チュートリアル: 既存の Configuration Manager クライアントの共同管理を有効にする

共同管理では、組織内の PC を管理するために Configuration Manager を使用するという確立されたプロセスを維持できます。 それと同時に、セキュリティと最新のプロビジョニングのために Intune を使用することでクラウドに投資します。

このチュートリアルでは、Configuration Managerに既に登録されているWindows 10以降のデバイスの共同管理を設定します。 このチュートリアルは、既にConfiguration Managerを使用してWindows 10以降のデバイスを管理するという前提から始まります。

このチュートリアルは、次の場合に使用します。

  • ハイブリッド Azure AD 構成で Azure Active Directory (Azure AD) に接続できるオンプレミスの Active Directoryがあります。

    オンプレミス AD と Azure AD に参加するハイブリッド Azure Active Directory (AD) をデプロイできない場合は、付属のチュートリアル「新しいインターネット ベースのWindows 10以降のデバイスの共同管理を有効にする」に従ってください。

  • クラウド接続する既存のConfiguration Manager クライアントがあります。

このチュートリアルでは、次のことを行います。

  • Azure とオンプレミス環境の前提条件を確認する
  • Hybrid Azure AD を設定する
  • Configuration Manager クライアント エージェントが Azure AD に登録されるように Configuration Manager を構成する
  • デバイスを自動登録するように Intune を構成する
  • Configuration Manager での共同管理を有効にする

前提条件

Azure サービスと環境

  • Azure サブスクリプション (無料試用版)

  • Azure Active Directory Premium

  • Microsoft Intune サブスクリプション

    ヒント

    Enterprise Mobility + Security (EMS) サブスクリプションには、Azure Active Directory Premium および Microsoft Intune の両方が含まれます。 EMS サブスクリプション (無料試用版)。

環境にまだ存在しない場合は、このチュートリアルでは、オンプレミスの Active Directoryと Azure Active Directory (Azure AD) テナントの間で Azure AD Connect を構成します。

注意

Azure AD にのみ登録されているデバイスは、共同管理ではサポートされていません。 この構成は、 ワークプレース参加 と呼ばれることもあります。 Azure AD に参加するか、ハイブリッド Azure AD に参加させる必要があります。 詳細については、「 Azure AD が登録された状態でデバイスを処理する」を参照してください。

オンプレミスのインフラストラクチャ

アクセス許可

このチュートリアルでは、次のアクセス許可を使用してタスクを完了します。

  • オンプレミス インフラストラクチャの ドメイン管理者 であるアカウント
  • Configuration Manager のすべての スコープの完全な 管理者 であるアカウント
  • Azure Active Directory (Azure AD) の グローバル管理者 であるアカウント
    • テナントへのサインインに使用するアカウントに Intune ライセンスが割り当てられていることを確認します。 それ以外の場合は、予期 しないエラーが発生 したというエラー メッセージでサインインが失敗します。

Hybrid Azure AD を設定する

ハイブリッド Azure AD を設定すると、Azure AD Connect と Active Directory フェデレーション サービス (ADFS) を使用して、オンプレミス AD と Azure AD の統合が実際に設定されます。 構成が正常に完了すると、ワーカーはオンプレミスの AD 資格情報を使用して外部システムにシームレスにサインインできます。

重要

このチュートリアルでは、マネージド ドメインに対してハイブリッド Azure AD を設定するためのベアボーン プロセスについて詳しく説明します。 このプロセスを理解し、ハイブリッド Azure AD の理解とデプロイに関するガイドとしてこのチュートリアルに依存しないことをお勧めします。

ハイブリッド Azure AD の詳細については、Azure Active Directory のドキュメントの次の記事から始めます。

Azure AD Connect を設定する

ハイブリッド Azure AD では、コンピューター アカウントをオンプレミスの Active Directory (AD) と Azure AD のデバイス オブジェクトの同期を維持するために、Azure AD Connect の構成が必要です。

バージョン 1.1.819.0 以降、Azure AD Connect には、ハイブリッド Azure AD 参加を構成するためのウィザードが用意されています。 このウィザードを使用すると、構成プロセスが簡略化されます。

