Intune からのエンドポイント セキュリティ ポリシーをサポートするようにテナントアタッチを構成する
Configuration Manager テナントアタッチ シナリオを使用する場合は、Intune から Configuration Manager で管理するデバイスにエンドポイント セキュリティ ポリシーを展開できます。 このシナリオを使用するには、まず Configuration Manager のテナントアタッチを構成し、Intune で使用するために Configuration Manager からデバイスのコレクションを有効にする必要があります。 コレクションの使用が有効になった後、Microsoft Intune 管理センターを使用してポリシーを作成して展開します。
テナントアタッチに Intune ポリシーを使用するための要件
Configuration Manager デバイスでの Intune エンドポイント セキュリティ ポリシーの使用をサポートするには、Configuration Manager 環境で次の構成が必要です。 構成ガイダンス は、この記事で提供されます。
テナントアタッチの一般的な要件
テナントアタッチの構成 - テナント接続 シナリオでは、Configuration Manager から Microsoft Intune 管理センターにデバイスを同期します。 その後、管理センターを使用して、サポートされているポリシーをこれらのコレクションに展開できます。
多くの場合、テナントアタッチは共同管理で構成されますが、テナントアタッチは独自に構成できます。
Configuration Manager のデバイスとコレクションの同期 – テナントアタッチを構成したら、Configuration Manager デバイスを選択して Microsoft Intune 管理センターと同期できます。 後で戻って、同期するデバイスを変更することもできます。
同期するデバイスを選択したら、Intune のエンドポイント セキュリティ ポリシーで使用するコレクションを 有効にする 必要があります。 Configuration Manager デバイスでサポートされているポリシーは、 有効にしたコレクションにのみ割り当てることができます。
Microsoft Entra ID へのアクセス許可 - テナントアタッチのセットアップを完了するには、アカウントに Azure サブスクリプションに対するグローバル管理者アクセス許可が必要です。
Microsoft Defender for Endpoint のテナント – Microsoft Defender for Endpoint テナントは、Microsoft Intune テナント (Microsoft Intune プラン 1 サブスクリプション) と統合する必要があります。 Intune のドキュメントの 「Microsoft Defender for Endpoint を使用 する」を参照してください。
Intune エンドポイント セキュリティ ポリシーの Configuration Manager のバージョン要件
ウイルス対策
テナントアタッチを使用する場合は、 Configuration Manager デバイスのウイルス対策設定を管理します。
ポリシー パス:
- エンドポイント セキュリティ > ウイルス対策 > Windows (ConfigMgr)
プロファイル:
- Microsoft Defender ウイルス対策 (プレビュー)
- Windows セキュリティ エクスペリエンス (プレビュー)
Configuration Manager の必須バージョン:
- Configuration Manager の現在のブランチ バージョン 2006 以降
サポートされている Configuration Manager デバイス プラットフォーム:
- Configuration Manager バージョン 2010 以降のWindows 8.1 (x86、x64)
- Windows 10 以降 (x86、x64、ARM64)
- Windows 11 以降 (x86、x64、ARM64)
- Configuration Manager バージョン 2010 以降の Windows Server 2012 R2 (x64)
- Windows Server 2016 以降 (x64)
重要
2022 年 10 月 22 日、Microsoft Intune は Windows 8.1 を実行しているデバイスのサポートを終了しました。 これらのデバイスでは技術サポートや自動更新は利用できません。
現在Windows 8.1を使用している場合は、Windows 10/11 デバイスに移動します。 Microsoft Intune には、Windows 10/11 クライアント デバイスを管理するセキュリティ機能とデバイス機能が組み込まれています。
エンドポイントの検出および応答
テナントアタッチを使用するときに Configuration Manager デバイスのエンドポイント検出と応答ポリシー設定を管理するには。
プラットフォーム: Windows (ConfigMgr)
プロファイル: エンドポイントの検出と応答 (ConfigMgr)
Configuration Manager の必須バージョン:
- Configuration Manager の現在のブランチ バージョン 2002 以降、コンソール内更新プログラム Configuration Manager 2002 修正プログラム (KB4563473)
- Configuration Manager Technical Preview 2003 以降
サポートされている Configuration Manager デバイス プラットフォーム:
- Windows 8.1 (x86、x64)、Configuration Manager バージョン 2010 以降
