Intune と Windows Autopilot を使用して Hybrid Azure AD 参加済みデバイスをデプロイする

  • [アーティクル]

適用対象

  • Windows 11
  • Windows 10

Intune と Windows Autopilot を使用して、Hybrid Azure Active Directory (Azure AD) 参加済みデバイスを設定できます。 そのためには、この記事の手順のようにします。 ハイブリッド Azure AD 参加の詳細については、「Understanding hybrid Azure AD join and co-management (ハイブリッド Azure AD の参加と共同管理について)」を参照してください。

前提条件

Hybrid Azure AD 参加済みデバイスを正しく構成します。 Get-MsolDevice コマンドレットを使用して、デバイスの登録を確認します。

登録するデバイスは、次の要件に従う必要があります。

  • Windows 11 または Windows 10 バージョン 1809 以降を使用している。
  • 以下の Windows Autopilot ネットワーク要件に従ってインターネットにアクセスできる。
  • Active Directory ドメイン コントローラーにアクセスできる。 デバイスは、次のことができるように組織のネットワークに接続する必要があります。
    • AD ドメインと AD ドメイン コントローラーの DNS レコードを解決する。
    • ドメイン コントローラーと通信して、ユーザーを認証する。
  • 参加しようとしているドメインのドメイン コントローラーに正常に ping を実行する。
  • プロキシを使用する場合は、WPAD プロキシ設定オプションを有効にして構成する必要がある。
  • OOBE (Out-of-Box Experience) を使用している。
  • Azure Active Directory が OOBE でサポートしている認証の種類を使用する。

Windows 自動登録を設定する

  1. Azure にサインインし、左側のウィンドウで [Azure Active Directory] > [モビリティ (MDM および MAM)] > [Microsoft Intune] を選択します。

  2. Intune と Windows を使用して Azure AD 参加済みデバイスをデプロイするユーザーが、MDM ユーザー スコープ に含まれるグループのメンバーであることを確認します。

    [モビリティ (MDM および MAM)] の [構成] ウィンドウ。

  3. [MDM 利用規約 URL][MDM 探索 URL][MDM 準拠 URL] の各ボックスには既定値を使用して、[保存] を選択します。

組織単位でコンピューター アカウントの上限を増やす

Active Directory 用の Intune コネクタでは、オンプレミスの Active directory ドメインに Autopilot 登録済みコンピューターが作成されます。 Intune コネクタをホストするコンピューターには、ドメイン内にコンピューター オブジェクトを作成する権限が必要です。

一部のドメインでは、コンピューターにコンピューターを作成する権限が付与されていません。 また、ドメインには組み込みの制限 (既定値は 10) があり、コンピューター オブジェクトの作成権限を委任されていないすべてのユーザーとコンピューターに適用されます。 権利は、ハイブリッド Azure AD に参加しているデバイスが作成されている組織単位で Intune コネクタをホストするコンピューターに委任する必要があります。

コンピューター作成権限を付与される組織単位は、次のどちらかと一致している必要があります。

  • ドメイン参加プロファイルで入力された組織単位。
  • プロファイルが選択されていない場合は、お使いのドメインに対するコンピューターのドメイン名。

  1. Active Directory ユーザーとコンピューター (DSA.msc)] を開きます。

  2. 使用する組織単位を右クリックして、ハイブリッド Azure AD に参加しているコンピューター > [制御の委任] を作成します。

    [制御の委任] コマンド

  3. オブジェクト制御の委任次へ] [追加] [オブジェクト タイプ] を選択します。

  4. [オブジェクトの種類] ウィンドウで、[コンピューター] > [OK] の順に選択します。

    [オブジェクトの種類] ウィンドウ。

  5. [ユーザー、コンピューター、またはグループの選択] ウィンドウの [選択するオブジェクト名を入力してください] ボックスに、コネクタをインストールするコンピューターの名前を入力します。

    [ユーザー、コンピューター、またはグループの選択] ウィンドウ。

  6. 名前の確認] を選択してエントリを検証し、[OK] [次へ] を選択します。

  7. 委任するカスタム タスクを作成する] [次へ] を選択します。

  8. [フォルダ内の次のオブジェクトのみ] > [コンピューター オブジェクト] の順に選択します。

  9. [このフォルダーに選択したオブジェクトを作成する][このフォルダー内の選択したオブジェクトを削除する] を選択します。

    [Active Directory オブジェクトの種類] ウィンドウ。

  10. 次へ] を選択します。

  11. アクセス許可] で、[フル コントロール] チェック ボックスをオンにします。 このアクションは、他のすべてのオプションを選択します。

    [アクセス許可] ウィンドウ。

  12. 次へ] [完了] の順に選択します。

Intune コネクタをインストールする

はじめに

  • Active Directory 用の Intune コネクタは、Windows Server 2016 以降を実行しているコンピューターにインストールする必要があります。

