Microsoft エンドポイント マネージャーのテナントのアタッチ: 前提条件

Configuration Manager (現在のブランチ) に適用

Microsoft エンドポイント マネージャーは、すべてのデバイスを管理するための統合ソリューションです。 Microsoft は、Configuration Manager と Intune を Microsoft エンドポイント マネージャー管理センター と呼ばれる 1 つのコンソールに統合します。 ご利用の Configuration Manager デバイスをクラウド サービスにアップロードし、管理センターの [デバイス] ページからアクションを実行できるようになります。 使用する機能には、次のようなものがあります。

• PowerShell スクリプトの実行
• アプリケーションのインストール
• CMPivotを使用したデバイスのクエリ
• デバイスからのイベントのタイムラインを表示する

前提条件

• このオンボーディングの変更を適用するときにサインインするための、グローバル管理者 であるアカウント。 詳細については、Azure Active Directory (Azure AD) 管理者ロールに関するページを参照してください。

  • オンボードすると、ご利用の Azure AD テナント内にサードパーティのアプリとファースト パーティのサービス プリンシパルが作成されます。

• Azure クラウド環境。

  • Microsoft Azure China 21Vianet (Azure China Cloud) および Azure US Government クラウドでは、[Upload to Microsoft Endpoint Manager admin center](Microsoft エンドポイント マネージャー管理センターへのアップロード) オプションが無効になります。 バージョン 2107 以降では、このオプションは米国政府のお客様にもご利用いただけます。

• バージョン 2107 以降をご利用の米国政府のお客様は、US Government クラウドで次のテナント接続機能を使用できます。

  • アカウントのオンボード
  • テナントの Intune への同期
  • デバイスの Intune への同期
  • Microsoft エンドポイント マネージャー管理センターでのデバイスの操作

• Azure テナントとサービス接続ポイントの地理的な場所は同じである必要があります。

• 管理者が Microsoft エンドポイント マネージャー 管理センターにアクセスするための Intune ライセンスが少なくとも 1 つ必要です。

• 構成マネージャーの管理サービスを設定して機能させる必要があります。

• 中央管理サイトにリモート プロバイダーがある場合は、CMPivot の記事の「CAS にリモート プロバイダーがある」シナリオの指示に従ってください。

この機能は、構成マネージャーが現在クライアントとしてサポートするすべての OS バージョンに対応しています。 詳しくは、クライアントとデバイスに対してサポートされる OS のバージョンに関する記事をご覧ください。

アクセス許可

デバイス アクションを実行するユーザー アカウントには、次の前提条件があります。

• ユーザー アカウントは、Azure AD (ハイブリッド ID) の同期されたユーザー オブジェクトである必要があります。 これは、ユーザーが Active Directory から Azure Active Directory に同期されていることを意味します。
  • 2103 以降の Configuration Manager バージョンの場合:
    Azure Active Directory ユーザーの探索または Active Directory ユーザーの探索のいずれかで検出されました。
• Microsoft エンドポイント マネージャー管理センターの [リモート タスク] で 構成マネージャーのアクションを開始する アクセス許可。
  • 管理センターでのアクセス許可の追加または確認の詳細については、「Microsoft Intune でのロールベースのアクセス制御 (RBAC)」を参照してください。

インターネットエンドポイント

• https://aka.ms/configmgrgateway

• https://*.manage.microsoft.com Azure パブリック クラウドのお客様向け

• https://*.manage.microsoft.us バージョン 2107 以降の米国政府機関クラウドのお客様向け

• https://dc.services.visualstudio.com

サービス接続ポイントは、ホストされている通知サービスへの長時間の送信接続を行います https://*.manage.microsoft.com 。 サービス接続ポイントに使用されるプロキシが、発信接続のタイムアウトを早くしすぎないことを確認します。 このインターネット エンドポイントへの発信接続は 3 分に設定することをお勧めします。

特定の証明書失効リスト (CRL) またはオンライン証明書状態プロトコル (OCSP) の検証場所のみを許可するプロキシ ルールが環境にある場合は、次の CRL および OCSP URL も許可します。

• http://crl3.digicert.com
• http://crl4.digicert.com
• http://ocsp.digicert.com
• http://www.d-trust.net
• http://root-c3-ca2-2009.ocsp.d-trust.net
• http://crl.microsoft.com
• http://oneocsp.microsoft.com
• http://ocsp.msocsp.com
• http://www.microsoft.com/pkiops

サービス接続ポイントは、テナント接続における重要なインターネット エンドポイントを検証します。 これらの確認は、クラウド サービスが利用可能であることを確認するのに役立ちます。 また、ネットワーク接続に問題があるのかどうかを迅速に判断できるため、問題のトラブルシューティングにも役立ちます。 詳細については、「インターネット アクセスを検証する」を参照してください。

注意

サービス接続ポイントで CRL をチェックする。 このサーバーが上記の URL にアクセスできない場合、CRL チェックは失敗します。 システム プロキシの設定を検討するか、コマンド 'netsh winhttp set proxy' を使用します。 詳細については、「Windows Update クライアントが、 Windows Update Web サイトへの接続に使用するプロキシ サーバーを決定する方法」を参照してください。 サイト内通信用のバイパス一覧を含めるようにしてください。 Configuration Manager のプロキシ サーバー設定では、Configuration Manager アプリケーションのプロキシを構成するだけで、基盤となる OS のプロキシは構成しないため、この構成が必要になる場合があります。

制限事項

現時点では、PowerShell スクリプトまたは Microsoft Graph API を使用してデバイス リストを取得する場合、Configuration Manager デバイスは含まれません。 この問題を回避するには、管理センターの [すべてのデバイス] ページの [エクスポート] オプションを使用します。

次の手順

• テナントのアタッチを有効にする