チュートリアル: インターネットベースの新しいデバイスの共同管理を有効にする

セキュリティと最新のプロビジョニングに Intune を使用してクラウドに投資する場合、organizationで PC を管理するためにConfiguration Managerを使用するための十分に確立されたプロセスを失いたくない場合があります。 共同管理を使用すると、そのプロセスを維持できます。

このチュートリアルでは、Microsoft Entra ID とオンプレミスの Active Directoryの両方を使用するが、ハイブリッド Microsoft Entra ID インスタンスがない環境で、Windows 10以降のデバイスの共同管理を設定します。 Configuration Manager 環境には、サイト サーバーと同じサーバー上にあるすべてのサイト システムの役割を持つ単一のプライマリ サイトが含まれています。 このチュートリアルは、Windows 10以降のデバイスが既に Intune に登録されていることを前提としています。

Microsoft Entra ID でオンプレミスの Active Directoryに参加するハイブリッド Microsoft Entra インスタンスがある場合は、コンパニオン チュートリアル「Configuration Manager クライアントの共同管理を有効にする」に従うことをお勧めします。

このチュートリアルは、次の場合に使用します。

• 共同管理に取り込むには、Windows 10以降のデバイスがあります。 これらのデバイスは、Windows Autopilot 経由でプロビジョニングされているか、ハードウェア OEM から直接提供されている可能性があります。
• 現在 Intune で管理しているインターネット上のWindows 10以降のデバイスがあり、Configuration Manager クライアントをそれらに追加する必要があります。

このチュートリアルの内容:

• Azure とオンプレミス環境の前提条件を確認します。
• クラウド管理ゲートウェイ (CMG) のパブリック SSL 証明書を要求します。
• Configuration Managerで Azure サービスを有効にします。
• CMG をデプロイして構成します。
• CMG を使用するように管理ポイントとクライアントを構成します。
• Configuration Managerで共同管理を有効にします。
• Configuration Manager クライアントをインストールするように Intune を構成します。

前提条件

Azure サービスと環境

• Azure サブスクリプション (無料試用版)。

• Microsoft Entra ID P1 または P2。

• Microsoft Intuneサブスクリプション。Intune がデバイスを自動登録するように構成されています。

  ヒント

  Enterprise Mobility + Security サブスクリプション無料試用版には、Microsoft Entra ID P1 または P2 とMicrosoft Intuneの両方が含まれます。

  個々の Intune または Enterprise Mobility + Security ライセンスを購入してユーザーに割り当てる必要がなくなりました。 詳細については、「 製品とライセンスに関する FAQ」を参照してください。

オンプレミスのインフラストラクチャ

• 現在のブランチConfiguration Managerサポートされているバージョン。

  このチュートリアルでは、 拡張 HTTP を 使用して、公開キー インフラストラクチャのより複雑な要件を回避します。 拡張 HTTP を使用する場合、クライアントの管理に使用するプライマリ サイトは、HTTP サイト システムにConfiguration Manager生成された証明書を使用するように構成する必要があります。

• モバイル デバイス管理 (MDM) 機関が Intune に設定されています。

外部証明書

• CMG サーバー認証証明書。 この SSL 証明書は、パブリックでグローバルに信頼された証明書プロバイダーからの証明書です。 この証明書は、秘密キーを使用して .pfx ファイルとしてエクスポートします。

  このチュートリアルの後半では、この証明書の要求を構成する方法に関するガイダンスを提供します。

アクセス許可

このチュートリアルでは、次のアクセス許可を使用してタスクを完了します。

• Microsoft Entra ID のグローバル管理者であるアカウント
• オンプレミス インフラストラクチャの ドメイン管理者 であるアカウント
• Configuration Managerのすべてのスコープの完全管理者であるアカウント

クラウド管理ゲートウェイのパブリック証明書を要求する

デバイスがインターネット上にある場合、共同管理には CMG Configuration Managerが必要です。 CMG を使用すると、インターネット ベースの Windows デバイスがオンプレミスのConfiguration Manager展開と通信できるようになります。 デバイスとConfiguration Manager環境の間で信頼を確立するには、CMG に SSL 証明書が必要です。

このチュートリアルでは、グローバルに信頼された証明書プロバイダーから機関を派生させる CMG サーバー認証証明書 と呼ばれるパブリック証明書を使用します。 オンプレミスの Microsoft 証明機関から権限を派生させる証明書を使用して共同管理を構成することはできますが、自己署名証明書の使用はこのチュートリアルの範囲外です。

