テナントアタッチMicrosoft Intune有効にする: デバイスの同期とデバイスの操作

  • [アーティクル]

Configuration Manager (現在のブランチ) に適用

Microsoft Intune製品ファミリは、すべてのデバイスを管理するための統合ソリューションです。 Microsoft は、Configuration ManagerとIntuneを管理センターと呼ばれる 1 つのコンソールMicrosoft Intuneまとめます。 ご利用の Configuration Manager デバイスをクラウド サービスにアップロードし、管理センターの [デバイス] ブレードからアクションを実行できるようになります。

重要

Microsoft Intune テナントにConfiguration Manager サイトをアタッチすると、サイトは Microsoft にさらに多くのデータを送信します。 テナントアタッチ データ収集 に関する記事では、送信されるデータをまとめたものです。

共同管理が既に有効である場合にデバイスのアップロードを有効にする

共同管理が現在有効になっている場合は、共同管理プロパティを使用して、デバイスのアップロードを有効にします。 共同管理がまだ有効になっていない場合は、クラウド接続の構成ウィザードを使用して、代わりにデバイスのアップロードを有効にします。 テナント接続を有効にする前に、テナント接続の前提条件が満たされていることを確認します。

共同管理が既に有効である場合は、次の手順を使用して共同管理プロパティを編集して、デバイスのアップロードを有効にします。

  1. Configuration Manager 管理者コンソールで、[管理]>[概要]>[クラウド サービス]>[クラウド接続] の順に移動します。
    • バージョン 2103 以前の場合は、[共同管理] ノードを選択します。
  2. リボンで、共同管理運用ポリシーの [プロパティ] を選択します。
  3. [アップロードを構成する] タブで、[Upload to Microsoft Endpoint Manager admin center]\(Microsoft Endpoint Manager 管理センターにアップロードする\) を選択します。 [適用] を選択します。
    • デバイスのアップロードの既定の設定は Microsoft Endpoint Configuration Manager によって管理されているすべてのデバイスです。 必要に応じて、アップロードを 1 つのデバイス コレクションに制限できます。
    • 1 つのコレクションが選択されると、その子コレクションもアップロードされます。
  4. エンドポイント分析でエンド ユーザー エクスペリエンスを最適化するための分析情報も取得したい場合は、「Microsoft Endpoint Manager にアップロードされたデバイスのエンドポイント分析を有効にする」のオプションをチェックします。
  5. クラウド サービスにアップロードするデバイスの [ロールベースのAccess Controlを適用する] オプションをオンにします。 既定では、CONFIGURATION MANAGER デバイスをクラウド サービスにアップロードするときに、SCCM RBAC がIntune RBAC と共に適用されます。 そのため、チェック ボックスは既定でオンになります。 RBAC のみを適用する場合Intune、チェック ボックスをオフにすることができます。 ただし、現時点では、INTUNE RBAC の適用は適用されません。 リリース ノートIntune の新機能は、RBAC のみを適用できる場合Intune更新されます。
  6. 管理センターでエンドポイント セキュリティ レポートを使用する場合は、[管理センター Microsoft Intuneアップロードされたデバイスに関するレポートのMicrosoft Defender for Endpointデータのアップロードを有効にする] オプションIntuneオンにします

重要

エンドポイント分析のデータ アップロードを有効にすると、既定のクライアント設定が自動的に更新され、管理対象のエンドポイントから Configuration Manager サイト サーバーに関連データを送信できるようになります。 カスタム クライアント設定を使用する場合は、データ収集を行うために、クライアント設定を更新して再展開する必要があります。 データ収集を特定のデバイス セットのみに限定するなど、この機能とデータ収集の構成方法の詳細については、「エンドポイント分析データ収集の構成」のセクションを参照してください。

