Intune からのエンドポイント セキュリティ ポリシーをサポートするようにテナントアタッチを構成する

  • [アーティクル]

Configuration Manager テナント接続シナリオを使用する場合、Intune から、Configuration Managerで管理するデバイスにエンドポイント セキュリティ ポリシーを展開できます。 このシナリオを使用するには、まず、Configuration Managerのテナントアタッチを構成し、Intune で使用するためにConfiguration Managerからデバイスのコレクションを有効にする必要があります。 コレクションの使用が有効になった後、Microsoft Intune管理センターを使用してポリシーを作成して展開します。

テナントアタッチに Intune ポリシーを使用するための要件

Configuration Manager デバイスでの Intune エンドポイント セキュリティ ポリシーの使用をサポートするには、Configuration Manager環境で次の構成が必要です。 構成ガイダンス は、この記事で提供されます。

テナントアタッチの一般的な要件

  • テナントアタッチの構成 - テナント接続シナリオでは、デバイスをConfiguration ManagerからMicrosoft Intune管理センターに同期します。 その後、管理センターを使用して、サポートされているポリシーをこれらのコレクションに展開できます。

    多くの場合、テナントアタッチは共同管理で構成されますが、テナントアタッチは独自に構成できます。

  • Configuration Managerデバイスとコレクションを同期する – テナントアタッチを構成したら、管理センターと同期するConfiguration ManagerデバイスMicrosoft Intune選択できます。 後で戻って、同期するデバイスを変更することもできます。

    同期するデバイスを選択したら、Intune のエンドポイント セキュリティ ポリシーで使用するコレクションを 有効にする 必要があります。 Configuration Manager デバイスでサポートされているポリシーは、有効にしたコレクションにのみ割り当てることができます。

  • Microsoft Entra ID へのアクセス許可 - テナントアタッチのセットアップを完了するには、アカウントに Azure サブスクリプションに対するグローバル管理者アクセス許可が必要です。

  • Microsoft Defender for Endpointのテナント – Microsoft Defender for Endpoint テナントは、Microsoft Intune テナント (プラン 1 サブスクリプションMicrosoft Intune) と統合する必要があります。 Intune のドキュメントの「Microsoft Defender for Endpointを使用する」を参照してください。

Intune エンドポイント セキュリティ ポリシーのバージョン要件をConfiguration Managerする

ウイルス対策

テナントアタッチを使用する場合は、Configuration Managerデバイスのウイルス対策設定を管理します。

ポリシー パス:

  • エンドポイント セキュリティ>ウイルス対策>Windows 10、Windows 11、および Windows Server (ConfigMgr)

プロファイル:

  • Microsoft Defender ウイルス対策 (プレビュー)
  • Windows セキュリティ エクスペリエンス (プレビュー)

必要なバージョンのConfiguration Manager:

  • Configuration Manager現在のブランチ バージョン 2006 以降

サポートされているConfiguration Managerデバイス プラットフォーム:

  • Windows 8.1 (x86、x64)、Configuration Manager バージョン 2010 以降
  • Windows 10 以降 (x86、x64、ARM64)
  • Windows 11 以降 (x86、x64、ARM64)
  • Windows Server 2012 R2 (x64)、Configuration Manager バージョン 2010 以降
  • Windows Server 2016 以降 (x64)

重要

2022 年 10 月 22 日、Microsoft IntuneはWindows 8.1を実行しているデバイスのサポートを終了しました。 これらのデバイスのテクニカル アシスタンスと自動更新は利用できません。

現在Windows 8.1を使用している場合は、Windows 10/11 デバイスに移行することをお勧めします。 Microsoft Intuneには、Windows 10/11 クライアント デバイスを管理する組み込みのセキュリティ機能とデバイス機能があります。

エンドポイントの検出および応答

テナントアタッチを使用する場合は、Configuration Managerデバイスのエンドポイント検出と応答ポリシー設定を管理します。

ポリシー パス:

  • エンドポイント セキュリティ > エンドポイントの検出と応答>のWindows 10、Windows 11、および Windows Server (ConfigMgr)

