チュートリアル: クラウドを使用して、ADMX テンプレートとMicrosoft Intuneを使用してWindows 10/11 デバイスのグループ ポリシーを構成する

  • [アーティクル]

注:

このチュートリアルは、Microsoft Ignite のテクニカル ワークショップとして作成されました。 Intuneとオンプレミスの ADMX ポリシーの使用と構成を比較しているため、一般的なチュートリアルよりも多くの前提条件があります。

グループ ポリシー管理テンプレート (ADMX テンプレートとも呼ばれます) には、PC を含む Windows クライアント デバイスで構成できる設定が含まれます。 ADMX テンプレートの設定は、さまざまなサービスで使用できます。 これらの設定は、Microsoft Intuneを含む Mobile デバイス管理 (MDM) プロバイダーによって使用されます。 たとえば、PowerPoint でデザイン アイデアを有効にしたり、Microsoft Edge でホーム ページを設定したりできます。

ヒント

Intuneに組み込まれている ADMX テンプレートなど、Intuneの ADMX テンプレートの概要については、「Microsoft IntuneでWindows 10/11 ADMX テンプレートを使用する」を参照してください。

ADMX ポリシーの詳細については、「 ADMX によってサポートされるポリシーについて」を参照してください。

これらのテンプレートは、Microsoft Intuneに組み込まれており、管理用テンプレート プロファイルとして使用できます。 このプロファイルでは、含める設定を構成し、デバイスにこのプロファイルを "割り当てる" を行います。

このチュートリアルでは、次の操作を行います。

  • Microsoft Intune管理センターについて説明します。
  • ユーザー グループを作成し、デバイス グループを作成します。
  • Intuneの設定とオンプレミスの ADMX 設定を比較します。
  • さまざまな管理テンプレートを作成し、さまざまなグループを対象とする設定を構成します。

このラボの終わりまでに、Intuneと Microsoft 365 を使用してユーザーを管理し、管理用テンプレートを展開できます。

この機能は、以下に適用されます。

  • Windows 11
  • Windows 10 バージョン 1709 以降

ヒント

管理用テンプレートを作成するには、テンプレートを使用する方法と、設定カタログを使用する方法の 2 つがあります。 この記事では、管理用テンプレート テンプレートの使用について説明します。 設定カタログでは、さらに多くの管理用テンプレートを使用できます。 設定カタログを使用する特定の手順については、「設定 カタログを使用して設定を構成する」を参照してください。

前提条件

  • Microsoft 365 E3または E5 サブスクリプション。P1 または P2 のIntuneとMicrosoft Entra IDが含まれます。 E3 または E5 サブスクリプションをお持ちでない場合は、 無料で試してください

    さまざまな Microsoft 365 ライセンスで得られる内容の詳細については、「 Microsoft 365 を使用してエンタープライズを変革する」を参照してください。

  • Microsoft Intuneは、Intune MDM 機関として構成されます。 詳細については、「 モバイル デバイス管理機関の設定」を参照してください。

    MDM 機関をテナントの状態にMicrosoft Intuneするように設定する方法を示すスクリーンショット。

  • オンプレミスの Active Directory ドメイン コントローラー (DC):

    1. 次の Office テンプレートと Microsoft Edge テンプレートを Central Store (sysvol フォルダー) にコピーします。

    2. これらのテンプレートを DC と同じドメイン内の Windows 10/11 Enterprise 管理者コンピューターにプッシュするグループ ポリシーを作成します。 このチュートリアルでは、次の操作を行います。

      • これらのテンプレートで作成したグループ ポリシーは、 OfficeandEdge と呼ばれます。 この名前は画像に表示されます。
      • 使用する Windows 10/11 Enterprise 管理者コンピューターは、管理 コンピューターと呼ばれます。

      一部の組織では、ドメイン管理者に次の 2 つのアカウントがあります。

      • 一般的なドメイン職場アカウント
      • グループ ポリシーなど、ドメイン管理者タスクにのみ使用される別のドメイン管理者アカウント

      この管理 コンピューターの目的は、管理者が自分のドメイン管理者アカウントでサインインし、グループ ポリシーを管理するために設計されたアクセス ツールです。

  • この管理 コンピューターでは、次の操作を行います

    • ドメイン管理者アカウントでサインインします。

    • RSAT: グループ ポリシー 管理ツールを追加します。

      1. [設定] アプリ > [システム>] オプション機能[追加]> 機能を開きます。

        Windows 10 22H2 より前のバージョンを使用する場合は、[アプリアプリ>の設定>]& [機能>] [オプション機能>] [機能の追加] の順に移動します。

