チュートリアル: 既存の Configuration Manager クライアントの共同管理を有効にする

共同管理では、組織内の PC を管理するために Configuration Manager を使用するという確立されたプロセスを維持できます。 それと同時に、セキュリティと最新のプロビジョニングのために Intune を使用することでクラウドに投資します。

このチュートリアルでは、Configuration Managerに既に登録されているWindows 10以降のデバイスの共同管理を設定します。 このチュートリアルは、Configuration Managerを既に使用してWindows 10以降のデバイスを管理することを前提としています。

このチュートリアルは、次の場合に使用します。

• ハイブリッド Microsoft Entra構成でMicrosoft Entra IDに接続できるオンプレミスの Active Directoryがあります。

  オンプレミス AD をMicrosoft Entra IDに参加するハイブリッド Microsoft Entra IDをデプロイできない場合は、コンパニオン チュートリアル「新しいインターネット ベースのWindows 10以降のデバイスの共同管理を有効にする」に従うことをお勧めします。

• クラウドアタッチする既存のConfiguration Manager クライアントがあります。

このチュートリアルでは、次の操作を行います。

• Azure とオンプレミス環境の前提条件を確認する
• ハイブリッド Microsoft Entra IDを設定する
• Microsoft Entra ID Configuration Manager登録するようにクライアント エージェントを構成する
• デバイスを自動登録するように Intune を構成する
• Configuration Manager での共同管理を有効にする

前提条件

Azure サービスと環境

• Azure サブスクリプション (無料試用版)

• Microsoft Entra ID P1 または P2

• Microsoft Intune サブスクリプション

  ヒント

  Enterprise Mobility + Security (EMS) サブスクリプションには、Microsoft Entra ID P1 または P2 とMicrosoft Intuneの両方が含まれます。 EMS サブスクリプション (無料試用版)。

環境内にまだ存在しない場合は、このチュートリアルでは、オンプレミスの Active DirectoryとMicrosoft Entra テナントの間Microsoft Entra接続を構成します。

注:

Microsoft Entra IDにのみ登録されているデバイスは、共同管理ではサポートされていません。 この構成は、 職場参加と呼ばれることもあります。 これらは、Microsoft Entra IDに参加するか、ハイブリッド参加Microsoft Entraする必要があります。 詳細については、「Microsoft Entra登録済み状態のデバイスの処理」を参照してください。

オンプレミスのインフラストラクチャ

• 現在のブランチConfiguration Managerサポートされているバージョン
• モバイル デバイス管理 (MDM) 機関は、Intuneに設定する必要があります。

アクセス許可

このチュートリアルでは、次のアクセス許可を使用してタスクを完了します。

• オンプレミス インフラストラクチャの ドメイン管理者 であるアカウント
• Configuration Managerのすべてのスコープの完全な管理者であるアカウント
• Microsoft Entra IDのグローバル管理者であるアカウント
  • テナントへのサインインに使用するアカウントにIntune ライセンスが割り当てられていることを確認します。 そうしないと、予期しないエラーが発生したというエラー メッセージでサインイン が失敗します。

ハイブリッド Microsoft Entra IDを設定する

ハイブリッド Microsoft Entra IDを設定するときは、Microsoft Entra Connect と Active Directory フェデレーション サービス (ADFS) を使用して、オンプレミス AD とMicrosoft Entra IDの統合を実際に設定します。 構成が成功すると、ワーカーはオンプレミスの AD 資格情報を使用して外部システムにシームレスにサインインできます。

重要

このチュートリアルでは、マネージド ドメインのハイブリッド Microsoft Entra IDを設定するためのベアボーン プロセスについて詳しく説明します。 このプロセスに精通し、ハイブリッド Microsoft Entra IDを理解してデプロイするためのガイドとしてこのチュートリアルに依存しないことをお勧めします。

ハイブリッド Microsoft Entra IDの詳細については、Microsoft Entra ドキュメントの次の記事を参照してください。

• Microsoft Entra参加の実装を計画する
• Microsoft Entra ハイブリッド結合の実装を計画する
• デバイスのMicrosoft Entra ハイブリッド結合を制御する
• フェデレーション ドメインMicrosoft Entraハイブリッド参加を構成する

接続Microsoft Entra設定する

ハイブリッド Microsoft Entra IDでは、コンピューター アカウントを オンプレミスの Active Directory (AD) に保持し、デバイス オブジェクトを同期Microsoft Entra ID維持するには、Microsoft Entra Connect の構成が必要です。