プロファイル:

  • エンドポイントの検出と応答 (ConfigMgr) (プレビュー)

必要なバージョンのConfiguration Manager:

  • Configuration Manager現在のブランチ バージョン 2002 以降、コンソール内更新プログラム Configuration Manager 2002 修正プログラム (KB4563473)
  • Configuration Manager テクニカル プレビュー 2003 以降

サポートされているConfiguration Managerデバイス プラットフォーム:

  • Windows 8.1 (x86、x64)、Configuration Manager バージョン 2010 以降
  • Windows 10 以降 (x86、x64、ARM64)
  • Windows 11 以降 (x86、x64、ARM64)
  • Windows Server 2012 R2 (x64)、Configuration Manager バージョン 2010 以降
  • Windows Server 2016 以降(x64)

重要

2022 年 10 月 22 日、Microsoft IntuneはWindows 8.1を実行しているデバイスのサポートを終了しました。 これらのデバイスのテクニカル アシスタンスと自動更新は利用できません。

現在Windows 8.1を使用している場合は、Windows 10/11 デバイスに移行することをお勧めします。 Microsoft Intuneには、Windows 10/11 クライアント デバイスを管理する組み込みのセキュリティ機能とデバイス機能があります。

ファイアウォール

Configuration Managerによって管理されるデバイスのサポートはプレビュー段階です。

テナントアタッチを使用する場合は、Configuration Manager デバイスのファイアウォール ポリシー設定を管理します。

ポリシー パス:

  • エンドポイント セキュリティ > ファイアウォール > Windows 10以降

プロファイル:

  • Windows ファイアウォール (ConfigMgr)

必要なバージョンのConfiguration Manager:

  • Configuration Manager現在のブランチ バージョン 2006 以降、コンソール内更新プログラム Configuration Manager 2006 修正プログラム (KB4578605)

サポートされているConfiguration Managerデバイス プラットフォーム:

  • Windows 11 以降 (x86、x64、ARM64)
  • Windows 10 以降 (x86、x64、ARM64)

Intune ポリシーをサポートするようにConfiguration Managerを設定する

Intune ポリシーをConfiguration Managerデバイスに展開する前に、次のセクションで詳しく説明する構成を完了してください。 これらの構成は、Microsoft Defender for Endpointを使用してConfiguration Managerデバイスをオンボードし、Intune ポリシーを操作できるようにします。

次のタスクは、Configuration Manager コンソールで完了します。 Configuration Managerに慣れていない場合は、Configuration Manager管理者と協力してこれらのタスクを完了してください。

  1. Configuration Manager環境を確認する
  2. テナントの接続とデバイスの同期を構成する
  3. 同期するデバイスを選択する
  4. エンドポイント セキュリティ ポリシーのコレクションを有効にする

ヒント

Configuration ManagerでMicrosoft Defender for Endpointを使用する方法の詳細については、Configuration Managerコンテンツの次の記事を参照してください。

タスク 1: Configuration Manager環境を確認する

Configuration Manager デバイスの Intune ポリシーでは、ポリシーが最初にリリースされたタイミングに応じて、Configuration Managerの最小バージョンが異なる必要があります。 この記事で前述した Intune エンドポイント セキュリティ ポリシーのConfiguration Managerバージョン要件を確認して、使用する予定のポリシーが環境でサポートされていることを確認します。 Configuration Managerのより新しいバージョンでは、以前のバージョンを必要とするポリシーがサポートされています。

Configuration Manager修正プログラムが必要な場合は、Configuration Managerのコンソール内更新プログラムとして修正プログラムを見つけることができます。 詳細については、Configuration Managerドキュメントの「コンソール内の更新プログラムをインストールする」を参照してください。

必要な更新プログラムをインストールしたら、ここに戻り、Microsoft Intune管理センターからエンドポイント セキュリティ ポリシーをサポートするように環境の構成を続行します。

タスク 2: テナントの接続とデバイスの同期を構成する

テナントアタッチでは、Microsoft Intune管理センターと同期するConfiguration Manager展開からのデバイスのコレクションを指定します。 コレクションが同期されたら、管理センターを使用してそれらのデバイスに関する情報を表示し、Intune からエンドポイント セキュリティ ポリシーを展開します。