- Windows 10 以降 (x86、x64、ARM64)
- Windows 11 以降 (x86、x64、ARM64)
- Windows Server 2012 R2 (x64)、Configuration Manager バージョン 2010 以降
- Windows Server 2016 以降(x64)
重要
2022 年 10 月 22 日、Microsoft Intune は Windows 8.1 を実行しているデバイスのサポートを終了しました。 これらのデバイスでは技術サポートや自動更新は利用できません。
現在Windows 8.1を使用している場合は、Windows 10/11 デバイスに移動します。 Microsoft Intune には、Windows 10/11 クライアント デバイスを管理するセキュリティ機能とデバイス機能が組み込まれています。
ファイアウォール
Configuration Manager によって管理されるデバイスのサポートはプレビュー段階です。
テナントアタッチを使用する場合は、 Configuration Manager デバイスのファイアウォール ポリシー設定を管理します。
ポリシー パス:
- エンドポイント セキュリティ > ファイアウォール
プロファイル:
- Windows ファイアウォール (ConfigMgr)
Configuration Manager の必須バージョン:
- Configuration Manager の現在のブランチ バージョン 2006 以降、コンソール内更新プログラム Configuration Manager 2006 修正プログラム (KB4578605)
サポートされている Configuration Manager デバイス プラットフォーム:
- Windows 11 以降 (x86、x64、ARM64)
- Windows 10 以降 (x86、x64、ARM64)
Intune ポリシーをサポートするように Configuration Manager を設定する
Intune ポリシーを Configuration Manager デバイスに展開する前に、次のセクションで詳しく説明する構成を完了してください。 これらの構成は、Microsoft Defender for Endpoint を使用して Configuration Manager デバイスをオンボードし、Intune ポリシーを操作できるようにします。
Configuration Manager コンソールでは、次のタスクが完了します。 Configuration Manager に慣れていない場合は、Configuration Manager 管理者と協力してこれらのタスクを完了してください。
ヒント
Configuration Manager で Microsoft Defender for Endpoint を使用する方法の詳細については、Configuration Manager コンテンツの次の記事を参照してください。
タスク 1: Configuration Manager 環境を確認する
Configuration Manager デバイスの Intune ポリシーでは、ポリシーが最初にリリースされたタイミングに応じて、Configuration Manager の最小バージョンが異なる必要があります。 この記事で前述した Intune エンドポイント セキュリティ ポリシーの Configuration Manager のバージョン要件 を確認して、使用する予定のポリシーが環境でサポートされていることを確認します。 Configuration Manager のより新しいバージョンでは、以前のバージョンを必要とするポリシーがサポートされています。
Configuration Manager 修正プログラムが必要な場合は、Configuration Manager のコンソール内更新プログラムとして修正プログラムを見つけることができます。 詳細については、Configuration Manager ドキュメント の「コンソール内の更新プログラムをインストール する」を参照してください。
必要な更新プログラムをインストールしたら、ここに戻り、Microsoft Intune 管理センターからのエンドポイント セキュリティ ポリシーをサポートするように環境の構成を続行します。
タスク 2: テナントの接続とデバイスの同期を構成する
テナントアタッチでは、Configuration Manager 展開からデバイスのコレクションを指定して、Microsoft Intune 管理センターと同期します。 コレクションが同期されたら、管理センターを使用してそれらのデバイスに関する情報を表示し、Intune からエンドポイント セキュリティ ポリシーを展開します。
テナント接続シナリオの詳細については、「Configuration Manager コンテンツで テナントアタッチを有効にする 」を参照してください。
共同管理が有効になっていないときにテナントアタッチを有効にする
ヒント
Configuration Manager コンソールの 共同管理構成ウィザード を使用してテナントアタッチを有効にしますが、共同管理を有効にする必要はありません。
共同管理を有効にする予定の場合は、続行する前に、共同管理、その前提条件、ワークロードの管理方法について理解しておいてください。 Configuration Manager のドキュメントの「 共同管理 とは」を参照してください。
Configuration Manager 管理コンソールで、 管理>Overview>Cloud Services>Co-management に移動します。
リボンで、[共同管理の構成] を選択してウィザードを開きます。
[テナントのオンボード] ページで、お客様の環境のAzurePublicCloud を選択します。 Azure Government クラウドはサポートされていません。
