共同管理ワークロード

ワークロードを切り替える必要はありません。また、準備ができたら個別に実行できます。 Configuration Manager は、管理者が Intune に切り替えなかったワークロードを含む他のすべてのワークロード、および共同管理がサポートしていない Configuration Manager の他のすべての機能を引き続き管理します。

ワークロードを Intune に切り替えても、後で考え方を変えた場合は、Configuration Manager に切り替えて戻します。

共同管理でサポートされるワークロードは次のとおりです。

コンプライアンス ポリシー

コンプライアンス ポリシーでは、条件付きアクセス ポリシーによってデバイスが準拠していると見なされるために遵守する必要があるルールと設定を定義します。 また、コンプライアンス ポリシーは、条件付きアクセスとは別に、デバイスのコンプライアンスに関する問題を監視して修復するためにも使用します。 コンプライアンス ポリシー評価ルールとして、カスタム構成基準の評価を追加できます。 詳細については、「コンプライアンス ポリシー評価 の一部としてカスタム構成基準を含める」を参照してください

Intune 機能の詳細については、「コンプライアンス ポリシーを使用して Intune で管理するデバイスのルールを設定 する」を参照してください

Windows Update ポリシー

Windows Update for Business ポリシーを使用すると、Windows 10 以降の機能更新プログラムまたは Windows Update for Business によって直接管理される Windows 10 以降のデバイスの品質更新プログラムの遅延ポリシーを構成できます。

Intune 機能の詳細については、「Intune でのソフトウェア更新プログラムWindows管理する」を参照してください

リソース アクセス ポリシー

重要

Configuration Manager バージョン 2103 から、Configuration Manager のこれらの会社のリソース アクセス機能とこの共同管理ワークロードは 非推奨です リソース アクセス Microsoft Intuneを展開するには、リソース アクセス プロファイルを使用します

リソース アクセス ポリシーでは、デバイスの VPN、Wi-Fi、電子メール、および証明書の設定を構成します。

Intune 機能の詳細については、「リソース アクセス プロファイルの 展開」を参照してください

注意

リソース アクセスワークロードもデバイス構成の一部です。 これらのポリシーは、デバイス構成ワークロードを切り替えるときに Intune によって管理 されます。

Endpoint Protection

Endpoint Protection ワークロードには、マルウェア対策機能の Windows Defender スイートが含まれます。

  • Windows Defender マルウェア対策
  • Windows Defender Application Guard
  • Windows Defender ファイアウォール
  • Windows Defender SmartScreen
  • Windows 暗号化
  • Windows Defender Exploit Guard
  • Windows Defender Application Control
  • Windows Defender セキュリティ センター
  • Windows Defender (現在は Microsoft Defender for Endpoint)

Intune 機能の詳細については、「Intune を使用してデバイスを保護Windows 10 (以降) の設定」を参照してください

注意

このワークロードを切り替える場合、Intune ポリシーによって上書きされるまで、Configuration Manager ポリシーはデバイス上に保持されます。 この動作により、移行中もデバイスに保護ポリシーが適用されます。

また、Endpoint Protectionワークロードもデバイス構成の一部です。 デバイス構成ワークロードを切り替える場合も 、同じ動作が適用 されます。

Intune にEndpoint Protectionワークロードが存在する場合Windows構成マネージャーと Intune の両方から情報保護の設定が適用されます。 Configuration Manager は、デバイス構成Windows Intune に移動するまで、引き続き情報保護ポリシーを適用します。

Intune Microsoft Defender ウイルス対策のデバイス制限プロファイルの種類の一部であるデバイスの設定は、[エンドポイント保護] スライダーのスコープには含まれません。 エンドポイント保護Microsoft Defender ウイルス対策スライダーを有効にした共同管理デバイスの管理を行う場合は 、Microsoft Endpoint manager 管理センターのエンドポイント セキュリティ ウイルス対策の新しいウイルス対策ポリシー > を使用 > します。 新しいポリシーの種類には、新しいオプションと改善されたオプションが用意され、デバイス制限プロファイルで使用可能なすべての同じ設定がサポートされます。

暗号化Windows BitLocker 管理が含まれています。 共同管理を使用したこの機能の動作の詳細については 、「Deploy BitLocker management」を参照してください

デバイス構成

デバイス構成ワークロードには、組織内のデバイスに対して管理する設定が含まれます。 また、このワークロードを切り替えると、リソース アクセスが移動され 、Endpoint Protection されます。

Intune がデバイス構成機関である場合でも、Configuration Manager から共同管理デバイスに設定を展開できます。 この例外は、組織で必要な設定を構成するために使用できますが、Intune ではまだ使用できません。 Configuration Manager 構成基準でこの 例外を指定します。 ベースラインを作成するときに、共同管理クライアントに対してもこの基準 常に適用するオプションを有効にします。 後で、既存の基準計画 プロパティの [全般] タブで変更できます。