バージョン 1.1.819.0 以降、Microsoft Entra Connect には、ハイブリッド参加Microsoft Entra構成するためのウィザードが用意されています。 そのウィザードを使用すると、構成プロセスが簡略化されます。

Microsoft Entra接続を構成するには、Microsoft Entra IDのグローバル管理者の資格情報が必要です。 次の手順は、Microsoft Entra Connect の設定に対して権限があると見なすべきではありませんが、IntuneとConfiguration Managerの間の共同管理の構成を効率化するためにここで提供されています。 Microsoft Entra IDの設定に関するこのおよび関連する手順に関する権限のあるコンテンツについては、Microsoft Entraドキュメントの「マネージド ドメインMicrosoft Entraハイブリッド参加を構成する」を参照してください。

Microsoft Entra Connect を使用してMicrosoft Entra ハイブリッド参加を構成する

1. 最新バージョンの Microsoft Entra Connect (1.1.819.0 以降) を取得してインストールします。

2. [Microsoft Entra接続] を起動し、[構成] を選択します。

3. [ その他のタスク ] ページで、[ デバイス オプションの構成] を選択し、[ 次へ] を選択します。

4. [ 概要 ] ページで、[ 次へ] を選択します。

5. [Microsoft Entra IDへの接続] ページで、Microsoft Entra IDのグローバル管理者の資格情報を入力します。

6. [デバイス オプション] ページで、[ハイブリッド結合Microsoft Entra構成する] を選択し、[次へ] を選択します。

7. [ デバイス オペレーティング システム ] ページで、Active Directory 環境内のデバイスで使用されるオペレーティング システムを選択し、[ 次へ] を選択します。

   Windows ダウンレベル ドメイン参加済みデバイスをサポートするオプションを選択できますが、デバイスの共同管理はWindows 10以降でのみサポートされることに注意してください。

8. [SCP] ページで、サービス接続ポイント (SCP) を構成するために [接続] Microsoft Entra必要なオンプレミスフォレストごとに、次の手順を実行し、[次へ] を選択します。

   1. フォレストを選択します。
   2. 認証サービスを選択します。 フェデレーション ドメインがある場合は、organizationがWindows 10以降のクライアントのみを持ち、コンピューター/デバイス同期を構成しているか、organizationがシームレスSSO を使用している場合を除き、AD FS サーバーを選択します。
   3. [ 追加] をクリックして、エンタープライズ管理者の資格情報を入力します。

9. マネージド ドメインがある場合は、この手順をスキップします。

   [ フェデレーション構成 ] ページで、AD FS 管理者の資格情報を入力し、[ 次へ] を選択します。

10. [ 構成の準備完了 ] ページで、[構成] を選択 します。

11. [ 構成の完了] ページで、[終了] を選択 します。

ドメインに参加している Windows デバイスMicrosoft Entraハイブリッド参加の完了に関する問題が発生した場合は、「Windows 現在のデバイスのハイブリッド参加Microsoft Entraトラブルシューティング」を参照してください。

Microsoft Entra IDに登録するようにクライアントに指示するようにクライアント設定を構成する

クライアント設定を使用して、Microsoft Entra IDに自動的に登録Configuration Managerクライアントを構成します。

1. Configuration Manager コンソール>の[管理>の概要>] クライアント設定を開き、[既定のクライアント設定] を編集します。

2. [Cloud Services] を選択します。

3. [既定の設定] ページで、[Microsoft Entra IDで新しいWindows 10ドメイン参加済みデバイスを自動的に登録する] を [ はい] に設定します。

4. [ OK] を選択 して、この構成を保存します。

Intuneするデバイスの自動登録を構成する

次に、Intuneを使用したデバイスの自動登録を設定します。 自動登録では、Configuration Managerで管理するデバイスは、Intuneに自動的に登録されます。

自動登録を使用すると、ユーザーはWindows 10以降のデバイスをIntuneに登録することもできます。 デバイスは、ユーザーが個人所有のデバイスに職場アカウントを追加したとき、または企業所有のデバイスがMicrosoft Entra IDに参加したときに登録されます。