テナント接続シナリオの詳細については、「Configuration Manager コンテンツでテナントアタッチを有効にする」を参照してください。

共同管理が有効になっていないときにテナントアタッチを有効にする

ヒント

Configuration Manager コンソールの共同管理構成ウィザードを使用してテナントアタッチを有効にしますが、共同管理を有効にする必要はありません。

共同管理を有効にする予定の場合は、続行する前に、共同管理、その前提条件、ワークロードの管理方法について理解しておいてください。 Configuration Managerドキュメントの「共同管理とは」を参照してください。

  1. Configuration Manager管理コンソールで、[管理>の概要>>Cloud Services Co-management] に移動します。

  2. リボンで、[共同管理の構成] を選択してウィザードを開きます。

  3. [テナントのオンボード] ページで、お客様の環境のAzurePublicCloud を選択します。 クラウドAzure Governmentサポートされていません。

    1. [サインイン] を選びます。 グローバル管理者 アカウントを使用してサインインします。

    2. [テナントオンボード] ページで、[管理センターにアップロードMicrosoft Intuneオプションが選択されていることを確認します。

    3. [共同管理の自動クライアント登録を有効にする] からチェックを削除します。

      このオプションを選択すると、ウィザードによって追加のページが表示され、共同管理のセットアップが完了します。 詳細については、「Configuration Manager コンテンツで共同管理を有効にする」を参照してください。

      テナントアタッチを構成する

  4. [次へ] を選択し、[はい] を選択して、[アプリケーションの作成] 通知Microsoft Entra受け入れます。 このアクションは、サービス プリンシパルをプロビジョニングし、Microsoft Intune管理センターへのコレクションの同期を容易にするために、Microsoft Entra アプリケーション登録を作成します。

  5. [アップロードの構成] ページで、同期するデバイスのコレクションを構成します。構成をデバイス コレクションに制限することも、Microsoft Endpoint Configuration Managerによって管理されているすべてのデバイスに対して推奨されるデバイスアップロード設定を使用することもできます。

    ヒント

    今すぐコレクションの選択をスキップし、後でタスク 3 の次のタスクの情報を使用して、Microsoft Intune管理センターと同期するデバイスのコレクションを構成できます。

  6. [ 概要] を選択して選択内容を確認し、[ 次へ] を選択します。

  7. 更新が完了したら、[閉じる] を選択します。

テナントアタッチが構成され、選択したデバイスが管理センター Microsoft Intune同期されます。

共同管理を既に使用している場合にテナントアタッチを有効にする

  1. Configuration Manager管理コンソールで、[管理>の概要>>Cloud Services Co-management] に移動します。

  2. 共同管理設定を右クリックし、[プロパティ] を選択 します

  3. [アップロードの構成] タブで、管理センターにアップロードMicrosoft Intune選択し、[適用] を選択します。

    デバイスのアップロードの既定の設定は Microsoft Endpoint Configuration Manager によって管理されているすべてのデバイスです。 構成を 1 つまたは複数のデバイス コレクションに制限することもできます。

    [共同管理プロパティ] タブを表示する

  4. メッセージが表示されたら、ご利用の "全体管理者" アカウントを使用してサインインします。

  5. [はい] を選択して、[アプリケーションの作成] 通知Microsoft Entra受け入れます。 このアクションは、サービス プリンシパルをプロビジョニングし、同期を容易にするためにMicrosoft Entraアプリケーション登録を作成します。

  6. 変更が完了した場合は、[ OK] を 選択して共同管理プロパティを終了します。 それ以外の場合は、タスク 3 に移動して、Microsoft Intune管理センターへのデバイスのアップロードを選択的に有効にします。

    テナントアタッチが構成され、選択したデバイスが管理センター Microsoft Intune同期されます。

タスク 3: 同期するデバイスを選択する

テナント接続が構成されている場合は、同期するデバイスを選択できます。まだデバイスを同期していない場合、または同期するデバイスを再構成する必要がある場合は、Configuration Manager コンソールで共同管理のプロパティを編集して、同期を行うことができます。

