Intune と Windows Autopilot を使用して Microsoft Entra ハイブリッド参加済みデバイスを展開する
重要
Microsoft では、Microsoft Entra join を使用して、クラウドネイティブとして新しいデバイスをデプロイすることをお勧めします。 Microsoft Entra ハイブリッド参加デバイスとして新しいデバイスを展開することは、Autopilot を通じてなど、推奨されません。 詳細については、「 Microsoft Entra 参加済み」と「Microsoft Entra Hybrid joined in cloud-native endpoints: 組織に適したオプション」を参照してください。
Intune と Windows Autopilot を使用して、Microsoft Entra ハイブリッド参加済みデバイスを設定できます。 そのためには、この記事の手順のようにします。 Microsoft Entra ハイブリッド参加の詳細については、「 Microsoft Entra ハイブリッド参加と共同管理について」を参照してください。
前提条件
- Microsoft Entra ハイブリッド参加済みデバイスを正常に構成しました。 Get-MgDevice コマンドレットを使用して、デバイスの登録を確認してください。
- ドメインと OU ベースのフィルター処理が Microsoft Entra Connect の一部として構成されている場合は、Autopilot デバイス用の既定の組織単位 (OU) またはコンテナーが同期スコープに含まれていることを確認します。
デバイス登録の前提条件
登録するデバイスは、次の要件に従う必要があります。
- Windows 11 または Windows 10 バージョン 1809 以降を使用している。
- 以下の Windows Autopilot ネットワーク要件に従ってインターネットにアクセスできる。
- Active Directory ドメイン コントローラーにアクセスできる。
- 参加しようとしているドメインのドメイン コントローラーに正常に ping を実行する。
- プロキシを使用する場合は、WPAD プロキシ設定オプションを有効にして構成する必要がある。
- OOBE (Out-of-Box Experience) を使用している。
- OOBE で Microsoft Entra ID がサポートする承認の種類を使用します。
必須ではありませんが、Active Directory フェデレーション サービス (AD FS) 用に Microsoft Entra ハイブリッド参加を構成すると、展開中の Windows Autopilot Microsoft Entra 登録プロセスの高速化が可能になります。 パスワードの使用と AD FS の使用をサポートしていないフェデレーションのお客様は、 Active Directory フェデレーション サービスの prompt=login パラメーターのサポート に関する記事の手順に従って、認証エクスペリエンスを適切に構成する必要があります。
Intune コネクタ サーバーの前提条件
Intune Connector for Active Directory は、.NET Framework バージョン 4.7.2 以降で Windows Server 2016 以降を実行しているコンピューターにインストールする必要があります。
Intune コネクタをホストするサーバーは、インターネットと Active Directory にアクセスできる必要があります。
注:
Intune コネクタ サーバーには、Active Directory と通信するために必要な RPC ポート要件を含む、ドメイン コントローラーへの標準ドメイン クライアント アクセスが必要です。 詳細については、次の記事を参照してください。
スケーラビリティと可用性を高めるために、環境内に複数のコネクタをインストールできます。 コネクタは、他の Intune コネクタが実行されていないサーバーにインストールすることをお勧めします。 各コネクタは、サポートする任意のドメインでコンピューター オブジェクトを作成できる必要があります。
組織に複数のドメインがあり、複数の Intune コネクタをインストールする場合は、すべてのドメインにコンピューター オブジェクトを作成できるドメイン サービス アカウントを使用する必要があります。 この要件は、特定のドメインに対してのみ Microsoft Entra ハイブリッド参加を実装する予定の場合でも当てはまります。 これらのドメインが信頼されていないドメインの場合は、Windows Autopilot を使用しないドメインからコネクタをアンインストールする必要があります。 それ以外の場合、複数のドメインにまたがる複数のコネクタを使用すると、すべてのコネクタがすべてのドメインでコンピューター オブジェクトを作成できる必要があります。
このコネクタ サービス アカウントには、次のアクセス許可が必要です。
- サービスとしてログオンします。
- ドメイン ユーザー グループの一部である必要があります。
- コネクタをホストする Windows サーバー上のローカル 管理者 グループのメンバーである必要があります。
重要
マネージド サービス アカウントは、サービス アカウントではサポートされていません。 サービス アカウントはドメイン アカウントである必要があります。
Intune コネクタには、Intune と同じエンドポイントが必要です。
