Configuration Managerの Technical Preview 1702 の機能

  • [アーティクル]

適用対象: Configuration Manager (テクニカル プレビュー ブランチ)

この記事では、Configuration Managerバージョン 1702 の Technical Preview で使用できる機能について説明します。 このバージョンをインストールして、新しい機能を更新し、Configuration Managerのテクニカル プレビュー サイトに追加できます。 このバージョンのテクニカル プレビューをインストールする前に、概要トピック「Configuration Managerの Technical Preview」を参照して、テクニカル プレビューの使用に関する一般的な要件と制限事項、バージョン間の更新方法、および技術プレビューの機能に関するフィードバックを提供する方法について理解してください。

このバージョンで試すことができる新機能を次に示します。

Configuration Manager コンソールからフィードバックを送信する

このプレビューでは、Configuration Manager コンソールに新しいフィードバック オプションが導入されています。 フィードバック オプションを使用すると、Configuration Manager製品フィードバック Web サイトを使用して、開発チームに直接フィードバックを送信できます。

[フィードバック] オプションは次のとおりです。

  • リボンの各ノードの [ホーム] タブの左端にあります。
    Ribbon
  • コンソール内の任意のオブジェクトを右クリックするとします。
    Righ-click オプション

[フィードバック] を選択すると、ブラウザーがConfiguration Manager製品フィードバック Web サイトに表示されます。

更新とサービスの変更

このプレビューでは、次の情報が導入されています。

より簡単な更新の選択肢
次回インフラストラクチャが 2 つ以上の更新プログラムの対象となると、最新の更新プログラムのみがダウンロードされます。 たとえば、現在のサイト のバージョンが、利用可能な最新バージョンより 2 つ以上古い場合は、その最新の更新プログラムのバージョンのみが自動的にダウンロードされます。

最新バージョンではない場合でも、他の利用可能な更新プログラムをダウンロードしてインストールすることもできます。 ただし、更新プログラムが新しい更新プログラムに置き換えられたという警告が表示されます。 [ ダウンロード可能] の更新プログラムをダウンロードするには、コンソールで更新プログラムを選択し、[ ダウンロード] をクリックします。

古い更新プログラムのクリーンアップの改善
サイト サーバーの 'EasySetupPayload' フォルダーから不要なダウンロードを削除する自動クリーン機能を追加しました。

ピア キャッシュの機能強化

このリリース以降、ピア キャッシュ ソース コンピューターは、ピア キャッシュ ソース コンピューターが次のいずれかの条件を満たしている場合、コンテンツの要求を拒否します。

  • バッテリー残量が少ないモードです。
  • CPU 負荷は、コンテンツが要求された時点で 80% を超えています。
  • ディスク I/O には、 AvgDiskQueueLength が 10 を超えています。
  • コンピューターへの使用可能な接続はこれ以上ありません。

これらの設定は、Configuration Manager SDK を使用する場合、ピア ソース機能 (SMS_WinPEPeerCacheConfig) のクライアント エージェント構成クラスを使用して構成できます。

コンピューターがコンテンツの要求を拒否すると、要求元のコンピューターは、使用可能なコンテンツ ソースの場所のプール内の代替ソースのコンテンツ フォームを引き続きシークします。

Microsoft Entra Domain Servicesを使用してデバイス、ユーザー、グループを管理する

このテクニカル プレビュー バージョンでは、Microsoft Entra Domain Services マネージド ドメインに参加しているデバイスを管理できます。 さまざまなConfiguration Manager検出方法を使用して、そのドメイン内のデバイス、ユーザー、グループを検出することもできます。

テクニカル プレビュー サイト インフラストラクチャ、クライアント、Microsoft Entra Domain Services ドメインはすべて Azure で実行する必要があります。

