Microsoft エンドポイント マネージャーのテナントのアタッチ: デバイスの同期とデバイスの操作
Configuration Manager (現在のブランチ) に適用
Microsoft エンドポイント マネージャーは、すべてのデバイスを管理するための統合ソリューションです。 Microsoft は、Configuration Manager と Intune を、Microsoft Endpoint Manager 管理センター と呼ばれる 1 つのコンソールに統合します。 ご利用の Configuration Manager デバイスをクラウド サービスにアップロードし、管理センターの [デバイス] ブレードからアクションを実行できるようになります。
共同管理が既に有効である場合にデバイスのアップロードを有効にする
共同管理が現在有効になっている場合は、共同管理プロパティを使用して、デバイスのアップロードを有効にします。 共同管理がまだ有効になっていない場合は、クラウド接続の構成ウィザードを使用して、代わりにデバイスのアップロードを有効にします。 テナント接続を有効にする前に、テナント接続の前提条件が満たされていることを確認します。
共同管理が既に有効である場合は、次の手順を使用して共同管理プロパティを編集して、デバイスのアップロードを有効にします。
- Configuration Manager 管理者コンソールで、[管理] > [概要] > [クラウド サービス] > [クラウド接続] の順に移動します。
- バージョン 2103 以前の場合は、[共同管理] ノードを選択します。
- リボンで、共同管理運用ポリシーの [プロパティ] を選択します。
- [アップロードを構成する] タブで、[Upload to Microsoft Endpoint Manager admin center] (Microsoft Endpoint マネージャー管理センターへのアップロード) を選択し、[適用] を選択します。
- デバイスのアップロードの既定の設定は Microsoft Endpoint Configuration Manager によって管理されているすべてのデバイス です。 必要に応じて、アップロードを 1 つのデバイス コレクションに制限できます。
- Configuration Manager バージョン 2010 以降では、単一のコレクションが選択されると、その子コレクションもアップロードされるようになりました。
- エンドポイント分析でエンド ユーザー エクスペリエンスを最適化するための分析情報も取得したい場合は、「Microsoft Endpoint Manager にアップロードされたデバイスのエンドポイント分析を有効にする」のオプションをチェックします。
重要
エンドポイント分析のデータ アップロードを有効にすると、既定のクライアント設定が自動的に更新され、管理対象のエンドポイントから Configuration Manager サイト サーバーに関連データを送信できるようになります。 カスタム クライアント設定を使用する場合は、データ収集を行うために、クライアント設定を更新して再展開する必要があります。 データ収集を特定のデバイス セットのみに限定するなど、この機能とデータ収集の構成方法の詳細については、「エンドポイント分析データ収集の構成」のセクションを参照してください。
- メッセージが表示されたら、ご利用の "全体管理者" アカウントを使用してサインインします。
- [はい] を選択して、[AAD アプリケーションの作成] 通知を受け入れます。 このアクションでは、サービス プリンシパルがプロビジョニングされ、同期を容易にするための Azure AD アプリケーション登録が作成されます。
- 変更を行ったら、[OK] を選択して、共同管理プロパティを終了します。
共同管理が無効である場合にデバイスのアップロードを有効にする
共同管理を有効にしていない場合は、クラウド接続の構成ウィザード を使用して、デバイスのアップロードを有効にします。 共同管理の自動登録を有効にしたり、ワークロードを Intune に切り替えたりすることなく、デバイスをアップロードできます。 Configuration Manager によって管理されているすべてのデバイス ([クライアント] 列に [はい] が含まれている) はすべてアップロードされます。 必要に応じて、アップロードを 1 つのデバイス コレクションに制限できます。 ご利用の環境で共同管理が既に有効である場合は、共同管理プロパティを編集して、代わりにデバイスのアップロードを有効にします。 テナント接続を有効にする前に、テナント接続の前提条件が満たされていることを確認します。
共同管理が有効になっていない場合は、以下の手順を使用してデバイスのアップロードを有効にします。
Configuration Manager 管理者コンソールで、[管理] > [概要] > [クラウド サービス] > [クラウド接続] の順に移動します。 バージョン 2103 以前の場合は、[共同管理] ノードを選択します。
- 構成マネージャー バージョン 2111 以降で、テナントアタッチのオンボード エクスペリエンスが変更されました。 クラウドアタッチ ウィザードを使用すると、テナントのアタッチやその他の クラウド機能を簡単に有効にできます。 推奨される既定値の合理化されたセットを選択することも、クラウドアタッチ機能をカスタマイズすることもできます。 新しいウィザードでテナント接続を有効にする方法の詳細については、「クラウド接続を有効 にする」を参照してください。
リボンで、[クラウド接続の構成] を選択してウィザードを開きます。 2103 以前のバージョンの場合は、[共同管理の構成] を選択してウィザードを開きます。
