共同管理ワークロード

ワークロードを切り替える必要はありません。準備ができたら個別に実行することもできます。 Configuration Manager は、管理者が Intune に切り替えなかったワークロードを含む他のすべてのワークロード、および共同管理がサポートしていない Configuration Manager の他のすべての機能を引き続き管理します。

ワークロードを Intune に切り替えた後で気が変わる場合は、Configuration Manager に切り替えることができます。

共同管理でサポートされるワークロードは次のとおりです。

• コンプライアンス ポリシー

• Windows Update ポリシー

• リソース アクセス ポリシー

• Endpoint Protection

• デバイス構成

• Office クイック実行アプリ

• クライアント アプリ

コンプライアンス ポリシー

コンプライアンス ポリシーでは、条件付きアクセス ポリシーによってデバイスが準拠していると見なされるために遵守する必要があるルールと設定を定義します。 また、コンプライアンス ポリシーは、条件付きアクセスとは別に、デバイスのコンプライアンスに関する問題を監視して修復するためにも使用します。 コンプライアンス ポリシー評価ルールとして、カスタム構成基準の評価を追加できます。 詳細については、「 コンプライアンス ポリシーの評価の一環としてカスタム構成基準を含める」を参照してください。

Intune機能の詳細については、「コンプライアンス ポリシーを使用して、Intuneで管理するデバイスのルールを設定する」を参照してください。

Windows Update ポリシー

Windows Update for Business ポリシーを使用すると、Windows Update for Business によって直接管理されるWindows 10以降のデバイスに対して、Windows 10 以降の機能更新プログラムまたは品質更新プログラムの延期ポリシーを構成できます。

Intune機能の詳細については、「Intuneでのソフトウェア更新プログラムWindows管理する」を参照してください。

リソース アクセス ポリシー

重要

バージョン 2203 以降では、Configuration Managerとこの共同管理ワークロードのこれらの会社リソース アクセス機能はサポートされなくなりました。 詳細については、「 リソース アクセスの非推奨に関するよく寄せられる質問」を参照してください。

リソース アクセス ポリシーでは、デバイスの VPN、Wi-Fi、電子メール、および証明書の設定を構成します。

Intune機能の詳細については、「リソース アクセス プロファイルのデプロイ」を参照してください。

注意

リソース アクセス ワークロードは、デバイス構成の一部でもあります。 これらのポリシーは、デバイス構成ワークロードを切り替えるときにIntuneによって管理されます。

Endpoint Protection

Endpoint Protection ワークロードには、マルウェア対策機能の Windows Defender スイートが含まれます。

• Windows Defender マルウェア対策
• Windows Defender Application Guard
• Windows Defender ファイアウォール
• Windows Defender SmartScreen
• Windows 暗号化
• Windows Defender Exploit Guard
• Windows Defender Application Control
• Windows Defender セキュリティ センター
• エンドポイントのWindows Defender (現在は Microsoft Defender for Endpoint と呼ばれます)

Intune機能の詳細については、Intuneを使用してデバイスを保護するためのWindows 10 (およびそれ以降) の設定に関するセクションを参照してください。

注意

このワークロードを切り替えると、Intune ポリシーによって上書きされるまで、Configuration Manager ポリシーはデバイスに残ります。 この動作により、移行中もデバイスに保護ポリシーが保持されます。

Endpoint Protectionワークロードは、デバイス構成の一部でもあります。 デバイス構成ワークロードを切り替える場合も、同じ動作が適用されます。

Endpoint ProtectionワークロードがIntuneに存在する場合、Windows Information Protection設定はConfiguration ManagerとIntuneの両方から適用されます。 Configuration Managerは、デバイス構成ワークロードがIntuneに移動されるまで、Windows Information Protection ポリシーを引き続き適用します。

Intune デバイス構成のデバイス制限プロファイルの種類に含まれるMicrosoft Defender ウイルス対策設定は、Endpoint Protection スライダーのスコープに含まれません。 エンドポイント保護スライダーが有効になっている共同管理デバイスのMicrosoft Defender ウイルス対策を管理するには、Microsoft Endpoint Manager 管理センター > エンドポイント セキュリティ > ウイルス対策 の新しいウイルス対策ポリシーを使用します。 新しいポリシーの種類には、使用可能な新しいオプションと改善されたオプションがあり、デバイス制限プロファイルで使用できるすべての同じ設定がサポートされます。