アップロードするデバイスを選択する

  1. Configuration Manager管理コンソールで、[管理>の概要>>Cloud Services Co-management] に移動します。

  2. 共同管理設定を右クリックし、[プロパティ] を選択 します

  3. [アップロードの構成] タブで、管理センターにアップロードMicrosoft Intune選択し、[適用] を選択します。

    デバイスのアップロードの既定の設定は Microsoft Endpoint Configuration Manager によって管理されているすべてのデバイスです。 構成を 1 つまたは複数のデバイス コレクションに制限することもできます。

タスク 4: エンドポイント セキュリティ ポリシーのコレクションを有効にする

管理センター Microsoft Intune同期するようにデバイスを構成した後、コレクションがエンドポイント セキュリティ ポリシーを操作できるようにする必要があります。 デバイスのコレクションが Intune のエンドポイント セキュリティ ポリシーで動作するようにすると、構成されたコレクションをエンドポイント セキュリティ ポリシーの対象として使用できるようになります。

エンドポイント セキュリティ ポリシーで使用するコレクションを有効にする

  1. 最上位のサイトに接続されているConfiguration Managerコンソールから、管理センターに同期するデバイス コレクションMicrosoft Intune右クリックし、[プロパティ] を選択します

  2. [Cloud Sync]\(クラウド同期\) タブで、[このコレクションを管理センターからエンドポイント セキュリティ ポリシーを割り当てる] オプションMicrosoft Intune有効にします。

    クラウド同期を構成する

  3. [追加] を選択し、メンバーシップの収集結果と同期するMicrosoft Entra グループを選択します。

  4. [ OK] を選択 して構成を保存します。

    このコレクション内のデバイスは、Microsoft Defender for Endpointでオンボードできるようになり、Intune エンドポイント セキュリティ ポリシーの使用がサポートされるようになりました。

コネクタの状態を表示する

Configuration Manager コネクタは、Configuration Manager の実装に関する詳細を提供します。 Microsoft Intune管理センターから、最後に成功した同期時刻や接続状態など、Configuration Manager コネクタに関する詳細を確認できます。

Configuration Manager コネクタの状態を表示するには、次の操作を行います。

  1. 管理センター Microsoft Intuneサインインします

  2. [テナント管理]>[コネクタとトークン]>[Microsoft Endpoint Configuration Manager] を選択します。 バージョン 2006 以降を実行する Configuration Manager 階層を選択して、その追加情報を表示します。

    Configuration Manager コネクタの状態を表示する

    注:

    階層が Configuration Manager バージョン 2006 以前を実行している場合、一部の情報は使用できません。

Microsoft IntuneからConfiguration Managerへの接続が正常であることを確認したら、テナントをConfiguration Managerに正常にアタッチしました。

オンプレミスのデバイスの詳細を表示する

Microsoft Intune管理センターでは、コレクション、境界グループ メンバーシップ、特定のデバイスのクライアント情報など、Configuration Managerクライアントの詳細を表示できます。