Windows 自動 MDM 登録を設定する
Azure portal にサインインし 左側のウィンドウで、 Microsoft Entra ID>Mobility (MDM と MAM)>Microsoft Intune を選択します。
Intune と Windows を使用して Microsoft Entra 参加済みデバイスを展開するユーザーが 、MDM ユーザー スコープに含まれるグループのメンバーであることを確認します。
[MDM 利用規約 URL]、[MDM 探索 URL]、[MDM 準拠 URL] の各ボックスには既定値を使用して、[保存] を選択します。
組織単位でコンピューター アカウントの上限を増やす
Active Directory 用の Intune コネクタでは、オンプレミスの Active directory ドメインに Autopilot 登録済みコンピューターが作成されます。 Intune コネクタをホストするコンピューターには、ドメイン内にコンピューター オブジェクトを作成する権限が必要です。
一部のドメインでは、コンピューターにコンピューターを作成する権限が付与されていません。 また、ドメインには組み込みの制限 (既定値は 10) があり、コンピューター オブジェクトの作成権限を委任されていないすべてのユーザーとコンピューターに適用されます。 権限は、Microsoft Entra ハイブリッド参加済みデバイスが作成される組織単位で Intune コネクタをホストするコンピューターに委任する必要があります。
コンピューターを作成する権限を持つ組織単位は、次と一致する必要があります。
- ドメイン参加プロファイルに入力された組織単位。
- プロファイルが選択されていない場合は、お使いのドメインに対するコンピューターのドメイン名。
Active Directory ユーザーとコンピューター (DSA.msc)] を開きます。
Microsoft Entra ハイブリッド参加済みコンピューターの作成に使用する組織単位を右クリックして、制御を委任します>。
オブジェクト制御の委任次へ] [追加] [オブジェクト タイプ] を選択します。
[オブジェクトの種類] ウィンドウで、[コンピューター]>[OK] の順に選択します。
[ユーザー、コンピューター、またはグループの選択] ウィンドウの [選択するオブジェクト名を入力してください] ボックスに、コネクタをインストールするコンピューターの名前を入力します。
[名前の確認] を選択して、エントリ>を検証する [OK] [次へ]を選択します>。
委任するカスタム タスクを作成する] [次へ] を選択します。
[フォルダ内の次のオブジェクトのみ]>[コンピューター オブジェクト] の順に選択します。
[このフォルダーに選択したオブジェクトを作成する] と [このフォルダー内の選択したオブジェクトを削除する] を選択します。
次へ] を選択します。
アクセス許可] で、[フル コントロール] チェック ボックスをオンにします。 このアクションは、他のすべてのオプションを選択します。
次へ] [完了] の順に選択します。
Intune コネクタをインストールする
インストールを開始する前に、 すべての Intune コネクタ サーバーの前提条件 が満たされていることを確認してください。
インストール手順
Internet Explorer のセキュリティ強化構成をオフにします。 Windows Server では既定で、Internet Explorer セキュリティ強化の構成がオンになっています。 Intune Connector for Active Directory にサインインできない場合は、管理者の Internet Explorer のセキュリティ強化構成をオフにします。 Internet Explorer のセキュリティ強化構成をオフにするには:
- Intune コネクタがインストールされているサーバーで、 サーバー マネージャーを開きます。
- サーバー マネージャーの左側のウィンドウで、[ ローカル サーバー] を選択します。
- サーバー マネージャーの右側の [プロパティ] ウィンドウで、[IE セキュリティ強化構成] の横にある [オン] または [オフ] リンクを選択します。
- [Internet Explorer のセキュリティ強化の構成] ウィンドウで、[管理者] で[オフ] を選択し、[OK] を選択します。
Microsoft Intune 管理センターで、[デバイス>] [Windows Windows>登録>] [Intune Connector for Active Directory追加] の順に選択します>。
手順に従ってコネクタをダウンロードします。
ダウンロードしたコネクタのセットアップ ファイル ODJConnectorBootstrapper.exe を開いて、コネクタをインストールします。
セットアップの最後に、[ 今すぐ構成] を選択します。
[サインイン] を選びます。
グローバル管理者ロールまたは Intune 管理者ロールの資格情報を入力します。 ユーザー アカウントに Intune ライセンスが割り当てられている必要があります。
[デバイス]>[Windows ]>[Windows の登録]>[Active Directory の Intune コネクタ] に移動し、接続の状態が [アクティブ] であることを確認します。
注:
- グローバル管理者ロールは、インストール時の一時的な要件です。
