チュートリアル: 既存の Configuration Manager クライアントの共同管理を有効にする

共同管理では、組織内の PC を管理するために Configuration Manager を使用するという確立されたプロセスを維持できます。 それと同時に、セキュリティと最新のプロビジョニングのために Intune を使用することでクラウドに投資します。

このチュートリアルでは、Configuration Manager に既に登録されている Windows 10以降のデバイスの共同管理を設定します。 このチュートリアルは、Configuration Manager を使用してデバイスまたは以降のデバイスを管理するWindows 10から始まります。

このチュートリアルは、次の場合に使用します。

  • オンプレミスの Active Directory を使用して、ハイブリッド Azure Active Directory (Azure AD) にAzure ADできます。

    オンプレミス AD と Azure AD に参加するハイブリッド Azure Active Directory (AD) を展開できない場合は、コンパニオン チュートリアル「新しいインターネット ベースの Windows 10 以降のデバイスの共同管理を有効にする」を参照することをお勧めします。

  • クラウド接続する既存の Configuration Manager クライアントがあります。

このチュートリアルでは、次の方法を実行します。

  • Azure とオンプレミス環境の前提条件を確認する
  • Hybrid Azure AD を設定する
  • Configuration Manager クライアント エージェントが Azure AD に登録されるように Configuration Manager を構成する
  • デバイスを自動登録するように Intune を構成する
  • Configuration Manager での共同管理を有効にする

前提条件

Azure のサービスと環境

  • Azure サブスクリプション (無料試用版)
  • Azure Active Directory Premium
  • Microsoft Intune サブスクリプション
    • [Enterprise Mobility + Security (EMS) サブスクリプションには、Azure Active Directory PremiumとMicrosoft Intune。 EMS サブスクリプション (無料試用版)。

環境にまだ存在しない場合は、このチュートリアルで次の情報を実行します。

  • オンプレミスAzure AD Connect Active Directory と (Azure Active Directory) テナントAD構成します。

ヒント

個々の Intune または EMS ライセンスを購入してユーザーに割り当てる必要がなくなりました。 詳細については、「製品とライセンスに関するよく寄せられる質問」を参照してください。

オンプレミスのインフラストラクチャ

  • Configuration Manager の現在の ブランチのサポートされているバージョン
  • モバイル デバイス管理 (MDM) 機関を Intune に設定する必要があります。

権限

このチュートリアルでは、次のアクセス許可を使用してタスクを完了します。

  • オンプレミス インフラストラクチャのドメイン 管理者 であるアカウント
  • Configuration Manager のすべてのスコープ の完全 な管理者であるアカウント
  • 管理者のグローバル管理者 である アカウント Azure AD (Azure Active Directory)
    • テナントへのサインインに使用するアカウントに Intune ライセンスが割り当てられているか確認します。 それ以外の場合は、エラー メッセージが表示されたサインインに失敗 します。意図しないエラーが発生しました

Hybrid Azure AD を設定する

ハイブリッド Azure AD をセットアップすると、AD と Azure AD Connect active Directory フェデレーション サービス (ADFS) を使用して Azure AD との統合を実際にセットアップします。 構成が成功すると、従業員はオンプレミスの資格情報を使用して外部システムにシームレスADできます。

重要

このチュートリアルでは、管理ドメインのハイブリッド ドメインをセットアップするベアボーン Azure AD詳細を説明します。 このプロセスを理解し、ハイブリッド アプリケーションの理解と展開のガイドとして、このチュートリアルに依存Azure AD。

ハイブリッド アプリケーションの詳細については、Azure ADドキュメントの以下の記事からAzure Active Directoryしてください。

設定Azure AD Connect

ハイブリッド Azure ADでは、Azure AD Connect オンプレミスの Active Directory (AD) にコンピューター アカウントを保持し、デバイス オブジェクトを同期Azure ADする必要があります。

バージョン 1.1.819.0 より、Azure AD Connectにハイブリッド 接続を構成するウィザードAzure AD提供されています。 このウィザードを使用すると、構成プロセスが簡略化されます。