  • コンピューターは、インターネットとお使いの Active Directory にアクセスできる必要があります。

  • スケーラビリティと可用性を高めるために、環境内に複数のコネクタをインストールできます。 コネクタは、他の Intune コネクタが実行されていないサーバーにインストールすることをお勧めします。 各コネクタは、サポートする任意のドメインでコンピューター オブジェクトを作成できる必要があります。

  • 組織に複数のドメインがあり、複数の Intune コネクタをインストールする場合は、特定のドメインに対してのみハイブリッド Azure AD 参加を実装する予定であっても、すべてのドメインでコンピューター オブジェクトを作成できるサービス アカウントを使用する必要があります。 これらが信頼できないドメインである場合は、Windows Autopilot を使用しないドメインからコネクタをアンインストールする必要があります。 それ以外の場合、複数のドメインにまたがる複数のコネクタを使用すると、すべてのコネクタがすべてのドメインでコンピューター オブジェクトを作成できる必要があります。

    このコネクタ サービス アカウントには、次のアクセス許可が必要です。

    • サービスとしてログオン
    • ドメイン ユーザー グループの一部である必要があります
    • コネクタをホストする Windows サーバー上のローカル 管理者 グループのメンバーである必要があります

  • Intune コネクタには、Intune と同じエンドポイントが必要です。

インストール手順

  1. [IE セキュリティ強化の構成] をオフにします。 Windows Server では既定で、Internet Explorer セキュリティ強化の構成がオンになっています。 Intune Connector for Active Directory にサインインできない場合、管理者向けの [IE セキュリティ強化の構成] をオフにします。 Internet Explorer セキュリティ強化の構成をオフにする方法
  2. Microsoft Endpoint Manager admin center で、[デバイス] > [Windows] > [Windows の登録] > [Active Directory の Intune コネクタ] > [追加] を選択します。
  3. 手順に従ってコネクタをダウンロードします。
  4. ダウンロードしたコネクタのセットアップ ファイル ODJConnectorBootstrapper.exe を開いて、コネクタをインストールします。
  5. セットアップの最後に、[構成] を選択します。
  6. [サインイン] を選びます。
  7. グローバル管理者ロールまたは Intune 管理者ロールの資格情報を入力します。 ユーザー アカウントに Intune ライセンスが割り当てられている必要があります。
  8. [デバイス] > [Windows ] > [Windows の登録] > [Active Directory の Intune コネクタ] に移動し、接続の状態が [アクティブ] であることを確認します。

注意

  • グローバル管理者ロールは、インストール時の一時的な要件です。
  • コネクタにサインインした後、それが Microsoft エンドポイント マネージャー管理センターに表示されるまでに数分かかる場合があります。 Intune サービスと正常に通信できる場合にのみ表示されます。
  • 非アクティブな Intune コネクタは引き続き Intune コネクタ ブレードに表示され、30 日後に自動的にクリーンアップされます。

Web プロキシ設定の構成

ネットワーク環境に Web プロキシがある場合は、「既存のオンプレミス プロキシ サーバーと連携する」を参照して、Active Directory 用の Intune コネクタが正しく動作することを確認します。

デバイス グループを作成する

  1. Microsoft Endpoint Manager admin center で、[グループ] > [新しいグループ] を選択します。

  2. [グループ] ウィンドウで、次のオプションを選択します。

    1. [グループの種類] で、[セキュリティ] を選択します。
    2. [グループ名][グループの説明] を入力します。
    3. [メンバーシップの種類] を選択します。

  3. メンバーシップの種類で [動的デバイス] を選択した場合は、[グループ] ウィンドウで [動的なデバイス メンバー] を選択します。

  4. [ルール構文] ボックスで [編集] を選択し、次のいずれかのコード行を入力します。

    • すべての Autopilot デバイスを含むグループを作成するには、「(device.devicePhysicalIDs -any _ -contains "[ZTDId]")」と入力します。
    • Intune のグループ タグ フィールドは、Azure AD デバイス上の OrderID 属性にマップされます。 特定のグループ タグ (OrderID) を持つすべての Autopilot デバイスを含むグループを作成する場合は、(device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881") と入力します。
    • 特定の発注 IDを持つすべての自動操縦デバイスを含むグループを作成するには、(device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342") と入力します。

