ガイド付きシナリオ - クラウド構成のWindows 10/11

クラウド構成の Windows 10/11 は、Microsoft によって推奨されるデバイス構成です。 Windows 10/11 Professional、Enterprise、およびEducation デバイスをクラウドに最適化されたデバイスに変えることができます。

次の場合に最適です。

• 現場担当者
• リモート ワーカー
• 生産性やブラウズなど、特化されたワークフロー ニーズを持つその他のユーザー

クラウド構成では、これらのデバイスを使いやすくし、Microsoft が推奨するセキュリティ機能によってこれらのデバイスを保護します。

クラウド構成をデプロイするには、次の 2 つの方法があります。

• オプション 1 - 自動 (この記事): この記事で説明されているガイド付きシナリオを使用して、構成された値を使用してすべてのグループとポリシーを自動的に作成します。
• オプション 2 - 手動: すべてのポリシーを手動で作成するなど、段階的なセットアップ ガイドを使用してクラウド構成を自分でデプロイします。 このオプションの詳細については、「 Windows クライアント クラウド構成設定ガイド」を参照してください。

クラウド構成の Windows 10/11 で:

• 新しいデバイスを構成したり、既存のハードウェアを再利用したりできます。
• エンド ユーザーは使いやすく、使い慣れた Windows エクスペリエンスを利用できます。
• 管理者はデバイス全体に統一されたデバイス構成を適用でき、管理とトラブルシューティングが容易になります。
• リソースの名前をカスタマイズして、簡単に表示して監視できるようにすることができます。

ヒント

クラウド構成のWindows 10/11 に関するより包括的なガイドについては、「クラウド構成のWindows 10/11」を参照してください。

このガイド付きシナリオの内容

Microsoft Intuneを使用すると、ガイド付きシナリオを使用してクラウド構成をデプロイできます。 ガイド付きシナリオでは、次のリソースを含む、必要なすべてのリソースが自動的に作成されます。

• 新しいMicrosoft Entra セキュリティ グループを作成するか、既存のMicrosoft Entraセキュリティ グループを使用します。

• Microsoft Edge および Microsoft Teams アプリを展開します。 これらのアプリを個別にデプロイする方法の詳細については、次のページを参照してください。

  • Microsoft Edge for Windows 10/11 を追加する
  • Microsoft 365 アプリを Windows 10/11 デバイスに追加する

• すでに構成されている推奨セキュリティ設定を使用して、Windows 10/11 セキュリティ ベースライン ポリシーを作成します。

  セキュリティ ベースラインとその機能の詳細については、「 セキュリティ ベースラインを使用して Windows クライアント デバイスを構成する」を参照してください。

• Microsoft Intune にデバイスを自動的に登録する Windows Autopilot 登録プロファイルを作成します。

  独自の Windows Autopilot プロファイルの作成の詳細については、「 Autopilot プロファイルの構成」を参照してください。

• Windows Autopilot 登録状態ページ (ESP) をオンにして構成します。 このページでは、ユーザーに登録の進行状況が表示されます。

  ESP の詳細については、「 登録状態の設定」ページを参照してください。

• [既知のフォルダー移動] 設定を使用して OneDrive を構成する管理用テンプレートを作成します。 これらの設定を使用すると、ユーザー ファイルとデータが自動的に OneDrive に保存されます。

  この設定の詳細については、「 リダイレクトと Windows の既知のフォルダーの移動」を参照してください。

• Microsoft Edge アプリでいくつかの SmartScreen 設定を構成する管理用テンプレートを作成します。 独自のプロファイルの作成の詳細については、「 Microsoft Edge ポリシー設定の構成」を参照してください。

• コンプライアンスと正常性を監視するコンプライアンス ポリシーを作成します。 ユーザーは、準拠していないデバイスを使用して、リソースにアクセスすることができます。 組織が準拠していないデバイスへのアクセスをブロックしている場合は、アクセスをブロックする別のコンプライアンス ポリシーを作成し、同じグループに割り当てます。

  独自に構成できるコンプライアンス設定の詳細については、「Windows クライアント設定」を参照 して、デバイスを準拠または非準拠としてマークします。

• 組み込みアプリを削除し、[スタート] メニューを簡略化する Windows PowerShell スクリプトを展開します。

  Intune の PowerShell スクリプトの詳細については、「 Windows クライアント デバイスで PowerShell スクリプトを使用する」を参照してください。

• Windows クライアントの更新リング ポリシーを作成します。 このポリシーにより、製品の更新プログラム、ドライバー、Windows の更新プログラムなど、デバイスが自動的に更新されます。