Windows暗号化機能には、BitLocker 管理が含まれます。 共同管理を使用したこの機能の動作の詳細については、「 BitLocker 管理の展開」を参照してください。

デバイス構成

デバイス構成ワークロードには、組織内のデバイスに対して管理する設定が含まれます。 このワークロードを切り替えると、リソース アクセス と Endpoint Protection ワークロードも移動します。

デバイス構成機関であっても、Configuration Managerから共同管理デバイスに設定Intune展開できます。 この例外は、組織が必要とするが、Intuneではまだ使用できない設定を構成するために使用される場合があります。 Configuration Manager構成基準でこの例外を指定します。 ベースラインを作成するときに 、共同管理クライアントに対してもこのベースラインを常に適用 するオプションを有効にします。 後で、既存のベースラインのプロパティの [ 全般 ] タブで変更できます。

Intune機能の詳細については、「Microsoft Intuneでデバイス プロファイルを作成する」を参照してください。

注意

設定カタログから作成されたポリシーは、ポリシーの内容に関係なく、[デバイス構成] ワークロード スライダーによって制御されます。

デバイス構成ワークロードを切り替えると、Windows Information Protection機能のポリシーも含まれます。 デバイス構成ワークロードをIntuneに移動すると、Intuneからのポリシーのみが適用されます。

注意

エンドポイント保護設定を削除するには、デバイス構成ワークロードも切り替える必要があります。

Office クイック実行アプリ

このワークロードは、共同管理デバイスでMicrosoft 365 Appsを管理します。

• ワークロードを移動すると、デバイス上の ポータル サイト にアプリが表示されます

• クライアントに Office 更新プログラムが表示されるまでに 24 時間かかることがあります (デバイスを再起動していない場合)。

• 新しいMicrosoft 365 アプリケーションの要件として既定で追加されるグローバル条件があります。 このワークロードを移行すると、共同管理クライアントでアプリケーションの要件が満たされなくなります。 そのため、Configuration Manager で展開される Microsoft 365 がインストールされなくなります。 グローバル条件には、次のいずれかの名前が付けられます。

  • Microsoft Intune (バージョン 2111 以降) によって管理されるMicrosoft 365 アプリ
  • Office 365 アプリケーションは、デバイス上のIntuneによって管理されています (バージョン 2107 以前)

更新は、次のいずれかの機能を使用して管理できます。

• 更新プログラム チャネルとターゲット バージョンの設定を使用して、Microsoft Intune 管理用テンプレートで Microsoft 365 を更新する
• Configuration Managerを使用してMicrosoft 365 Appsを管理します。

Intune機能の詳細については、「Microsoft Intuneを使用してMicrosoft 365 アプリをWindowsデバイスに追加する」を参照してください。

クライアント アプリ

ヒント

この機能は、 共同管理デバイス用のモバイル アプリ として機能の一覧に表示される場合があります。

Intuneを使用して、共同管理Windows 10以降のデバイスでクライアント アプリと PowerShell スクリプトを管理します。 このワークロードを移行すると、Intune から展開した利用可能なアプリは [会社のポータル] で利用できるようになります。 Configuration Manager から展開するアプリは、[ソフトウェア センター] で利用できます。

Intune機能の詳細については、「Microsoft Intuneアプリ管理とは」を参照してください。

注意

Windows 10 バージョン 1903 以降では、Client Apps ワークロードをIntuneに切り替えていない場合でも、共同管理デバイスで PowerShell スクリプトが実行されます。

Configuration Manager配布ポイントで Microsoft Connected Cache を有効にすると、Microsoft Intune Win32 アプリを共同管理クライアントに提供できます。 詳細については、「Configuration Manager における Microsoft 接続済みキャッシュ」を参照してください。

アプリのワークロード図

ヒント

Configuration Manager アプリも表示するようにポータル サイトを構成できます。 このアプリ ポータル エクスペリエンスを変更すると、上の図で説明した動作が変更されます。 詳細については、「共同管理デバイスでポータル サイト アプリを使用する」を参照してください。

次の手順

ワークロードを切り替える方法