Microsoft Entra ID を使用するようにConfiguration Managerを設定する

Configuration ManagerでMicrosoft Entra ID を使用するには、次のものが必要です。

  • Azure サブスクリプション。
  • Domain Services (DS) を使用して ID をMicrosoft Entraします。
  • Microsoft Entra ID に参加している Azure VM 上で実行されるConfiguration Manager サイト。
  • Configuration Manager同じMicrosoft Entra環境で実行されるクライアント。

ドメイン サービスMicrosoft Entra構成するには、「Microsoft Entra Domain Servicesの概要」を参照してください。

リソースを検出する

Microsoft Entra ID で実行するようにConfiguration Managerを設定した後、次の Active Directory 検出方法を使用して、リソースMicrosoft Entra ID を検索できます。

  • Active Directory システム検出
  • Active Directory ユーザー検出
  • Active Directory グループの検出

使用する各方法について、LDAP クエリを編集して、オンプレミスの Active Directoryするのが一般的なコンテナーではなく、Microsoft Entra OU 構造体を検索します。 これにより、Azure サブスクリプション内の Active Directory を検索するようにクエリを指示する必要があります。

次の例では、contoso.onmicrosoft.com のMicrosoft Entra ID を使用します。

  • システム検出
    Microsoft Entra ID は、AADDC コンピューター OU の下にデバイスを格納します。 以下のものを構成します。

    • LDAP://OU=AADDC Computers,DC=contoso,DC=onmicrosoft,DC=com

  • ユーザー検出Microsoft Entra ID は、AADDC Users OU の下にユーザーを格納します。 以下のものを構成します。

    • LDAP://OU=AADDC Users,DC= contoso,DC=onmicrosoft,DC=com

  • グループ検出
    Microsoft Entra ID には、グループを格納する OU がありません。 代わりに、システムクエリまたはユーザークエリと同じ一般的な構造を使用し、検出するグループを含む OU を指すように LDAP クエリを構成します。

Microsoft Entra ID の詳細については、次を参照してください。

条件付きアクセス デバイス コンプライアンス ポリシーの機能強化

ユーザーがアプリの非準拠リストの一部であるアプリを使用している場合に、条件付きアクセスをサポートする企業リソースへのアクセスをブロックするのに役立つ新しいデバイス コンプライアンス ポリシー規則を使用できます。 アプリの非準拠リストは、 インストールできない新しい準拠ルールアプリを追加するときに、管理者によって定義できます。 この規則では、準拠していないリストにアプリを追加するときに、管理者が アプリ名アプリ IDおよび App Publisher (省略可能) を入力する必要があります。 この設定は、iOS デバイスと Android デバイスにのみ適用されます。

さらに、これにより、組織はセキュリティで保護されていないアプリによるデータ漏洩を軽減し、特定のアプリを介して過剰なデータ消費を防ぐことができます。

試してみる

シナリオ: 会社のデータを社外に送信することによってデータ漏洩の原因となっている可能性があるアプリ、またはデータの過剰消費を引き起こしているアプリを特定し、これらのアプリを非準拠のアプリの一覧に追加する 条件付きアクセス デバイス コンプライアンス ポリシーを作成 します。 これにより、ユーザーがブロックされたアプリを削除できるようになるまで、条件付きアクセスをサポートする企業リソースへのアクセスがブロックされます。

マルウェア対策クライアントバージョンのアラート

このプレビュー バージョン以降、Configuration Manager Endpoint Protection は、マネージド クライアントの 20% を超える (既定) がマルウェア対策クライアント (つまり、Windows Defenderまたは Endpoint Protection クライアント) の期限切れバージョンを使用している場合にアラートを提供します。