CMG サーバー認証証明書は、Configuration Manager クライアントと CMG 間の通信トラフィックを暗号化するために使用されます。 証明書は信頼されたルートにトレースし、サーバーの ID をクライアントに確認します。 パブリック証明書には、Windows クライアントが既に信頼している信頼されたルートが含まれています。

この証明書について:

• Azure で CMG サービスの一意の名前を識別し、証明書要求でその名前を指定します。
• 特定のサーバーで証明書要求を生成し、要求をパブリック証明書プロバイダーに送信して、必要な SSL 証明書を取得します。
• プロバイダーから受け取った証明書を、要求を生成したシステムにインポートします。 後で CMG を Azure にデプロイするときに、同じコンピューターを使用して証明書をエクスポートします。
• CMG がインストールされると、証明書で指定した名前を使用して、Azure に CMG サービスが作成されます。

Azure でクラウド管理ゲートウェイの一意の名前を識別する

CMG サーバー認証証明書を要求するときは、Azure でクラウド サービス (クラシック) を識別するために一意の名前にする必要があるものを指定します。 既定では、Azure パブリック クラウドは cloudapp.net を使用し、CMG は Cloudapp.net ドメイン内で YourUniqueDnsName.cloudapp.net> として<ホストされます。

ヒント

このチュートリアルでは、CMG サーバー認証証明書は、 contoso.com で終わる完全修飾ドメイン名 (FQDN) を使用します。 CMG を作成したら、organizationのパブリック DNS で標準名レコード (CNAME) を構成します。 このレコードは、パブリック証明書で使用する名前にマップする CMG のエイリアスを作成します。

パブリック証明書を要求する前に、使用する名前が Azure で使用可能であることを確認します。 Azure でサービスを直接作成することはありません。 代わりに、Configuration Managerはパブリック証明書で指定されている名前を使用して、CMG をインストールするときにクラウド サービスを作成します。

1. Microsoft Azure ポータルにサインインします。

2. [ リソースの作成] を選択し、[ コンピューティング ] カテゴリを選択し、[ クラウド サービス] を選択します。 [ クラウド サービス (クラシック)] ページが開きます。

3. [ DNS 名] には、使用するクラウド サービスのプレフィックス名を指定します。

   このプレフィックスは、CMG サーバー認証証明書のパブリック証明書を要求するときに後で使用するプレフィックスと同じである必要があります。 このチュートリアルでは、MyCSG.cloudapp.net の名前空間を作成する MyCSG を使用します。 インターフェイスは、名前が使用可能か、別のサービスによって既に使用されているかを確認します。

使用する名前が使用可能であることを確認したら、証明書署名要求 (CSR) を送信する準備ができました。

証明書を要求する

次の情報を使用して、CMG の証明書署名要求をパブリック証明書プロバイダーに送信します。 環境に関連するように、次の値を変更します。

• クラウド管理ゲートウェイのサービス名を識別する MyCMG
• 会社名としての Contoso
• パブリック ドメインとしての Contoso.com

プライマリ サイト サーバーを使用して CSR を生成することをお勧めします。 証明書を取得するときは、CSR を生成したのと同じサーバーに証明書を登録する必要があります。 この登録により、証明書の秘密キーをエクスポートできます。これは必須です。

CSR を生成するときに、バージョン 2 のキー プロバイダーの種類を要求します。 バージョン 2 の証明書のみがサポートされています。

ヒント

既定では、CMG をデプロイするときに、[ CMG がクラウド配布ポイントとして機能し、Azure Storage からコンテンツを提供することを許可する ] オプションが選択されています。 クラウドベースのコンテンツは共同管理を使用する必要はありませんが、ほとんどの環境で役立ちます。

クラウドベースの配布ポイント (CDP) は非推奨です。 バージョン 2107 以降では、新しい CDP インスタンスを作成できません。 インターネット ベースのデバイスにコンテンツを提供するには、CMG がコンテンツを配布できるようにします。 詳細については、「 非推奨の機能」を参照してください。