- コネクタにサインインした後、 Microsoft Intune 管理センターに表示されるまでに数分かかることがあります。 Intune サービスと正常に通信できる場合にのみ表示されます。
- 非アクティブな Intune コネクタは引き続き [Intune コネクタ] ページに表示され、30 日後に自動的にクリーンアップされます。
Intune コネクタがインストールされると、アプリケーションとサービス ログMicrosoft>Intune>ODJConnectorService のパスの下にあるイベント ビューアーへのログ記録>が開始されます。 このパスの下には、 管理者 ログと 運用 ログがあります。
注:
Intune コネクタはもともと、ODJ Connector Service というログのアプリケーションとサービス ログの下にあるイベント ビューアーに直接記録されました。 ただし、Intune コネクタのログ記録は、その後、 パス Applications and Services Logs>Microsoft>Intune>ODJConnectorService に移動しました。 元の場所の ODJ コネクタ サービス ログが空であるか更新されていない場合は、代わりに新しいパスの場所を確認してください。
Web プロキシ設定の構成
ネットワーク環境に Web プロキシがある場合は、「既存のオンプレミス プロキシ サーバーと連携する」を参照して、Active Directory 用の Intune コネクタが正しく動作することを確認します。
デバイス グループを作成する
Microsoft Intune 管理センターで、[グループ] [新しいグループ] の順>に選択します。
[グループ] ウィンドウで、次のオプションを選択します。
- [グループの種類] で、[セキュリティ] を選択します。
- [グループ名] と [グループの説明] を入力します。
- [メンバーシップの種類] を選択します。
メンバーシップの種類で [動的デバイス] を選択した場合は、[グループ] ウィンドウで [動的なデバイス メンバー] を選択します。
[ルール構文] ボックスで [編集] を選択し、次のいずれかのコード行を入力します。
- すべての Autopilot デバイスを含むグループを作成するには、「
(device.devicePhysicalIDs -any _ -startsWith "[ZTDId]")
」と入力します。 - Intune の [グループ タグ] フィールドは、Microsoft Entra デバイスの OrderID 属性にマップされます。 特定のグループ タグ (OrderID) を持つすべての Autopilot デバイスを含むグループを作成する場合は、
(device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")
と入力します。 - 特定の発注 IDを持つすべての自動操縦デバイスを含むグループを作成するには、
(device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")
と入力します。
- すべての Autopilot デバイスを含むグループを作成するには、「
[保存]>[作成] の順に選択します。
Autopilot デバイスを登録する
次の方法のいずれかを選択して Autopilot デバイスを登録します。
既に登録されている Autopilot デバイスを登録する
[対象のすべてのデバイスを Autopilot に変換する] を [はい] に設定して、Autopilot 展開プロファイルを作成します。
Autopilot で自動的に登録するメンバーが含まれるグループにプロファイルを割り当てます。
詳しくは、「Autopilot Deployment プロファイルを作成する」をご覧ください。
登録されていない Autopilot デバイスを登録する
デバイスがまだ登録されていない場合は、自分で登録できます。 詳細については、「手動登録」を参照してください。
OEM からデバイスを登録する
新しいデバイスを購入する場合、OEM によってはデバイスを登録できます。 詳細については、「OEM 登録」を参照してください。
登録済みの Autopilot デバイスを表示する
Intune に登録する前、登録済みの自動操縦デバイスが以下の 3 か所に表示されます (名前はシリアル番号に設定されています)。
- Azure portal の Intune の [Autopilot デバイス] ウィンドウ。 [デバイスの登録]>[Windows の登録]>[デバイス] を選択します。
- Azure portal の Intune の [Microsoft Entra devices]\(Microsoft Entra デバイス \) ウィンドウ。 [ デバイス]>[Microsoft Entra Devices]\(Microsoft Entra デバイス\) を選択します。
- [デバイス>] [すべてのデバイス] を選択して、Azure portal の Microsoft Entra ID の [Microsoft Entra All Devices]\(すべてのデバイス\) ペインを選択します。
Autopilot デバイスが "登録" された後は、次の 4 つの場所に表示されます。
- Azure portal の Intune の [Autopilot デバイス] ウィンドウ。 [デバイスの登録]>[Windows の登録]>[デバイス] を選択します。