試してみる

クライアント設定ポリシーを使用して、すべてのデスクトップ クライアントとサーバー クライアントで Endpoint Protection が有効になっていることを確認します。 [資産] と [コンプライアンス>の概要>] [デバイス>] [すべてのデスクトップ] と [クライアントにサービスを提供する] に移動して、マルウェア対策クライアントのバージョンエンドポイント保護の展開状態を表示できるようになりました。 アラートをチェックするには、[監視] ワークスペースで [アラート] を表示します。 マネージド クライアントの 20% 以上がマルウェア対策ソフトウェアの期限切れバージョンを実行している場合、マルウェア対策クライアントのバージョンが古いアラートが表示されます。 このアラートは、[監視>の概要] タブには表示されません。期限切れのマルウェア対策クライアントを更新するには、マルウェア対策クライアントのソフトウェア更新プログラムを有効にします。

アラートが生成される割合を構成するには、[監視>アラート] [すべてのアラート>] の順に展開し、[マルウェア対策クライアントを最新の状態に保つ] をダブルクリックし、[マルウェア対策クライアントの古いバージョンを持つマネージド クライアントの割合がオプションを超える場合にアラートを発生させる] を変更します。

ビジネス更新プログラムのWindows Updateのコンプライアンス評価

条件付きアクセス評価の一部として、ビジネス評価結果のWindows Updateを含むようにコンプライアンス ポリシー更新規則を構成できるようになりました。

重要

ビジネス更新プログラムのWindows Updateにコンプライアンス評価を使用するには、Insider Preview ビルド 15019 以降をWindows 10する必要があります。

Windows 10更新プログラムの管理を Business Windows Updateに許可する

ビジネス更新プログラムのWindows Updateに関するコンプライアンス評価情報を収集するには、次の手順を使用して、Windows 10更新プログラムの管理Windows Updateを明示的に許可するようにクライアント エージェント設定を構成します。

  1. Configuration Manager コンソールで、[管理>クライアント設定] に移動します。
  2. クライアント設定のプロパティで、[ソフトウェア 更新] に移動し、[ビジネス向けWindows UpdateでWindows 10更新プログラムを管理する] 設定で [はい] を選択します。

ビジネス評価のWindows Updateのコンプライアンス ポリシーを作成する

  1. Configuration Manager コンソールで、[資産とコンプライアンスコンプライアンスの設定] [コンプライアンス> ポリシー] > に移動します。
  2. [ コンプライアンス ポリシーの作成 ] をクリックするか、変更する既存のコンプライアンス ポリシーを選択します。
  3. [全般] ページで、名前と説明を入力し、[Configuration Manager クライアントで管理されているデバイスのコンプライアンス規則] を選択し、レポートのコンプライアンス違反の重大度を設定して、[次へ] をクリックします。
  4. [サポートされているプラットフォーム] ページで、[Windows 10] を選択し、[次へ] をクリックします。
  5. [ルール] ページで[新規]をクリックし、[条件] で [ビジネス コンプライアンスにWindows Updateが必要] を選択します。 [値] 設定は自動的に True に設定されます

新しいポリシーは、[資産とコンプライアンス] ワークスペースの [コンプライアンス ポリシー] ノードに表示されます。

コンプライアンス ポリシーを展開する

  1. Configuration Manager コンソールで、[資産とコンプライアンスコンプライアンス>の設定] に移動し、[コンプライアンス ポリシー] をクリックします。
  2. [ ホーム ] タブの [ デプロイ ] グループで、[ デプロイ] をクリックします。
  3. [ コンプライアンス ポリシーの展開 ] ダイアログ ボックスで、[ 参照 ] をクリックして、ポリシーを展開するユーザー コレクションを選択します。 さらに、ポリシーが準拠していないときにアラートを生成するオプションを選択したり、このポリシーがコンプライアンスを評価するスケジュールを構成したりできます。
  4. 操作が完了したら、[OK] をクリックします。

コンプライアンス ポリシーを監視する

コンプライアンス ポリシーを作成した後、Configuration Manager コンソールでコンプライアンスの結果を監視できます。 詳細については、「 コンプライアンス ポリシーの監視」を参照してください。