  5. [保存] > [作成] の順に選択します。

Autopilot デバイスを登録する

次の方法のいずれかを選択して Autopilot デバイスを登録します。

既に登録されている Autopilot デバイスを登録する

  1. [すべての対象デバイスを Autopilot に変換する][はい] に設定して、Autopilot Deployment プロファイルを作成します。
  2. Autopilot で自動的に登録するメンバーが含まれるグループにプロファイルを割り当てます。

詳しくは、「Autopilot Deployment プロファイルを作成する」をご覧ください。

登録されていない Autopilot デバイスを登録する

デバイスがまだ登録されていない場合は、自分で登録できます。 詳細については、「手動登録」を参照してください。

OEM からデバイスを登録する

新しいデバイスを購入する場合は、一部の OEM がデバイスを登録できます。詳細については、「OEM 登録」 を参照してください。

Intune に登録する前、登録済み の自動操縦デバイスが以下の 3 か所に表示されます (名前はシリアル番号に設定されています)。

  • Azure portal の Intune の [Autopilot デバイス] ウィンドウ。 [デバイスの登録] > [Windows の登録] > [デバイス] を選択します。
  • Azure portal の Intune の [Azure AD デバイス] ウィンドウ。 [デバイス] > [Azure AD デバイス] を選択します。
  • Azure portal の Azure Active Directory の [Azure AD All Devices](Azure AD のすべてのデバイス) ウィンドウ ([デバイス] > [すべてのデバイス])。

Autopilot デバイスが "登録" された後は、次の 4 つの場所に表示されます。

  • Azure portal の Intune の [Autopilot デバイス] ウィンドウ。 [デバイスの登録] > [Windows の登録] > [デバイス] を選択します。
  • Azure portal の Intune の [Azure AD デバイス] ウィンドウ。 [デバイス] > [Azure AD デバイス] を選択します。
  • Azure portal の Azure Active Directory の [Azure AD All Devices](Azure AD のすべてのデバイス) ウィンドウ。 [デバイス] > [すべてのデバイス] を選択します。
  • Azure portal の Intune の [すべてのデバイス] ウィンドウ。 [デバイス] > [すべてのデバイス] を選択します。

登録後の Autopilot デバイスの名前は、デバイスのホスト名になります。 既定では、ホスト名は DESKTOP- で始まります。 デバイスが Autopilot に登録されると、デバイス オブジェクトが Azure AD で事前に作成されます。 デバイスが Hybrid Azure AD 展開を通過すると、設計上、別のデバイス オブジェクトが作成され、エントリが重複します。

サポートされる BYO VPN

テストと検証が既知の VPN クライアントの一覧を次に示します。

サポートされているクライアント

  • インボックス Windows VPN クライアント
  • Cisco AnyConnect (Win32 クライアント)
  • Pulse Secure (Win32 クライアント)
  • GlobalProtect (Win32 クライアント)
  • Checkpoint (Win32 クライアント)
  • Citrix NetScaler (Win32 クライアント)
  • SonicWall (Win32 クライアント)
  • FortiClient VPN (Win32 クライアント)