管理センターにデバイスをアップロードする方法Microsoft Intune示すスクリーンショット。

  1. メッセージが表示されたら、ご利用の "全体管理者" アカウントを使用してサインインします。
  2. [はい] を選択して、[AAD アプリケーションの作成] 通知を受け入れます。 このアクションでは、サービス プリンシパルがプロビジョニングされ、同期を容易にするための Azure AD アプリケーション登録が作成されます。
  3. 変更を行ったら、[OK] を選択して、共同管理プロパティを終了します。

共同管理が無効である場合にデバイスのアップロードを有効にする

共同管理を有効にしていない場合は、クラウド接続の構成ウィザードを使用して、デバイスのアップロードを有効にします。 共同管理の自動登録を有効にしたり、ワークロードを Intune に切り替えたりすることなく、デバイスをアップロードできます。 Configuration Manager によって管理されているすべてのデバイス ([クライアント] 列に [はい] が含まれている) はすべてアップロードされます。 必要に応じて、アップロードを 1 つのデバイス コレクションに制限できます。 ご利用の環境で共同管理が既に有効である場合は、共同管理プロパティを編集して、代わりにデバイスのアップロードを有効にします。 テナント接続を有効にする前に、テナント接続の前提条件が満たされていることを確認します。

共同管理が有効になっていない場合は、以下の手順を使用してデバイスのアップロードを有効にします。

  1. Configuration Manager 管理者コンソールで、[管理]>[概要]>[クラウド サービス]>[クラウド接続] の順に移動します。 バージョン 2103 以前の場合は、[共同管理] ノードを選択します。

    • 構成マネージャー バージョン 2111 以降で、テナントアタッチのオンボード エクスペリエンスが変更されました。 クラウドアタッチ ウィザードを使用すると、テナントのアタッチやその他の クラウド機能を簡単に有効にできます。 推奨される既定値の合理化されたセットを選択することも、クラウドアタッチ機能をカスタマイズすることもできます。 新しいウィザードでテナントアタッチを有効にする方法の詳細については、「 クラウドアタッチを有効にする」を参照してください。

  2. リボンで、[クラウド接続の構成] を選択してウィザードを開きます。 2103 以前のバージョンの場合は、[共同管理の構成] を選択してウィザードを開きます。

  3. [オンボード] ページで、ご利用の環境に対して [AzurePublicCloud] を選択します。 Azure Government クラウドと Azure China 21Vianet はサポートされていません。

    • バージョン 2107 以降、米国政府機関のお客様は AzureUSGovernmentCloud を選択できます。

  4. [サインイン] を選びます。 グローバル管理者 アカウントを使用してサインインします。

  5. [クラウドの接続 ページで [Microsoft エンドポイント マネージャー管理センターの有効化] オプションを確実に選択します。 2103 以前のバージョンの場合は、[テナントのオンボード] ページで [Upload to Microsoft Endpoint Manager admin center]\(Microsoft Endpoint Manager 管理センターにアップロードする\) オプションを選択します。

    • 今すぐ共同管理を有効にしない場合は、[共同管理のための自動クライアント登録を有効にする] オプションがオンになっていないことを確認してください。 共同管理を有効にする場合は、このオプションを選択します。
    • 共同管理と共にデバイスのアップロードも有効にする場合は、ウィザードに追加のページが表示されるので完成させます。 詳しくは、共同管理の有効化に関する記事をご覧ください。

    共同管理構成ウィザード

  6. [次へ][はい] の順に選択して、[AAD アプリケーションの作成] 通知を受け入れます。 このアクションでは、サービス プリンシパルがプロビジョニングされ、同期を容易にするための Azure AD アプリケーション登録が作成されます。

  7. [アップロードを構成する] ページで、 [Microsoft Endpoint Configuration Manager によって管理されているすべてのデバイス]に対して推奨されるデバイス アップロード設定を選択します。 必要に応じて、アップロードを 1 つのデバイス コレクションに制限できます。