影響の大きいタスク シーケンスのソフトウェア センター設定と通知メッセージの機能強化

このリリースには、影響の大きい展開タスク シーケンスに関するソフトウェア センターの設定と通知メッセージの次の機能強化が含まれています。

  • タスク シーケンスのプロパティで、オペレーティング システム以外のタスク シーケンスを含むタスク シーケンスをリスクの高い展開として構成できるようになりました。 特定の条件を満たすタスク シーケンスは、影響が大きいと自動的に定義されます。 詳細については、「 リスクの高いデプロイを管理する」を参照してください。
  • タスク シーケンスのプロパティでは、影響の大きい展開に既定の通知メッセージを使用するか、独自のカスタム通知メッセージを作成することを選択できます。
  • タスク シーケンスのプロパティでは、ソフトウェア センターのプロパティを構成できます。これには、再起動が必要な場合、タスク シーケンスのダウンロード サイズ、推定実行時間が含まれます。
  • インプレース アップグレードの既定の影響の大きいデプロイ メッセージは、アプリ、データ、設定が自動的に移行されることを示すようになりました。 以前は、オペレーティング システムのインストールの既定のメッセージでは、すべてのアプリ、データ、設定が失われることが示されていましたが、これはインプレース アップグレードでは当てはまりませんでした。

影響の大きいタスク シーケンスとしてタスク シーケンスを設定する

次の手順を使用して、影響の大きいタスク シーケンスを設定します。

注:

特定の条件を満たすタスク シーケンスは、影響が大きいと自動的に定義されます。 詳細については、「 リスクの高いデプロイを管理する」を参照してください。

  1. Configuration Manager コンソールで、[ソフトウェア ライブラリ>オペレーティング システム>] タスク シーケンスに移動します。
  2. 編集するタスク シーケンスを選択し、[ プロパティ] をクリックします。
  3. [ ユーザー通知 ] タブで、[ これは影響の大きいタスク シーケンスです] を選択します。

リスクの高いデプロイ用のカスタム通知を作成する

  1. Configuration Manager コンソールで、[ソフトウェア ライブラリ>オペレーティング システム>] タスク シーケンスに移動します。

  2. 編集するタスク シーケンスを選択し、[ プロパティ] をクリックします。

  3. [ ユーザー通知 ] タブで、[ カスタム テキストを使用する] を選択します。

    注:

    [ これは影響の大きいタスク シーケンス ] が選択されている場合にのみ、ユーザー通知テキストを設定できます。

  4. 次の設定を構成します (テキスト ボックスごとに最大 255 文字)。

    ユーザー通知の見出しテキスト: ソフトウェア センターのユーザー通知に表示される青いテキストを指定します。 たとえば、既定のユーザー通知では、このセクションには "このコンピューターのオペレーティング システムをアップグレードすることを確認する" のようなものが含まれています。

    ユーザー通知メッセージ テキスト: カスタム通知の本文を提供する 3 つのテキスト ボックスがあります。

    • 1 番目のテキスト ボックス: テキストのメイン本文を指定します。通常、ユーザーの指示が含まれます。 たとえば、既定のユーザー通知では、このセクションには "オペレーティング システムのアップグレードには時間がかかり、コンピューターが数回再起動される場合があります" のようなものが含まれています。
    • 2 番目のテキスト ボックス: テキストのメイン本文の下の太字のテキストを指定します。 たとえば、既定のユーザー通知では、このセクションには "このインプレース アップグレードでは、新しいオペレーティング システムがインストールされ、アプリ、データ、設定が自動的に移行されます" のような内容が含まれています。
    • 3 番目のテキスト ボックス: 太字のテキストの下のテキストの最後の行を指定します。 たとえば、既定のユーザー通知では、このセクションには "[インストール] をクリックして開始します。 それ以外の場合は、[キャンセル] をクリックします。

