チュートリアル: インターネットベースの新しいデバイスの共同管理を有効にする

共同管理では、組織内の PC を管理するために Configuration Manager を使用するという確立されたプロセスを維持できます。 それと同時に、セキュリティと最新のプロビジョニングのために Intune を使用することでクラウドに投資します。

このチュートリアルでは、Azure Active Directory (AD) とオンプレミス AD の両方を使用するが、ハイブリッド Azure Active Directory (AD) を使用しない環境で、Windows 10 以降のデバイスの共同管理をセットアップします。 Configuration Manager 環境には、サイト サーバーと同じサーバー上にあるすべてのサイト システムの役割を持つ単一のプライマリ サイトが含まれています。 このチュートリアルは、デバイスが Intune Windows 10既に登録されているという前提から始まります。

オンプレミス AD と Azure AD に参加するハイブリッド Azure AD がある場合は、次のコンパニオン チュートリアル「Configuration Managerクライアントの共同管理を有効にする」を参照することをお勧めします。

このチュートリアルは、次の場合に使用します。

  • 共同管理Windows 10するデバイスが必要です。 これらのデバイスは、Autopilot からプロビジョニングWindowsハードウェア OEM から直接提供されている場合があります。
  • 現在、Windows 10構成マネージャー クライアントを追加する Intune で管理しているデバイスがインターネット上に含められている場合。

このチュートリアルでは、次の方法を実行します。

  • Azure とオンプレミス環境の前提条件を確認する
  • クラウド管理ゲートウェイ (CMG) のパブリック SSL 証明書を要求する
  • Configuration Manager で Azure サービスを有効にする
  • クラウド管理ゲートウェイの展開と構成
  • CMG を使用する管理ポイントとクライアントを構成する
  • Configuration Manager での共同管理を有効にする
  • Configuration Manager クライアントをインストールするように Intune を構成します

前提条件

Azure のサービスと環境

  • Azure サブスクリプション (無料試用版)

  • Azure Active Directory Premium

  • Microsoft Intune サブスクリプション

    ヒント

    モビリティとEnterprise (EMS) サブスクリプションには、モバイル サブスクリプションとAzure Active Directory PremiumがMicrosoft Intune。 EMS サブスクリプション (無料試用版)。

  • Intune はデバイスを 自動登録するように構成されています

ヒント

個々の Intune または EMS ライセンスを購入してユーザーに割り当てる必要がなくなりました。 詳細については、「製品とライセンスに関するよく寄せられる質問」を参照してください。

オンプレミスのインフラストラクチャ

  • Configuration Manager の現在のブランチのサポートされているバージョン。

    拡張 HTTP は 、より複雑な PKI 要件を回避するために、このチュートリアルで使用されます。 拡張 HTTP を使用して、クライアントの管理に使用するプライマリ サイトは、HTTP サイト システムに Configuration Manager によって生成された証明書を使用するように構成する必要があります。

  • MDM 機関を Intune に設定する必要があります。

外部証明書

  • CMG サーバー認証証明書。 この証明書は、パブリックおよびグローバルに信頼されている証明書プロバイダーからの SSL 証明書です。 この証明書をとしてエクスポートします。プライベート キーを含む PFX ファイル。

  • このチュートリアルの後半では、この証明書の要求を構成する方法に関するガイダンスを提供します。

権限

このチュートリアルでは、次のアクセス許可を使用してタスクを完了します。

  • ユーザーの グローバル管理者である アカウント (Azure Active Directory) (Azure AD)
  • オンプレミス インフラストラクチャの ドメイン 管理者であるアカウント
  • Configuration Manager のすべてのスコープ 完全な管理者であるアカウント

クラウド管理ゲートウェイのパブリック証明書を要求する

デバイスがインターネット上にある場合、共同管理には Configuration Manager クラウド管理ゲートウェイ (CMG) が必要です。 CMG を使用すると、インターネット ベースのデバイスWindows、オンプレミスの Configuration Manager 展開と通信できます。 デバイスと Configuration Manager 環境間の信頼を確立するには、CMG に SSL 証明書が必要です。

このチュートリアルでは、グローバルに信頼された証明書プロバイダーから権限を派生させる CMG サーバー認証証明書と呼ばれるパブリック証明書を使用します。 オンプレミスの Microsoft 証明機関から証明機関を派生する証明書を使用して共同管理を構成することができますが、自己署名証明書の使用は、このチュートリアルの範囲を超えています。