[サインイン] を選びます。 グローバル管理者 アカウントを使用してサインインします。
[テナントのオンボード] ページで[Microsoft Intune 管理センターにアップロードする] オプションが選択されていることを確認します。
[ 共同管理の自動クライアント登録を有効にする] チェック ボックスをオフにします。
このオプションを選択すると、ウィザードによって追加のページが表示され、共同管理のセットアップが完了します。 詳細については、「Configuration Manager コンテンツで 共同管理を有効にする 」を参照してください。
[ 次へ ] を選択し、[ はい ] を選択して 、Microsoft Entra アプリケーションの作成 通知を受け入れます。 このアクションは、サービス プリンシパルをプロビジョニングし、Microsoft Intune 管理センターへのコレクションの同期を容易にする Microsoft Entra アプリケーション登録を作成します。
[ アップロードの構成] ページで、同期するデバイスのコレクションを構成します。構成をデバイス コレクションに制限することも、 Microsoft Endpoint Configuration Manager によって管理されているすべてのデバイスに対して推奨されるデバイスアップロード設定を使用することもできます。
ヒント
今すぐコレクションの選択をスキップし、後で次のタスクのタスク 3 の情報を使用して、Microsoft Intune 管理センターと同期するデバイスのコレクションを構成できます。
[ 概要] を選択して選択内容を確認し、[ 次へ] を選択します。
更新が完了したら、[閉じる] を選択します。
テナントアタッチが構成され、選択したデバイスが Microsoft Intune 管理センターに同期されるようになりました。
共同管理を既に使用している場合にテナントアタッチを有効にする
Configuration Manager 管理コンソールで、 管理>Overview>Cloud Services>Co-management に移動します。
共同管理設定を右クリックし、[プロパティ] を選択 します。
[ アップロードの構成 ] タブで、[ Microsoft Intune 管理センターにアップロード] を選択し、[適用] を 選択します。
デバイスのアップロードの既定の設定は Microsoft Endpoint Configuration Manager によって管理されているすべてのデバイスです。 構成を 1 つまたは複数のデバイス コレクションに制限することもできます。
メッセージが表示されたら、ご利用の "全体管理者" アカウントを使用してサインインします。
[ はい] を 選択して、 Microsoft Entra アプリケーションの作成 通知を受け入れます。 このアクションは、サービス プリンシパルをプロビジョニングし、同期を容易にするために Microsoft Entra アプリケーション登録を作成します。
変更が完了した場合は、[ OK] を 選択して共同管理プロパティを終了します。 それ以外の場合は、タスク 3 に移動して、Microsoft Intune 管理センターへのデバイスのアップロードを選択的に有効にします。
テナントアタッチが構成され、選択したデバイスが Microsoft Intune 管理センターに同期されるようになりました。
タスク 3: 同期するデバイスを選択する
テナント接続が構成されている場合は、同期するデバイスを選択できます。デバイスをまだ同期していない場合、または同期するデバイスを再構成する必要がある場合は、Configuration Manager コンソールで共同管理のプロパティを編集して、同期を行うことができます。
アップロードするデバイスを選択する
Configuration Manager 管理コンソールで、 管理>Overview>Cloud Services>Co-management に移動します。
共同管理設定を右クリックし、[プロパティ] を選択 します。
[ アップロードの構成 ] タブで、[ Microsoft Intune 管理センターにアップロード] を選択し、[適用] を 選択します。
デバイスのアップロードの既定の設定は Microsoft Endpoint Configuration Manager によって管理されているすべてのデバイスです。 構成を 1 つまたは複数のデバイス コレクションに制限することもできます。
タスク 4: エンドポイント セキュリティ ポリシーのコレクションを有効にする
Microsoft Intune 管理センターと同期するようにデバイスを構成した後、コレクションがエンドポイント セキュリティ ポリシーを操作できるようにする必要があります。 デバイスのコレクションが Intune のエンドポイント セキュリティ ポリシーで動作するようにすると、構成されたコレクションをエンドポイント セキュリティ ポリシーの対象として使用できるようになります。
エンドポイント セキュリティ ポリシーで使用するコレクションを有効にする
最上位のサイトに接続されている Configuration Manager コンソールから、Microsoft Intune 管理センターに同期するデバイス コレクションを右クリックし、[プロパティ] を選択 します。
[ クラウド同期 ] タブで、[ このコレクションを Microsoft Intune 管理センターからエンドポイント セキュリティ ポリシーを割り当てるようにする] オプションを有効にします。
- Configuration Manager 階層がテナントにアタッチされていない場合は、このオプションを選択できません。
- このオプションで使用できるコレクションは、 テナントアタッチアップロード用に選択されたコレクション スコープによって制限されます。
[ 追加] を選択し、 メンバーシップの収集結果と同期する Microsoft Entra グループを選択します。