- Azure portal の Intune の [Microsoft Entra devices]\(Microsoft Entra デバイス \) ウィンドウ。 [ デバイス]>[Microsoft Entra Devices]\(Microsoft Entra デバイス\) を選択します。
- Azure portal の Microsoft Entra ID の [Microsoft Entra All Devices ]\(すべてのデバイス\) ペイン。 [デバイス]>[すべてのデバイス] を選択します。
- Azure portal の Intune の [すべてのデバイス] ウィンドウ。 [デバイス]>[すべてのデバイス] を選択します。
デバイスが Autopilot に登録されると、デバイス オブジェクトは Microsoft Entra ID で事前に作成されます。 デバイスがハイブリッド Microsoft Entra 展開を通過すると、設計上、別のデバイス オブジェクトが作成され、エントリが重複します。
BYO VPN
次の VPN クライアントがテストおよび検証されます。
VPN クライアント
- インボックス Windows VPN クライアント
- Cisco AnyConnect (Win32 クライアント)
- Pulse Secure (Win32 クライアント)
- GlobalProtect (Win32 クライアント)
- Checkpoint (Win32 クライアント)
- Citrix NetScaler (Win32 クライアント)
- SonicWall (Win32 クライアント)
- FortiClient VPN (Win32 クライアント)
注:
この VPN クライアントの一覧は、Autopilot で動作するすべての VPN クライアントの包括的な一覧ではありません。 Autopilot との互換性とサポート可能性、または Autopilot での VPN ソリューションの使用に関する問題については、それぞれの VPN ベンダーにお問い合わせください。
サポートされていない VPN クライアント
次の VPN ソリューションは Autopilot では動作しないことがわかっているため、Autopilot での使用はサポートされていません。
- UWP ベースの VPN プラグイン
- ユーザー証明書が必要なすべてのクライアント
- DirectAccess
注:
BYO VPN を使用する場合は、Windows Autopilot 展開プロファイルの [AD 接続のスキップ] チェック オプションで [はい] を選択する必要があります。 Always-On VPN は自動的に接続されるため、このオプションは必要ありません。
AutoPilot Deployment プロファイルを作成して割り当てる
Autopilot Deployment プロファイルは、Autopilot デバイスを構成する場合に使用されます。
Microsoft Intune 管理センターで、[デバイス>] [Windows Windows>登録>] [展開プロファイル] [プロファイルの作成] の順に>選択します。
[基本] ページ上で、[名前] と省略可能な [説明] に入力します。
割り当てられたグループ内のすべてのデバイスを Autopilot に自動的に登録する場合は、[ すべてのターゲット デバイスを Autopilot に変換] を [はい] に設定します。 割り当てられたグループ内のすべての企業所有の Autopilot 以外のデバイスは、Autopilot デプロイ サービスに登録されます。 個人所有のデバイスは Autopilot に登録されません。 登録が処理されるまで 48 時間待ちます。 デバイスの登録が解除され、リセットされると、Autopilot によって再び登録されます。 この方法でデバイスを登録した後、この設定を無効にするか、プロファイルの割り当てを削除しても、Autopilot 展開サービスからデバイスは削除されません。 デバイスを直接削除する必要があります。
[次へ] を選択します。
[Out-of-box experience (OOBE)] ページの [配置モード] で、[ユーザー ドリブン] を選択します。
[ Microsoft Entra ID に参加する ] ボックスで、[ Microsoft Entra ハイブリッド参加済み] を選択します。
VPN サポートを活用する組織のネットワークを使用してデバイスを展開する場合、[ドメインの接続チェックをスキップする] オプションを [はい] に設定します。 詳細については、「 Vpn サポートを使用した Microsoft Entra ハイブリッド参加のユーザー 駆動モード」を参照してください。
必要に応じて、[Out-of-box experience (OOBE)] ページで残りのオプションを構成します。
[次へ] を選択します。
[スコープ タグ] ページで、プロファイルのスコープ タグを選択します。
[次へ] を選択します。
[ 割り当て] ページで、[検索 を含める> グループの選択] を選択し、デバイス グループ >[選択] を選択します。
[次へ]>[作成] を選択します。
注:
Intune は、割り当てられたグループ内の新しいデバイスを定期的にチェックし、それらのデバイスにプロファイルを割り当てるプロセスを開始します。 Autopilot プロファイル割り当てのプロセスに関連するいくつかの異なる要因により、割り当ての推定時間はシナリオによって異なる場合があります。 これらの要因には、Microsoft Entra グループ、メンバーシップ ルール、デバイスのハッシュ、Intune と Autopilot サービス、インターネット接続などがあります。 割り当て時間は、特定のシナリオに関連するすべての要因と変数によって異なります。