サーバーを構成Azure AD Connect、グローバル管理者の資格情報が必要です。Azure AD。 次の手順は、Azure AD Connect のセットアップに対して権限があるとは見なされませんが、Intune と Configuration Manager の間の共同管理の構成を合理化するためにここに示されています。 Azure AD のセットアップに関するこの手順および関連する手順に関する権限を持つコンテンツについては、Azure AD ドキュメントの「Configure hybrid Azure AD join for managed domains」を参照してください。

ハイブリッド サーバーを使用してAzure AD参加を構成Azure AD Connect

  1. 最新バージョンのバージョン (1.1.819.0 Azure AD Connect以上) を取得してインストールします。

  2. [構成Azure AD Connect起動し、[構成] を 選択します

  3. [追加タスク ] ページで 、[デバイス オプションの 構成] を選択し、[次へ] を 選択します

  4. [概要] ページで 、[次へ] を 選択します

  5. [サーバー のConnect] ページAzure AD、 管理者のグローバル管理者の資格情報をAzure AD。

  6. [デバイス オプション ] ページで、[ハイブリッド サーバーの構成] をAzure AD し、[次 へ] を 選択します

  7. [デバイス オペレーティング システム] ページ で、Active Directory 環境のデバイスで使用されるオペレーティング システムを選択し、[次へ] を 選択します

    ダウンレベルのドメイン参加デバイスWindowsするオプションを選択できますが、デバイスの共同管理は、Windows 10 以降でのみサポートされます。

  8. [SCP] ページで、サービス接続ポイント (SCP) を構成するAzure AD Connectオンプレミス フォレストごとに、次の手順を実行し、[次へ] を選択 します

    1. フォレストを選択します。
    2. 認証サービスを選択します。 フェデレーション ドメインがある場合は、組織が Windows 10 以降のクライアントを排他的に持ち、コンピューター/デバイス同期を構成している場合、または組織がSeamlessSSOを使用している場合を含め、AD FS サーバーを選択します。
    3. [追加 ] を クリックして、エンタープライズ管理者の資格情報を入力します。
  9. 管理ドメインがある場合は、この手順をスキップします。

    [フェデレーション構成 ] ページ で、FS 管理者の資格情報をADし、[次へ] を選択 します

  10. [構成の 準備完了] ページで、[ 構成] を 選択します

  11. [構成の 完了] ページで 、[終了] を 選択します

ドメインに参加している Windows デバイスのハイブリッド Azure AD 参加を完了する際に問題が発生する場合は、「現在のデバイスのハイブリッド Azure AD参加Windowsする」を参照してください。

クライアント に登録設定クライアントに指示するクライアント サーバーを構成Azure AD

クライアント サーバーを設定構成して、Configuration Manager クライアントが自動的にクライアント に登録Azure AD。

  1. Configuration Manager コンソールの [ > 管理 > > 概要] クライアント 設定を開き、既定のクライアント サーバーを編集設定。

  2. [ クラウド サービス] を選択します

  3. [既定の 設定設定] ページで、[ドメインに参加Windows 10デバイスを自動的に登録する] を [ Azure Active Directory = は ] に 設定します

  4. [OK] を選択 して、この構成を保存します。

Intune へのデバイスの自動登録を構成する

次に、Intune を使用したデバイスの自動登録を設定します。 自動登録では、Configuration Manager で管理するデバイスが Intune に自動的に登録されます。

自動登録では、ユーザーは自分のデバイスWindows 10 Intune に登録することもできます。 デバイスは、ユーザーが自分の個人所有のデバイスに自分の仕事用アカウントを追加した場合、または企業が所有するデバイスがユーザーに参加Azure Active Directory。

  1. Azure portal にサインイン [し、モビリティ(MDM および > MAM) Azure Active Directory] を 選択 > Microsoft Intune。

  2. MDM ユーザー スコープを構成します。 次のいずれかを指定して、ユーザーのデバイスをユーザーが管理Microsoft Intune URL 値の既定値を受け入れる必要があります。

    • 一部: デバイス または以降 のデバイスに自動的に登録Windows 10グループを選択します。

    • すべて: すべてのユーザーがデバイスまたは以降のデバイスWindows 10登録できます

    • なし: MDM の自動登録を無効にする

    重要

    グループに 対して MAM ユーザー スコープ と自動 MDM 登録 (MDM ユーザー スコープ) の両方が有効になっている場合は、MAM だけが有効になります。 モバイル アプリケーション管理 (MAM) は、職場が個人用デバイスに参加するときに、そのグループ内のユーザーに対して追加されます。 デバイスは自動的に MDM 登録されません。