クラウド管理ゲートウェイの CSR の詳細を次に示します。

• 共通名: CloudServiceNameCMG.YourCompanyPubilcDomainName.com (例: MyCSG.contoso.com)
• サブジェクトの別名: 共通名 (CN) と同じ
• 組織: organizationの名前
• 部署: organizationごとに
• 市区町村: organizationごとに
• 状態: organizationごとに
• 国: organizationごとに
• キー サイズ: 2048
• プロバイダー: Microsoft RSA SChannel 暗号化プロバイダー

証明書のインポート

パブリック証明書を受け取ったら、CSR を作成したコンピューターのローカル証明書ストアにインポートします。 次に、証明書を .pfx ファイルとしてエクスポートして、Azure の CMG に使用できるようにします。

通常、パブリック証明書プロバイダーは、証明書のインポート手順を提供します。 証明書をインポートするプロセスは、次のガイダンスのようになります。

1. 証明書がインポートされるコンピューターで、証明書の .pfx ファイルを見つけます。

2. ファイルを右クリックし、[ PFX のインストール] を選択します。

3. 証明書のインポート ウィザードが起動したら、[ 次へ] を選択します。

4. [ インポートするファイル ] ページで、[ 次へ] を選択します。

5. [ パスワード ] ページの [ パスワード] ボックス に秘密キーのパスワードを入力し、[ 次へ] を選択します。

   キーをエクスポート可能にするオプションを選択します。

6. [ 証明書ストア] ページで、[ 証明書の種類に基づいて証明書ストアを自動的に選択する] を選択し、[ 次へ] を選択します。

7. [完了] を選択します。

証明書をエクスポートする

サーバーから CMG サーバー認証証明書をエクスポートします。 証明書を再エクスポートすると、Azure のクラウド管理ゲートウェイで使用できるようになります。

1. パブリック SSL 証明書をインポートしたサーバーで、 certlm.msc を実行して Certificate Manager コンソールを開きます。

2. Certificate Manager コンソールで、[個人用>証明書] を選択します。 次に、前の手順で登録した CMG サーバー認証証明書を右クリックし、[ すべてのタスク>のエクスポート] を選択します。

3. 証明書のエクスポート ウィザードで、[ 次へ] を選択し、[はい] を選択し 、秘密キーをエクスポートして、[ 次へ] を選択します。

4. [ エクスポート ファイル形式 ] ページで、[ Personal Information Exchange - PKCS # 12 ( ] を選択します。PFX)、[ 次へ] の順に選択し、パスワードを指定します。

   ファイル名には、 C:\ConfigMgrCloudMGServer のような名前を指定します。 このファイルは、Azure で CMG を作成するときに参照します。

5. [ 次へ] を選択し、[ 完了] を選択する前に次の設定を確認してエクスポートを完了します。

   • キーのエクスポート: はい
   • 証明書パスにすべての証明書を含める: はい
   • ファイル形式: 個人情報交換 (*.pfx)

6. エクスポートが完了したら、.pfx ファイルを見つけて、インターネット ベースのクライアントを管理するConfiguration Managerプライマリ サイト サーバーの C:\Certs にコピーを配置します。

   Certs フォルダーは、サーバー間で証明書を移動するときに使用する一時フォルダーです。 CMG を Azure にデプロイするときに、プライマリ サイト サーバーから証明書ファイルにアクセスします。

証明書をプライマリ サイト サーバーにコピーした後、メンバー サーバー上の個人用証明書ストアから証明書を削除できます。

Configuration Manager の Azure クラウド サービス を有効にする

Configuration Manager コンソール内から Azure サービスを構成するには、Azure サービスの構成ウィザードを使用し、2 つのMicrosoft Entra アプリを作成します。

• サーバー アプリ: Microsoft Entra ID の Web アプリ。
• クライアント アプリ: Microsoft Entra ID のネイティブ クライアント アプリ。

プライマリ サイト サーバーから次の手順を実行します。

1. Configuration Manager コンソールを開き、[管理>Cloud Services>Azure Services] に移動し、[Azure サービスの構成] を選択します。

   [ Azure サービスの構成] ページで、構成するクラウド管理サービスのフレンドリ名を指定します。 たとえば、 クラウド管理サービスです。

   次に、[Cloud Management Next]\ (クラウド管理>の次へ\) を選択します。

   ヒント

   ウィザードで行う構成の詳細については、「 Azure サービス ウィザードの開始」を参照してください。

2. [ アプリのプロパティ ] ページの [Web アプリ] で、[ 参照 ] を選択して [ サーバー アプリ] ダイアログを 開きます。 [ 作成] を選択し、次のフィールドを構成します。