      2. [RSAT: グループ ポリシー管理ツール>の追加] を選択します

        Windows が機能を追加するまで待ちます。 完了すると、最終的には Windows 管理ツール アプリに表示されます。

        グループ ポリシー管理アプリを含む Windows 管理ツール アプリを示すスクリーンショット。

    • Intune 管理センターを含む Microsoft 365 サブスクリプションに対するインターネット アクセス権と管理者権限があることを確認します。

Intune管理センターを開く

  1. Microsoft Edge バージョン 77 以降など、Chromium Web ブラウザーを開きます。

  2. Microsoft Intune管理センターに移動します。 次のアカウントでサインインします。

    ユーザー: Microsoft 365 テナント サブスクリプションの管理者アカウントを入力します。
    パスワード: パスワードを入力します。

この管理センターはデバイス管理に重点を置き、Microsoft Entra IDやIntuneなどの Azure サービスが含まれています。 Microsoft Entra IDIntuneブランド化が表示されない場合がありますが、使用しています。

Microsoft 365 管理センターからIntune管理センターを開くこともできます。

  1. https://admin.microsoft.comに移動します。

  2. Microsoft 365 テナント サブスクリプションの管理者アカウントでサインインします。

  3. [すべての管理センター>のエンドポイント管理>表示する] を選択します。 Intune管理センターが開きます。

    Microsoft 365 管理センター内のすべての管理センターを示すスクリーンショット。

グループを作成し、ユーザーを追加する

オンプレミス ポリシーは、LSDOU の順序 (ローカル、サイト、ドメイン、組織単位 (OU)) で適用されます。 この階層では、OU ポリシーによってローカル ポリシーが上書きされ、ドメイン ポリシーによってサイト ポリシーが上書きされます。

Intune では、作成したユーザーとグループにポリシーが適用されます。 階層はありません。 例:

  • 2 つのポリシーによって同じ設定が更新された場合、設定は競合として表示されます。
  • 2 つのコンプライアンス ポリシーが競合している場合は、最も制限の厳しいポリシーが適用されます。
  • 2 つの構成プロファイルが競合している場合、設定は適用されません。

詳細については、 デバイス ポリシーとプロファイルに関する一般的な質問、問題、解決策に関するページを参照してください。

次の手順では、セキュリティ グループを作成し、これらのグループにユーザーを追加します。 ユーザーを複数のグループに追加できます。 たとえば、仕事用のSurface Proや個人用の Android モバイル デバイスなど、ユーザーが複数のデバイスを持つことは通常です。 また、ユーザーがこれらの複数のデバイスから組織のリソースにアクセスするのが普通です。

  1. Intune管理センターで、[グループ] [新しいグループ] の>に選択します。

  2. 次の設定を入力します。

    • グループの種類: [セキュリティ] を選択します。
    • [グループ名]: 「すべてのWindows 10学生デバイス」と入力します。
    • メンバーシップの種類: [ 割り当て済み] を選択します。

  3. [ メンバー] を選択し、一部のデバイスを追加します。

    デバイスの追加は省略可能です。 目標は、グループの作成を練習し、デバイスを追加する方法を知ることです。 運用環境でこのチュートリアルを使用している場合は、実行している内容に注意してください。

  4. 選択>を作成 して変更を保存します。

    グループが表示されない場合 [最新の情報に更新] を選択します。

  5. [ 新しいグループ] を選択し、次の設定を入力します。

    • グループの種類: [セキュリティ] を選択します。

    • グループ名: 「すべての Windows デバイス」と入力します。

    • メンバーシップの種類: [ 動的デバイス] を選択します。

    • 動的デバイス メンバー: [ 動的クエリの追加] を選択し、クエリを構成します。

      • プロパティ: deviceOSType を選択します。
      • 演算子: [等しい] を選択します。
      • : 「Windows」と入力します。

      1. [ 式の追加] を選択します。 式は Rule 構文に表示されます。

        動的クエリを作成し、Microsoft Intune管理テンプレートに式を追加する方法を示すスクリーンショット。

        ユーザーまたはデバイスが入力した条件を満たすと、動的グループに自動的に追加されます。 この例では、オペレーティング システムが Windows の場合、デバイスはこのグループに自動的に追加されます。 運用環境でこのチュートリアルを使用している場合は、注意してください。 目標は、動的グループの作成を練習することです。