Azure AD Connect を構成するには、Azure AD のグローバル管理者の資格情報が必要です。 次の手順は、Azure AD Connect のセットアップに対して権限があると見なされるべきではありませんが、Intune とConfiguration Managerの間の共同管理の構成を効率化するためにここに記載されています。 Azure AD のセットアップに関するこの権限のあるコンテンツと関連する手順については、Azure AD ドキュメントの マネージド ドメインに対するハイブリッド Azure AD 参加の構成 に関するページを参照してください。

Azure AD Connect を使用してハイブリッド Azure AD 参加を構成する

  1. 最新バージョンの Azure AD Connect (1.1.819.0 以降) を取得してインストールします。

  2. Azure AD Connect を起動し、[構成] を選択 します

  3. [ その他のタスク ] ページで、[ デバイス オプションの構成] を選択し、[ 次へ] を選択します。

  4. [ 概要 ] ページで、[ 次へ] を選択します。

  5. [ Azure AD への接続 ] ページで、Azure AD のグローバル管理者の資格情報を入力します。

  6. [ デバイス オプション ] ページで、[ ハイブリッド Azure AD 参加の構成] を選択し、[ 次へ] を選択します。

  7. [ デバイス オペレーティング システム ] ページで、Active Directory 環境内のデバイスで使用されるオペレーティング システムを選択し、[ 次へ] を選択します。

    Windows ダウンレベルドメイン参加済みデバイスをサポートするオプションを選択できますが、デバイスの共同管理はWindows 10以降でのみサポートされます。

  8. SCP ページで、Azure AD Connect でサービス接続ポイント ( SCP ) を構成するオンプレミス フォレストごとに、次の手順を実行し、[ 次へ] を選択します。

    1. フォレストを選択します。
    2. 認証サービスを選択します。 フェデレーション ドメインがある場合は、組織が排他的にWindows 10またはそれ以降のクライアントを持ち、コンピューター/デバイス同期を構成しているか、組織が SeamlessSSO を使用している場合を除き、AD FS サーバーを選択します。
    3. [ 追加] をクリックして、エンタープライズ管理者の資格情報を入力します。
  9. マネージド ドメインがある場合は、この手順をスキップします。

    [ フェデレーション構成 ] ページで、AD FS 管理者の資格情報を入力し、[ 次へ] を選択します。

  10. [ 構成の準備完了] ページで、[構成] を選択 します

  11. [ 構成の完了] ページで、[終了] を選択 します

ドメインに参加している Windows デバイスのハイブリッド Azure AD 参加の完了に関する問題が発生した場合は、「 Windows 現在のデバイスのハイブリッド Azure AD 参加のトラブルシューティング」を参照してください。

クライアントに Azure AD への登録を指示するようにクライアント設定を構成する

クライアント設定を使用してConfiguration Managerクライアントを構成し、Azure AD に自動的に登録します。

  1. Configuration Manager コンソール > の管理 > の概要 > クライアント設定を 開き、既定のクライアント設定 を編集します。

  2. Cloud Servicesを選択 します

  3. [既定の設定] ページで、[Azure Active Directory で新しいWindows 10ドメインに参加しているデバイスを自動的に登録 する] を [はい] に設定します。

  4. [OK] を 選択して、この構成を保存します。

Intune へのデバイスの自動登録を構成する

次に、Intune を使用してデバイスの自動登録を設定します。 自動登録では、Configuration Managerで管理するデバイスが Intune に自動的に登録されます。

自動登録を使用すると、ユーザーは自分のWindows 10以降のデバイスを Intune に登録することもできます。 デバイスは、ユーザーが個人所有のデバイスに職場アカウントを追加したとき、または企業所有のデバイスが Azure Active Directory に参加したときに登録されます。

  1. Azure portalにサインインし、Azure Active Directory > Mobility (MDM と MAM) > Microsoft Intune を選択します。

  2. MDM ユーザー スコープを構成します。 次のいずれかを指定して、Microsoft Intune によって管理されるユーザーのデバイスを構成し、URL 値の既定値をそのまま使用します。

    • 一部: Windows 10以降のデバイスを自動的に登録できる グループ を選択します

    • すべて: すべてのユーザーがWindows 10以降のデバイスを自動的に登録できます

    • なし: MDM 自動登録を無効にする

    重要

    グループに対して MAM ユーザー スコープ と自動 MDM 登録 (MDM ユーザー スコープ) の両方が有効になっている場合は、MAM のみが有効になります。 職場で個人用デバイスに参加すると、そのグループ内のユーザーに対してモバイル アプリケーション管理 (MAM) のみが追加されます。 デバイスは MDM に自動的に登録されません。