   • アプリケーション名: Cloud Management Web アプリなどのアプリのフレンドリ名を指定します。

   • HomePage URL: Configuration Managerはこの値を使用しませんが、Microsoft Entra ID には必要です。 既定では、この値は です https://ConfigMgrService。

   • アプリ ID URI: この値は、Microsoft Entra テナントで一意である必要があります。 これは、Configuration Manager クライアントがサービスへのアクセスを要求するために使用するアクセス トークンにあります。 既定では、この値は です https://ConfigMgrService。 既定値を次のいずれかの推奨形式に変更します。

     • api://{tenantId}/{string}、たとえば、api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
     • https://{verifiedCustomerDomain}/{string}、たとえば、https://contoso.onmicrosoft.com/ConfigMgrService

   次に、[サインイン] を選択し、グローバル管理者アカウントMicrosoft Entra指定します。 Configuration Managerでは、これらの資格情報は保存されません。 このペルソナは、Configuration Managerのアクセス許可を必要とせず、Azure サービス ウィザードを実行するアカウントと同じである必要はありません。

   サインインすると、結果が表示されます。 [ OK] を 選択して [ サーバー アプリケーションの作成 ] ダイアログを閉じ、[ アプリのプロパティ ] ページに戻ります。

3. [ ネイティブ クライアント アプリ] で、[ 参照 ] を選択して [ クライアント アプリ ] ダイアログを開きます。

4. [ 作成] を 選択して [ クライアント アプリケーションの作成 ] ダイアログを開き、次のフィールドを構成します。

   • アプリケーション名: Cloud Management ネイティブ クライアント アプリなど、アプリのフレンドリ名を指定します。

   • 応答 URL: Configuration Managerはこの値を使用しませんが、Microsoft Entra ID には必要です。 既定では、この値は です https://ConfigMgrClient。

   次に、[サインイン] を選択し、グローバル管理者アカウントMicrosoft Entra指定します。 Web アプリと同様に、これらの資格情報は保存されず、Configuration Managerのアクセス許可は必要ありません。

   サインインすると、結果が表示されます。 [ OK] を 選択して [ クライアント アプリケーションの作成 ] ダイアログを閉じ、[ アプリのプロパティ ] ページに戻ります。 次に、[ 次へ ] を選択して続行します。

5. [検出設定の構成] ページで、[ユーザー検出Microsoft Entra有効にする] チェック ボックスをオンにします。 [ 次へ] を選択し、環境の [検出 ] ダイアログの構成を完了します。

6. [ 概要]、[ 進行状況]、[ 完了 ] の各ページに進み、ウィザードを閉じます。

   Microsoft Entra ユーザー検出用の Azure サービスが、Configuration Managerで有効になりました。 本体は今のところ開いたままにします。

7. ブラウザーを開き、Azure portalにサインインします。

8. [すべてのサービス>Microsoft Entra ID>アプリの登録] を選択し、次の操作を行います。

   1. 作成した Web アプリを選択します。

   2. [API のアクセス許可] に移動し、[テナントの管理者の同意を付与する] を選択し、[はい] を選択します。

   3. 作成したネイティブ クライアント アプリを選択します。

   4. [API のアクセス許可] に移動し、[テナントの管理者の同意を付与する] を選択し、[はい] を選択します。

9. Configuration Manager コンソールで、管理>の概要>Cloud Services>Azure Services に移動し、Azure サービスを選択します。 次に、ユーザーの [検出] Microsoft Entra右クリックし、[今すぐ完全検出を実行] を選択します。 [はい] を選択して操作を確定します。

10. プライマリ サイト サーバーで、Configuration Manager SMS_AZUREAD_DISCOVERY_AGENT.log ファイルを開き、次のエントリを探して、検出が機能していることを確認します。Microsoft Entra ユーザーの UDX が正常に発行されました。

    既定では、ログ ファイルは %Program_Files%\Microsoft Configuration Manager\Logs にあります。

Azure でクラウド サービスを作成する

チュートリアルのこのセクションでは、CMG クラウド サービスを作成し、両方のサービスの DNS CNAME レコードを作成します。

CMG を作成する

Azure にクラウド管理ゲートウェイをサービスとしてインストールするには、次の手順に従います。 CMG は、階層の最上位サイトにインストールされます。 このチュートリアルでは、証明書が登録およびエクスポートされたプライマリ サイトを引き続き使用します。