CMG サーバー認証証明書は、Configuration Manager クライアントと CMG の間の通信トラフィックを暗号化するために使用されます。 証明書は、クライアントに対するサーバーの ID を確認するために信頼されたルートにトレースバックします。 パブリック証明書には、クライアントが既に信頼Windowsルートが含まれています。

この証明書について:

  • Azure で CMG サービスの一意の名前を識別し、その名前を証明書要求で指定します。
  • 特定のサーバーで証明書要求を生成し、要求をパブリック証明書プロバイダーに送信して、必要な SSL 証明書を取得します。
  • プロバイダーから受け取った証明書の要求を生成したシステムにインポートします。 同じコンピューターを使用して、後で CMG を Azure に展開するときに使用する証明書をエクスポートします。
  • CMG がインストールすると、証明書で指定した名前を使用して、Azure に CMG サービスが作成されます。

Azure でクラウド管理ゲートウェイの一意の名前を識別する

CMG サーバー認証証明書を要求する場合は、Azure でクラウド サービス (クラシック) を識別するために一意の名前である必要がある名前を指定します。 既定では、Azure パブリック クラウドは cloudapp.net を使用 し、CMG は .cloudapp.net ドメイン内で <YourUniqueDnsName> .cloudapp.net としてホストされます

ヒント

このチュートリアルでは 、CMG サーバー認証証明書が FQDN を使用し、この証明書は 次の contoso.com。 CMG を作成した後、組織のパブリック DNS で標準名レコード (CNAME) を構成します。 このレコードは、パブリック証明書で使用する名前にマップされる CMG のエイリアスを作成します。

パブリック証明書を要求する前に、使用する名前が Azure で使用できると確認してください。 Azure でサービスを直接作成する必要はない。 代わりに、要求するパブリック証明書で指定された名前は、CONFIGURATION Manager によって CMG のインストール時にクラウド サービスを作成するために使用されます。

  1. Microsoft Azure ポータルにサインインします。

  2. [ リソースの作成] を選択 し、[計算] カテゴリを 選択し、[クラウド サービス] を選択します。 クラウド サービス (クラシック) ページが開きます。

  3. DNS 名の 場合は、使用するクラウド サービスのプレフィックス名を指定します。 このプレフィックスは、CMG サーバー認証証明書の発行証明書を要求するときに後で使用するプレフィックスと同じにする必要があります。 MyCSG を使用します。これは、MyCSG の名前空間を 作成 MyCSG.cloudapp.net。 インターフェイスは、名前が使用可能か、または別のサービスで既に使用されているかどうかを確認します。
    使用する名前が使用可能なことを確認した後、証明書署名要求 (CSR) を送信する準備が整いました。

証明書を要求する

CMG の証明書署名要求をパブリック証明書プロバイダーに送信するには、次の情報を使用します。 環境に関連する次の値を変更します。

  • クラウド管理ゲートウェイ のサービス名を識別する MyCMG
  • Contoso を会社名として使用する
  • Contoso.com ドメインとして使用する

プライマリ サイト サーバーを使用して証明書署名要求 (CSR) を生成することをお勧めします。 証明書を取得する場合は、CSR を生成したのと同じサーバーに登録するか、証明書のプライベート キーをエクスポートできない必要があります。

CSR を生成するときにバージョン 2 のキー プロバイダーの種類を要求します。 サポートされているのはバージョン 2 の証明書のみです。

ヒント

既定では、CMG を展開するときに 、[CMG がクラウド配布ポイントとして機能し、Azure ストレージからコンテンツを提供するようにする] オプションが選択されています。 クラウドベースのコンテンツは共同管理を使用する必要はなくても、ほとんどの環境で役立ちます。

クラウドベースの配布ポイント (CDP) は非推奨です。 バージョン 2107 から、新しい CDP インスタンスを作成できない。 インターネット ベースのデバイスにコンテンツを提供するには、CMG でコンテンツを配布できます。 詳細については、「非推奨の 機能」を参照してください