デバイスに基づいてクライアントの詳細を表示する

特定のデバイスのクライアントの詳細を表示するには、次の手順に従います。

  1. ブラウザーで、管理センター Microsoft Intune移動します

  2. [デバイス]>[すべてのデバイス] を選択します。

    テナント接続を使用してアップロードされたデバイスは、Managed by 列に ConfigMgr と表示されます。

    Microsoft Intune - すべてのデバイス

  3. テナントアタッチを介して構成マネージャーから同期されるデバイスを選択します。

  4. [ クライアントの詳細] を選択して、詳細を表示します。

    1 時間に 1 回、次のフィールドが更新されます。

    • 最後のポリシー要求
    • 最終アクティブ時間
    • 管理ポイント

    Microsoft Intune管理センターのクライアントの詳細

  5. [ コレクション] を 選択して、クライアントの コレクションを一覧表示します。

    コレクションは、管理しやすい単位にリソースを整理するのに役立ちます。

    管理センターのクライアント コレクションMicrosoft Intune

ユーザーに基づいてデバイスの一覧を表示する

ユーザーに属するデバイスの一覧を表示するには、次の手順に従います。

  1. ブラウザーで、管理センター Microsoft Intune移動します

  2. [トラブルシューティングとサポート>] [トラブルシューティング][ユーザーの選択] の順>に選択します。

    既に表示されているユーザーがいる場合は、[ユーザーを変更]を選択して別のユーザーを選択します。

  3. 表示されているユーザーを検索または選択し、[ 選択] をクリックします。

    [デバイス]の表には、ユーザーに関連付けられている構成マネージャーデバイスが一覧表示されます。

クライアントの詳細とテナントのアタッチの表示の詳細については、「テナントアタッチ: 管理センターでの ConfigMgr クライアントの詳細」を参照してください。

オンプレミスのデバイス データを表示する

Microsoft Intune管理センターから、リソース エクスプローラーを使用して、アップロードされたConfiguration Managerデバイスのハードウェア インベントリを表示できます。

リソース エクスプローラーからデバイス データを表示するには:

  1. ブラウザーで、管理センター Microsoft Intune移動します

  2. [デバイス]>[すべてのデバイス] を選択します。

  3. テナントアタッチを介して構成マネージャーから同期されるデバイスを選択します。

    テナント接続を介して同期されたデバイスは、Managed by 列に ConfigMgr と表示されます。 また、デバイスは、Configuration Managerと Intune の両方が適用されるときに共同管理を表示し、Intune 管理のみが適用される場合は Intune を表示することもできます。

  4. [リソース エクスプローラー] を選択してハードウェア インベントリを表示します。

  5. クライアントから情報を取得するクラス (デバイス値) を検索または選択します。

    管理センターのリソース エクスプローラー Microsoft Intune

リソース エクスプローラーでは、Microsoft Intune管理センターでデバイス インベントリの履歴ビューを表示できます。 トラブルシューティングを行うときは、インベントリの履歴データを使用すると、デバイスの変更に関する貴重な情報を提供できます。

  1. Microsoft Intune管理センターで、リソース エクスプローラーがまだ選択されていない場合は選択します。

  2. クラス (デバイス値) を選択します。

  3. 履歴インベントリ データを取得するには、日付時刻ピッカーにカスタム日付を入力します。

    Microsoft Intune管理センターでリソース エクスプローラーから日付を選択するスクリーンショット

  4. リソース エクスプローラーを閉じ、リソース エクスプローラーの右上にあるアイコンを X 選択してデバイス情報に戻ります。

    管理センターの x アイコンを使用してリソース エクスプローラー Microsoft Intune閉じる

テナントアタッチ デバイスのデバイス データの表示の詳細については「テナントアタッチ: 管理センターのリソース エクスプローラー」を参照してください。

オンプレミスのアプリ管理を表示する

Microsoft Intune管理センターから、テナントに接続されたデバイスに対してアプリケーションのインストールをリアルタイムで開始できます。 アプリケーションは、デバイスまたはユーザーに展開できます。 また、アプリケーションを修復、再評価、再インストール、またはアンインストールすることもできます。

オンプレミス デバイスにアプリケーションをインストールするには、次の手順に従います。

  1. ブラウザーで、管理センター Microsoft Intune移動します

  2. [デバイス]>[すべてのデバイス] を選択します。

  3. テナントアタッチを介して構成マネージャーから同期されるデバイスを選択します。

    前に説明したように、テナント経由で同期するデバイスでは、Managed by 列に ConfigMgr が表示されます。 デバイスは、Configuration Managerと Intune の両方が適用されると共同管理され、Intune 管理のみが適用される場合は Intune を表示します。