      2. 保存>を作成 して変更を保存します。

  6. 次の設定で [すべての教師 ] グループを作成します。

    • グループの種類: [セキュリティ] を選択します。

    • グループ名: 「All Teachers」と入力します。

    • メンバーシップの種類: [ 動的ユーザー] を選択します。

    • 動的ユーザー メンバー: [ 動的クエリの追加] を選択し、クエリを構成します。

      • プロパティ: 部署を選択 します

      • 演算子: [等しい] を選択します。

      • : 「教師」と入力します

        1. [ 式の追加] を選択します。 式が Rule 構文に表示されます。

          ユーザーまたはデバイスが入力した条件を満たすと、動的グループに自動的に追加されます。 この例では、部署が [教師] のときに、ユーザーがこのグループに自動的に追加されます。 ユーザーがorganizationに追加されたときに、部署やその他のプロパティを入力できます。 運用環境でこのチュートリアルを使用している場合は、注意してください。 目標は、動的グループの作成を練習することです。

        2. 保存>を作成 して変更を保存します。

話し合いポイント

  • 動的グループは、Microsoft Entra ID P1 または P2 の機能です。 P1 または P2 をMicrosoft Entra IDしていない場合は、割り当てられたグループのみを作成するライセンスが付与されます。 動的グループの詳細については、次のページを参照してください。

  • Microsoft Entra ID P1 または P2 には、多要素認証 (MFA)条件付きアクセスなど、アプリやデバイスを管理するときに一般的に使用されるその他のサービスが含まれています。

  • 多くの管理者は、ユーザー グループを使用するタイミングと、デバイス グループを使用するタイミングを尋ねます。 ガイダンスについては、「 ユーザー グループとデバイス グループ」を参照してください。

  • ユーザーは複数のグループに属できることに注意してください。 作成できる他の動的ユーザー グループおよび動的デバイス グループとして、次のようなグループが考えられます。

    • すべての学生
    • すべての Android デバイス
    • すべての iOS/iPadOS デバイス
    • マーケティング
    • 人事
    • シャーロットの全従業員
    • Redmond のすべての従業員
    • 西海岸の IT 管理者
    • 東海岸の IT 管理者

作成されたユーザーとグループは、Microsoft 365 管理センター、Azure portal Microsoft Entra ID、Azure portalのMicrosoft Intuneにも表示されます。 テナント サブスクリプションのこれらのすべての領域でグループを作成および管理できます。 目的がデバイス管理の場合は、Microsoft Intune管理センターを使用します。

グループ メンバーシップを確認する

  1. Intune管理センターで、[ユーザー>] [すべてのユーザー>] の順に選択し、既存のユーザーの名前を選択します。
  2. 追加または変更できる情報の一部を確認します。 たとえば、役職、部署、市区町村、Office の場所など、構成できるプロパティを確認します。 これらのプロパティは、動的グループを作成するときに動的クエリで使用できます。
  3. [ グループ] を 選択して、このユーザーのメンバーシップを表示します。 グループからユーザーを削除することもできます。
  4. その他のオプションをいくつか選択すると、詳細情報と実行できる操作が表示されます。 たとえば、割り当てられたライセンス、ユーザーのデバイスなどを調べる。

私は何をしましたか?

Intune管理センターで、新しいセキュリティ グループを作成し、これらのグループに既存のユーザーとデバイスを追加しました。 これらのグループは、このチュートリアルの後の手順で使用します。

Intuneでテンプレートを作成する

このセクションでは、Intuneで管理テンプレートを作成し、グループ ポリシー管理のいくつかの設定を確認し、Intuneで同じ設定を比較します。 目標は、グループ ポリシーに設定を表示し、Intuneで同じ設定を表示することです。

  1. Intune管理センターで、[デバイス構成>の作成] を選択します>。

  2. 次のプロパティを入力します。

    • [プラットフォーム]: [Windows 10 以降] を選択します。
    • プロファイルの種類: [ 管理用テンプレート] を選択します

  3. [作成] を選択します。

  4. [Basics]\(基本\) で次のプロパティを入力します。

    • 名前: プロファイルのわかりやすい名前を入力します。 後で簡単に識別できるよう、プロファイルに名前を付けます。 たとえば、「管理 テンプレート - 学生のデバイスWindows 10」と入力します。
    • 説明: プロファイルの説明を入力します この設定は省略可能ですが、推奨されます。