    • 1 つのコレクションが選択されると、その子コレクションもアップロードされます。

  8. エンドポイント分析でエンド ユーザー エクスペリエンスを最適化するための分析情報も取得したい場合は、「Microsoft エンドポイント マネージャー にアップロードされたデバイスのエンドポイント分析を有効にする」のオプションをチェックします

  9. クラウド サービスにアップロードするデバイスの [ロールベースのAccess Controlを適用する] オプションをオンにします。 既定では、CONFIGURATION MANAGER デバイスをクラウド サービスにアップロードするときに、SCCM RBAC がIntune RBAC と共に適用されます。 そのため、チェック ボックスは既定でオンになります。 RBAC のみを適用する場合Intune、チェック ボックスをオフにすることができます。 ただし、現時点では、INTUNE RBAC の適用は適用されません。 リリース ノートIntune の新機能は、RBAC のみを適用できる場合Intune更新されます。

  10. 管理センターでエンドポイント セキュリティ レポートを使用する場合は、[管理センター Microsoft Intuneアップロードされたデバイスに関するレポートのMicrosoft Defender for Endpointデータのアップロードを有効にする] オプションIntuneオンにします

  11. [概要] を選択して選択内容を確認し、[次へ] を選択します。

  12. 更新が完了したら、[閉じる] を選択します。

スコープ タグ

テナントに接続されたデバイスは、Microsoft Intune から既定のスコープ タグを受け取ります。 テナントに接続されたデバイスから既定のスコープ タグを削除した場合、デバイスはMicrosoft Intune管理センターにまったく表示されません。 現在、テナント接続デバイスには、共同管理デバイスとは異なり、スコープ タグを割り当てることはできません。

ただし、特定の Intune ロールにテナント接続デバイスを表示したくない場合があります。 たとえば、Intune のヘルプ デスク オペレーターの役割を持つユーザーがサーバーなので、テナントに接続されたデバイスを表示したくない場合があります。 このような場合は、そのスコープ タグ既定の一覧が表示されていないカスタム ロールを Intune で作成または使用します。 カスタム Intune ロールを作成する場合、タグが設定されていないすべてのオブジェクトに既定のスコープ タグが自動的に追加されることに注意してください。

デバイスのアクションを実行する

  1. ブラウザーで、intune.microsoft.com に移動します。

  2. [デバイス][すべてのデバイス] の順に選択して、アップロードされたデバイスを確認します。 アップロードされたデバイスの [管理者] 列に [ConfigMgr] が表示されます。 管理センターのすべてのデバイスMicrosoft Intune

  3. デバイスを選択して、その [概要] ページを読み込みます。

  4. その後、次のいずれかの操作を選択します。

    • コンピューター ポリシーの同期
    • ユーザー ポリシーの同期
    • アプリの評価サイクル

    管理センターでのデバイスの概要Microsoft Intune

管理コンソールで Configuration Manager コネクタの状態を表示する

Microsoft Intune管理センターから、Configuration Manager コネクタの状態を確認できます。 コネクタの状態を表示するには、[テナントの管理]>[コネクタとトークン]>[Microsoft Endpoint Configuration Manager] にアクセスします。 Configuration Manager 階層を選択して、その追加情報を表示します。

管理センターの Microsoft Configuration Manager コネクタ

Configuration Managerサイトの正常性とデバイス管理エクスペリエンスを強化するための推奨事項と分析情報を表示する

Configuration Manager サイトの推奨事項と分析情報を表示できます。 これらの推奨事項は、サイトの正常性とインフラストラクチャを改善し、デバイス管理エクスペリエンスを強化するのに役立ちます。

推奨事項は次のとおりです。

  • インフラストラクチャを簡素化する方法
  • デバイス管理を強化する
  • デバイスの分析情報を提供する
  • サイトの正常性を向上させる

推奨事項を表示するには、テナント管理>コネクタとトークン > Microsoft Endpoint Configuration Managerに移動し、サイトを選択してその推奨事項を表示します。 選択すると、[ 推奨事項 ] タブが表示され、各分析情報と、その推奨事項を適用する方法の詳細が表示される [詳細情報 ] リンクが表示されます。