クラウド管理ゲートウェイ CSR の詳細

  • 共通名: CloudServiceNameCMG.YourCompanyPubilcDomainName.com
    例: MyCSG.contoso.com
  • サブジェクトの代替名: 共通名 (CN) と同じ
  • 組織: 組織の名前
  • 部署: 組織ごとに
  • City: 組織ごとに
  • 状態: 組織ごとに
  • : 組織ごとに
  • キーのサイズ: 2048
  • プロバイダー: Microsoft RSA SChannel 暗号化プロバイダー

証明書のインポート

パブリック証明書を受け取った後、CSR を作成したコンピューターのローカル証明書ストアにインポートします。 次に、証明書を .PFX ファイルを使用して、Azure の CMG に使用できます。

パブリック証明書プロバイダーは、通常、証明書のインポート手順を提供します。 証明書をインポートするプロセスは、次のガイダンスのようになります。

  1. 証明書をインポートするコンピューターで、証明書 .pfx ファイルを探します。

  2. ファイルを右クリックし 、[PFX のインストール] を選択します。

  3. 証明書インポート ウィザードが起動したら、[次へ] を 選択します

  4. [インポートする ファイル] ページで、[次 へ] を 選択します

  5. [パスワード ] ページで 、[パスワード] ボックスにプライベート キーのパスワードを入力し、[次へ] を 選択します

    キーをエクスポート可能にするオプションを選択します。

  6. [証明書ストア ] ページで、[ 証明書 種類に基づいて証明書ストアを自動的に選択する] を選択し、[次へ] を 選択します

  7. [完了] を選択します。

証明書のエクスポート

CMG サーバー認証証明書をサーバー からエクスポートします。 証明書を再エクスポートすると、Azure のクラウド管理ゲートウェイで使用できます。

  1. パブリック SSL 証明書をインポートしたサーバーで 、certlm.msc を実行して証明書マネージャー コンソールを開きます。

  2. 証明書マネージャー コンソールで、[個人用証明書 ] を>します。 次に、前の手順で登録した CMG サーバー認証証明書を右クリックし、[すべてのタスク] を [エクスポート] >します

  3. 証明書のエクスポート ウィザードで、[次へ] を選択し、[ はい] を選択し、プライベート キーをエクスポート し、[次へ] を 選択します

  4. [ファイル形式のエクスポート] ページで、[個人情報] Exchange PKCS #12 () を選択します。PFX) を 選択し、[次へ] を選択し、パスワードを入力します。 ファイル名には 、C:\ConfigMgrCloudMGServer のような名前を指定します。 このファイルは、Azure で CMG を作成するときに参照します。

  5. [ 次へ] を選択し、次の設定を確認してから、[完了] を 選択して エクスポートを完了します。

    • キーのエクスポート = はい
    • すべての証明書を証明書パスに含める = はい
    • ファイル形式 = 個人情報のExchange (*.pfx)
  6. エクスポートが完了したら、.pfx ファイルを見つけて、インターネット ベースのクライアントを管理する Configuration Manager プライマリ サイト サーバーの C:\Certs にコピーを配置します。 Certs フォルダーは、サーバー間で証明書を移動する場合に使用する一時的なフォルダーです。 クラウド管理ゲートウェイを Azure に展開するときに、プライマリ サイト サーバーから証明書ファイルにアクセスします。

証明書をプライマリ サイト サーバーにコピーした後、メンバー サーバーの個人用証明書ストアから証明書を削除できます。

Configuration Manager の Azure クラウド サービス を有効にする

Configuration Manager コンソール内から Azure サービスを構成するには、Azure Services の構成ウィザードを使用し、2 つの Azure Active Directory (Azure AD) アプリを作成します。

  • サーバー アプリ: Web アプリ (Azure AD
  • クライアント アプリ: ネイティブ クライアント アプリ (Azure AD

プライマリ サイト サーバーから次の手順を実行します。

  1. プライマリ サイト サーバーから、Configuration Manager コンソールを開き、[Azure Services の管理>クラウド >] に移動し 、[Azure Services の構成] を 選択します

    [Azure Service の構成] ページで、構成するクラウド管理サービスの表示名を指定します。 たとえば、マイ クラウド管理サービス です。

    次に、[ クラウド管理] を 選択し、[次へ] を 選択します

    ヒント

    ウィザードで行う構成の詳細については、「Azure Services ウィザードの開始 」を参照してください。

  2. [アプリの プロパティ] ページ[Web アプリ] で、[参照] を選択して [サーバー アプリ] ダイアログを開き、[作成] を 選択します。 以下のフィールドを構成します。

    • アプリケーション名: クラウド管理 Web アプリなどのアプリの表示名 を指定します

    • HomePage URL: この値は Configuration Manager では使用されませんが、この値は構成マネージャーによってAzure AD。 既定では、この値は https://ConfigMgrService .