  5. [次へ] を選択します。

  6. [ 構成設定] で、[ すべての設定] にすべての設定 のアルファベット順の一覧が表示されます。 デバイスに適用される設定 (コンピューターの構成)、およびユーザーに適用される設定 (ユーザー構成) をフィルター処理することもできます。

    Microsoft Intuneのユーザーとデバイスに ADMX テンプレート設定を適用する方法を示すスクリーンショット。

  7. [コンピューターの構成>][Microsoft Edge]> の [SmartScreen 設定] の順に展開します。 ポリシーへのパスと、使用可能なすべての設定に注目してください。

    Microsoft Intuneの ADMX テンプレートで Microsoft Edge SmartScreen ポリシー設定を表示する方法を示すスクリーンショット。

  8. 検索で、「 download」と入力します。 ポリシー設定がフィルター処理されていることに注意してください。

    Microsoft Intune ADMX テンプレートで Microsoft Edge SmartScreen ポリシー設定をフィルター処理する方法を示すスクリーンショット。

グループ ポリシー管理を開く

このセクションでは、Intuneのポリシーと一致するポリシーを グループ ポリシー Management エディターで示します。

デバイス ポリシーを比較する

  1. 管理 コンピューターで、グループ ポリシー管理アプリを開きます。

    このアプリは、RSAT: グループ ポリシー管理ツールと共にインストールされます。これは、Windows に追加するオプションの機能です。 前提条件 (この記事では) に、インストール手順の一覧を示します。

  2. [ ドメイン] を展開して、> ドメインを選択します。 たとえば、 を選択します contoso.net

  3. OfficeandEdge ポリシー > [編集] を右クリックします。 グループ ポリシー管理エディター アプリが開きます。

    オンプレミスの Office と Microsoft Edge ADMX グループ ポリシーを右クリックし、[編集] を選択する方法を示すスクリーンショット。

    OfficeandEdge は、Office と Microsoft Edge ADMX テンプレートを含むグループ ポリシーです。 このポリシーについては、前提条件 (この記事内) で説明 します

  4. [コンピューターの構成>ポリシー>] [管理用テンプレート>]コントロール パネル[個人化] の順に>展開します。 使用可能な設定に注目してください。

    オンプレミスの [グループ ポリシー管理] エディターで [コンピューターの構成] を展開し、[個人用設定] に移動する方法を示すスクリーンショット。

    [ ロック スクリーン カメラの有効化を禁止する] をダブルクリックし、使用可能なオプションを確認します。

    グループ ポリシーでオンプレミスのコンピューター構成設定オプションを表示する方法を示すスクリーンショット。

  5. Intune管理センターで、管理 テンプレート - 学生のデバイス テンプレートWindows 10移動します。

  6. [コンピューターの構成>コントロール パネル>個人化] を選択します。 使用可能な設定に注目してください。

    Microsoft Intuneのパーソナル化ポリシー設定パスを示すスクリーンショット。

    設定の種類は Device で、パスは です /Control Panel/Personalization。 このパスは、グループ ポリシー管理エディターで確認したパスと似ています。 [ロック画面カメラの有効化を禁止する] 設定を開くと、[管理] エディターに表示されているのと同じ [未構成]、[有効]、[無効] オプショングループ ポリシー表示されます。

ユーザー ポリシーを比較する

  1. 管理者テンプレートで、[ コンピューターの構成>] [すべての設定] の順に選択し、 を検索します inprivate browsing。 パスに注目してください。

    ユーザー構成でも同じ操作を行います。 [ すべての設定] を選択し、 を検索します inprivate browsing

  2. [グループ ポリシー管理] エディターで、一致するユーザーとデバイスの設定を見つけます。

    • デバイス: [コンピューターの構成>ポリシー>] [管理用テンプレート>] [Windows コンポーネント>] [インターネット] エクスプローラー>[プライバシー>][InPrivate 閲覧] をオフにする] の順に展開します。
    • ユーザー: [ユーザー構成>ポリシー>] [管理用テンプレート>] [Windows コンポーネント>] [インターネット] エクスプローラー>[プライバシー>] [InPrivate Browsing] の順に展開します

