共同管理とは

共同管理は、Configuration Manager の既存の展開を Microsoft 365 クラウドに接続する主要な方法の 1 つです。 条件付きアクセスなど、クラウドを利用したより多くの機能のロックを解除するのに役立ちます。

共同管理により、Configuration Manager と Microsoft Intune の両方を使用して、Windows 10 以降のデバイスを同時に管理できます。 このようにすると、新しい機能を追加することにより、Configuration Manager への既存の投資をクラウドに接続できます。 共同管理を使用すると、お客様の組織に最適なテクノロジ ソリューションを柔軟に使用できます。

Windows デバイスにConfiguration Manager クライアントがあり、Intuneに登録されると、両方のサービスの利点が得られます。 管理者は、ワークロードが存在する場合、どのワークロードのオーソリティを Configuration Manager から Intune に切り替えるかを制御します。 Configuration Manager は、管理者が Intune に切り替えなかったワークロードを含む他のすべてのワークロード、および共同管理がサポートしていない Configuration Manager の他のすべての機能を引き続き管理します。

また、デバイスの個別のコレクションを使用してワークロードを移行することもできます。 パイロットを使用すると、より大きなグループの切り替えを行う前に、デバイスのサブセットを使用して Intune 機能をテストできます。

注意

Configuration ManagerとMicrosoft Intuneの両方を使用してデバイスを同時に管理する場合、この構成は 共同管理 と呼ばれます。 デバイスを Configuration Manager で管理し、サードパーティの MDM サービスに登録する場合、この構成は 共存 と呼ばれます。 単一のデバイスに 2 つの管理オーソリティを使用することは、両者が正しくオーケストレーションされていないと困難になる場合があります。 共同管理では、ワークロードのConfiguration ManagerとIntuneのバランスを取り、競合がないことを確認します。 このような相互作用はサードパーティのサービスとの間には存在しないため、共存の管理機能には限界があります。 詳細については、「サード パーティの MDM と Configuration Managerの共存」を参照してください。

共同管理へのパス

共同管理を達成するための 2 つの主なパスは次のとおりです。

• 既存のConfiguration Manager クライアント: クライアントが既にConfiguration ManagerされているWindows 10以降のデバイスがあります。 ハイブリッド Azure AD を設定して、Intune に登録します。

• 新しいインターネット ベースのデバイス: Azure AD に参加し、Intuneに自動的に登録する新しいWindows 10以降のデバイスがあります。 共同管理の状態を実現するために、Configuration Manager クライアントをインストールします。

パスの詳細については、「 共同管理へのパス」を参照してください。

利点

既存の Configuration Manager クライアントを共同管理に登録すると、すぐに次の価値を実現できます。

• デバイスのコンプライアンスを使用した条件付きアクセス

• Intune ベースのリモート操作 (例: 再起動、リモート コントロール、出荷時の設定にリセット)

• デバイスの正常性の一元表示

• ユーザー、デバイス、アプリの Azure Active Directory (Azure AD) とのリンク付け

• Windows Autopilot を使用した最新のプロビジョニング

• リモート操作

共同管理からのこの即時価値の詳細については、クイック スタート シリーズから クラウドへの共同管理への接続に関するページを参照してください。

共同管理を使用すると、複数のワークロードのIntuneを調整することもできます。 詳細については、「ワークロード」セクション を 参照してください。

注意

単独での共同管理は、リモート接続されたWindows システムを管理するためのソリューションではありません。 Configuration Manager クライアントは、割り当てられたサイトと通信する必要があります。 Configuration Managerを使用してリモート接続されたWindows システムを管理するには、クラウド管理ゲートウェイ (CMG) を有効にします。 共同管理には CMG は必要ありません。また、共同管理は CMG では必要ありませんが、一緒に使用できます。

前提条件

共同管理には、次の領域でこれらの前提条件があります。

• ライセンス
• Configuration Manager
• Azure Active Directory (Azure AD)
• Microsoft Intune
• Windows
• アクセス許可と役割

ライセンス

• Azure AD Premium

  注意

  Enterprise Mobility + Security (EMS) サブスクリプションには、Azure Active Directory Premium および Microsoft Intune の両方が含まれます。