    • アプリ ID URI: この値は、テナント内で一意であるAzure ADがあります。 Configuration Manager クライアントがサービスへのアクセスを要求するために使用するアクセス トークンに含まれます。 既定では、この値は https://ConfigMgrService . 既定値を次のいずれかの推奨形式に変更します。

      • api://{tenantId}/{string}例えば api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
      • https://{verifiedCustomerDomain}/{string}例えば https://contoso.onmicrosoft.com/ConfigMgrService

    次に、[サインイン] を 選択し、グローバル管理者アカウントAzure AD指定します。 これらの資格情報は Configuration Manager によって保存されません。 このペルサは Configuration Manager でアクセス許可を必要としないし、Azure Services ウィザードを実行するアカウントと同じアカウントである必要はない。

    サインインすると、結果が表示されます。 [OK] を 選択して [サーバー アプリケーションの作成] ダイアログを閉じ、[アプリのプロパティ] ページに戻ります。

  3. ネイティブ クライアント アプリの場合は、[ 参照] を選択 して [クライアント アプリ ] ダイアログを開 きます。

  4. [ 作成] を 選択して [ クライアント アプリケーションの作成] ダイアログを開き、次のフィールドを構成します。

    • アプリケーション名: クラウド管理ネイティブ クライアント アプリなど、アプリの 表示名を指定します

    • 返信 URL: この値は Configuration Manager では使用されませんが、この値は構成マネージャーによってAzure AD。 既定では、この値は https://ConfigMgrClient . 次に、[サインイン] を 選択し、グローバル管理者アカウントAzure AD指定します。 Web アプリと同様に、これらの資格情報は保存されません。Configuration Manager でアクセス許可は必要とされません。

    サインインすると、結果が表示されます。 [OK] を 選択して [クライアント アプリケーションの作成] ダイアログを閉じ、[アプリのプロパティ] ページに戻ります。 次に、[次へ ] を選択 して続行します。

  5. [検出 の構成設定] ページで、[ユーザーの検出を有効にする] Azure Active Directory [次へ] を選択し、環境の [検出] ダイアログの構成を完了します。

  6. [概要]、[進行状況]、および [完了] の各ページに進み、ウィザードを閉じます。

    Azure Services for Azure AD Configuration Manager でユーザー検出が有効になります。 今のところ、コンソールを開いたままにします。

  7. ブラウザーを開き 、Azure portal にサインインします

  8. [アプリの登録> Azure Active Directory >サービスすべて] を選択し、次の項目を実行します。

    1. 作成した Web アプリを選択します。

    2. [API の **アクセス許可] >**テナントに対する管理者 の同意を付与する] を選択し、[はい] を 選択します

    3. 作成したネイティブ クライアント アプリを選択します。

    4. [API の **アクセス許可] >**テナントに対する管理者 の同意を付与する] を選択し、[はい] を 選択します

  9. Configuration Manager コンソールで、[Azure Services の管理>概要>に移動> Azure サービス を選択します。 次に、[ユーザー検出] Azure Active Directory を右クリック し、[今すぐ完全な検出 を実行する] を選択します[はい] を選択して操作を確定します。

  10. プライマリ サイト サーバーで、Configuration Manager SMS_AZUREAD_DISCOVERY_AGENT.Azure Active Directory log を開き、次のエントリを探して、検出が機能している確認を行います。

    既定では、ログ ファイルは %Program_Files%\Microsoft Configuration Manager\Logs にあります

Azure でクラウド サービスを作成する

チュートリアルのこのセクションでは、次の方法を実行します

  • CMG クラウド サービスの作成
  • 両方のサービスの DNS CNAME レコードを作成する

CMG を作成する

Azure にクラウド管理ゲートウェイをサービスとしてインストールするには、次の手順を実行します。 CMG は階層の一番上のサイトにインストールされます。 このチュートリアルでは、証明書が登録およびエクスポートされているプライマリ サイトを引き続き使用します。