    プロパティで次のカスタム通知を構成するとします。

    タスク シーケンス プロパティのカスタム通知

    エンド ユーザーがソフトウェア センターからインストールを開くと、次の通知メッセージが表示されます。

    タスク シーケンスのカスタム通知 - ソフトウェア センター

ソフトウェア センターのプロパティを構成する

ソフトウェア センターに表示されるタスク シーケンスの詳細を構成するには、次の手順に従います。 これらの詳細は、情報提供のみを目的としています。

  1. Configuration Manager コンソールで、[ソフトウェア ライブラリ>オペレーティング システム>] タスク シーケンスに移動します。
  2. 編集するタスク シーケンスを選択し、[ プロパティ] をクリックします。
  3. [ 全般 ] タブでは、ソフトウェア センターの次の設定を使用できます。
    • 再起動が必要: インストール中に再起動が必要かどうかをユーザーに知らせます。
    • ダウンロード サイズ (MB): タスク シーケンスのソフトウェア センターに表示されるメガバイト数を指定します。
    • 推定実行時間 (分): タスク シーケンスのソフトウェア センターに表示される推定実行時間を分単位で指定します。

アプリケーションをインストールする前に、実行可能ファイルの実行を確認する

展開の種類>の< [プロパティ] ダイアログ ボックスの [インストール動作] タブで、実行されている場合に展開の種類のインストールをブロックする実行可能ファイルのいずれかを指定できるようになりました。 ユーザーは、デプロイの種類をインストールする前に、実行中の実行可能ファイルを閉じる必要があります (または、必要な目的でデプロイのために自動的に閉じることができます)。

試してみてください。

  1. Configuration Manager展開の種類のプロパティで、[インストール動作] タブを選択します。
  2. [追加] を選択して、チェックする 1 つ以上の実行可能ファイル名を追加します。 表示名を追加して、ユーザーがリスト内のアプリケーションを識別しやすくすることもできます。
  3. 展開に必要な目的がある場合は、ソフトウェアの展開ウィザードで、必要に応じて、[展開 の種類のプロパティ] ダイアログ ボックスの [インストール動作] タブで指定した実行中の実行可能ファイルを自動的に閉じるを選択できます。

アプリケーションが 使用可能としてデプロイされ、エンド ユーザーがアプリケーションをインストールしようとすると、指定した実行中の実行可能ファイルを閉じてからインストールを続行するように求められます。

アプリケーションが [必須] としてデプロイされ、[ 展開の種類のプロパティ] ダイアログ ボックスの [インストール動作] タブで指定した [実行中の実行可能ファイルを自動的に閉じる ] オプションが選択されている場合は、指定した実行可能ファイルがアプリケーションのインストール期限に達すると自動的に閉じられることを通知するダイアログ ボックスが表示されます。 これらのダイアログは、 クライアント設定>コンピューター エージェントでスケジュールできます。 エンド ユーザーにこれらのメッセージを表示させたくない場合は、[ ソフトウェア センターで非表示] を選択し、 展開のプロパティの [ ユーザー エクスペリエンス ] タブのすべての通知を選択します。

アプリケーションが [必須 ] としてデプロイされ、[ 展開の種類のプロパティ] ダイアログ ボックスの [インストール動作] タブで指定した実行中の実行可能ファイルを自動的に閉じる オプションが選択されていない場合、指定したアプリケーションの 1 つ以上が実行されている場合、アプリのインストールは失敗します。

S MIME サポートを使用して PFX 証明書を作成する

S/MIME をサポートする PFX 証明書プロファイルを作成し、ユーザーに展開できるようになりました。 この証明書は、ユーザーが登録したデバイス間の S/MIME 暗号化と暗号化解除に使用できます。

さらに、複数の証明書登録ポイント サイト システムの役割に複数の証明機関 (CA) を指定し、証明書プロファイルの一部として要求を処理する CA を割り当てることができるようになりました。

iOS デバイスの場合は、PFX 証明書プロファイルを電子メール プロファイルに関連付け、S/MIME 暗号化を有効にすることができます。 これにより、iOS 上のネイティブ メール クライアントで S/MIME が有効になり、正しい S/MIME 暗号化証明書が関連付けられます。