  4. [ アプリケーション] を選択して、該当するアプリの一覧を表示します。

  5. インストールされていないアプリケーションを選択 し、[インストール] を選択します。

    管理センターからのアプリケーションのインストールMicrosoft Intuneスクリーンショット

アプリケーションとテナントアタッチの詳細については、「テナントアタッチ: 管理センターからアプリケーションをインストールする」を参照してください。

オンプレミススクリプトを表示する

クラウドから PowerShell スクリプトを個々の構成マネージャーマネージド デバイスに対してリアルタイムで実行できます。 また、ヘルプデスクなどの他のペルソナに PowerShell スクリプトの実行を許可することもできます。 これにより、この新しい環境で使用するために、Configuration Manager管理者によって定義および承認される PowerShell スクリプトのすべての利点が得られます。

  1. ブラウザーで、管理センター Microsoft Intune移動します

  2. [デバイス]>[すべてのデバイス] を選択します。

  3. テナントアタッチを介して構成マネージャーから同期されるデバイスを選択します。

    前に説明したように、テナント経由で同期するデバイスでは、Managed by 列に ConfigMgr が表示されます。 デバイスは、Configuration Managerと Intune の両方が適用されると共同管理され、Intune 管理のみが適用される場合は Intune を表示します。

  4. [ スクリプト] を選択して、使用可能なスクリプトの一覧を表示します。

    デバイスを直接対象とする最近実行されたスクリプトが一覧表示されます。 一覧には、管理センター、SDK、または構成マネージャー コンソールから実行されるスクリプトが含まれています。 Configuration Manager コンソールから開始された、デバイスを含むコレクションに対して開始されたスクリプトは、スクリプトが単一のデバイスに対して特に開始されていない限り表示されません。

    管理センターからのスクリプトの一覧Microsoft Intuneスクリーンショット

テナントに接続されたデバイスでスクリプトを実行する方法の詳細については「テナントアタッチ: 管理センターからスクリプトを実行する」を参照してください。

オンプレミスのデバイス イベント タイムラインを表示する

Configuration Managerテナント接続を介してデバイスを同期してMicrosoft Intuneすると、管理センター内でそれらのデバイスのイベントのタイムラインMicrosoft Intune表示できます。 このタイムラインには、問題のトラブルシューティングに役立つデバイス上の過去のアクティビティが表示されます。

1 日に 1 回Configuration Managerオンプレミスのデバイス イベントをMicrosoft Intune管理センターに送信します。 クライアントが エンドポイント分析データ収集を有効にする ポリシーを受信した後に収集されたイベントのみが管理センターに表示されます。 構成マネージャーからアプリケーションまたは更新プログラムをインストールするか、デバイスを再起動することで、テスト イベントを簡単に生成できます。 イベントは 30 日間保持されます。

注:

Microsoft Intune管理センターからタイムラインを表示するための前提条件として、Configuration Managerで [エンドポイント分析データ収集を有効にする][はい] に設定する必要があります。 デバイスタイムラインの実装の詳細については、「テナントアタッチ: 管理センターのデバイスタイムライン」を参照してください。

デバイス イベントのタイムラインを表示するには:

  1. ブラウザーで、管理センター Microsoft Intune移動します

  2. [デバイス]>[すべてのデバイス] を選択します。

  3. テナントアタッチを介して構成マネージャーから同期されるデバイスを選択します。

    前に説明したように、テナント経由で同期するデバイスでは、Managed by 列に ConfigMgr が表示されます。 デバイスは、Configuration Managerと Intune の両方が適用されると共同管理され、Intune 管理のみが適用される場合は Intune を表示します。

  4. [タイムライン] を選択します。 既定では、過去 24 時間のイベントが表示されます。

    • [同期] を選択して、クライアントで生成された最近のデータをフェッチします。 既定では、デバイスは 1 日に 1 回イベントを管理センターに送信します。
    • [フィルター] ボタンを使用して、 [時間範囲]、 [イベント レベル]、および [プロバイダー名]を変更します。
    • イベントを選択すると、詳細なメッセージを表示できます。
    • [更新]を選択してページを再読み込みし、新しく収集されたイベントを表示します。

    デバイスのイベントのタイムライン

テナントに接続されたデバイスのデバイス イベントを表示する方法の詳細については、「テナントアタッチ: 管理センターのデバイス タイムライン」を参照してください。

次の手順