グループ ポリシーを使用してWindows 10デバイスとWindows 11をオンボードする
- [アーティクル]
-
-
適用対象:
注意
グループ ポリシー (GP) 更新プログラムを使用してパッケージを展開するには、Windows Server 2008 R2 以降を使用している必要があります。
Windows Server 2019 の場合、NT AUTHORITY\Well-Known-System-Account を、グループ ポリシー基本設定で作成される XML ファイルの NT AUTHORITY\SYSTEM に置き換える必要がある場合があります。
グループ ポリシーを使用してデバイスをオンボードする
コンプライアンス センターを開きます。
ナビゲーション ウィンドウで、[デバイスのオンボードの設定]> を選択します。
[ 展開方法 ] フィールドで、[ グループ ポリシー] を選択します。
[ パッケージのダウンロード ] をクリックし、.zip ファイルを保存します。
デバイスからアクセスできる共有の読み取り専用の場所に、.zip ファイルの内容を抽出します。 OptionalParamsPolicy というフォルダーと DeviceComplianceLocalOnboardingScript.cmd ファイルが必要です。
グループ ポリシー管理コンソール (GPMC) を開き、構成するグループ ポリシー オブジェクト (GPO) を右クリックし、[編集] をクリックします。
[グループ ポリシー管理エディター] で、[コンピューター構成] に移動します。そして [ユーザー設定] をし、[コントロール パネルの設定] を行ないます。
[スケジュールされたタスク] を右クリックします。[新規作成] をポイントし、[イミディエイト タスク] (Windows 7 以上) をクリックします。
[タスク] ウィンドウが開いたら、[一般] タブに移動します。[セキュリティ オプション] で、[ユーザーまたはグループを変更] をクリックし、「SYSTEM」と入力します。[名前を確認] をクリックし、[OK] をクリックします。 NT AUTHORITY\SYSTEM は、タスクを実行するユーザー アカウントとして表示されます。
[ユーザーがログオンしているかどうかに関係なく実行する] を選択し、[最高の権限で実行する] チェックボックスをオンにします。
[アクション] タブに移動し、[新規]をクリックします。[アクション] フィールドで [プログラムの開始] が選択されていることを確認します。 共有 WindowsDefenderATPOnboardingScript.cmd ファイルのファイル名と場所を入力します。
[ OK] を クリックし、開いている GPMC ウィンドウを閉じます。
グループ ポリシーを使用してデバイスをオフボードする
セキュリティ上の理由から、オフボード デバイスに使用されるパッケージは、ダウンロード日から 30 日後に有効期限が切れます。 デバイスに送信された期限切れのオフボード パッケージは拒否されます。 オフボード パッケージをダウンロードすると、パッケージの有効期限が通知され、パッケージ名にも含まれます。
注意
オンボード ポリシーとオフボード ポリシーを同時に同じデバイスに展開しないでください。そうしないと、予期しない競合が発生します。
Microsoft Purview コンプライアンス ポータルからオフボード パッケージを取得します。
ナビゲーション ウィンドウで、[設定>]、[デバイス オンボード][オフボード] の順に>選択します。
[ 展開方法 ] フィールドで、[ グループ ポリシー] を選択します。
[ パッケージのダウンロード ] をクリックし、.zip ファイルを保存します。
デバイスからアクセスできる共有の読み取り専用の場所に、.zip ファイルの内容を抽出します。 DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd という名前のファイルが必要です。
グループ ポリシー管理コンソール (GPMC) を開き、構成するグループ ポリシー オブジェクト (GPO) を右クリックし、[編集] をクリックします。
グループ ポリシー管理エディターで、[コンピューターの構成]、[基本設定]、[コントロール パネルの設定] の順に移動します。
[ スケジュールされたタスク] を右クリックし、[ 新規] をポイントし、[ イミディエイト タスク] をクリックします。
開いた [タスク ] ウィンドウで、[ 全般 ] タブに移動します。[ セキュリティ オプション] でローカル SYSTEM ユーザー アカウント (BUILTIN\SYSTEM) を選択します。
[ユーザーがログオンしているかどうかに関係なく実行する] を選択し、[最高の特権を持つ実行] チェックボックスをチェックします。
[アクション] タブに移動し、[新規]をクリックします。[アクション] フィールドで [プログラムの開始] が選択されていることを確認します。 共有 DeviceComplianceOffboardingScript_valid_until_YYYY MM-DD.cmd ファイルのファイル名と場所を入力します。
[ OK] を クリックし、開いている GPMC ウィンドウを閉じます。
重要
オフボードすると、デバイスはポータルへのセンサー データの送信を停止しますが、デバイスからのデータは停止します。
グループ ポリシーでは、デバイス上のポリシーの展開を監視するオプションはありません。 監視は、ポータルで直接実行することも、さまざまなデプロイ ツールを使用して行うこともできます。
- Microsoft Purview コンプライアンス ポータルに移動します。
- [ デバイス の一覧] をクリックします。
- デバイスが表示されていることを確認します。
注意
デバイスの 一覧への表示が開始されるまでに数日かかる場合があります。 これには、ポリシーがデバイスに配布されるまでにかかる時間、ユーザーがログオンするまでにかかる時間、エンドポイントがレポートを開始するのにかかる時間が含まれます。