1. Azure portalにサインインし、[Microsoft Entra ID>Mobility (MDM および MAM)>Microsoft Intuneを選択します。

2. MDM ユーザー スコープを構成します。 次のいずれかを指定して、Microsoft Intuneによって管理されるユーザーのデバイスを構成し、URL 値の既定値をそのまま使用します。

   • 一部: Windows 10以降のデバイスを自動的に登録できるグループを選択します

   • すべて: すべてのユーザーは、Windows 10以降のデバイスを自動的に登録できます

   • なし: MDM の自動登録を無効にする

   重要

   グループに対して MAM ユーザー スコープと自動 MDM 登録 (MDM ユーザー スコープ) の両方が有効になっている場合、MAM のみが有効になります。 職場で個人用デバイスに参加するときに、そのグループ内のユーザーに対して追加されるのはモバイル アプリケーション管理 (MAM) のみです。 デバイスは自動的に MDM に登録されません。

   Configuration Managerがデバイスを Intune に登録するように設定されている場合でも、デバイス トークン登録の MDM ユーザー スコープを変更する必要があります。 Configuration Managerは、サイト データベースに格納されている MDM URL を使用して、クライアントが想定Intuneテナントに属していることを確認します。

3. [ 保存] を 選択して、自動登録の構成を完了します。

4. モビリティ (MDM と MAM) に戻り、[Microsoft Intune登録] を選択します。

   注:

   一部のテナントには、構成するこれらのオプションがない場合があります。

   Microsoft Intuneは、Microsoft Entra ID用に MDM アプリを構成する方法です。 Microsoft Intune登録は、iOS と Android の登録に多要素認証ポリシーを適用するときに作成される特定のMicrosoft Entra アプリです。 詳細については、「Intune へのデバイスの登録で多要素認証を要求する」を参照してください。

5. [MDM ユーザー スコープ] で、[ すべて] を選択し、[ 保存] を選択します。

Configuration Manager での共同管理を有効にする

ハイブリッド Microsoft EntraセットアップとConfiguration Managerクライアント構成が整ったら、スイッチを反転させ、Windows 10以降のデバイスの共同管理を有効にする準備が整いました。 "パイロット グループ" という語句は、共同管理機能と構成ダイアログ全体で使用されます。 パイロット グループは、Configuration Manager デバイスのサブセットを含むコレクションです。 すべてのConfiguration Managerデバイスのワークロードを移動する準備ができるまで、必要に応じてデバイスを追加し、初期テストにパイロット グループを使用します。 ワークロードにパイロット グループを使用できる時間制限はありません。 すべてのConfiguration Manager デバイスにワークロードを移動しない場合は、パイロット グループを無期限に使用できます。

共同管理を有効にすると、コレクションを パイロット グループとして割り当てます。 これは、共同管理構成をテストする少数のクライアントを含むグループです。 プロシージャを開始する前に、適切なコレクションを作成することをお勧めします。 その後、プロシージャを終了せずにそのコレクションを選択できます。 ワークロードごとに異なる パイロット グループ を割り当てることができるので、複数のコレクションが必要になる場合があります。

注:

デバイスは、Microsoft Entra デバイス トークンに基づいてMicrosoft Intune サービスに登録され、ユーザー トークンには登録されないため、登録には既定のIntune登録制限のみが適用されます。

バージョン 2111 以降の共同管理を有効にする

バージョン 2111 Configuration Manager以降、共同管理オンボード エクスペリエンスが変更されました。 クラウド接続構成ウィザードを使用すると、共同管理やその他のクラウド機能を簡単に有効にすることができます。 推奨される既定値の合理化されたセットを選択することも、クラウドアタッチ機能をカスタマイズすることもできます。 また、クライアントの識別に役立つ 、共同管理対象デバイス用の 新しい組み込みデバイス コレクションもあります。 共同管理を有効にする方法の詳細については、「 クラウドアタッチを有効にする」を参照してください。

注:

新しいウィザードでは、共同管理を有効にすると同時にワークロードを移動しません。 ワークロードを移動するには、クラウドアタッチを有効にした後で共同管理プロパティを編集します。

バージョン 2107 以前の共同管理を有効にする

共同管理を有効にする場合は、Azure パブリック クラウド、Azure Government クラウド、または Azure China 21Vianet クラウド (バージョン 2006 で追加) を使用できます。 共同管理を有効にするには、次の手順に従います。

1. Configuration Manager コンソールで、[管理] ワークスペースに移動し、[Cloud Services] を展開し、[Cloud Attach] ノードを選択します。 リボンで [ クラウドアタッチの構成 ] を選択して、クラウドアタッチ構成ウィザードを開きます。

   バージョン 2103 以前の場合は、[Cloud Services] を展開し、[共同管理] ノードを選択します。 リボン の [共同管理の構成] を選択して、共同管理構成ウィザードを開きます。

2. ウィザードのオンボード ページで、 Azure 環境の場合は、次のいずれかの環境を選択します。

   • Azure パブリック クラウド

   • クラウドのAzure Government

   • Azure China クラウド (バージョン 2006 で追加)