Configuration Managerの証明書の詳細については、「証明書プロファイルの概要」を参照してください。

iOS デバイスの新しいコンプライアンス設定

iOS デバイスの構成項目で使用できる新しい設定が追加されました。 これらは、以前はスタンドアロン構成のMicrosoft Intuneに存在していた設定であり、Configuration Managerで Intune を使用するときに使用できるようになりました。 これらの設定のいずれかに関するヘルプが必要な場合は、Microsoft Intuneの「iOS ポリシー設定」を参照してください。

  • マネージド アプリから iCloud にデータを同期する
  • 引き渡して他のデバイスでアクティビティを続行する
  • iCloud 写真共有
  • iCloud フォト ライブラリ
  • 新しいエンタープライズ アプリの作成者を信頼する
  • "エロティカ" のフラグが設定された iBook ストアからコンテンツをダウンロードすることをユーザーに許可する (監視モードのみ)
  • ペアリングされた Apple Watch を手首検出に強制的に使用する
  • AirPlay 送信要求のパスワード
  • アカウント設定の変更 (監視モードのみ)
  • アプリの携帯データネットワークの使用設定の変更 (監視モードのみ)
  • すべてのコンテンツと設定を消去 する (監視モードのみ)
  • デバイスの制限を構成する (監視モードのみ)
  • ホスト ペアリングを使用して、iOS デバイスがペアリングできるデバイスを制御する (監視モードのみ)
  • 構成プロファイルと証明書をインストール する (監視モードのみ)
  • デバイス名の変更 (監視モードのみ)
  • パスコードの変更 (監視モードのみ)
  • Apple Watch ペアリング (監視モードのみ)
  • 通知設定の変更 (監視モードのみ)
  • 壁紙の変更 (監視モードのみ)
  • 診断申請設定の変更 (監視モードのみ)
  • Bluetooth の変更 (監視モードのみ)
  • AirDrop (監視モードのみ)
  • Siri を使用してインターネットからユーザーが生成したコンテンツに対してクエリを実行する (監視モードのみ)
  • Siri 不適切な表現フィルター (監視モードのみ)
  • スポットライト検索でインターネットから結果を返す (監視モードのみ)
  • Word定義参照 (監視モードのみ)
  • 予測キーボード (監視モードのみ)
  • 自動修正 (監視モードのみ)
  • キーボードスペルチェック (監視モードのみ)
  • キーボード ショートカット (監視モードのみ)
  • Apple Configurator と iTunes のみを使用したアプリのインストール (監視モードのみ)
  • アプリの自動ダウンロード (監視モードのみ)
  • [フレンドの検索] アプリの設定を変更 する (監視モードのみ)
  • iBooks ストアへのアクセス (監視モードのみ)
  • メッセージ アプリ (監視モードのみ)
  • ポッドキャスト (監視モードのみ)
  • Apple Music (監視モードのみ)
  • iTunes Radio (監視モードのみ)
  • Apple News (監視モードのみ)
  • ゲーム センター (監視モードのみ)
  • Airdrop を管理対象外として扱う

Android for Work サポート

Technical Preview バージョン 1702 以降では、Google アカウントをハイブリッド MDM テナントにバインドできます。 これにより、次のようなことが可能になります。

  • サポートされている Android デバイスを Android for Work として登録し、それらの登録済みデバイスに仕事用プロファイルを作成する
  • Play for Work ストアでアプリを承認し、Configuration Manager コンソールと同期してから、デバイスの仕事用プロファイルに展開します
  • 構成項目を作成して展開して、それらのデバイスの仕事用プロファイルとパスワード設定を構成する
  • Android デバイスの場合と同様に、Android for Work デバイスのコンプライアンス ポリシー項目とリソース アクセス プロファイルを作成して展開する
  • Android for Work デバイスで選択的ワイプを実行する