  1. プライマリ サイト サーバーで、Configuration Manager コンソールを開き、[管理> 概要 > Cloud Services > クラウド管理ゲートウェイ] に移動し、[クラウド管理ゲートウェイの作成] を選択します。

  2. [全般] ページで、 次の設定を 行います。

    1. Azure 環境用のクラウド環境 を選択します。 このチュートリアルでは 、AzurePublicCloud を使用します

    2. [Azure Resource Manager の展開] を選択します

    3. Azure サブスクリプション にサインインします。 Configuration Manager は、Configuration Manager で Azure クラウド サービスを有効にした場合に構成した情報に基づいて追加情報を入力します。

    [次へ] を選んで続行します。

  3. [設定] ページで、CMG サーバー認証証明書をインポートした後にエクスポートしたファイルである ConfigMgrCloudMGServer.pfx という名前のファイルを参照して選択します。 パスワードを指定すると、.pfx 証明書ファイルの詳細に基づいて、サービス名と展開名が自動的に入力されます。

  4. 地域を設定 します

  5. リソース グループの 場合は、既存のリソース グループを使用するか 、CofigMgrCloudServices など、スペースを使用するフレンドリーな名前のグループを作成します。 グループを作成する場合、グループは Azure のリソース グループとして追加されます。

  6. スケールで構成する準備ができていない場合は、VM インスタンスの数に 1 を 使用します。 VM インスタンスの数により、1 つのクラウド管理ゲートウェイ (CMG) クラウド サービスをスケール アウトして、より多くのクライアント接続をサポートできます。 後で Configuration Manager コンソールを使用して、使用する VM インスタンスの数を取得および編集できます。

  7. [クライアント証明書の失効 を確認する] のチェック ボックスをオンにします

  8. [CMG がクラウド配布ポイントとして機能し、Azure ストレージからコンテンツを提供するようにする] チェック ボックスをオンにします

  9. [次へ] を選んで続行します。

  10. [アラート] ページで値を 確認し 、[次へ] を 選択します

  11. [概要] ページを確認し 、[次へ] をクリック してクラウド管理ゲートウェイクラウド サービスを作成します。 [閉 じる] を 選択してウィザードを完了します。

  12. Configuration Manager コンソールの [クラウド管理ゲートウェイ] ノードで、新しいサービスを表示できます。

DNS CNAME レコードの作成

CMG の DNS エントリを作成すると、企業ネットワークの内部と外部の両方で Windows 10 以降のデバイスが名前解決を使用して Azure で CMG クラウド サービスを検索できます。

CNAME レコードの例では、次の詳細を使用します。

  • 会社名は Contoso で、パブリック DNS 名前空間は Contoso.com

  • CMG サービス名は MyCMG で、Azure MyCMG.CloudApp.Net になります。

CNAME レコードの例: MyCMG.contoso.com => My.cloudapp.net

CMG を使用する管理ポイントとクライアントを構成する

オンプレミスの管理ポイントとクライアントがクラウド管理ゲートウェイを使用できる設定を構成します。

クライアント通信には拡張 HTTP を使用しますので、HTTPS 管理ポイントを使用する必要はありません。

CMG 接続ポイントを作成する

拡張 HTTP をサポートするサイトを構成します。

  1. Configuration Manager コンソールで、[サイト構成の管理] > [> サイト>] に移動し、プライマリ サイトのプロパティを開きます。

  2. [通信 セキュリティ] タブで、[HTTP サイト システムで Configuration Manager で生成された証明書を使用する] で [HTTPS] または [HTTP] オプションを選択し 、[OK] を選択して構成を保存します。

  3. 次に、[管理> 概要 > サイト構成 > サーバー とサイト システムの役割] に移動し、クラウド管理ゲートウェイ接続ポイントをインストールする管理ポイントを持つサーバーを選択します。

  4. [サイト システムの役割の追加] を 選択し、[次へ] > 選択します

  5. クラウド管理 ゲートウェイ接続ポイントを選択し、[ 次へ] を 選択して 続行します。

  6. [クラウド管理ゲートウェイ接続ポイント] ページで既定の選択内容を 確認 し、正しい CMG が選択されていることを確認します。 複数のクラウド管理ゲートウェイがある場合は、ドロップダウン リストを使用して別の CMG を指定できます。 インストール後に、使用している CMG を変更できます。 [次へ] を選んで続行します。

