共同管理とは

共同管理は、Configuration Manager の既存の展開を Microsoft 365 クラウドに接続する主要な方法の 1 つです。 そのようにすると、条件付きアクセスなどの、クラウドを利用した他の機能も使用できるようになります。

共同管理により、Configuration Manager と Microsoft Intune の両方を使用して、Windows 10 以降のデバイスを同時に管理できます。 このようにすると、新しい機能を追加することにより、Configuration Manager への既存の投資をクラウドに接続できます。 共同管理を使用すると、お客様の組織に最適なテクノロジ ソリューションを柔軟に使用できます。

デバイスにWindows Configuration Manager クライアントを持ち、Intune に登録すると、両方のサービスの利点が得されます。 管理者は、ワークロードが存在する場合、どのワークロードのオーソリティを Configuration Manager から Intune に切り替えるかを制御します。 Configuration Manager は、管理者が Intune に切り替えなかったワークロードを含む他のすべてのワークロード、および共同管理がサポートしていない Configuration Manager の他のすべての機能を引き続き管理します。

また、デバイスの個別のコレクションを使用してワークロードを移行することもできます。 パイロットを使用すると、より大きなグループの切り替えを行う前に、デバイスのサブセットを使用して Intune 機能をテストできます。

共同管理の概要図

図をフル サイズで表示する

注意

Configuration Manager とデバイスの両方でデバイスを同時に管理Microsoft Intune、この構成は共同管理 と呼ばれる。 Configuration Manager を使用してデバイスを管理し、サードパーティの MDM サービスに登録すると、この構成は共存と 呼ばれる。 単一のデバイスに 2 つの管理オーソリティを使用することは、両者が正しくオーケストレーションされていないと困難になる場合があります。 共同管理により、Configuration Manager と Intuneはワークロードのバランスを取り、競合が発生しなかからなかっています。 このような相互作用はサードパーティのサービスとの間には存在しないため、共存の管理機能には限界があります。 詳細については、「サードパーティ MDM と Configuration Manager との共存 」を参照してください

共同管理へのパス

共同管理を達成するための 2 つの主なパスは次のとおりです。

  • 既存の Configuration Manager クライアント: 既に configuration Manager クライアントWindows 10デバイスを使用している場合。 ハイブリッド Azure AD を設定して、Intune に登録します。

  • 新しいインターネット ベースのデバイス: Intune に参加Windows 10 Intune に自動的に登録する新Azure ADデバイスが追加されています。 共同管理の状態を実現するために、Configuration Manager クライアントをインストールします。

パスの詳細については、「共同管理への パス」を参照してください

利点

既存の Configuration Manager クライアントを共同管理に登録すると、すぐに次の価値を実現できます。

  • デバイスのコンプライアンスを使用した条件付きアクセス

  • Intune ベースのリモート操作 (例: 再起動、リモート コントロール、出荷時の設定にリセット)

  • デバイスの正常性の一元表示

  • ユーザー、デバイス、アプリの Azure Active Directory (Azure AD) とのリンク付け

  • Windows Autopilot を使用した最新のプロビジョニング

  • リモート操作

共同管理からのこの即時の値の詳細については、「クイック スタート シリーズとクラウド接続と共同管理」 を参照してください

また、共同管理を使用すると、複数のワークロードに対して Intune と調整することもできます。 詳細については、「ワークロード」 セクションを参照 してください。

注意

それ自体による共同管理は、リモート接続されたシステムを管理するためのWindowsではありません。 Configuration Manager クライアントは、割り当てられたサイトと通信する必要があります。 Configuration Manager を使用してリモート接続Windowsシステムを管理するには、クラウド管理ゲートウェイ(CMG) を有効にしてください。 CMG は共同管理には必要ありません。また、CMG では共同管理は必要ありませんが、一緒に使用できます。

前提条件

共同管理には、次の領域でこれらの前提条件があります。

ライセンス

  • Azure AD Premium

    注意

    Enterprise Mobility + Security (EMS) のサブスクリプションには、Azure Active Directory Premium と Microsoft Intune の両方が含まれています。