    Configuration Manager がデバイスを Intune に登録するために設定されている場合は、デバイス トークン登録の MDM ユーザー スコープを変更する必要があります。 Configuration Manager は、サイト データベースに格納されている MDM URL を使用します。

  3. [保存 ] を 選択して、自動登録の構成を完了します。

  4. モビリティ (MDM と MAM) に戻り、[登録]Microsoft Intuneします

    注意

    一部のテナントでは、構成するこれらのオプションがない場合があります。

    Microsoft Intune MDM アプリを構成する方法を示Azure AD。 Microsoft Intune登録は、iOS Azure AD Android 登録に多要素認証ポリシーを適用するときに作成される特定のアプリです。 詳細については、「Intune デバイスの 登録に多要素認証を要求する」を参照してください

  5. MDM ユーザー スコープの場合は、[すべて] を選択し、[保存] を選択します

Configuration Manager での共同管理を有効にする

ハイブリッド Azure ADセットアップと Configuration Manager クライアント構成を使用して、スイッチを反転し、Windows 10 以降のデバイスの共同管理を有効にする準備が整いました。 [パイロット グループ] という語句 は、共同管理機能と構成ダイアログ全体で使用されます。 パイロット グループは 、Configuration Manager デバイスのサブセットを含むコレクションです。 すべての Configuration Manager デバイスの ワークロードを移動する準備が整うまで、必要に応じてデバイスを追加して、初期テストにパイロット グループを使用します。 パイロット グループをワークロードに使用できる時間に制限はありません。 すべての Configuration Manager デバイスにワークロードを移動しない場合は、パイロット グループを無期限に使用できます。

共同管理を有効にした場合は、コレクションをパイロット グループとして割り 当てる必要があります。 これは、共同管理構成をテストするクライアントの数が少ないグループです。 プロシージャを開始する前に、適切なコレクションを作成することをお勧めします。 その後、プロシージャを終了せずにそのコレクションを選択できます。 ワークロードごとに異なるパイロット グループを割り当て可能なので、複数 コレクションが必要な場合があります。

バージョン 2111 以降の共同管理を有効にする

Configuration Manager バージョン 2111 から、共同管理オンボーディング エクスペリエンスが変更されました。 クラウド接続構成ウィザードを使用すると、共同管理や他のクラウド機能を簡単に有効にすることができます。 能率的な既定の推奨設定のセットを選択するか、クラウド アタッチ機能をカスタマイズします。 また、クライアントの識別に役立つ、共同管理対象デバイス用の新しい組み込みデバイス コレクションも用意されています。 共同管理を有効にする方法の詳細については、「クラウド接続を有効 にする」を参照してください

注意

新しいウィザードでは、共同管理を有効にするのと同時にワークロードを移動する必要があります。 ワークロードを移動するには、クラウド接続を有効にした後で共同管理プロパティを編集します。

バージョン 2107 以前の共同管理を有効にする

共同管理を有効にする場合は、Azure パブリック クラウド、Azure Government クラウド、または Azure China 21Vianet クラウド (バージョン 2006 で追加) を使用できます。 共同管理を有効にするには、次の手順に従います。

  1. Configuration Manager コンソールで、[管理]ワークスペースに移動し、[クラウド サービス]を展開 し、[クラウド接続]ノードを選択 します。 リボン の [クラウド接続の 構成] を選択して、クラウド接続構成ウィザードを開きます。

    バージョン 2103 以前の場合は、[クラウド サービス] を展開し 、[共同管理] ノードを選択 します。 リボン の [共同管理の構成 ] を選択して、共同管理構成ウィザードを開きます。

  2. ウィザードのオンボーディング ページで 、Azure 環境の場合 は、次のいずれかの環境を選択します。

    • Azure パブリック クラウド

    • Azure Government クラウド

    • Azure China クラウド (バージョン 2006 で追加)

      注意

      Azure China クラウドにオンボードする前に、Configuration Manager クライアントをデバイスの最新バージョンに更新します。

    Azure China クラウドまたは Azure Government クラウドを選択すると、テナント接続アップロード管理センター Microsoft エンドポイント マネージャーの管理センター オプションが無効になります