サポートされていないクライアント

  • UWP ベースの VPN プラグイン
  • ユーザー証明書が必要なすべてのクライアント
  • DirectAccess

AutoPilot Deployment プロファイルを作成して割り当てる

Autopilot Deployment プロファイルは、Autopilot デバイスを構成する場合に使用されます。

  1. Microsoft Endpoint Manager admin center で、[デバイス] > [Windows] > [Windows の登録] > [デプロイ プロファイル] > [プロファイルの作成] を選択します。
  2. [基本] ページ上で、[名前] と省略可能な [説明] に入力します。
  3. 割り当てられたグループ内のデバイスのすべてが自動的に Autopilot に変換されるようにする場合は、[すべての対象デバイスを Autopilot に変換する][はい] に設定します。 割り当てられたグループ内にある会社所有の Autopilot 以外のデバイスは、すべて Autopilot デプロイ サービスに登録されます。 個人所有のデバイスは、Autopilot に変換されません。 登録が処理されるまで 48 時間待ちます。 デバイスが登録解除されリセットされると、Autopilot によってそのデバイスが登録されます。 この方法でデバイスを登録すると、このオプションを無効にしてもプロファイルの割り当てを削除しても、Autopilot 展開サービスからデバイスは削除されません。 デバイスを直接削除する必要があります。
  4. [次へ] を選択します。
  5. [Out-of-box experience (OOBE)] ページの [配置モード] で、[ユーザー ドリブン] を選択します。
  6. [Azure AD への参加の種類] ボックスで、[ハイブリッド Azure AD 参加済み] を選択します。
  7. VPN サポートを活用する組織のネットワークを使用してデバイスを展開する場合、[ドメインの接続チェックをスキップする] オプションを [はい] に設定します。 詳細については、「User-driven mode for hybrid Azure Active Directory join with VPN support (VPN サポートを備えたハイブリッド Azure Active Directory 参加のユーザー駆動型モード)」を参照してください。
  8. 必要に応じて、[Out-of-box experience (OOBE)] ページで残りのオプションを構成します。
  9. [次へ] を選択します。
  10. [スコープ タグ] ページで、プロファイルの スコープ タグを選択します。
  11. [次へ] を選択します。
  12. [割り当て] ページで、[含めるグループを選択] を選択し、デバイス グループを検索して選択し、[選択] を選択します。
  13. [次へ] > [作成] を選択します。

デバイス プロファイルの状態が [未割り当て] から [割り当て中] を経て最後に [割り当て済み] に変わるまでに、約 15 分かかります。

(省略可能) 登録状態ページを有効にする

  1. Microsoft Endpoint Manager admin center で、[デバイス] > [Windows] > [Windows の登録] > [登録ステータス ページ] を選択します。
  2. [登録ステータス ページ] ウィンドウで、[既定] > [設定] の順に選択します。
  3. [アプリとプロファイルのインストール進行状況を表示する] ボックスで、[はい] を選択します。
  4. 必要に応じて、他のオプションを構成します。
  5. [保存] を選択します。

ドメイン参加プロファイルを作成して割り当てる

  1. Microsoft Endpoint Manager admin center で、[デバイス] > [構成プロファイル] > [プロファイルの作成] を選択します。

  2. 次のプロパティを入力します。

    • 名前: 新しいプロファイルのわかりやすい名前を入力します。
    • 説明: プロファイルの説明を入力します
    • [プラットフォーム]: [Windows 10 以降] を選択します。
    • プロファイルの種類: [テンプレート] を選択し、テンプレート名で [ドメイン参加] を選び、[作成] を選択します。

  3. [名前][説明] を入力し、[次へ] を選択します。

  4. [コンピューター名プレフィックス][ドメイン名] を指定します。

  5. (省略可能) [組織ユニット] (OU) を [DN 形式] で指定します。オプションは次のとおりです。

    • Intune コネクタを実行している Windows 2016 デバイスに制御を委任した OU を指定します。
    • オンプレミスの Active Directory でルート コンピューターに制御を委任した OU を指定します。
    • この値を空白のままにすると、コンピューター オブジェクトが Active Directory の既定のコンテナー (変更しないかぎり CN=Computers) に作成されます。

    有効な例を示します。

    • OU=Sub OU,OU=TopLevel OU,DC=contoso,DC=com
    • OU=Mine、DC=contoso、DC=com

    有効ではない例を示します。

    • CN=Computers、DC=contoso、DC=com (コンテナーを指定することはできません。ドメインの既定値を使用する場合は、代わりに値を空白のままにします)
    • OU=Mine (DC=attributes を使用してドメインを指定する必要があります)

    注意

    [組織単位] の値の周りで引用符を使用しないでください。

  6. [OK] > [作成] を選択します。 プロファイルが作成されて、一覧に表示されます。

  7. 手順「デバイス グループの作成」で使用したのと同じグループにデバイス プロファイルを割り当てます。 別のドメインまたは OU にデバイスを参加させる必要がある場合は、異なるグループを使用できます。

注意

Hybrid Azure AD Join 用の Windows Autopilot の名前付け機能では、%SERIAL% などの変数はサポートされません。サポートされるのは、コンピューター名のプレフィックスのみです。

次の手順

Windows Autopilot を構成した後は、これらのデバイスを管理する方法を学習します。 詳細については、「Microsoft Intune デバイスの管理とは」を参照してください。