テナント接続からのオフボード

テナントのアタッチを有効にすることで、非常に大きな価値を得ることができますが、まれに、階層のオンボードが必要になることがあります。 Configuration Manager コンソール (推奨方法) またはMicrosoft Intune管理センターからオフボードできます。

Configuration Manager コンソールからのオフボード

テナント接続が既に有効になっている場合は、共同管理プロパティを編集してデバイスのアップロードとオフボードを無効にします。

  1. Configuration Manager 管理者コンソールで、[管理]>[概要]>[クラウド サービス]>[クラウド接続] の順に移動します。
    • バージョン 2103 以前の場合は、[共同管理] ノードを選択します。
  2. リボンで、共同管理運用ポリシーの [プロパティ] を選択します。
  3. [アップロードを構成する] タブで、[Upload to Microsoft Endpoint Manager admin center]\(Microsoft Endpoint Manager 管理センターにアップロードする\) の選択肢を削除します。
  4. [適用] を選択します。

Microsoft Intune管理センターからのオフボード

必要に応じて、Microsoft Intune管理センターからConfiguration Manager階層にアクセスできます。 たとえば、オンプレミス環境が削除されたディザスター リカバリー シナリオの後に、管理センターからのオフボードが必要になる場合があります。 次の手順に従って、Microsoft Intune管理センターからConfiguration Manager階層を削除します。

  1. Microsoft Intune管理センターにサインインします。
  2. [テナント管理][コネクタとトークン] の順に選択します。
  3. [Microsoft Endpoint Configuration Manager] を選択します。
  4. オフボードするサイトの名前を選択し、[削除] を選択します。
    • サイト情報が不足している場合、コネクタは [不明] と表示されることがあります。

管理センターから階層をオフボードすると、Microsoft Intune管理センターから削除するまでに最大 2 時間かかることがあります。 オンラインで正常な Configuration Manager 2103 以降のサイトをオフボードする場合、プロセスに数分しかかからない可能性があります。

注:

Intune でのカスタム RBAC ロールを使用している場合は、階層をオフボードするために [組織]>[削除] アクセス許可を付与する必要があります。

以前の Azure AD アプリケーションをインポートする (オプション)

新しいオンボードの際、管理者は、テナント接続へのオンボード中に以前に作成したアプリケーションを指定できます。 複数の階層間で Azure AD アプリケーションを共有したり再利用したりしないでください。 複数の階層がある場合は、それぞれに Azure AD アプリケーションを作成します。

クラウド接続構成ウィザード (バージョン 2103 以前の共同管理構成ウィザード) のオンボード ページで、[オプションで別の Web アプリをインポートする] を選択して、Configuration Managerクライアント データをエンドポイント マネージャー センター Microsoft Intune同期します。 このオプションを選択すると、Azure AD アプリに関する次の情報を指定するように求められます。

  • Azure AD テナント名
  • Azure AD テナント ID
  • アプリケーション名
  • クライアント ID
  • 秘密鍵
  • 秘密鍵の有効期限
  • アプリ ID URI

重要

  • アプリ ID URI は、次のいずれかの形式を使用する必要があります。

    • api://{tenantId}/{string}、たとえば、api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
    • https://{verifiedCustomerDomain}/{string}、たとえば、https://contoso.onmicrosoft.com/ConfigMgrService

    Azure AD アプリの作成の詳細については、「Azure サービスの構成」を参照してください。

  • インポートされた Azure AD アプリを使用すると、コンソールの通知から有効期限が近づいていることが通知されません。

Azure AD アプリケーションのアクセス許可と構成

オンボーディング中に以前作成したアプリケーションをテナント接続に使用するには、次のアクセス許可が必要です。

次の手順