    デバイスを Intune に登録するようにConfiguration Manager設定されている場合は、デバイス トークン登録の MDM ユーザー スコープを変更する必要はありません。 Configuration Managerサイト データベースに格納されている MDM URL を使用します。

  3. [ 保存] を 選択して、自動登録の構成を完了します。

  4. モビリティ (MDM と MAM) に戻り、Microsoft Intune 登録 を選択します。

    注意

    一部のテナントには、構成するこれらのオプションがない場合があります。

    Microsoft Intune は、Azure AD 用の MDM アプリを構成する方法です。 Microsoft Intune 登録 は、iOS と Android の登録に多要素認証ポリシーを適用するときに作成される特定の Azure AD アプリです。 詳細については、「Intune へのデバイスの登録で多要素認証を要求する」を参照してください。

  5. MDM ユーザー スコープで[ すべて]、[ 保存] の順に選択します。

Configuration Manager での共同管理を有効にする

ハイブリッド Azure AD のセットアップとクライアント構成のConfiguration Managerにより、スイッチを切り替えて、Windows 10 以降のデバイスの共同管理を有効にする準備が整いました。 パイロット グループ という語句は、共同管理機能と構成ダイアログ全体で使用されます。 パイロット グループ は、Configuration Manager デバイスのサブセットを含むコレクションです。 すべてのConfiguration Manager デバイスのワークロードを移動する準備ができるまで、最初のテストに パイロット グループ を使用し、必要に応じてデバイスを追加します。 ワークロードにパイロット グループ を使用できる期間に制限はありません。 すべてのConfiguration Manager デバイスにワークロードを移動したくない場合は、パイロット グループ を無期限に使用できます。

共同管理を有効にすると、パイロット グループ としてコレクションを割り当てます。 これは、共同管理構成をテストする少数のクライアントを含むグループです。 手順を開始する前に、適切なコレクションを作成することをお勧めします。 その後、プロシージャを終了せずにそのコレクションを選択できます。 ワークロードごとに異なる パイロット グループ を割り当てることができるため、複数のコレクションが必要になる場合があります。

注意

デバイスは、ユーザー トークンではなく、Azure AD デバイス トークンに基づいて Microsoft Intune サービスに登録されるため、登録には既定の Intune 登録制限 のみが適用されます。

バージョン 2111 以降の共同管理を有効にする

Configuration Manager バージョン 2111 以降、共同管理のオンボード エクスペリエンスが変更されました。 クラウドアタッチ構成ウィザードを使用すると、共同管理やその他のクラウド機能を簡単に有効にすることができます。 推奨される既定値の合理化されたセットを選択することも、クラウドアタッチ機能をカスタマイズすることもできます。 共同 管理対象 デバイス用の新しい組み込みデバイス コレクションも用意されており、クライアントの識別に役立ちます。 共同管理を有効にする方法の詳細については、「 クラウド接続を有効にする」を参照してください。

注意

新しいウィザードでは、共同管理を有効にすると同時にワークロードを移動することはありません。 ワークロードを移動するには、クラウドアタッチを有効にした後で共同管理プロパティを編集します。

バージョン 2107 以前の共同管理を有効にする

共同管理を有効にする場合は、Azure パブリック クラウド、Azure Government クラウド、または Azure China 21Vianet クラウド (バージョン 2006 で追加) を使用できます。 共同管理を有効にするには、次の手順に従います。

  1. Configuration Manager コンソールで、[管理] ワークスペースに移動し、Cloud Services 展開して、[Cloud Attach] ノードを選択します。 リボンの [ クラウドアタッチの構成 ] を選択して、クラウドアタッチ構成ウィザードを開きます。

    バージョン 2103 以前の場合は、Cloud Services 展開して 共同管理 ノードを選択します。 リボン の [共同管理の構成 ] を選択して、共同管理構成ウィザードを開きます。

  2. ウィザードのオンボード ページで、 Azure 環境 の場合は、次のいずれかの環境を選択します。

    • Azure パブリック クラウド

    • クラウドAzure Government

    • Azure China クラウド (バージョン 2006 で追加)

      注意

      Azure China クラウドにオンボードする前に、Configuration Manager クライアントをデバイスの最新バージョンに更新します。

    Azure China クラウドまたはAzure Government クラウドを選択すると、テナント接続Microsoft エンドポイント マネージャー管理センターにアップロード オプションが無効になります。