1. プライマリ サイト サーバーで、Configuration Manager コンソールを開きます。 [管理>の概要>Cloud Services>Cloud Management Gateway] に移動し、[クラウド管理ゲートウェイの作成] を選択します。

2. [ 全般 ] ページで、次の手順を実行します。

   1. Azure 環境のクラウド 環境を選択します。 このチュートリアルでは 、AzurePublicCloud を使用します。

   2. [Azure Resource Manager デプロイ] を選択します。

   3. Azure サブスクリプションにサインインします。 Configuration Managerは、Configuration Managerに対して Azure クラウド サービスを有効にしたときに構成した情報に基づいて追加情報を入力します。

   [次へ] を選んで続行します。

3. [ 設定] ページで、 ConfigMgrCloudMGServer.pfx という名前のファイルを参照して選択します。 このファイルは、CMG サーバー認証証明書をインポートした後にエクスポートしたファイルです。 パスワードを指定すると、.pfx 証明書ファイルの詳細に基づいて、 サービス名 と 展開名 の情報が自動的に入力されます。

4. リージョン情報を設定します。

5. リソース グループの場合は、既存のリソース グループを使用するか、ConfigMgrCloudServices などのスペースを使用しないフレンドリ名のグループを作成します。 グループを作成する場合、グループは Azure のリソース グループとして追加されます。

6. 大規模に構成する準備が整っていない限り、VM インスタンスに「1」と入力します。 仮想マシン (VM) インスタンスの数により、1 つの CMG クラウド サービスをスケールアウトして、より多くのクライアント接続をサポートできます。 後で、Configuration Manager コンソールを使用して、使用する VM インスタンスの数を返して編集できます。

7. [ クライアント証明書失効の確認 ] チェック ボックスをオンにします。

8. [ CMG がクラウド配布ポイントとして機能し、Azure ストレージからコンテンツを提供することを許可 する] チェック ボックスをオンにします。

9. [次へ] を選んで続行します。

10. [アラート] ページで値を確認し、[次へ] を選択します。

11. [概要] ページを確認し、[次へ] を選択して CMG クラウド サービスを作成します。 [ 閉じる] を選択してウィザードを完了します。

12. Configuration Manager コンソールの CMG ノードで、新しいサービスを表示できるようになりました。

DNS CNAME レコードを作成する

CMG の DNS エントリを作成する場合、企業ネットワーク内と外部の両方で Windows 10 以降のデバイスが名前解決を使用して Azure で CMG クラウド サービスを見つけられるようにします。

CNAME レコードの例は MyCMG.contoso.com であり、 MyCMG.cloudapp.net になります。 例の中で:

• 会社名は Contoso で、パブリック DNS 名前空間は contoso.com です。

• CMG サービス名は MyCMG で、Azure で MyCMG.cloudapp.net されます。

CMG を使用するように管理ポイントとクライアントを構成する

オンプレミスの管理ポイントとクライアントがクラウド管理ゲートウェイを使用できるようにする設定を構成します。

クライアント通信には拡張 HTTP を使用するため、HTTPS 管理ポイントを使用する必要はありません。

CMG 接続ポイントを作成する

拡張 HTTP をサポートするようにサイトを構成します。

1. Configuration Manager コンソールで、[管理>] [概要>] [サイト構成サイト]> の順に移動します。 プライマリ サイトのプロパティを開きます。

2. [通信セキュリティ] タブで、[HTTP サイト システムにConfiguration Manager生成された証明書を使用する] の [HTTPS または HTTP] オプションを選択します。 次に、[ OK] を 選択して構成を保存します。

3. [ 管理>の概要>] [サイト構成>サーバー] と [サイト システムの役割] に移動します。 CMG 接続ポイントをインストールする管理ポイントを持つサーバーを選択します。