    ADMX テンプレートを使用してインターネット エクスプローラーで InPrivate 閲覧をオフにする方法を示すスクリーンショット。

ヒント

組み込みの Windows ポリシーを表示するには、GPEdit (グループ ポリシー アプリの編集) を使用することもできます。

Microsoft Edge ポリシーを比較する

  1. Intune管理センターで、管理 テンプレート - 学生のデバイス テンプレートWindows 10移動します。

  2. [ コンピューターの構成>] [Microsoft Edge>スタートアップ]、[ホームページ]、[新しいタブ ページ] の各ページを展開します。 使用可能な設定に注目してください。

    ユーザー構成でも同じ操作を行います。

  3. [グループ ポリシー管理] エディターで、次の設定を見つけます。

    • デバイス: [コンピューターの構成>ポリシー>] [管理用テンプレート>][Microsoft Edge>スタートアップ]、[ホームページ]、[新しいタブ ページ] の順に展開します
    • ユーザー: [ユーザー構成>ポリシー>] [管理用テンプレート>][Microsoft Edge>スタートアップ]、[ホームページ]、[新しいタブ ページ] の順に展開します

私は何をしましたか?

Intuneで管理テンプレートを作成しました。 このテンプレートでは、いくつかの ADMX 設定を確認し、グループ ポリシー Management で同じ ADMX 設定を確認しました。

学生管理テンプレートに設定を追加する

このテンプレートでは、複数の学生が共有するデバイスをロックダウンするために、いくつかのインターネット エクスプローラー設定を構成します。

  1. 管理 テンプレート - 学生のデバイスをWindows 10し、[コンピューターの構成] を展開し、[すべての設定] を選択して、[InPrivate Browsing をオフにする] を検索します。

    Microsoft Intuneの管理用テンプレートで InPrivate 閲覧デバイス ポリシーをオフにする方法を示すスクリーンショット。

  2. [ InPrivate Browsing をオフにする ] 設定を選択します。 このウィンドウで、設定できる説明と値に注目してください。 これらのオプションは、グループ ポリシーに表示されるオプションと似ています。

  3. [有効][OK]> を選択して変更を保存します。

  4. また、次のインターネット エクスプローラー設定も構成します。 [ OK] を 選択して変更を保存してください。

    • ファイルのドラッグ アンド ドロップまたはコピーと貼り付けを許可する

      • 種類: デバイス
      • パス: \Windows コンポーネント\インターネット エクスプローラー\インターネット コントロール パネル\セキュリティ ページ\インターネット ゾーン
      • : 無効

    • 証明書エラーを無視しないようにする

      • 種類: デバイス
      • パス: \Windows コンポーネント\インターネット エクスプローラー\インターネット コントロール パネル
      • : 有効

    • ホーム ページ設定の変更を無効にする

      • : ユーザー
      • パス: \Windows コンポーネント\インターネット エクスプローラー
      • : 有効
      • ホーム ページ: URL (など contoso.com) を入力します。

  5. 検索フィルターをクリアします。 構成した設定が一番上に一覧表示されていることに注意してください。

    構成された ADMX 設定がMicrosoft Intuneの上部に一覧表示されているスクリーンショット。

テンプレートを割り当てる

  1. テンプレートで、[割り当て] に移動するまで [次へ] を選択します。 [ グループの選択] を選択して含めます

    Microsoft Intuneの [デバイス構成プロファイル] の一覧から管理用テンプレート プロファイルを選択する方法を示すスクリーンショット。

  2. 既存のユーザーとグループの一覧が表示されます。 先>ほど作成した [すべてのWindows 10学生デバイス] グループを選択します

    運用環境でこのチュートリアルを使用している場合は、空のグループを追加することを検討してください。 目標は、テンプレートの割り当てを練習することです。

  3. [次へ] を選択します。 [ 確認と作成] で、[ 作成 ] を選択して変更を保存します。

プロファイルが保存されるとすぐに、Intuneでチェックされたデバイスに適用されます。 デバイスがインターネットに接続されている場合は、すぐに発生する可能性があります。 ポリシーの更新時間の詳細については、「デバイスが ポリシー、プロファイル、またはアプリを取得するまでにかかる時間」を参照してください。

厳格または制限の厳しいポリシーとプロファイルを割り当てるときは、自分をロックアウトしないでください。ポリシーとプロファイルから除外されるグループを作成することを検討してください。 考え方は、トラブルシューティングへのアクセス権を持つことです。 このグループを監視して、意図したとおりに使用されていることを確認します。

私は何をしましたか?