  更新リングとポリシーの作成の詳細については、「 Windows クライアント デバイスのリングを更新する」を参照してください。

ヒント

このガイド付きシナリオでは、これらすべてのリソースが自動的に作成されます。 独自に個別のリソースを作成し、ガイド付きシナリオを使用しない場合は、そのようにしてもかまいません。 具体的な手順については、 クラウド構成の概要とセットアップ ガイドにアクセスしてください。

前提条件

• ガイド付きシナリオを作成するアカウントには、最低でも以下のライセンスが必要です:

  • Microsoft Entra ID P1
  • Microsoft Intune
  • Microsoft Teams
  • OneDrive for Business
  • Windows 10 Pro
  • Windows 11 Pro

  これらのサービスはすべて Microsoft 365 E3 ライセンスに含まれています。 追加のセキュリティ オプションと機能のために、Microsoft 365 E5 ライセンスを使用することをお勧めします。 organizationに適したライセンスを決定するには、「Microsoft 365 を使用してエンタープライズを変革する」を参照してください。

• MDM 機関を Intune に設定する。 モバイル デバイス管理 (MDM) 機関の設定により、デバイスの管理方法を決定します。 IT 管理者が MDM 機関を設定してからでないと、ユーザーは管理対象のデバイスを登録できません。

• Windows クライアント デバイスの自動登録を有効にします。 詳細については、次を参照してください:

  • クイック スタート: Windows クライアント デバイスの自動登録を設定する
  • Windows 10/11 の自動登録を有効にする

• Intune サービス管理者 (Intune 管理者 とも呼ばれます) としてサインインする。 Intune のロールの詳細については、「ロールベースのアクセス制御 (RBAC) with Microsoft Intune」を参照してください。

ステップ 1 - 概要

ガイド付きシナリオを開きます。

1. Microsoft Intune 管理センターを開きます。
2. [トラブルシューティング + サポート]>[ガイド付きシナリオ]>[Windows 10 以降をクラウド構成にデプロイする]>[開始] の順に選択します。
3. [次へ] を選択します。

ステップ 2 - 基本

登録時にデバイスにどのように名前を付けるかを指定し、作成されるすべてのリソースのプレフィックスを選択します。

• Autopilot デバイス名テンプレート: クラウド構成ガイド付きシナリオでは、デバイスが Windows Autopilot に登録されます。 登録時に、必要に応じて、すべてのデバイスに適用される一意のパターンを使用してデバイスの名前を指定できます。 次のようなオプションがあります。

  • デバイス名テンプレートを適用する: [いいえ] にすると、デバイスに名前を付けるときに、テンプレートやパターンは作成されません。 デバイスには、DESKTOP- のような OEM 名と、その後に続くいくつかのランダムな文字が設定されます。 デバイスに名前を付けるための一意のパターンを作成するには、[はい] を選択します。 たとえば、Contoso-%RAND:7% と入力して、すべてのデバイスに Contoso- と、その後に続く 7 つのランダムな文字で名前を付けます。

    名前は次に従う必要があります。

    • 15 文字以下にする必要があります。
    • 文字 (a-z、A-Z)、数字 (0-9)、ハイフンを含めることができます。
    • 数字のみにすることはできず、空白を含めることはできません。
    • %SERIAL% マクロを使用してハードウェア固有のシリアル番号を追加できます。
    • %RAND:x% マクロを使用して、ランダムな文字列を追加できます。x は追加する文字数です。

• リソース名プレフィックス: ガイド付きシナリオをデプロイすると、複数のリソースが自動的に作成されます。 この展開で使用される項目を区別するには、プレフィックスを追加します。

  • Enter a resource prefix name (リソース プレフィックス名を入力してください): 作成される項目の先頭に付くテキストを入力します。 たとえば、「Windows cloud config」と入力します。 作成されるすべてのリソースの名前は、Windows cloud config Autopilot profile または Windows cloud config compliance policy のようになります。

  設定は次の画像のようになります:

  

• [次へ] を選択します。

ステップ 3 - アプリ

デバイスに展開するアプリを選択します。 Microsoft では、展開するアプリの数をできるだけ少なくすることをお勧めします。 アイデアは、クラウド構成デバイスをシンプルで管理しやすいものにすることです。

• クラウド構成の既定値: このガイド付きシナリオには、Microsoft Edge および Microsoft Teams アプリが自動的に含まれます。 ガイド付きシナリオを作成するときに削除することはできません。 ガイド付きシナリオが終了したら、これらのアプリを削除またはアンインストールすることができます。