  7. [ 次へ] を選択してインストールを開始し、[完了] ページで結果を表示します。 [ 閉じる] を選択して、接続ポイントのインストールを完了します。

  8. 次に、[管理>概要> > サーバーとサイト システムの役割] に移動し、接続ポイントをインストールした管理ポイントの [プロパティ] を開きます。 [全般 ] タブで**、[Configuration Manager** クラウド管理ゲートウェイ トラフィックを許可する] チェック ボックスをオンにし 、[OK] を選択して構成を保存します。

    ヒント

    共同管理を有効にする必要はありませんが、ソフトウェアの更新ポイントに対して同じ編集を行う必要があります。

CMG を設定クライアントに指示するクライアント サーバーを構成する

クライアント サーバーを設定 CMG と通信する Configuration Manager クライアントを構成します。

  1. Configuration Manager コンソールを開>管理>概要>クライアント 設定を開き、既定のクライアント サーバーを設定。

  2. [ クラウド サービス] を選択します

  3. [既定の 設定設定] ページで、次の設定を = はい に 設定します

    • ドメインに参加しているWindows 10に新しいデバイスを自動的に登録Azure Active Directory

    • クライアントがクラウド管理ゲートウェイを使用できる

    • クラウド配布ポイントへのアクセスを許可する

  4. [クライアント ポリシー ] ページで、[インターネット クライアントからのユーザー ポリシー要求を有効にする ] を [はい] に = 設定します

  5. [OK] を選択 して、この構成を保存します。

Configuration Manager での共同管理を有効にする

Azure の構成、サイト システムの役割、およびクライアント設定を使用して、共同管理を有効にするように Configuration Manager を構成できます。 ただし、このチュートリアルが完了する前に共同管理を有効にした後でも、Intune でいくつかの構成を行う必要があります。 これらのタスクの 1 つは、Configuration Manager クライアントを展開するために Intune を構成する方法です。 このタスクは、共同管理構成ウィザードで使用できるクライアント展開のコマンド ラインを保存することで簡単になります。 このため、Intune の構成を完了する前に、共同管理を今すぐ有効にしています。

[パイロット グループ] という語句 は、共同管理機能と構成ダイアログ全体で使用されます。 パイロット グループは 、Configuration Manager デバイスのサブセットを含むコレクションです。 すべての Configuration Manager デバイスの ワークロードを移動する準備が整うまで、必要に応じてデバイスを追加して、初期テストにパイロット グループを使用します。 パイロット グループをワークロードに使用できる時間に制限はありません。 すべての Configuration Manager デバイスにワークロードを移動しない場合は、パイロット グループを無期限に使用できます。

共同管理を有効にした場合は、コレクションをパイロット グループとして割り 当てる必要があります。 これは、共同管理構成をテストするクライアントの数が少ないグループです。 プロシージャを開始する前に、適切なコレクションを作成することをお勧めします。 その後、プロシージャを終了せずにそのコレクションを選択できます。 ワークロードごとに異なるパイロット グループを割り当て可能なので、複数 コレクションが必要な場合があります。

バージョン 2111 以降の共同管理を有効にする

Configuration Manager バージョン 2111 から、共同管理オンボーディング エクスペリエンスが変更されました。 クラウド接続構成ウィザードを使用すると、共同管理や他のクラウド機能を簡単に有効にすることができます。 能率的な既定の推奨設定のセットを選択するか、クラウド アタッチ機能をカスタマイズします。 また、クライアントの識別に役立つ、共同管理対象デバイス用の新しい組み込みデバイス コレクションも用意されています。 共同管理を有効にする方法の詳細については、「クラウド接続を有効 にする」を参照してください

注意

新しいウィザードでは、共同管理を有効にするのと同時にワークロードを移動する必要があります。 ワークロードを移動するには、クラウド接続を有効にした後で共同管理プロパティを編集します。

バージョン 2107 以前の共同管理を有効にする

共同管理を有効にする場合は、Azure パブリック クラウド、Azure Government クラウド、または Azure China 21Vianet クラウド (バージョン 2006 で追加) を使用できます。 共同管理を有効にするには、次の手順に従います。