Intune管理センターで、管理テンプレート デバイス構成プロファイルを作成し、作成したグループにこのプロファイルを割り当てます。

OneDrive テンプレートを作成する

このセクションでは、一部の設定を制御するために、Intuneで OneDrive 管理テンプレートを作成します。 これらの特定の設定は、組織でよく使用されるために選択されます。

  1. 別のプロファイルを作成する (デバイス>構成>の作成)。

  2. 次のプロパティを入力します。

    • [プラットフォーム]: [Windows 10 以降] を選択します。
    • プロファイルの種類: [ 管理用テンプレート] を選択します

  3. [作成] を選択します。

  4. [Basics]\(基本\) で次のプロパティを入力します。

    • 名前: 管理 テンプレート - すべてのWindows 10 ユーザーに適用される OneDrive ポリシーを入力します
    • 説明: プロファイルの説明を入力します この設定は省略可能ですが、推奨されます。

  5. [次へ] を選択します。

  6. [ 構成設定] で、次の設定を構成します。 [ OK] を 選択して変更を保存してください。

    • コンピューターの構成:

      • Windows 資格情報を使用して OneDrive 同期クライアントにユーザーをサイレント モードでサインインする
        • 種類: デバイス
        • : 有効
      • OneDrive ファイル オンデマンドを使用する
        • 種類: デバイス
        • : 有効

    • ユーザー構成:

      • ユーザーが個人用の OneDrive アカウントを同期できないようにする
        • : ユーザー
        • : 有効

設定は次のようになります。

Microsoft Intuneで OneDrive 管理テンプレートを作成する方法を示すスクリーンショット。

OneDrive クライアント設定の詳細については、「グループ ポリシーを使用してクライアント設定OneDrive 同期制御する」を参照してください。

テンプレートを割り当てる

  1. テンプレートで、[割り当て] に移動するまで [次へ] を選択します。 [ グループの選択] を選択して含めます

  2. 既存のユーザーとグループの一覧が表示されます。 前>に作成したすべての Windows デバイス グループを選択します

    運用環境でこのチュートリアルを使用している場合は、空のグループを追加することを検討してください。 目標は、テンプレートの割り当てを練習することです。

  3. [次へ] を選択します。 [ 確認と作成] で、[ 作成 ] を選択して変更を保存します。

この時点で、いくつかの管理用テンプレートを作成し、作成したグループに割り当てます。 次の手順では、Windows PowerShellと microsoft Graph APIを使用して管理用テンプレートを作成Intune。

省略可能: PowerShell とGraph APIを使用してポリシーを作成する

このセクションでは、次のリソースを使用します。 このセクションでは、これらのリソースをインストールします。

  1. 管理 コンピューターで、管理者としてWindows PowerShellを開きます。

    1. 検索バーに「 powershell」と入力します。
    2. [Windows PowerShell>管理者として実行] を右クリックします。

    管理者としてWindows PowerShellを実行する方法を示すスクリーンショット。

  2. 実行ポリシーを取得して設定します。

    1. 入力: get-ExecutionPolicy

      ポリシーの設定内容を書き留めます。これは 制限されている可能性があります。 チュートリアルが完了したら、元の値に戻します。

    2. 入力: Set-ExecutionPolicy -ExecutionPolicy Unrestricted

    3. 「」と入力 Y して変更します。

    PowerShell の実行ポリシーは、悪意のあるスクリプトの実行を防ぐのに役立ちます。 詳細については、「 実行ポリシーについて」を参照してください。

  3. 入力: Install-Module -Name Microsoft.Graph.Intune

    次の場合に入力 Y します。

    • NuGet プロバイダーのインストールを求められる
    • 信頼されていないリポジトリからモジュールをインストールするように求められた

    完了するまでに数分かかる場合があります。 完了すると、次のようなプロンプトが表示されます。

    モジュールをインストールした後のWindows PowerShell プロンプトを示すスクリーンショット。

  4. Web ブラウザーで、 に https://github.com/Microsoft/Intune-PowerShell-SDK/releases移動し、 Intune-PowerShell-SDK_v6.1907.00921.0001.zip ファイルを選択します。