4. [サイト システムの役割>の追加] [次へ] の順に>選択します。

5. [ クラウド管理ゲートウェイ接続ポイント] を選択し、[ 次へ ] を選択して続行します。

6. [クラウド管理ゲートウェイ接続ポイント] ページで既定の選択内容を確認し、正しい CMG が選択されていることを確認します。

   複数の CMG がある場合は、ドロップダウン リストを使用して別の CMG を指定できます。 インストール後に、使用中の CMG を変更することもできます。

   [次へ] を選んで続行します。

7. [ 次へ ] を選択してインストールを開始し、[ 完了 ] ページで結果を表示します。 [ 閉じる] を選択して、接続ポイントのインストールを完了します。

8. [ 管理>の概要>] [サイト構成>サーバー] と [サイト システムの役割] に移動します。 接続ポイントをインストールした管理ポイントの [プロパティ] を開きます。

   [全般] タブで、[クラウド管理ゲートウェイのトラフィックConfiguration Manager許可する] チェック ボックスをオンにし、[OK] を選択して構成を保存します。

   ヒント

   共同管理を有効にする必要はありませんが、ソフトウェアの更新ポイントに対して同じ編集を行うことをお勧めします。

CMG を使用するようにクライアントに指示するようにクライアント設定を構成する

クライアント設定を使用して、CMG と通信するようにクライアントConfiguration Manager構成します。

1. コンソール>Configuration Manager開き、[管理>の概要>] [クライアント設定] を開き、[既定のクライアント設定] 情報を編集します。

2. [Cloud Services] を選択します。

3. [ 既定の設定] ページで 、次の設定を [はい] に設定します。

   • ドメインに参加している新しいWindows 10デバイスをMicrosoft Entra ID で自動的に登録する

   • クライアントがクラウド管理ゲートウェイを使用できるようにする

   • クラウド配布ポイントへのアクセスを許可する

4. [ クライアント ポリシー] ページで、[ インターネット クライアントからのユーザー ポリシー要求を有効にする] を[はい] に設定します。

5. [ OK] を選択 して、この構成を保存します。

Configuration Manager での共同管理を有効にする

Azure の構成、サイト システムの役割、およびクライアント設定を設定すると、共同管理を有効にするためにConfiguration Managerを構成できます。 ただし、このチュートリアルが完了する前に共同管理を有効にした後でも、Intune でいくつかの構成を行う必要があります。

これらのタスクの 1 つは、Configuration Manager クライアントを展開するように Intune を構成することです。 このタスクは、共同管理構成ウィザード内から使用できるクライアント展開用のコマンド ラインを保存することで簡単になります。 そのため、Intune の構成を完了する前に、共同管理を有効にしています。

"パイロット グループ" という用語は、共同管理機能と構成ダイアログ全体で使用されます。 パイロット グループは、Configuration Manager デバイスのサブセットを含むコレクションです。 初期テストにはパイロット グループを使用します。 すべてのConfiguration Managerデバイスのワークロードを移動する準備ができるまで、必要に応じてデバイスを追加します。

ワークロードにパイロット グループを使用できる時間制限はありません。 すべてのConfiguration Managerデバイスにワークロードを移動したくない場合は、パイロット グループを無期限に使用できます。

パイロット グループを作成する手順を開始する前に、適切なコレクションを作成することをお勧めします。 その後、プロシージャを終了せずにそのコレクションを選択できます。 ワークロードごとに異なるパイロット グループを割り当てることができるため、複数のコレクションが必要になる場合があります。

バージョン 2111 以降の共同管理を有効にする

バージョン 2111 Configuration Manager以降、共同管理オンボード エクスペリエンスが変更されました。 クラウド接続構成ウィザードを使用すると、共同管理やその他のクラウド機能を簡単に有効にすることができます。 推奨される既定値の合理化されたセットを選択することも、クラウドアタッチ機能をカスタマイズすることもできます。 また、クライアントの識別に役立つ 、共同管理対象デバイス用の 新しい組み込みデバイス コレクションもあります。 共同管理を有効にする方法の詳細については、「 クラウドアタッチを有効にする」を参照してください。

注:

新しいウィザードでは、共同管理を有効にすると同時にワークロードを移動しません。 ワークロードを移動するには、クラウドアタッチを有効にした後で共同管理プロパティを編集します。

バージョン 2107 以前の共同管理を有効にする

共同管理を有効にする場合は、Azure パブリック クラウド、Azure Government クラウド、または Azure China 21Vianet クラウド (バージョン 2006 で追加) を使用できます。 共同管理を有効にするには、次の手順に従います。