[ OK] を選択 して構成を保存します。
このコレクション内のデバイスは、Microsoft Defender for Endpoint でオンボードできるようになり、Intune エンドポイント セキュリティ ポリシーの使用をサポートできるようになりました。
コネクタの状態を表示する
Configuration Manager コネクタは、Configuration Manager の実装に関する詳細を提供します。 Microsoft Intune 管理センターから、最後に成功した同期時刻や接続状態など、Configuration Manager コネクタに関する詳細を確認できます。
Configuration Manager コネクタの状態を表示するには、次の操作を行います。
Microsoft Intune 管理センター にサインインします。
[テナント管理]>[コネクタとトークン]>[Microsoft Endpoint Configuration Manager] を選択します。 バージョン 2006 以降を実行する Configuration Manager 階層を選択して、その追加情報を表示します。
注:
階層が Configuration Manager バージョン 2006 以前を実行している場合、一部の情報は使用できません。
Microsoft Intune から Configuration Manager への接続が 正常であることを確認すると、テナントが Configuration Manager に正常にアタッチされました。
オンプレミスのデバイスの詳細を表示する
コレクション、境界グループ メンバーシップ、特定のデバイスのクライアント情報など、Configuration Manager クライアントの詳細を Microsoft Intune 管理センターで表示できます。
デバイスに基づいてクライアントの詳細を表示する
特定のデバイスのクライアントの詳細を表示するには、次の手順に従います。
ブラウザーで、 Microsoft Intune 管理センターに移動します。
[デバイス]>[すべてのデバイス] を選択します。
テナント接続を使用してアップロードされたデバイスは、Managed by 列に ConfigMgr と表示されます。
テナントアタッチを介して構成マネージャーから同期されるデバイスを選択します。
[ クライアントの詳細] を選択して、詳細を表示します。
1 時間に 1 回、次のフィールドが更新されます。
- 最後のポリシー要求
- 最終アクティブ時間
- 管理ポイント
[ コレクション] を 選択して、クライアントの コレクションを一覧表示します。
コレクションは、管理しやすい単位にリソースを整理するのに役立ちます。
ユーザーに基づいてデバイスの一覧を表示する
ユーザーに属するデバイスの一覧を表示するには、次の手順に従います。
ブラウザーで、 Microsoft Intune 管理センターに移動します。
[ トラブルシューティングとサポート>Troubleshoot>ユーザーの選択] を選択します。
既に表示されているユーザーがいる場合は、[ユーザーを変更]を選択して別のユーザーを選択します。
表示されているユーザーを検索または選択し、[ 選択] をクリックします。
[デバイス]の表には、ユーザーに関連付けられている構成マネージャーデバイスが一覧表示されます。
クライアントの詳細とテナントのアタッチの表示の詳細については、「テナントアタッチ: 管理センターでの ConfigMgr クライアントの詳細」を参照してください。
オンプレミスのデバイス データを表示する
Microsoft Intune 管理センターから、リソース エクスプローラーを使用して、アップロードされた Configuration Manager デバイスのハードウェア インベントリを表示できます。
リソース エクスプローラーからデバイス データを表示するには:
ブラウザーで、 Microsoft Intune 管理センターに移動します。
[デバイス]>[すべてのデバイス] を選択します。
テナントアタッチを介して構成マネージャーから同期されるデバイスを選択します。
テナント接続を介して同期されたデバイスは、Managed by 列に ConfigMgr と表示されます。 デバイスは、Configuration Manager と Intune の両方が適用されるときに 共同管理 を表示し、Intune 管理のみが適用される場合は Intune を表示することもできます。
[リソース エクスプローラー] を選択してハードウェア インベントリを表示します。
クライアントから情報を取得するクラス (デバイス値) を検索または選択します。
リソース エクスプローラーでは、Microsoft Intune 管理センターでデバイス インベントリの履歴ビューを表示できます。 トラブルシューティングを行うときは、インベントリの履歴データを使用すると、デバイスの変更に関する貴重な情報を提供できます。
Microsoft Intune 管理センターで、 リソース エクスプローラー がまだ選択されていない場合は選択します。
クラス (デバイス値) を選択します。
履歴インベントリ データを取得するには、日付時刻ピッカーにカスタム日付を入力します。
リソース エクスプローラーを閉じ、リソース エクスプローラーの右上にある [
X
] アイコンを選択して、デバイス情報に戻ります。
テナントアタッチ デバイスのデバイス データの表示の詳細については「テナントアタッチ: 管理センターのリソース エクスプローラー」を参照してください。
オンプレミスのアプリ管理を表示する
Microsoft Intune 管理センターから、テナントに接続されたデバイスに対してアプリケーションのインストールをリアルタイムで開始できます。 アプリケーションは、デバイスまたはユーザーに展開できます。 また、アプリケーションを修復、再評価、再インストール、またはアンインストールすることもできます。