Android for Work としてデバイスを登録すると、Intune で管理できる仕事用プロファイルがデバイスに作成されます。 この仕事用プロファイルは、Android デバイス上の個人用プロファイルと並べて存在します。 ユーザーは、仕事用プロファイル アプリと個人用プロファイル アプリを簡単に切り替えることができます。 個人用プロファイル内のアイテムを管理することはできません。 個人用アプリとデータは管理対象外のままです。 Configuration Managerは、仕事用プロファイルとその内容を完全に制御でき、デバイスから削除できます。

Android for Work は Android とは別のプラットフォームであり、仕事用プロファイルをサポートする Android デバイスに使用する管理の形式を決定する必要があります。

ぜひ、お試しください。

次のセクションでは、Android for Work 管理について説明します。

Android for Work 管理を有効にする

  1. で、この Intune テナントのすべての Android for Work 管理タスクに関連付けられる Android for Work 管理者アカウントとして使用する Google アカウント https://accounts.google.com/SignUp を作成します。 これは、Android デバイスを管理する管理者間で共有されている Google アカウントである可能性があります。 これは、Play for Work コンソールでアプリを管理および発行するためにorganizationが使用する Google アカウントです。 このアカウントを使用して Play for Work ストアのアプリを承認するため、アカウント名とパスワードを追跡します。
  2. Configuration Managerで管理されている Intune テナントに Google アカウントをバインドして、Android 登録を有効にします。
    1. [管理>の概要>Cloud Services>Microsoft Intuneサブスクリプション] に移動し、Intune サブスクリプションを選択します。
    2. リボンの [プラットフォームの構成][Android] の [Android の構成] をクリックし、[Android 登録を>有効にする] がオンになっていることを確認します。
    3. リボンで、[ プラットフォーム>Android for Work の構成] をクリックします。
    4. ダイアログ ボックスで、 Intune コンソールで [Android for Work の構成] をクリックします。 Intune コンソールが Web ブラウザーで開きます。
    5. Intune 管理者の資格情報を使用して、Intune ポータルにログインします。
    6. [ 構成 ] をクリックして、Google Play の Android for Work Web サイトを開きます。
    7. Google のサインイン ページで、手順 1 の Google アカウントの資格情報を入力し、会社情報を入力します。
  3. Intune ポータルに戻ると、Android for Work が有効になり、Android for Work デバイスには次の 3 つの登録オプションがあります。
    • Android としてすべてのデバイスを管理 する - (無効) Android for Work をサポートするデバイスを含むすべての Android デバイスは、従来の Android デバイスとして登録されます
    • サポートされているデバイスを Android for Work として管理 する - (有効) Android for Work をサポートするすべてのデバイスが Android for Work デバイスとして登録されます。 Android for Work をサポートしていない Android デバイスは、従来の Android デバイスとして登録されます。
    • これらのグループ内のユーザーに対してのみサポートされているデバイスを Android for Work として管理 する - (テスト) Android for Work 管理を限定されたユーザーのセットにターゲット設定できます。 Android for Work をサポートするデバイスを登録する選択したグループのメンバーのみが、Android for Work デバイスとして登録されます。 その他はすべて Android デバイスとして登録されます。

注:

既知の問題により、[ Android for Work としてこれらのグループ内のユーザーに対してのみサポートされているデバイスを管理 する] オプションが期待どおりに機能しなくなります。 指定したMicrosoft Entra グループ内のユーザーのデバイスは、Android for Work ではなく Android として登録されます。 Android for Work をテストするには、 サポートされているすべてのデバイスを Android for Work として管理する必要があります。

Android for Work 登録を有効にするには、下の 2 つのオプションのいずれかを選択する必要があります。 [Android for Work としてこれらのグループ内のユーザーに対してのみサポートされているデバイスを管理する] オプションでは、最初にMicrosoft Entraセキュリティ グループを設定する必要があります。