1. Configuration Manager コンソールで、[管理] ワークスペースに移動し、[Cloud Services] を展開し、[Cloud Attach] ノードを選択します。 リボンで [ クラウドアタッチの構成 ] を選択して、クラウドアタッチ構成ウィザードを開きます。

   バージョン 2103 以前の場合は、[Cloud Services] を展開し、[共同管理] ノードを選択します。 リボン の [共同管理の構成] を選択して、共同管理構成ウィザードを開きます。

2. ウィザードのオンボード ページで、 Azure 環境の場合は、次のいずれかの環境を選択します。

   • Azure パブリック クラウド

   • クラウドのAzure Government

   • Azure China クラウド (バージョン 2006 で追加)

     注:

     Azure China クラウドにオンボードする前に、Configuration Manager クライアントをデバイスの最新バージョンに更新します。

   Azure China クラウドまたはAzure Government クラウドを選択すると、テナント接続の [Microsoft エンドポイント マネージャー管理センターにアップロード] オプションが無効になります。

3. [サインイン] を選びます。 Microsoft Entraグローバル管理者としてサインインし、[次へ] を選択します。 このウィザードの目的で、この 1 回サインインします。 資格情報は保存されず、他の場所では再利用されません。

4. [有効化] ページ で 、次の設定を選択します。

   • Intune での自動登録: 既存のConfiguration Manager クライアントの Intune での自動クライアント登録を有効にします。 このオプションを使用すると、クライアントのサブセットで共同管理を有効にして、最初に共同管理をテストしてから、段階的なアプローチを使用して共同管理をロールアウトできます。 ユーザーがデバイスの登録を解除すると、ポリシーの次の評価時にデバイスが再登録されます。

     • パイロット: Intune 自動登録コレクションのメンバーであるConfiguration Manager クライアントのみが Intune に自動的に登録されます。
     • すべて: バージョン 1709 以降Windows 10実行されているすべてのクライアントに対して自動登録を有効にします。
     • なし: すべてのクライアントの自動登録を無効にします。

   • Intune 自動登録: このコレクションには、共同管理にオンボードするすべてのクライアントが含まれている必要があります。 基本的には、他のすべてのステージング コレクションのスーパーセットです。

   

   自動登録は、すべてのクライアントに対して即時に行うわけではありません。 この動作は、大規模な環境での登録のスケーリングを向上するのに役立ちます。 Configuration Managerは、クライアントの数に基づいて登録をランダム化します。 たとえば、環境に 100,000 個のクライアントがある場合、この設定を有効にすると、登録は数日にわたって行われます。

   新しい共同管理デバイスが、Microsoft Entra デバイス トークンに基づいてMicrosoft Intune サービスに自動的に登録されるようになりました。 自動登録が開始されるまで、ユーザーがデバイスにサインインするのを待つ必要はありません。 この変更は、登録状態 が [保留中のユーザー サインイン] を持つデバイスの数を減らすのに役立ちます。この動作をサポートするには、デバイスがバージョン 1803 以降Windows 10実行されている必要があります。 詳細については、「 共同管理登録の状態」を参照してください。

   既に共同管理に登録されているデバイスがある場合は、 前提条件を満たした直後に新しいデバイスが登録されます。

5. Intune に既に登録されているインターネット ベースのデバイスの場合は、 Enablement ページでコマンドをコピーして保存します。 このコマンドを使用して、Configuration Manager クライアントをインターネット ベースのデバイス用のアプリとして Intune にインストールします。 このコマンドを今すぐ保存しない場合は、いつでも共同管理構成を確認してこのコマンドを取得できます。

   ヒント

   このコマンドは、クラウド管理ゲートウェイの設定など、すべての前提条件を満たしている場合にのみ表示されます。

6. [ ワークロード ] ページで、ワークロードごとに、Intune で管理するために移動するデバイス グループを選択します。 詳細については、「 ワークロード」を参照してください。

   共同管理のみを有効にする場合は、ワークロードを今すぐ切り替える必要はありません。 ワークロードは後で切り替えることができます。 詳細については、「 ワークロードを切り替える方法」を参照してください。

   • パイロット Intune: [ステージング ] ページで指定するパイロット コレクション内のデバイスに対してのみ、関連付けられているワークロードを切り替えます。 各ワークロードには、異なるパイロット コレクションを含めることができます。
   • Intune: すべての共同管理Windows 10以降のデバイスに関連付けられているワークロードを切り替えます。