    1. [ 名前を付けて保存] を選択し、記憶するフォルダーを選択します。 c:\psscripts 良い選択です。

    2. フォルダーを開き、.zip ファイル > [すべて>抽出] を右クリックします。 フォルダー構造は、次のフォルダーのようになります。

      抽出後の PowerShell SDK フォルダー構造Intuneを示すスクリーンショット。

  5. [表示] タブで、[ファイル名拡張子] をチェックします。

    Windows エクスプローラーの [ビュー] タブでファイル名拡張子を選択する方法を示すスクリーンショット。

  6. フォルダーで、 に移動します c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471。 [プロパティ>のブロックを解除] のすべての .dll > を右クリックします。

    DLL のブロックを解除する方法を示すスクリーンショット。

  7. Windows PowerShell アプリで、次のように入力します。

    Import-Module c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471\Microsoft.Graph.Intune.psd1

    信頼されていない発行元からの実行を求められたら、「」と入力 R します。

  8. Intune管理用テンプレートでは、Graph のベータ 版が使用されます。

    1. 入力: Update-MSGraphEnvironment -SchemaVersion 'beta'

    2. 入力: Connect-MSGraph -AdminConsent

    3. メッセージが表示されたら、同じ Microsoft 365 管理者アカウントでサインインします。 これらのコマンドレットは、テナント organizationにポリシーを作成します。

      ユーザー: Microsoft 365 テナント サブスクリプションの管理者アカウントを入力します。
      パスワード: パスワードを入力します。

    4. [同意する] を選択します。

  9. テスト構成構成プロファイルを作成します。 入力:

    $configuration = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations -Content '{"displayName":"Test Configuration","description":"A test configuration created through PS"}' -HttpMethod POST

    これらのコマンドレットが成功すると、プロファイルが作成されます。 確認するには、Intune管理センター>の [デバイス>の構成] に移動します。 テスト構成プロファイルが一覧表示されます。

  10. すべての SettingDefinitions を取得します。 入力:

    $settingDefinitions = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions -HttpMethod GET

  11. 設定の表示名を使用して定義 ID を見つけます。 入力:

    $desiredSettingDefinition = $settingDefinitions.value | ? {$_.DisplayName -Match "Silently sign in users to the OneDrive sync app with their Windows credentials"}

  12. 設定を構成します。 入力:

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues" -Content ("{""enabled"":""true"",""configurationType"":""policy"",""definition@odata.bind"":""https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions('$($desiredSettingDefinition.id)')""}") -HttpMethod POST

    Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -Content ("{""enabled"":""false""}") -HttpMethod PATCH

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -HttpMethod GET

ポリシーを確認する

  1. Intune管理センター>のデバイス>構成>の更新
  2. テスト構成プロファイル>の設定を選択します。
  3. ドロップダウン リストで、[ すべての製品] を選択します。

[Windows 資格情報を使用してユーザーをOneDrive 同期 クライアントにサイレント サインインする] 設定が構成されていることを確認できます。

ポリシーのベスト プラクティス

Intuneでポリシーとプロファイルを作成するときは、いくつかの推奨事項とベスト プラクティスを考慮する必要があります。 詳細については、「 ポリシーとプロファイルのベスト プラクティス」を参照してください

リソースをクリーンアップする

不要になった場合は、次のことができます。

  • 作成したグループを削除します。

    • すべてのWindows 10学生デバイス
    • すべての Windows デバイス
    • すべての教師

  • 作成した管理テンプレートを削除します。

    • 管理 テンプレート - 学生のデバイスをWindows 10する
    • 管理 テンプレート - すべてのWindows 10 ユーザーに適用される OneDrive ポリシー
    • テスト構成

  • Windows PowerShell実行ポリシーを元の値に戻します。 次の例では、実行ポリシーを Restricted に設定します。

    Set-ExecutionPolicy -ExecutionPolicy Restricted

次の手順

このチュートリアルでは、Microsoft Intune管理センターの知識を深め、クエリ ビルダーを使用して動的グループを作成し、Intuneで管理テンプレートを作成して ADMX 設定を構成しました。 また、オンプレミスとクラウドの ADMX テンプレートを使用して、Intuneと比較しました。 ボーナスとして、PowerShell コマンドレットを使用して管理テンプレートを作成しました。

Intuneの管理テンプレートの詳細については、次のページを参照してください。

Windows 10/11 テンプレートを使用して、Intuneでグループ ポリシー設定を構成する