  1. Configuration Manager コンソールで、[管理]ワークスペースに移動し、[クラウド サービス]を展開 し、[クラウド接続]ノードを選択 します。 リボン の [クラウド接続の 構成] を選択して、クラウド接続構成ウィザードを開きます。

    バージョン 2103 以前の場合は、[クラウド サービス] を展開し 、[共同管理] ノードを選択 します。 リボン の [共同管理の構成 ] を選択して、共同管理構成ウィザードを開きます。

  2. ウィザードのオンボーディング ページで 、Azure 環境の場合 は、次のいずれかの環境を選択します。

    • Azure パブリック クラウド

    • Azure Government クラウド

    • Azure China クラウド (バージョン 2006 で追加)

      注意

      Azure China クラウドにオンボードする前に、Configuration Manager クライアントをデバイスの最新バージョンに更新します。

    Azure China クラウドまたは Azure Government クラウドを選択すると、テナント接続アップロード管理センター Microsoft エンドポイント マネージャーの管理センター オプションが無効になります

  3. [サインイン] を選びます。 グローバル管理者としてサインインAzure ADし、[次へ] を 選択します。 このウィザードの目的で、この 1 回サインインします。 資格情報は、他の場所に保存または再利用されません。

  4. [Enablement] ページで、次の設定を選択します。

    • Intune での自動登録: 既存の Configuration Manager クライアントに対して Intune でのクライアントの自動登録を有効にします。 このオプションを使用すると、クライアントのサブセットの共同管理を有効にして、最初に共同管理をテストしてから、段階的なアプローチを使用して共同管理を展開できます。 ユーザーがデバイスの登録を解除すると、ポリシーの次の評価でデバイスが再登録されます。

      • パイロット: Intune 自動登録コレクションのメンバーである Configuration Manager クライアントだけが 、Intune に自動的に登録されます。
      • すべて: バージョン 1709 以降で実行Windows 10クライアントの自動登録を有効にします。
      • なし: すべてのクライアントの自動登録を無効にします。
    • Intune 自動登録: このコレクションには、共同管理にオンボードするクライアントすべてが含まれている必要があります。 基本的には、他のすべてのステージング コレクションのスーパーセットです。

    Intune での自動登録を有効にするウィザード ページのスクリーンショット。

    自動登録は、すべてのクライアントに対して即座に行う必要があります。 この動作は、大規模な環境での登録規模の向上に役立ちます。 Configuration Manager は、クライアントの数に基づいて登録をランダム化します。 たとえば、環境に 100,000 のクライアントがある場合、この設定を有効にすると、数日間で登録が行われます。

    新しい共同管理デバイスが、そのデバイス トークンに基づいて、Microsoft IntuneサービスにAzure ADされます。 ユーザーがデバイスにサインインして自動登録が開始されるのを待つ必要はない。 この変更は、登録状態が [保留中のユーザー サインイン] の デバイスの数を減らすのに役立ちます この動作をサポートするには、デバイスがバージョン 1803 以降Windows 10実行されている必要があります。 詳細については、「共同管理登録 の状態」を参照してください

    デバイスが共同管理に既に登録されている場合は、前提条件を満たした直後に新しいデバイスが登録 されます

  5. Intune に既に登録されているインターネット ベースのデバイスの場合は、[有効にする] ページでコマンドをコピーして 保存 します。 このコマンドを使用して、インターネット ベースのデバイス用のアプリとして Configuration Manager クライアントを Intune にインストールします。 このコマンドを今すぐ保存しない場合は、共同管理構成をいつでも確認して、このコマンドを取得できます。

    ヒント

    このコマンドは、クラウド管理ゲートウェイのセットアップなど、すべての前提条件を満たしている場合にのみ表示されます。

  6. [ワークロード ] ページの ワークロードごとに、Intune を使用して管理するために移動するデバイス グループを選択します。 詳細については、「ワークロード」 を参照してください

    共同管理のみを有効にする場合は、今すぐワークロードを切り替える必要が生じない。 ワークロードは後で切り替えます。 詳細については、「ワークロードを 切り替える方法」を参照してください

