共同管理用にインターネット ベースのデバイスを準備する方法
この記事では、新しいインターネット ベースのデバイスの共同管理への 2 番目のパスについて説明します。 このシナリオは、Azure AD に参加し、Intuneに自動的に登録する新しいWindows 10以降のデバイスがある場合です。 共同管理の状態を実現するために、Configuration Manager クライアントをインストールします。
Windows Autopilot
新しいWindows デバイスの場合は、Autopilot サービスを使用して、既定のエクスペリエンス (OOBE) を構成します。 このプロセスには、Azure AD へのデバイスの参加、Intuneへのデバイスの登録、Configuration Manager クライアントのインストール、共同管理の構成が含まれます。
詳細については、「 Autopilot に登録する方法」を参照してください。
注意
Microsoft エンドポイント マネージャーを使用してクライアント デバイスのデプロイ、管理、セキュリティ保護を行っているお客様と話をする際に、多くの場合、共同管理デバイスとハイブリッド Azure Active Directory (Azure AD) 参加済みデバイスに関する質問が表示されます。 多くのお客様は、この 2 つのトピックを混乱させます。 共同管理は管理オプションですが、Azure AD は ID オプションです。 詳細については、「 ハイブリッド Azure AD と共同管理のシナリオについて」を参照してください。 このブログ投稿は、ハイブリッド Azure AD の参加と共同管理、それらが連携する方法を明確にすることを目的としていますが、同じではありません。
ハイブリッド Azure AD 参加用の Autopilot ユーザードリブン モードWindows新しいコンピューターのプロビジョニング中に、Configuration Manager クライアントをデプロイすることはできません。 この制限は、ハイブリッド Azure AD 参加プロセス中にデバイスの ID が変更されたためです。 Autopilot プロセスの後に、Configuration Manager クライアントをデプロイします。 クライアントをインストールする別のオプションについては、Configuration Managerのクライアント インストール方法に関するページを参照してください。
Configuration Managerから情報を収集する
Configuration Managerを使用して、Intuneに必要なデバイス情報を収集して報告します。 この情報には、デバイスのシリアル番号、Windows製品識別子、ハードウェア識別子が含まれます。 Autopilot をサポートするために、デバイスをIntuneに登録Windows使用されます。
Configuration Manager コンソールで、[監視] ワークスペースに移動し、[レポート] ノード を 展開し、[レポート] を展開して、[ハードウェア - 全般] ノードを選択します。
レポートを実行 し、Autopilot デバイス情報をWindows し、結果を表示します。
レポート ビューアーで [ エクスポート ] アイコンを選択し、 CSV (コンマ区切り) オプションを選択します。
ファイルを保存した後、Intuneにデータをアップロードします。
詳細については、「Windows Autopilot でデバイスを手動で登録する」を参照してください。
既存のデバイスの Autopilot
既存デバイス向け Windows Autopilot では、1 つのネイティブ Configuration Manager タスク シーケンスを使用して 、Windows Autopilot ユーザードリブン モード用のWindows 8.1 デバイスを再イメージ化してプロビジョニングできます。
詳細については、「既存デバイス向け Windows Autopilot」を参照してください。
Configuration Manager クライアントをインストールする
Configuration Manager クライアントをインストールするために、Intune アプリを作成して割り当てる必要はなくなりました。 Intune登録ポリシーは、Configuration Manager クライアントをファースト パーティ アプリとして自動的にインストールします。 デバイスは、Configuration Manager クラウド管理ゲートウェイ (CMG) からクライアント コンテンツを取得するため、Intuneでクライアント コンテンツを提供および管理する必要はありません。 詳細については、「 Autopilot に登録する方法」を参照してください。
Intuneでは、Configuration Manager クライアントのコマンド ライン パラメーターを引き続き指定します。
注意
デバイスが CMG サーバー認証証明書を信頼していることを確認します。 詳細については、「 CMG サーバー認証証明書」を参照してください。 デバイスが CMG サーバー認証証明書を信頼していない場合、クライアントの ccmsetup.log にWINHTTP_CALLBACK_STATUS_FLAG_INVALID_CA エラーが表示されます。
Configuration Managerからコマンド ラインを取得する
Configuration Manager コンソールで、[管理] ワークスペースに移動し、[Cloud Services] を展開し、[Cloud Attach] ノードを選択します。
ヒント
バージョン 2103 およびそれ以前の場合は、[共同管理] ノードを選択します。
共同管理オブジェクトを選択し、リボンで [プロパティ ] を選択します。
[有効化] タブ で 、コマンド ラインをコピーします。 メモ帳に貼り付けて、次のプロセスのために保存します。 コマンド ラインは、クラウド管理ゲートウェイなど、すべての前提条件を満たしている場合にのみ表示されます。
次のコマンド ラインは例です。 CCMSETUPCMD="CCMHOSTNAME=contoso.cloudapp.net/CCM_Proxy_MutualAuth/72186325152220500 SMSSITECODE=ABC"
環境に必要なコマンド ライン プロパティを決定します。
すべてのシナリオでは、次のコマンド ライン プロパティが必要です。
CCMHOSTNAMESMSSITECODE
デバイスがクライアント認証に Azure AD を使用し、PKI ベースのクライアント認証証明書も持っている場合は、Azure AD を使用するために次のプロパティを指定します。
AADCLIENTAPPIDAADRESOURCEURI
クライアントがイントラネットにローミングする場合は、プロパティを使用します
SMSMP。独自の PKI 証明書を使用していて、CRL がインターネットに発行されていない場合は、パラメーターを
/NoCRLCheck使用します。 詳細については、「 クライアント インストールプロパティについて: /NoCRLCheck」を参照してください。重要
MICROSOFT では、CRL を発行することをお勧めします。 詳細については、「 CRL の計画」を参照してください。
クライアントの登録直後にタスク シーケンスをブートストラップするには、プロパティを使用します
PROVISIONTS。 詳細については、「 クライアント インストール プロパティについて: PROVISIONTS」を参照してください。インターネット ベースのデバイスがConfiguration Manager クライアントの最新バージョンを取得することを確認するには、プロパティを
UPGRADETOLATEST使用します。 詳細については、「 クライアント インストールプロパティについて:UPGRADETOLATEST」を参照してください。
このサイトは、他の Azure AD 情報をクラウド管理ゲートウェイ (CMG) に発行します。 Azure AD 参加済みクライアントは、ccmsetup プロセス中に CMG からこの情報を取得し、そのクライアントが参加しているのと同じテナントを使用します。 この動作により、複数の Azure AD テナントを持つ環境での共同管理へのデバイスの登録がさらに簡単になります。 必要な ccmsetup プロパティは CCMHOSTNAME 2 つだけです。SMSSITECODE
次の例には、これらのプロパティがすべて含まれています。
CCMSETUPCMD="CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSITECODE=ABC AADCLIENTAPPID=7506ee10-f7ec-415a-b415-cd3d58790d97 AADRESOURCEURI=https://contososerver SMSMP=https://mp1.contoso.com PROVISIONTS=PRI20001"
詳細については、「 クライアントインストールのプロパティ」を参照してください。
重要
このコマンド ラインをカスタマイズする場合は、長さ 1024 文字を超えないことを確認します。 コマンド ラインの長さが 1024 文字を超えると、クライアントのインストールは失敗します。