  3. [サインイン] を選びます。 グローバル管理者としてサインインAzure ADし、[次へ] を 選択します。 このウィザードの目的で、この 1 回サインインします。 資格情報は、他の場所に保存または再利用されません。

  4. [Enablement] ページで、次の設定を選択します。

    • Intune での自動登録: 既存の Configuration Manager クライアントに対して Intune でのクライアントの自動登録を有効にします。 このオプションを使用すると、クライアントのサブセットの共同管理を有効にして、最初に共同管理をテストしてから、段階的なアプローチを使用して共同管理を展開できます。 ユーザーがデバイスの登録を解除すると、ポリシーの次の評価でデバイスが再登録されます。

      • パイロット: Intune 自動登録コレクションのメンバーである Configuration Manager クライアントだけが 、Intune に自動的に登録されます。
      • すべて: バージョン 1709 以降で実行Windows 10クライアントの自動登録を有効にします。
      • なし: すべてのクライアントの自動登録を無効にします。
    • Intune 自動登録: このコレクションには、共同管理にオンボードするクライアントすべてが含まれている必要があります。 基本的には、他のすべてのステージング コレクションのスーパーセットです。

    Intune での自動登録を有効にするウィザード ページのスクリーンショット。

    自動登録は、すべてのクライアントに対して即座に行う必要があります。 この動作は、大規模な環境での登録規模の向上に役立ちます。 Configuration Manager は、クライアントの数に基づいて登録をランダム化します。 たとえば、環境に 100,000 のクライアントがある場合、この設定を有効にすると、数日間で登録が行われます。

    新しい共同管理デバイスが、そのデバイス トークンに基づいて、Microsoft IntuneサービスにAzure ADされます。 ユーザーがデバイスにサインインして自動登録が開始されるのを待つ必要はない。 この変更は、登録状態が [保留中のユーザー サインイン] の デバイスの数を減らすのに役立ちます この動作をサポートするには、デバイスがバージョン 1803 以降Windows 10実行されている必要があります。 詳細については、「共同管理登録 の状態」を参照してください

    デバイスが共同管理に既に登録されている場合は、前提条件を満たした直後に新しいデバイスが登録 されます

  5. Intune に既に登録されているインターネット ベースのデバイスの場合は、[有効にする] ページでコマンドをコピーして 保存 します。 このコマンドを使用して、インターネット ベースのデバイス用のアプリとして Configuration Manager クライアントを Intune にインストールします。 このコマンドを今すぐ保存しない場合は、共同管理構成をいつでも確認して、このコマンドを取得できます。

    ヒント

    このコマンドは、クラウド管理ゲートウェイのセットアップなど、すべての前提条件を満たしている場合にのみ表示されます。

  6. [ワークロード ] ページの ワークロードごとに、Intune を使用して管理するために移動するデバイス グループを選択します。 詳細については、「ワークロード」 を参照してください

    共同管理のみを有効にする場合は、今すぐワークロードを切り替える必要が生じない。 ワークロードは後で切り替えます。 詳細については、「ワークロードを 切り替える方法」を参照してください

    • パイロット Intune:[ステージング] ページで指定するパイロット コレクション内のデバイスの関連するワークロードのみを 切り替 えます。 ワークロードごとに異なるパイロット コレクションを使用できます。
    • Intune: すべての共同管理デバイスまたは以降のデバイスに関連付Windows 10ワークロードを切り替えます。

    重要

    ワークロードを切り替える前に、Intune で対応するワークロードを適切に構成して展開してください。 ワークロードがデバイスの管理ツールの 1 つによって常に管理されている必要があります。

  7. [ステージング ] ページ で、パイロット Intune に設定されている各ワークロードのパイロット コレクション を指定します

    パイロット コレクションを指定するためのオプションを含む、共同管理構成ウィザードの [ステージング] ページのスクリーンショット。

  8. 共同管理を有効にするには、ウィザードを完了します。

次の手順

  • 共同管理ダッシュボードを使用して共同管理デバイスの 状態を確認する
  • 共同管理から すぐに価値を 得る
  • 条件付 きアクセスと Intune コンプライアンス ルールを使用して、企業リソースへのユーザー アクセスを管理する