Intune 機能の詳細については、「デバイス プロファイルを作成する」を参照Microsoft Intune。

注意

設定カタログから作成されたポリシーは、ポリシーの内容に関係なく、[デバイス構成] ワークロード スライダーによって制御されます。

デバイス構成ワークロードを切り替える場合は、デバイス構成ワークロードに関するポリシー Windows含まれます。 デバイス構成ワークロードを Intune に移動すると、Intune のポリシーだけが適用されます。

Office クイック実行アプリ

このワークロードは、Microsoft 365 Appsデバイス上のデータを管理します。

  • ワークロードを移動すると、アプリはデバイスの ポータル サイトに表示 されます。

  • クライアントに Office 更新プログラムが表示されるまでに 24 時間かかることがあります (デバイスを再起動していない場合)。

  • 新しいアプリケーションに対する要件として既定で追加されるグローバルMicrosoft 365があります。 このワークロードを移行すると、共同管理クライアントでアプリケーションの要件が満たされなくなります。 そのため、Configuration Manager で展開される Microsoft 365 がインストールされなくなります。 グローバル条件の名前は次のいずれかです。

    • Microsoft 365によって管理されるアプリ (Microsoft Intune 2111 以降)
    • デバイスOffice 365 Intune によって 管理されているアプリケーションのバージョン (バージョン 2107 以前)

更新プログラムは、次のいずれかの機能を使用して管理できます。

Intune 機能の詳細については、「アプリを使用してデバイスにアプリMicrosoft 365をWindowsする」を参照Microsoft Intune。

クライアント アプリ

ヒント

この機能は、共同管理デバイスのモバイル アプリとして機能の一覧 に表示される場合があります

Intune を使用して、共同管理されたデバイスまたは以降のデバイスでクライアント アプリWindows 10 PowerShell スクリプトを管理します。 このワークロードを移行すると、Intune から展開した利用可能なアプリは [会社のポータル] で利用できるようになります。 Configuration Manager から展開するアプリは、[ソフトウェア センター] で利用できます。

Intune 機能の詳細については、「アプリ管理とはMicrosoft Intune参照してください。

注意

バージョン 1903 Windows 10以降では、クライアント アプリのワークロードを Intune に切り替えていなくても、PowerShell スクリプトは共同管理デバイスで実行されます。

Configuration Manager 配布ポイントで Microsoft Connected Cache を有効にした場合、Win32 アプリMicrosoft Intune共同管理クライアントにサービスを提供できます。 詳細については、「Configuration Manager における Microsoft 接続済みキャッシュ」を参照してください。

アプリのワークロード図

共同管理アプリのワークロードの図。

ヒント

構成マネージャー アプリも表示ポータル サイト構成できます。 このアプリ ポータル エクスペリエンスを変更すると、上記の図で説明した動作が変更されます。 詳細については、「共同管理デバイスでポータル サイト アプリを使用する」を参照してください。

既知の問題

バージョン 2006 以前に適用されます

このワークロードEndpoint Protection Intune に移動すると、クライアントは Configuration Manager と Microsoft Defender によって設定されたポリシーを引き続き受け入れ可能です。

この問題を回避するには、次CleanUpPolicy.xmlを使用ConfigSecurityPolicy.exe Intune ポリシーをクライアントが受け取った後に、アプリケーションを使用してアプリケーションを適用します。

  1. 以下のテキストをコピーして保存します CleanUpPolicy.xml

    <?xml version="1.0" encoding="UTF-8"?>
    <SecurityPolicy xmlns="http://forefront.microsoft.com/FEP/2010/01/PolicyData" Name="FEP clean-up policy"><PolicySection Name="FEP.AmPolicy"><LocalGroupPolicySettings><IgnoreKey Name="SOFTWARE\Policies\Microsoft\Microsoft Antimalware"/><IgnoreKey Name="SOFTWARE\Policies\Microsoft\Windows Defender"/></LocalGroupPolicySettings></PolicySection></SecurityPolicy>
    
  2. 管理者特権でコマンド プロンプトを開きます ConfigSecurityPolicy.exe 。 通常、この実行可能ファイルは次のいずれかのディレクトリにあります。

    • C:\Program Files\Windows Defender
    • C:\Program Files\Microsoft Security Client
  3. コマンド プロンプトで、xml ファイルを渡してポリシーをクリーンアップします。 たとえば、「 ConfigSecurityPolicy.exe C:\temp\CleanUpPolicy.xml 」のように入力します。

次の手順

ワークロードを切り替える方法