[オンボード] ページで、ご利用の環境に対して [AzurePublicCloud] を選択します。 Azure Government クラウドと Azure China 21Vianet はサポートされていません。
- 2107 以降のバージョンでは、米国政府機関のお客様は AzureUSGovernmentCloud を選択できます。
[サインイン] を選びます。 グローバル管理者 アカウントを使用してサインインします。
[クラウドの接続 ページで [Microsoft エンドポイント マネージャー管理センターの有効化] オプションを確実に選択します。 2103 以前のバージョンの場合は、[テナントのオンボード] ページで [Upload to Microsoft Endpoint Manager admin center](Microsoft Endpoint Manager 管理センターにアップロードする) オプションを選択します。
- 今すぐ共同管理を有効にしない場合は、[共同管理のための自動クライアント登録を有効にする] オプションがオンになっていないことを確認してください。 共同管理を有効にする場合は、このオプションを選択します。
- 共同管理と共にデバイスのアップロードも有効にする場合は、ウィザードに追加のページが表示されるので完成させます。詳細については、「共同管理を有効にする」を参照してください。
[次へ]、[はい] の順に選択して、[AAD アプリケーションの作成] 通知を受け入れます。 このアクションでは、サービス プリンシパルがプロビジョニングされ、同期を容易にするための Azure AD アプリケーション登録が作成されます。
- オプションとして、テナント接続のオンボード中に以前に作成した Azure AD アプリケーションをインポートする事ができます (2006 以降のバージョン)。 詳細については、「以前に作成した Azure AD アプリケーションのインポート」セクションを参照してください。
[アップロードを構成する] ページで、 [Microsoft Endpoint Configuration Manager によって管理されているすべてのデバイス] に対して推奨されるデバイス アップロード設定を選択します。 必要に応じて、アップロードを 1 つのデバイス コレクションに制限できます。
- Configuration Manager バージョン 2010 以降では、単一のコレクションが選択されると、その子コレクションもアップロードされるようになりました。
エンドポイント分析でエンド ユーザー エクスペリエンスを最適化するための分析情報も取得したい場合は、「Microsoft Endpoint Manager にアップロードされたデバイスのエンドポイント分析を有効にする」のオプションをチェックします
[概要] を選択して選択内容を確認し、[次へ] を選択します。
更新が完了したら、[閉じる] を選択します。
スコープ タグ
テナントに接続されたデバイスは、Microsoft Intune から既定のスコープ タグを受け取ります。 テナントに接続されたデバイスから既定のスコープ タグを削除した場合、デバイスは Microsoft エンドポイント マネージャー管理センターに表示されなくなります。 現在、テナント接続デバイスには、共同管理デバイスとは異なり、スコープ タグを割り当てることはできません。
ただし、特定の Intune ロールにテナント接続デバイスを表示したくない場合があります。 たとえば、Intune の ヘルプ デスク オペレーター の役割を持つユーザーがサーバーなので、テナントに接続されたデバイスを表示したくない場合があります。 このような場合は、その スコープ タグ に 既定 の一覧が表示されていないカスタム ロールを Intune で作成または使用します。 カスタム Intune ロールを作成する場合、タグが設定されていないすべてのオブジェクトに既定のスコープ タグが自動的に追加されることに注意してください。
デバイスのアクションを実行する
ブラウザーで、
endpoint.microsoft.com
に移動します。[デバイス]、[すべてのデバイス] の順に選択して、アップロードされたデバイスを確認します。 アップロードされたデバイスの [管理者] 列に [ConfigMgr] が表示されます。
デバイスを選択して、その [概要] ページを読み込みます。
その後、次のいずれかの操作を選択します。
- コンピューター ポリシーの同期
- ユーザー ポリシーの同期
- アプリの評価サイクル
管理コンソールで Configuration Manager コネクタの状態を表示する
Microsoft エンドポイント マネージャー管理センターから Configuration Manager コネクタの状態を確認することができます。 コネクタの状態を表示するには、[テナントの管理] > [コネクタとトークン] > [Microsoft Endpoint Configuration Manager] にアクセスします。 Configuration Manager 階層を選択して、その追加情報を表示します。
注意
階層が Configuration Manager バージョン 2006 以前を実行している場合、一部の情報は使用できません。
テナント接続からのオフボード
テナントのアタッチを有効にすることで、非常に大きな価値を得ることができますが、まれに、階層のオンボードが必要になることがあります。 Configuration Manager コンソール (推奨方法) または Microsoft エンドポイント マネージャー管理センターのいずれかからオフボードできます。
Configuration Manager コンソールからのオフボード