バインドが完了すると、Intune ポータルにアカウント名とorganization名が表示されます。その時点で、両方のブラウザーを閉じることができます。

Android for Work アプリを承認してデプロイする

Play for Work ストアでアプリを承認し、Configuration Manager コンソールに同期し、管理対象の Android for Work デバイスに展開するには、次の手順に従います。 ユーザーの仕事用プロファイルにアプリを展開するには、Play for Work でアプリを承認してから、アプリを Configuration Manager コンソールと同期する必要があります。

  1. ブラウザーを開き、 に移動します https://play.google.com/work
  2. Intune テナントにバインドした Google 管理者アカウントを使用してサインインします。
  3. 環境内にデプロイするアプリを参照し、それぞれに対して [承認 ] をクリックします。
  4. Configuration Manager コンソールで、[管理者>の概要Cloud Services>> Android for Work] に移動し、[同期] をクリックします。
  5. アプリが同期されるまで最大 10 分待ってから、ストア アプリの ソフトウェア ライブラリ>の概要>アプリケーション管理>ライセンス情報に移動します。
  6. Play for Work から同期されたアプリをクリックし、[アプリケーションの 作成] をクリックします。
  7. ウィザードを完了し、[ 閉じる] をクリックします。
  8. [ソフトウェア ライブラリの>概要>] [アプリケーション管理>アプリケーション] に移動し、Android for Work アプリを選択し、通常どおりにデプロイします。

Play for Work アプリをConfiguration Managerと同期するには、Play for Work Web サイトで少なくとも 1 つのアプリを承認する必要があります。

Android for Work デバイスを登録する

Android for Work デバイスを登録する方法は、Android の登録と似ています。 モバイル デバイスで Android 用のポータル サイト アプリをダウンロードして実行します。 登録プロセスの一部として作業プロファイルを作成するように求められます。 作業プロファイルが作成されたら、ポータル サイトのマネージド バージョンに切り替える必要があります。 マネージド ポータル サイトには、右下隅に小さなオレンジ色のブリーフケースが付けられます。

構成項目を作成してデプロイする

Android for Work には、構成項目の 2 つの設定グループがあります。

  • Password
  • 仕事用プロファイル

仕事用プロファイル間のコンテンツ共有と、Android 6 以降を実行しているデバイスで次の構成項目を構成できます。

  • 特定のアクセス許可を要求するアプリの動作
  • 作業プロファイル内のアプリケーションの通知がロック画面に表示されるかどうか

これを試すには、標準ワークフローを使用して構成項目を作成し、[全般] ページで [Android for Work] を選択し、各設定グループの設定を構成し、構成項目をベースラインに追加し、通常どおりにデプロイします。 これらの設定は、Android for Work として登録されているデバイスにのみ適用され、Android として登録されたデバイスには適用されません。

選択的ワイプを実行する

Android for Work として登録されているデバイスは、仕事用プロファイルのみを管理するため、選択的にワイプできます。 これにより、個人プロファイルがワイプされないように保護されます。 Android for Work デバイスで選択的ワイプを実行すると、すべてのアプリとデータを含む仕事用プロファイルが削除され、デバイスの登録が解除されます。

Android for Work デバイスを選択的にワイプするには、Configuration Manager コンソールで通常の選択的ワイプ プロセスを使用します。

Android for Work の既知の問題

Android for Work メール プロファイルで同期スケジュールを構成すると、展開に失敗します Android for Work メール プロファイル用の ConfigMgr UI のオプションの 1 つは、"スケジュール" です。 他のプラットフォームでは、管理者は、メールやその他のメール アカウント データを、展開先のモバイル デバイスに同期するためのスケジュールを構成できます。 ただし、Android for Work メール プロファイルでは機能しません。"未構成" 以外のオプションを選択すると、プロファイルはどのデバイスにも展開されません。