  • 管理者が Microsoft エンドポイント マネージャー 管理センターにアクセスするための Intune ライセンスが少なくとも 1 つ必要です。

    ヒント

    テナントへのサインインに使用するアカウントに Intune ライセンスを割り当てる必要があります。 それ以外の場合は、エラー メッセージが表示されたサインインに失敗 します。意図しないエラーが発生しました

    Intune または EMS ライセンスを個別に購入してユーザーに割り当てる必要がない場合があります。 詳細については、「製品とライセンスに関するよく寄せられる質問」を参照してください。

構成マネージャー

共同管理には、Configuration Manager バージョン 1710 以降が必要です。

Configuration Manager バージョン 1806 から、複数の Configuration Manager インスタンスを単一の Intune テナントに接続できます。

共同管理自体を有効にしても、Azure AD でサイトをオンボードする必要はありません。 2 番目のパス シナリオでは、インターネット ベースの Configuration Manager クライアントにクラウド管理ゲートウェイ (CMG) 必要です。 CMG では、クラウド管理のためにサイトが Azure AD にオンボードされている必要があります。

Azure AD

  • Windowsデバイスをデバイスに接続するAzure AD。 次のいずれかの種類を指定できます。

    • ハイブリッド Azure AD、デバイスがオンプレミスの Active Directory に参加し、そのデバイスに登録Azure Active Directory。

    • Azure AD 参加済みのみ。 (この種類は、"クラウド ドメインに参加" と呼ばれる場合があります)

ヒント

クライアント デバイスの展開、管理、セキュリティ保護に Microsoft エンドポイント マネージャー を使用しているお客様と話をすると、デバイスの共同管理とハイブリッド Azure Active Directory (Azure AD) 参加デバイスに関する質問が頻繁に表示されます。 多くのお客様は、これら 2 つのトピックを混同しています。 共同管理は管理オプションですが、Azure AD は ID オプションです。 詳細については、「ハイブリッド シナリオと共同管理Azure ADについて」を参照してください。 このブログ記事は、ハイブリッド Azure AD、参加と共同管理、どのように一緒に動作しているか、また同じではありません。

Intune

Windows

デバイスをバージョン 1709 Windows 10バージョン 1709 以降にアップグレードします。 詳細については、「サービスとしての Windows の使用」を参照してください。

アクセス許可と役割

Action 必要な役割
Configuration Manager でクラウド管理ゲートウェイをセットアップする Azure サブスクリプション マネージャー
Configuration Manager Azure ADアプリを作成する Azure AD 管理者
Configuration Manager で Azure アプリをインポートする Configuration Manager Full Administrator
追加の Azure ロールは不要
Configuration Manager での共同管理を有効にする ユーザー Azure ADユーザー
すべてのスコープ 権限を持つ Configuration Manager Full Administrator。

Azure ロールの詳細については、「さまざまな役割 について」を参照してください

Configuration Manager の役割の詳細については、「Configuration Manager の役割ベースの管理の基本」を参照してください。

ワークロード

ワークロードを切り替える必要はありません。また、準備ができたら個別に実行できます。 Configuration Manager は、管理者が Intune に切り替えなかったワークロードを含む他のすべてのワークロード、および共同管理がサポートしていない Configuration Manager の他のすべての機能を引き続き管理します。

共同管理でサポートされるワークロードは次のとおりです。

  • コンプライアンス ポリシー

  • Windows Update ポリシー

  • リソース アクセス ポリシー

  • Endpoint Protection

  • デバイス構成

  • Office クイック実行アプリ

  • クライアント アプリ

詳細については、「ワークロード」 を参照してください

共同管理を監視する

共同管理ダッシュボードは、環境で共同管理されているコンピューターを確認するのに役立ちます。 グラフは、注意が必要なデバイスを識別するのに役立ちます。

共同管理ダッシュボードのスクリーンショット

詳細については、「共同管理を 監視する方法」を参照してください

次の手順