  Microsoft Edge アプリを削除するには、[アプリ のアンインストール] に移動します。

• 追加の M365 アプリ (省略可能) を選択します。一覧から、デバイスに必要な他の Microsoft 365 アプリを追加します。 リストはなるべく小さくし、ユーザーが必要とするアプリのみを含めてください。 デバイスをシンプルに保つようにしましょう。

  ヒント

  一覧表示されていないアプリを追加したり、基幹業務アプリを追加したりするには、このガイド付きシナリオを完了します。 次に、 Intune 管理センターで、[ アプリ] に移動し、ポリシーを作成します。 このクラウド構成ガイド付きシナリオを展開したものと同じグループにアプリ ポリシーを展開します。 アプリの追加の詳細については、「アプリをMicrosoft Intuneに追加する」を参照してください。

• [次へ] を選択します。

ステップ 4 - 割り当て

このガイド付きシナリオを受け取るグループと、作成されるすべてのリソースを選択します。

• 新しいグループの作成: 新しいグループを作成し、このグループにガイド付きシナリオのポリシーを展開します。 このグループに追加されたデバイスは、このガイド付きシナリオの受け取りを開始します。

  • グループ名: グループ名を入力します。 たとえば、「Cloud configured devices」と入力します。

• 既存のグループを選択します: 既存のグループを選択します。 ガイド付きシナリオのポリシーがこのグループに展開されます。

• [次へ] を選択します。

ステップ 5 - レビューと展開

構成した設定と値の概要が表示されます。 他のタブに戻り、追加した値を変更することができます。

次のプロパティを確認します。

• これから作成する構成: このオプションを展開して、ポリシーを含め、作成されるすべてのリソースを表示します。

• 展開: このオプションを選択すると、変更が保存され、ガイド付きシナリオが展開されます。 追加したグループが、このガイド付きシナリオ内のポリシーを受信します。

  Intune 管理センターでリソースが作成されると、次の図のように状態が表示されます。

  

エラーが発生した場合は、ガイド付きシナリオは展開されず、すべての変更が元に戻されます。 クラウド構成の概要とセットアップ ガイドも、役に立つリソースです。

正常に展開されたら、Intune 管理センターで監視とレポート機能を使用できます。

• Intune レポート
• デバイス プロファイルを監視する
• セキュリティのベースラインとプロファイルを監視する

知っておく必要があること

• グループ内にデバイスが存在する前に、ガイド付きシナリオを完了させることができます。 デバイスがグループに追加され、インターネットにアクセスできる場合、このガイド付きシナリオ内のポリシーの受け取りが自動的に開始されます。

  以下のことも実行できます。

  • 事前登録済みの Windows Autopilot デバイスをグループに追加する。 ポリシーを登録または適用する前に、グループに追加します。
  • すでに登録されている既存の Windows クライアント デバイスを追加します。 Microsoft では、これらのデバイスを対象とした他のアプリとプロファイルを削除することをお勧めします。 これらをグループに追加したら、デバイスをリセットして、クラウド構成のみを適用した状態にします。

  ポリシーの更新時間については、「Microsoft Intuneのデバイス ポリシーに関する一般的な質問と回答」を参照してください。

• Microsoft では、クラウド構成の設定とアプリのみを割り当てることをお勧めします。 このガイド付きシナリオを展開した後、証明書、VPN プロファイル、基幹業務アプリなど、その他の必要なリソースを追加することができます。 このガイド付きシナリオと同じグループにこれらのポリシーを展開してください。 リストはなるべく小さくし、ユーザーが必要とするリソースのみを含めてください。

• 共有デバイスにOneDrive 同期の問題があるため、Microsoft では、共有デバイスを使用したクラウド構成で Windows 10/11 を使用することはお勧めしません。 共有デバイスでは、通常、複数のユーザーがサインインとサインアウトを行います。

• ガイド付きシナリオが展開されたら、ポリシーにアクセスして、設定と構成された値を確認できます。 必要に応じて、これらの設定を別の値に変更できます。

• ガイド付きシナリオの設定をデバイスから削除するには、クラウド構成ガイド付きシナリオで作成された各ポリシーにアクセスします。 設定を [未構成] に構成します。 このガイド付きシナリオと同じグループに、各ポリシーをもう一度展開します。

  次回デバイスがチェックインしたときに、その設定はロックされなくなります。 その後、別のポリシー (場合によってはエンド ユーザー) によって設定を変更できます。 設定が、ガイド付きシナリオで設定される値と同じになる可能性があります。

  これで、このガイド付きシナリオで作成された個々の項目 (アプリ、ポリシー、Windows PowerShell スクリプト、グループなど) を削除できます。

関連コンテンツ

• ガイド付きのシナリオの概要
• Windows クライアント クラウド構成のステップ バイ ステップ セットアップ ガイド