     注:

     Azure China クラウドにオンボードする前に、Configuration Manager クライアントをデバイスの最新バージョンに更新します。

   Azure China クラウドまたはAzure Government クラウドを選択すると、テナント接続の [Microsoft エンドポイント マネージャー管理センターにアップロード] オプションが無効になります。

3. [サインイン] を選びます。 Microsoft Entraグローバル管理者としてサインインし、[次へ] を選択します。 このウィザードの目的で、この 1 回サインインします。 資格情報は保存されず、他の場所では再利用されません。

4. [有効化] ページ で 、次の設定を選択します。

   • Intuneでの自動登録: 既存のConfiguration Manager クライアントのIntuneでのクライアントの自動登録を有効にします。 このオプションを使用すると、クライアントのサブセットで共同管理を有効にして、最初に共同管理をテストしてから、段階的なアプローチを使用して共同管理をロールアウトできます。 ユーザーがデバイスの登録を解除すると、ポリシーの次の評価時にデバイスが再登録されます。

     • パイロット: Intune自動登録コレクションのメンバーであるConfiguration Manager クライアントのみが、Intuneに自動的に登録されます。
     • すべて: バージョン 1709 以降Windows 10実行されているすべてのクライアントに対して自動登録を有効にします。
     • なし: すべてのクライアントの自動登録を無効にします。

   • Intune自動登録: このコレクションには、共同管理にオンボードするすべてのクライアントが含まれている必要があります。 基本的には、他のすべてのステージング コレクションのスーパーセットです。

   

   自動登録は、すべてのクライアントに対して即時に行うわけではありません。 この動作は、大規模な環境での登録のスケーリングを向上するのに役立ちます。 Configuration Managerは、クライアントの数に基づいて登録をランダム化します。 たとえば、環境に 100,000 個のクライアントがある場合、この設定を有効にすると、登録は数日にわたって行われます。

   新しい共同管理デバイスが、Microsoft Entra デバイス トークンに基づいてMicrosoft Intune サービスに自動的に登録されるようになりました。 自動登録が開始されるまで、ユーザーがデバイスにサインインするのを待つ必要はありません。 この変更は、登録状態 が [保留中のユーザー サインイン] を持つデバイスの数を減らすのに役立ちます。この動作をサポートするには、デバイスがバージョン 1803 以降Windows 10実行されている必要があります。 詳細については、「 共同管理登録の状態」を参照してください。

   既に共同管理に登録されているデバイスがある場合は、 前提条件を満たした直後に新しいデバイスが登録されます。

5. Intuneに既に登録されているインターネット ベースのデバイスの場合は、Enablement ページでコマンドをコピーして保存します。 このコマンドを使用して、インターネット ベースのデバイスのIntuneにアプリとしてConfiguration Manager クライアントをインストールします。 このコマンドを今すぐ保存しない場合は、いつでも共同管理構成を確認してこのコマンドを取得できます。

   ヒント

   このコマンドは、クラウド管理ゲートウェイの設定など、すべての前提条件を満たしている場合にのみ表示されます。

6. [ワークロード] ページで、ワークロードごとに、Intuneを使用して管理するために移動するデバイス グループを選択します。 詳細については、「 ワークロード」を参照してください。

   共同管理のみを有効にする場合は、ワークロードを今すぐ切り替える必要はありません。 ワークロードは後で切り替えることができます。 詳細については、「 ワークロードを切り替える方法」を参照してください。

   • パイロット Intune: [ステージング] ページで指定するパイロット コレクション内のデバイスに対してのみ、関連付けられているワークロードを切り替えます。 各ワークロードには、異なるパイロット コレクションを含めることができます。
   • Intune: すべての共同管理Windows 10以降のデバイスに関連付けられているワークロードを切り替えます。

   重要

   ワークロードを切り替える前に、対応するワークロードを適切に構成し、Intuneにデプロイしてください。 ワークロードが常にデバイスの管理ツールの 1 つによって管理されていることを確認します。

7. [ステージング] ページで、パイロット Intuneに設定されている各ワークロードのパイロット コレクションを指定します。

   

8. 共同管理を有効にするには、ウィザードを完了します。

次の手順

• 共同管理ダッシュボードで共同管理デバイスの状態を確認する
• 共同管理から すぐに価値 を得る
• 条件付きアクセスとIntuneコンプライアンス規則を使用して、企業リソースへのユーザー アクセスを管理する