  3. [サインイン] を選びます。 Azure AD グローバル管理者としてサインインし、[ 次へ] を選択します。 このウィザードの目的で、この 1 回サインインします。 資格情報は、他の場所に保存または再利用されません。

  4. [有効化] ページで、次の設定を選択します。

    • Intune での自動登録: 既存のConfiguration Manager クライアントに対する Intune での自動クライアント登録を有効にします。 このオプションを使用すると、クライアントのサブセットで共同管理を有効にして、最初に共同管理をテストし、段階的なアプローチを使用して共同管理をロールアウトできます。 ユーザーがデバイスの登録を解除した場合、デバイスはポリシーの次の評価時に再登録されます。

      • パイロット: Intune 自動登録 コレクションのメンバーであるConfiguration Manager クライアントのみが Intune に自動的に登録されます。
      • すべて: バージョン 1709 以降Windows 10実行されているすべてのクライアントの自動登録を有効にします。
      • なし: すべてのクライアントの自動登録を無効にします。
    • Intune 自動登録: このコレクションには、共同管理にオンボードするすべてのクライアントが含まれている必要があります。 これは本質的に、他のすべてのステージング コレクションのスーパーセットです。

    Intune での自動登録を有効にするためのウィザード ページのスクリーンショット。

    自動登録は、すべてのクライアントに対してすぐに行うわけではありません。 この動作は、大規模な環境での登録のスケーリングを向上するのに役立ちます。 Configuration Managerは、クライアントの数に基づいて登録をランダム化します。 たとえば、環境に 100,000 のクライアントがある場合、この設定を有効にすると、登録は数日にわたって行われます。

    新しい共同管理デバイスが、Azure AD デバイス トークンに基づいて Microsoft Intune サービスに自動的に登録されるようになりました。 自動登録を開始するために、ユーザーがデバイスにサインインするのを待つ必要はありません。 この変更は、登録状態が [保留中のユーザー サインイン] のデバイスの数を減らすのに役立ちます。 この動作をサポートするには、デバイスがバージョン 1803 以降Windows 10実行されている必要があります。 詳細については、「 共同管理登録の状態」を参照してください。

    共同管理に既にデバイスが登録されている場合は、 前提条件を満たした直後に新しいデバイスが登録されるようになりました。

  5. Intune に既に登録されているインターネット ベースのデバイスの場合は、[ 有効化] ページでコマンドをコピーして保存します。 このコマンドを使用して、Configuration Manager クライアントを Intune のインターネット ベースのデバイス用のアプリとしてインストールします。 このコマンドを今すぐ保存しない場合は、共同管理の構成をいつでも確認して、このコマンドを取得できます。

    ヒント

    このコマンドは、クラウド管理ゲートウェイの設定など、すべての前提条件を満たしている場合にのみ表示されます。

  6. [ワークロード] ページ 、ワークロードごとに、Intune で管理するために移動するデバイス グループを選択します。 詳細については、「 ワークロード」を参照してください。

    共同管理のみを有効にする場合は、ワークロードを今すぐ切り替える必要はありません。 ワークロードは後で切り替えることができます。 詳細については、「 ワークロードを切り替える方法」を参照してください。

    • パイロット Intune: ステージング ページで指定するパイロット コレクション内のデバイスに対してのみ、関連付けられているワークロードを切り替えます。 各ワークロードは、異なるパイロット コレクションを持つことができます。
    • Intune: すべての共同管理Windows 10以降のデバイスに関連するワークロードを切り替えます。

    重要

    ワークロードを切り替える前に、対応するワークロードを Intune で適切に構成してデプロイしてください。 ワークロードが、デバイスの管理ツールの 1 つによって常に管理されていることを確認します。

  7. [ ステージング ] ページで、 Pilot Intune に設定されている各ワークロードのパイロット コレクションを指定します。

    共同管理構成ウィザードの [ステージング] ページのスクリーンショット。パイロット コレクションを指定するためのオプションが含まれています。

  8. 共同管理を有効にするには、ウィザードを完了します。

次の手順

  • 共同管理ダッシュボードを使用して共同管理デバイスの状態を確認する
  • 共同管理からの 即時価値 の取得を開始する
  • 条件付きアクセスと Intune コンプライアンス 規則を使用して、企業リソースへのユーザー アクセスを管理する