合は、既存のグループ ポリシー設定を解除したり変更したりすることを意図してはいけません。 代わりに、対象ユーザーがどのような設定を必要としているのかを検討します。 最新の管理対象デバイスとの関連性や互換性を判断するために、環境内の各グループ ポリシー設定を確認するのは時間がかかり、現実的ではありません。 すべてのグループ ポリシーと個別の設定を評価しようとすることは避けてください。 代わりに、ほとんどのデバイスやシナリオに対応する共通のポリシーを評価することに集中してください。

代わりに、必須のグループ ポリシー設定を特定し、それらの設定を利用可能な MDM 設定と確認します。 あらゆるギャップが解決しない場合は、クラウド ネイティブなデバイスへの移行を妨げるブロッカーとなっていることを表している可能性があります。 グループ ポリシー分析などのツールを使用して、グループ ポリシー設定を分析し、MDM ポリシーに移行できるかどうかを判断できます。

スクリプト

組み込みの構成プロファイル以外で構成が必要な設定やカスタマイズには、PowerShell スクリプトを使用できます。 詳細については、「Microsoft Intune で Windows デバイスに PowerShell スクリプトを追加する」をご覧ください。

ネットワーク ドライブとプリンターのマッピング

クラウド ネイティブなシナリオには、マップされたネットワーク ドライブ用の組み込みのソリューションはありません。 代わりに、Teams、SharePoint、OneDrive for Business への移行をお勧めします。 移行できない場合は、必要に応じてスクリプトの使用を検討してください。

個人用ストレージについては、手順 8 - 最適な Microsoft 365 エクスペリエンスの構成の設定で、OneDrive の Known Folder Move を構成しました。 詳細については、「既知のフォルダーをリダイレクトする」をご覧ください。

ドキュメントの保存については、SharePoint とファイル エクスプローラーの統合や、ライブラリをローカルに同期する機能を利用することもできます (以下を参照)。SharePoint および Teams ファイルをコンピューターと同期する

企業の Office ドキュメント テンプレートを使用する場合、通常は内部サーバーにありますが、最近では、どこからでもテンプレートにアクセスできる新しいクラウドベースのテンプレートも検討してください。

印刷のソリューションは、ユニバーサル印刷を検討してください。 詳細については、以下をご覧ください。

アプリケーション

Intune は、さまざまな種類の Windows アプリケーションの展開をサポートします。

MSI、EXE、またはスクリプト インストーラーを使用するアプリケーションがある場合は、Microsoft Intune の Win32 アプリ管理を使用して、これらのアプリケーションをすべて展開できます。 これらのインストーラーを Win32 形式にまとめることで、柔軟性が高まり、通知、配信最適化、依存関係、検出ルール、Windows Autopilot の登録状態ページのサポートなどのメリットが得られます。

注:

インストール中の競合を防ぐために、Windows の基幹アプリまたは Win32 アプリ機能のみを使用することをお勧めします。 .msi または .exe としてパッケージされたアプリケーションがある場合、GitHub で利用可能なMicrosoft Win32 コンテンツ準備ツールを使用して、それらを Win32 アプリ (.intunewin) に変換できます。

フェーズ 5 - Windows Autopilot を使用した大規模な展開

フェーズ 5。

クラウド ネイティブな Windows エンドポイントを構成し、Windows Autopilot を使用してプロビジョニングして、さらにデバイスをインポートする方法を検討してください。 また、パートナーやハードウェアの供給元と協力して、クラウドから新しいエンドポイントのプロビジョニングを開始する方法も検討してください。 次のリソースを確認して、ご所属の組織に最適なアプローチを決定してください。

何らかの理由で Windows Autopilot が適していない場合は、Windows 用の他の登録方法があります。 詳細については、「Windows デバイス向け Intune 登録メソッド」をご覧ください。

クラウド ネイティブなエンドポイントのガイダンスに従う

  1. 概要: クラウド ネイティブなエンドポイントとは
  2. 🡺 チュートリアル: クラウド ネイティブな Windows エンドポイントの概要 (こちら)
  3. 概念: Microsoft Entra参加済みとハイブリッド Microsoft Entra参加済み
  4. 概念: クラウド ネイティブなエンドポイントとオンプレミス リソース
  5. 高度な計画ガイド
  6. 既知の問題と重要な情報

役に立つオンライン リソース