   重要

   ワークロードを切り替える前に、Intune で対応するワークロードを適切に構成してデプロイしていることを確認してください。 ワークロードが常にデバイスの管理ツールの 1 つによって管理されていることを確認します。

7. [ ステージング ] ページで、 パイロット Intune に設定されている各ワークロードのパイロット コレクションを指定します。

   

8. 共同管理を有効にするには、ウィザードを完了します。

Intune を使用してConfiguration Manager クライアントを展開する

Intune を使用して、現在 Intune でのみ管理されているWindows 10以降のデバイスにConfiguration Manager クライアントをインストールできます。

その後、以前に管理されていないWindows 10以降のデバイスが Intune に登録されると、Configuration Manager クライアントが自動的にインストールされます。

注:

Autopilot を経由するデバイスにConfiguration Manager クライアントを展開する予定の場合は、デバイスではなくConfiguration Manager クライアントの割り当てをユーザーに設定することをお勧めします。

このアクションにより、 Autopilot 中に基幹業務アプリと Win32 アプリのインストールの競合が回避されます。

Configuration Manager クライアントをインストールする Intune アプリを作成する

1. プライマリ サイト サーバーから、Microsoft Intune管理センターにサインインします。 次に、[ アプリ>] [すべてのアプリ>の追加] の順に移動します。

2. [アプリの種類] で、[その他] で [基幹業務アプリ] を選択します。

3. [アプリ パッケージ ファイル] で、Configuration Manager ファイル ccmsetup.msi の場所 (C:\Program Files\Microsoft Configuration Manager\bin\i386\ccmsetup.msiなど) を参照します。 次に、[OK を開く>]を選択します。

4. [ アプリ情報] を選択し、次の詳細を指定します。

   • 説明: 「Configuration Manager クライアント」と入力します。

   • 発行元: 「Microsoft」と入力します。

   • コマンド ライン引数: コマンドを CCMSETUPCMD 指定します。 共同管理構成ウィザードの [有効化] ページから保存したコマンドを使用できます。 このコマンドには、クラウド サービスの名前と、デバイスが Configuration Manager クライアント ソフトウェアをインストールできるようにする追加の値が含まれています。

     コマンド ライン構造体は、次の例のようになります。この例では、 パラメーターと SMSSiteCode パラメーターのみをCCMSETUPCMD使用します。

     CCMSETUPCMD="CCMHOSTNAME=<ServiceName.CLOUDAPP.NET/CCM_Proxy_MutualAuth/<GUID>" SMSSiteCode="<YourSiteCode>"  
     

     ヒント

     使用可能なコマンドがない場合は、Configuration Manager コンソールで のCoMgmtSettingsProdプロパティを表示して、コマンドのコピーを取得できます。 コマンドは、CMG の設定など、すべての前提条件を満たしている場合にのみ表示されます。

5. [OK] [追加] の順に選択します>。 アプリが作成され、Intune コンソールで使用できるようになります。 アプリを使用できるようになったら、次のセクションを使用して、Intune からデバイスにアプリを割り当てることができます。

intune アプリを割り当ててConfiguration Manager クライアントをインストールする

次の手順では、前の手順で作成したConfiguration Manager クライアントをインストールするためのアプリをデプロイします。

1. Microsoft Intune管理センターにサインインします。 [ アプリ>] [すべてのアプリ] の順に選択し、[ ConfigMgr クライアント セットアップ ブートストラップ] を選択します。 これは、Configuration Manager クライアントをデプロイするために作成したアプリです。

2. [プロパティ] を選択し、[割り当て] に [編集] を選択します。 [必須の割り当て] で [グループの追加] を選択して、共同管理に参加するユーザーとデバイスを持つMicrosoft Entra グループを設定します。

3. [ 確認と保存]>を選択して 構成を保存します。 これで、アプリを割り当てたユーザーとデバイスにアプリが必要になりました。 アプリがデバイスにConfiguration Manager クライアントをインストールすると、共同管理によって管理されます。

概要

このチュートリアルの構成手順を完了したら、デバイスの共同管理を開始できます。

次の手順

• 共同管理ダッシュボードを使用して、 共同管理デバイスの状態を確認します。
• Windows Autopilot を使用して新しいデバイスをプロビジョニングします。
• 条件付きアクセスと Intune コンプライアンス規則を使用して、企業リソースへのユーザー アクセスを管理します。