テナント接続が既に有効になっている場合は、共同管理プロパティを編集してデバイスのアップロードとオフボードを無効にします。
- Configuration Manager 管理者コンソールで、[管理] > [概要] > [クラウド サービス] > [クラウド接続] の順に移動します。
- バージョン 2103 以前の場合は、[共同管理] ノードを選択します。
- リボンで、共同管理運用ポリシーの [プロパティ] を選択します。
- [アップロードを構成する] タブで、[Upload to Microsoft Endpoint Manager admin center](Microsoft Endpoint Manager 管理センターにアップロードする) の選択肢を削除します。
- [適用] を選択します。
Microsoft エンドポイント マネージャー管理センターからのオフボード
必要に応じて、Microsoft エンドポイント マネージャー管理センターから Configuration Manager 階層をオフボードすることができます。 たとえば、オンプレミス環境が削除されたディザスター リカバリー シナリオの後に、管理センターからのオフボードが必要になる場合があります。 Microsoft エンドポイント マネージャー管理センターから Configuration Manager 階層を削除するには、次の手順に従います。
- Microsoft エンドポイント マネージャー管理センター
- [テナント管理]、[コネクタとトークン] の順に選択します。
- [Microsoft Endpoint Configuration Manager] を選択します。
- オフボードするサイトの名前を選択し、[削除] を選択します。
- バージョン 2002 のサイトやサイト情報が不足している場合、コネクタに Unknown と表示される場合があります。
管理センターから階層をオフボードした場合、Microsoft エンドポイント マネージャー管理センターから削除するのに 2 時間ほどかかる可能性があります。 オンラインで正常な Configuration Manager 2103 以降のサイトをオフボードする場合、プロセスに数分しかかからない可能性があります。
注意
Intune でのカスタム RBAC ロールを使用している場合は、階層をオフボードするために [組織] > [削除] アクセス許可を付与する必要があります。
以前の Azure AD アプリケーションをインポートする (オプション)
新しいオンボードの際、管理者は、テナント接続へのオンボード中に以前に作成したアプリケーションを指定できます。 複数の階層間で Azure AD アプリケーションを共有したり再利用したりしないでください。 複数の階層がある場合は、それぞれに Azure AD アプリケーションを作成します。
[クラウド接続の構成ウィザード] (2103 以前のバージョンの 共同管理の構成ウィザード) のオンボーディング ページから、[オプションで別の Web アプリをインポートして、Configuration Manager クライアント データを Microsoft エンドポイント マネージャー管理センターに同期します] を選択します。 このオプションを選択すると、Azure AD アプリに関する次の情報を指定するように求められます。
- Azure AD テナント名
- Azure AD テナント ID
- アプリケーション名
- クライアント ID
- 秘密鍵
- 秘密鍵の有効期限
- アプリ ID URI
重要
アプリ ID URI は、次のいずれかの形式を使用する必要があります。
api://{tenantId}/{string}
、たとえば、api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
https://{verifiedCustomerDomain}/{string}
、たとえば、https://contoso.onmicrosoft.com/ConfigMgrService
Azure AD アプリの作成の詳細については、「Azure サービスの構成」を参照してください。
インポートされた Azure AD アプリを使用すると、コンソールの通知から有効期限が近づいていることが通知されません。
Azure AD アプリケーションのアクセス許可と構成
オンボーディング中に以前作成したアプリケーションをテナント接続に使用するには、次のアクセス許可が必要です。
Configuration Manager マイクロサービスのアクセス許可
- CmCollectionData.read
- CmCollectionData.write
Microsoft Graph には、次のアクセス許可が必要です。
- Directory.Read.All アプリケーションのアクセス許可
- Directory.Read.All 委任されたディレクトリ アクセス許可
Azure AD アプリケーションで、「テナントに管理者の同意を付与する」が選択されていることを確認します。 詳細については、「アプリ登録で管理者の同意を付与する」を参照してください。
インポートされたアプリケーションは、次のように構成する必要があります。
- この組織ディレクトリ内のアカウントのみ に登録済み。 詳細については、「アプリケーションにアクセスできるユーザーを変更する」を参照してください。
- 有効なアプリケーション ID URI とシークレットがある
次の手順
- Configuration Manager デバイスをエンドポイント分析に登録する
- テナント接続のログ ファイルに関する詳細については、「テナントのアタッチのトラブルシューティング」を参照してください。