• 管理者が Microsoft エンドポイント マネージャー 管理センターにアクセスするための Intune ライセンスが少なくとも 1 つ必要です。

  ヒント

  テナントへのサインインに使用するアカウントにIntune ライセンスを割り当てることを確認します。 それ以外の場合は、予期 しないエラーが発生 したというエラー メッセージでサインインが失敗します。

  Intune または EMS ライセンスを個別に購入してユーザーに割り当てる必要がない場合があります。 詳細については、「製品とライセンスに関するよく寄せられる質問」を参照してください。

構成マネージャー

共同管理では、現在のブランチConfiguration Managerサポートされているバージョンが必要です。

複数のConfiguration Manager インスタンスを 1 つのIntuneテナントに接続できます。

共同管理自体を有効にしても、Azure AD でサイトをオンボードする必要はありません。 2 番目のパス シナリオでは、インターネット ベースのConfiguration Manager クライアントにはクラウド管理ゲートウェイ (CMG) が必要です。 CMG では、クラウド管理のためにサイトが Azure AD にオンボードされている必要があります。

Azure AD

• Windowsデバイスは Azure AD に接続されている必要があります。 次のいずれかの種類を使用できます。

  • デバイスがオンプレミスの Active Directoryに参加し、Azure Active Directoryに登録されているハイブリッド Azure AD 参加済み。

    注意

    Azure AD にのみ登録されているデバイスは、共同管理ではサポートされていません。 この構成は、 ワークプレース参加 と呼ばれることもあります。 Azure AD に参加するか、ハイブリッド Azure AD に参加させる必要があります。 詳細については、「 Azure AD が登録された状態でデバイスを処理する」を参照してください。

  • Azure AD 参加済みのみ。 この種類は、 クラウド ドメイン参加 済みと呼ばれることもあります)。

ヒント

Microsoft エンドポイント マネージャーを使用してクライアント デバイスのデプロイ、管理、セキュリティ保護を行っているお客様と話をする際に、多くの場合、共同管理デバイスとハイブリッド Azure Active Directory (Azure AD) 参加済みデバイスに関する質問が表示されます。 多くのお客様は、この 2 つのトピックを混乱させます。 共同管理は管理オプションですが、Azure AD は ID オプションです。 詳細については、「 ハイブリッド Azure AD と共同管理のシナリオについて」を参照してください。 このブログ投稿は、ハイブリッド Azure AD の参加と共同管理、それらが連携する方法を明確にすることを目的としていますが、同じではありません。

Intune

• Intune の設定

• 自動登録Windows有効にする

Windows

サポートされているバージョンのWindows 11またはWindows 10にデバイスを更新します。 詳細については、「サービスとしての Windows の使用」を参照してください。

アクセス許可と役割

Action	必要なロール
Configuration Managerでクラウド管理ゲートウェイを設定する	Azure サブスクリプション マネージャー
Configuration Managerから Azure AD アプリを作成する	Azure AD グローバル管理者
Configuration Managerで Azure アプリをインポートする	Configuration Manager完全管理者 他の Azure ロールは必要ありません
Configuration Manager での共同管理を有効にする	Azure AD ユーザー すべての スコープ権限を持つ 完全管理者 をConfiguration Managerします。

Azure ロールの詳細については、「さまざまなロール について理解する」を参照してください。

Configuration Manager の役割の詳細については、「Configuration Manager の役割ベースの管理の基本」を参照してください。

ワークロード

ワークロードを切り替える必要はありません。準備ができたら個別に実行することもできます。 Configuration Manager は、管理者が Intune に切り替えなかったワークロードを含む他のすべてのワークロード、および共同管理がサポートしていない Configuration Manager の他のすべての機能を引き続き管理します。

共同管理でサポートされるワークロードは次のとおりです。

• コンプライアンス ポリシー

• Windows Update ポリシー

• リソース アクセス ポリシー

• Endpoint Protection

• デバイス構成

• Office クイック実行アプリ

• クライアント アプリ

詳細については、「 ワークロード」を参照してください。

共同管理を監視する

共同管理ダッシュボードは、環境内で共同管理されているマシンを確認するのに役立ちます。 グラフは、注意が必要なデバイスを識別するのに役立ちます。

詳細については、「 共同管理を監視する方法」を参照してください。

次の手順

• 即時価値と共同管理の使用の詳細を確認する

• チュートリアル: 既存の Configuration Manager クライアントの共同管理を有効にする