    • パイロット Intune:[ステージング] ページで指定するパイロット コレクション内のデバイスの関連するワークロードのみを 切り替 えます。 ワークロードごとに異なるパイロット コレクションを使用できます。
    • Intune: すべての共同管理デバイスまたは以降のデバイスに関連付Windows 10ワークロードを切り替えます。

    重要

    ワークロードを切り替える前に、Intune で対応するワークロードを適切に構成して展開してください。 ワークロードがデバイスの管理ツールの 1 つによって常に管理されている必要があります。

  7. [ステージング ] ページ で、パイロット Intune に設定されている各ワークロードのパイロット コレクション を指定します

    パイロット コレクションを指定するためのオプションを含む、共同管理構成ウィザードの [ステージング] ページのスクリーンショット。

  8. 共同管理を有効にするには、ウィザードを完了します。

Intune を使用して Configuration Manager クライアントを展開する

Intune を使用して、現在 Intune でのみ管理Windows 10以降のデバイスに Configuration Manager クライアントをインストールできます。

次に、以前に管理されていないデバイスWindows 10 Intune に登録すると、Configuration Manager クライアントが自動的にインストールされます。

注意

自動パイロットを経由するデバイスに Configuration Manager クライアントを展開する予定の場合は、デバイスではなく Configuration Manager クライアントの割り当てをユーザーにターゲットに設定してください。

このアクションは、Autopilot の間に業務用アプリと Win32 アプリをインストールする場合の 競合を回避します

Intune アプリを作成して Configuration Manager クライアントをインストールする

  1. プライマリ サイト サーバーから、管理者センター Microsoft エンドポイント マネージャー サインインし、[アプリすべてアプリの追加] > > 移動します

  2. アプリの種類については、[その他] の 下の [Line-of-business アプリ]選択します

  3. アプリ パッケージ ファイルの場合 は、Configuration Manager ファイルの場所を参照し、[OK]ccmsetup.msi開く]を>します。 たとえば 、C:\Program Files\Microsoft Configuration Manager\bin\i386\ccmsetup.msi

  4. [ アプリ情報] を 選択し、次の詳細を指定します。

    • 説明: Configuration Manager クライアント

    • Publisher: Microsoft

    • コマンド ライン引数: <Specify the CCMSETUPCMD command line. You can use the command line you saved from the Enablement page of the Co-management Configuration Wizard. This command line includes the names of your cloud service and additional values that enable devices to install the Configuration Manager client software.>

      コマンド ライン構造は、CCMSETUPCMD パラメーターと SMSSiteCode パラメーターのみを使用する次の例のようになります。

      CCMSETUPCMD="CCMHOSTNAME=<ServiceName.CLOUDAPP.NET/CCM_Proxy_MutualAuth/<GUID>" SMSSiteCode="<YourSiteCode>"  
      

      ヒント

      コマンド ラインを使用できない場合は、Configuration Manager コンソールで CoMgmtSettingsProd のプロパティを表示して、コマンド ラインのコピーを取得できます。 コマンド ラインは、クラウド管理ゲートウェイのセットアップなど、すべての前提条件を満たした場合にのみ表示されます。

  5. [OK] を選択>追加します。 アプリが作成され、Intune コンソールで使用できます。 アプリを利用可能にした後、次のセクションを使用して Intune を構成してデバイスに割り当てできます。

Configuration Manager クライアントをインストールする Intune アプリを割り当てる

次の手順では、前の手順で作成した Configuration Manager クライアントをインストールするアプリを展開します。

  1. Microsoft エンドポイント マネージャー管理センター [アプリすべての > アプリ] を 選択し 、[ConfigMgr クライアント セットアップ ブートストラップ] を選択し、Configuration Manager クライアントを展開するために作成したアプリを選択します。

  2. [プロパティ ] を選択、[割り当て] で [編集] を選択します。 [必須の割 り当 Azure Active Directory ] で [グループの追加] を選択して、共同管理に参加するユーザーとADを持つグループ (AD) グループを設定します。

  3. [ 確認] + [保存] の 順に選択し、[ 構成の 保存] を選択します。 これで、割り当てたユーザーとデバイスがアプリを必要とします。 アプリが Configuration Manager クライアントをデバイスにインストールすると、そのクライアントは共同管理によって管理されます。

概要

このチュートリアルの構成手順を完了したら、デバイスの共同管理を開始できます。

次の手順