オンプレミス デバイスにアプリケーションをインストールするには、次の手順に従います。
ブラウザーで、 Microsoft Intune 管理センターに移動します。
[デバイス]>[すべてのデバイス] を選択します。
テナントアタッチを介して構成マネージャーから同期されるデバイスを選択します。
前に説明したように、テナント経由で同期するデバイスでは、Managed by 列に ConfigMgr が表示されます。 Configuration Manager と Intune の両方が適用されると、デバイスには 共同管理 が表示され、Intune 管理のみが適用される場合は Intune が表示されます。
[ アプリケーション] を選択して、該当するアプリの一覧を表示します。
インストールされていないアプリケーションを選択 し、[インストール] を選択します。
アプリケーションとテナントアタッチの詳細については、「テナントアタッチ: 管理センターからアプリケーションをインストールする」を参照してください。
オンプレミススクリプトを表示する
クラウドから PowerShell スクリプトを個々の構成マネージャーマネージド デバイスに対してリアルタイムで実行できます。 また、ヘルプデスクなどの他のペルソナに PowerShell スクリプトの実行を許可することもできます。 これにより、この新しい環境で使用するために Configuration Manager 管理者によって定義され、承認される PowerShell スクリプトのすべての利点が得られます。
ブラウザーで、 Microsoft Intune 管理センターに移動します。
[デバイス]>[すべてのデバイス] を選択します。
テナントアタッチを介して構成マネージャーから同期されるデバイスを選択します。
前に説明したように、テナント経由で同期するデバイスでは、Managed by 列に ConfigMgr が表示されます。 Configuration Manager と Intune の両方が適用されると、デバイスには 共同管理 が表示され、Intune 管理のみが適用される場合は Intune が表示されます。
[ スクリプト] を選択して、使用可能なスクリプトの一覧を表示します。
デバイスを直接対象とする最近実行されたスクリプトが一覧表示されます。 一覧には、管理センター、SDK、または構成マネージャー コンソールから実行されるスクリプトが含まれています。 Configuration Manager コンソールからデバイスを含むコレクションに対して開始されたスクリプトは、スクリプトが単一のデバイスに対して特に開始されていない限り表示されません。
テナントに接続されたデバイスでスクリプトを実行する方法の詳細については「テナントアタッチ: 管理センターからスクリプトを実行する」を参照してください。
オンプレミスのデバイス イベント タイムラインを表示する
Configuration Manager がテナント接続を使用してデバイスを Microsoft Intune に同期すると、Microsoft Intune 管理センター内でそれらのデバイスのイベントのタイムラインを表示できます。 このタイムラインには、問題のトラブルシューティングに役立つデバイス上の過去のアクティビティが表示されます。
1 日に 1 回、Configuration Manager はオンプレミスのデバイス イベントを Microsoft Intune 管理センターに送信します。 クライアントが エンドポイント分析データ収集を有効にする ポリシーを受信した後に収集されたイベントのみが管理センターに表示されます。 構成マネージャーからアプリケーションまたは更新プログラムをインストールするか、デバイスを再起動することで、テスト イベントを簡単に生成できます。 イベントは 30 日間保持されます。
注:
Microsoft Intune 管理センターからタイムラインを表示するための 前提条件 として、Configuration Manager で [エンドポイント分析データ収集を有効にする] を [はい ] に設定する必要があります。 デバイスタイムラインの実装の詳細については、「テナントアタッチ: 管理センターのデバイスタイムライン」を参照してください。
デバイス イベントのタイムラインを表示するには:
ブラウザーで、 Microsoft Intune 管理センターに移動します。
[デバイス]>[すべてのデバイス] を選択します。
テナントアタッチを介して構成マネージャーから同期されるデバイスを選択します。
前に説明したように、テナント経由で同期するデバイスでは、Managed by 列に ConfigMgr が表示されます。 Configuration Manager と Intune の両方が適用されると、デバイスには 共同管理 が表示され、Intune 管理のみが適用される場合は Intune が表示されます。
[タイムライン] を選択します。 既定では、過去 24 時間のイベントが表示されます。
- [同期] を選択して、クライアントで生成された最近のデータをフェッチします。 既定では、デバイスは 1 日に 1 回イベントを管理センターに送信します。
- [フィルター] ボタンを使用して、 [時間範囲]、 [イベント レベル]、および [プロバイダー名]を変更します。
- イベントを選択すると、詳細なメッセージを表示できます。
- [更新]を選択してページを再読み込みし、新しく収集されたイベントを表示します。
テナントに接続されたデバイスのデバイス イベントを表示する方法の詳細については、「テナントアタッチ: 管理センターのデバイス タイムライン」を参照してください。
次の手順
- ウイルス対策、ファイアウォール、エンドポイントの検出と応答のエンドポイントセキュリティ ポリシーを構成します。
- Microsoft Defender for Endpoint の詳細については、こちらをご覧ください。