(省略可能) 登録状態ページを有効にする
Microsoft Intune 管理センターで、[デバイス>] [Windows Windows>登録の登録>状態] ページを選択します。
[登録ステータス ページ] ウィンドウで、[既定]>[設定] の順に選択します。
[アプリとプロファイルのインストール進行状況を表示する] ボックスで、[はい] を選択します。
必要に応じて、他のオプションを構成します。
[保存] を選択します。
ドメイン参加プロファイルを作成して割り当てる
Microsoft Intune 管理センターで、[デバイス>構成プロファイル>] [プロファイルの作成] の順に選択します。
次のプロパティを入力します。
- 名前: 新しいプロファイルのわかりやすい名前を入力します。
- 説明: プロファイルの説明を入力します
- [プラットフォーム]: [Windows 10 以降] を選択します。
- プロファイルの種類: [テンプレート]を選択し、テンプレート名で [ドメイン参加] を選び、[作成] を選択します。
[名前] と [説明] を入力し、[次へ] を選択します。
[コンピューター名プレフィックス] と [ドメイン名] を指定します。
(省略可能) DN 形式で組織単位 (OU) を指定します。 次のような方法があります。
- Intune コネクタを実行している Windows 2016 デバイスにコントロールを委任する OU を指定します。
- コントロールがオンプレミスの Active Directory のルート コンピューターに委任される OU を指定します。
- これを空白のままにすると、コンピューター オブジェクトは Active Directory の既定のコンテナーに作成されます (
CN=Computers
変更したことがない場合)。
有効な例を示します。
OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com
OU=Mine,DC=contoso,DC=com
有効ではない例を示します。
CN=Computers,DC=contoso,DC=com
(コンテナーを指定することはできません。代わりに値を空白のままにして、ドメインの既定値を使用します)OU=Mine
(属性を使用してドメインをDC=
指定する必要があります)
注:
[組織単位] の値の周りで引用符を使用しないでください。
[OK]>[作成] を選択します。 プロファイルが作成されて、一覧に表示されます。
手順「デバイス グループの作成」で使用したのと同じグループにデバイス プロファイルを割り当てます。 別のドメインまたは OU にデバイスを参加させる必要がある場合は、異なるグループを使用できます。
注:
Microsoft Entra ハイブリッド結合用の Windows Autopilot の名前付け機能では、 %SERIAL% などの変数はサポートされていません。 コンピューター名のプレフィックスのみがサポートされます。
ODJ コネクタをアンインストールする
ODJ コネクタは、実行可能ファイルを使用してコンピューターにローカルにインストールされます。 ODJ コネクタをコンピューターからアンインストールする必要がある場合は、コンピューター上でもローカルで実行する必要があります。 ODJ コネクタは、Intune ポータルまたは Graph API 呼び出しでは削除できません。
コンピューターから ODJ コネクタをアンインストールするには、次の手順に従います。
- ODJ コネクタをホストしているコンピューターにサインインします。
- [スタート] メニューを右クリックし、[設定] を選択します。
- [ Windows の設定] ウィンドウで、[アプリ] を選択 します。
- [ アプリ & 機能] で、[ Intune Connector for Active Directory] を見つけて選択します。
- [ Intune Connector for Active Directory] で、[ アンインストール ] ボタンを選択し、もう一度 [ アンインストール ] ボタンを選択します。
- ODJ コネクタはアンインストールに進みます。
次の手順
Windows Autopilot を構成した後は、これらのデバイスを管理する方法を学習します。 詳細については、「Microsoft Intune デバイスの管理とは」を参照してください。
関連記事
- デバイス ID とは
- クラウドネイティブ エンドポイントの詳細については、こちらをご覧ください。
- Microsoft Entra 参加済みと Microsoft Entra ハイブリッドがクラウドネイティブ エンドポイントに参加しました。
- チュートリアル: Microsoft Intune を使用してクラウドネイティブ Windows エンドポイントを設定して構成する。
- 方法: Microsoft Entra 参加の実装を計画する。
- Windows エンドポイント管理変換のフレームワーク。
- ハイブリッド Azure AD と共同管理のシナリオについて説明します。
- リモート Windows Autopilot とハイブリッド Azure Active Directory 参加での成功。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示