移行ガイド: Microsoft Intuneを設定または移行する
Microsoft Intuneへの移行を計画したら、次の手順で、organizationに適した移行アプローチを選択します。 これらの決定は、現在のモバイル デバイス管理 (MDM) 環境、ビジネス目標、技術要件によって異なります。
この移行ガイドでは、Intune を採用または移行するためのオプションの一覧と説明を示します。これには、次のものが含まれます。
- モバイル デバイス管理ソリューションを使用しない
- サード パーティのパートナー MDM ソリューションを使用する
- Configuration Manager
- オンプレミスのグループ ポリシーを使用する
- モビリティとセキュリティMicrosoft 365 Basic使用する
このガイドを使用して、最適な移行方法を判断し、推奨事項 & ガイダンスを入手します。
ヒント
-
このガイドは生き物です。 そのため、役に立つヒントやガイダンスを追加したり、既存のものを更新してください。
この記事のコンパニオンとして、Microsoft 365 管理センターにはいくつかのセットアップ ガイダンスもあります。 このガイドでは、環境に基づいてエクスペリエンスをカスタマイズします。 このデプロイ ガイドにアクセスするには、Microsoft 365 管理センターのMicrosoft Intuneセットアップ ガイドにアクセスし、グローバル リーダー (少なくとも) でサインインします。 これらの展開ガイドと必要なロールの詳細については、「Microsoft 365 および Office 365 製品の高度な展開ガイド」を参照してください。
サインインせずに自動セットアップ機能をアクティブ化せずにベスト プラクティスを確認するには、 M365 セットアップ ポータルにアクセスします。
はじめに
Microsoft Intuneは、ID、デバイス、アプリの管理に役立つクラウド ネイティブ ソリューションです。 クラウドネイティブになることを目標にしている場合は、次の記事で詳細を確認できます。
Intune の展開は、以前の MDM の展開とは異なる場合があります。 Intune には、ID 主導のアクセス制御が使用されています。 ご自分のネットワークの外部にあるデバイスから組織のデータにアクセスするためにネットワーク プロキシは必要ありません。
現在は何も使用していない
現在、MDM またはモバイル アプリケーション管理 (MAM) プロバイダーを使用していない場合は、いくつかのオプションがあります。
Microsoft Intune: クラウド ソリューションが必要で、完全なデバイス管理の準備ができている場合は、Intune に直接移動します。 Intune を使用すると、コンプライアンスのチェック、デバイス機能の構成、アプリの展開、システム & アプリの更新プログラムのインストールを行うことができます。 また、web ベースのコンソールであるMicrosoft Intune管理センターの利点も得られます。
Configuration Manager: Configuration Manager (オンプレミス) の機能を Intune (クラウド) と組み合わせる場合は、テナントアタッチ (この記事では) または共同管理 (この記事では) を検討してください。
Configuration Managerは次のことができます。
- オンプレミスの Windows Server と一部のクライアント デバイスを管理します。
- パートナーまたはサード パーティのソフトウェア更新プログラムを管理します。
- Windows オペレーティング システムを展開するときに カスタム タスク シーケンス を作成します。
- 多数のアプリの種類をデプロイして管理します。
サード パーティの MDM プロバイダーを現在使用している
デバイスには MDM プロバイダーを 1 つのみ含める必要があります。 ワークスペース ONE (以前は AirWatch)、MobileIron、MaaS360 などの別の MDM プロバイダーを使用する場合は、Intune に移動できます。
Intune に登録する前に、現在の MDM プロバイダーからデバイスの登録を解除する必要があります。
MDM 機関を Intune に設定するなど、Intune を設定します。
詳細については、次を参照してください:
アプリをデプロイし、アプリ保護ポリシーを作成します。 このアイデアは、移行中およびデバイスが Intune によって管理 & 登録されるまで、アプリのorganizationデータを保護するのに役立ちます。
詳細については、「 手順 2 - Intune を使用してアプリを追加、構成、保護する」を参照してください。
現在の MDM プロバイダーからデバイスの登録を解除します。
デバイスの登録を解除すると、デバイスはポリシーを受け取らなくなります。これには、保護を提供するポリシーも含まれます。 デバイスは、Intune に登録して新しいポリシーの受信を開始するまで脆弱です。
ユーザーに特定の登録解除手順を付与します。 デバイスの登録解除の方法については、既存の MDM プロバイダーからのガイダンスを提供します。 明確で役立つコミュニケーションにより、エンド ユーザーのダウンタイム、不満、ヘルプデスクの呼び出しが最小限に抑えられます。
省略可能ですが、推奨されます。 MICROSOFT ENTRA ID P1 または P2 がある場合は、Intune に登録されるまで条件付きアクセスを使用してデバイスをブロックします。
詳細については、「 手順 3 – コンプライアンス ポリシーの計画」を参照してください。
省略可能ですが、推奨されます。 すべてのユーザーとデバイスに必要なコンプライアンスとデバイス設定のベースラインを作成します。 これらのポリシーは、ユーザーが Intune に登録するときに展開できます。
詳細については、次を参照してください:
Intune に登録します。 ユーザーに特定の登録手順を指定してください。
詳細については、次を参照してください:
Important
Intune と既存のサード パーティの MDM ソリューションを同時に構成して、Exchange や SharePoint などのリソースにアクセス制御を適用しないでください。
推奨事項:
パートナー MDM/MAM プロバイダーから移行する場合は、実行しているタスクと使用する機能に注意してください。 この情報は、Intune で実行するタスクの概要を示します。
段階的なアプローチを使用します。 パイロット ユーザーで構成された小規模なグループで開始して、全面的な展開に達するまでグループを追加していきます。
各フェーズで、ヘルプ デスクの負荷と登録の完了を監視します。 スケジュールに余裕を持たせ、各グループの成功基準を評価してから次のグループで移行を開始するようにします。
パイロット展開では次のタスクを検証する必要があります。
登録の成功率と失敗率が想定内であること。
ユーザーの生産性:
- VPN、Wi-Fi、電子メール、証明書などの会社のリソースが機能している。
- 展開済みのアプリにアクセスできる。
データ セキュリティ:
- コンプライアンス レポートを確認し、一般的な問題と傾向を確認します。 問題、解決策、および傾向をヘルプ デスクに伝達します。
- モバイル アプリ保護が適用される。
移行の最初のフェーズに満足したら、次のフェーズの移行サイクルを繰り返します。
- すべてのユーザーが Intune に移行するまで、段階的なサイクルを繰り返します。
- 移行中に、ヘルプ デスクがエンド ユーザーに対応できているか確認します。 サポート コールのワークロードを見積もることができるまでは、自主的な移行を実施します。
- ヘルプデスクが残りのすべてのユーザーを処理できるようになるまで、登録の期限を設定しないでください。
役立つ情報:
Configuration Manager を現在使用している
Configuration Managerでは、Windows サーバーと Windows & macOS クライアント デバイスがサポートされています。 organizationが他のプラットフォームを使用している場合は、デバイスをリセットしてから Intune に登録する必要があります。 登録されると、作成したポリシーとプロファイルを受け取ります。 詳細については、Intune の登録に関する展開ガイドを参照してください。
Configuration Manager を現在使用していて、Intune を使用したい場合は、次のオプションがあります。
オプション 1 - テナントアタッチを追加する
テナントのアタッチを使用すると、"テナント" とも呼ばれる Intune の組織に Configuration Manager デバイスをアップロードできます。 デバイスをアタッチした後、Microsoft Intune管理センターを使用して、同期マシンやユーザー ポリシーなどのリモート アクションを実行します。 オンプレミスのサーバーを確認し、OS 情報を取得することもできます。
テナント接続は、Configuration Manager の共同管理ライセンスに追加費用なしで含まれます。 クラウド (Intune) をオンプレミスのConfiguration Managerセットアップと統合する最も簡単な方法です。
詳細については、テナントのアタッチの有効化に関するページを参照してください。
オプション 2 - 共同管理を設定する
このオプションでは、一部のワークロードには Configuration Manager を使用し、他のワークロードには Intune を使用します。
- Configuration Manager で、共同管理を設定します。
- MDM 機関を Intune に設定するなど、Intune を設定します。
デバイスを Intune に登録し、ポリシーを受け取る準備が整いました。
役立つ情報:
- 共同管理とは
- 共同管理ワークロード
- Configuration Manager ワークロードを Intune に切り替える
- Configuration Manager の製品とライセンスに関する FAQ
オプション 3 - Configuration Managerから Intune に移動する
Configuration Manager の既存のお客様は、ほとんどの場合 Configuration Manager を引き続き使用したいと考えています。 これには、オンプレミスデバイスに有益なサービスが含まれています。
これらの手順は概要であり、100% のクラウド ソリューションを必要とするユーザーのためにのみ記載されています。 このオプションでは、次のことを行います。
- 既存のオンプレミスの Active Directory Windows クライアント デバイスをデバイスとして Microsoft Entra ID に登録します。
- 既存のオンプレミスの Configuration Manager ワークロードを Intune に移動します。
このオプションは、管理者にとってはより手間がかかりますが、既存の Windows クライアント デバイスに対してよりシームレスなエクスペリエンスを作成できます。 新しい Windows クライアント デバイスの場合は、 Microsoft 365 と Intune (この記事では) を使用して最初から開始することをお勧めします。
デバイスのハイブリッド Active Directory とMicrosoft Entra ID を設定します。 Microsoft Entraハイブリッド参加済みデバイスは、オンプレミスの Active Directoryに参加し、Microsoft Entra ID に登録されます。 デバイスが Microsoft Entra ID である場合は、Intune でも使用できます。
ハイブリッド Microsoft Entra ID では、Windows デバイスがサポートされます。 サインイン要件など、その他の前提条件については、「Microsoft Entraハイブリッド参加の実装を計画する」を参照してください。
Configuration Manager で、共同管理を設定します。
MDM 機関を Intune に設定するなど、Intune を設定します。
Configuration Manager で、Configuration Manager のすべてのワークロードを Intune に移動します。
デバイスで、Configuration Manager クライアントをアンインストールします。 詳細については、「クライアントをアンインストールする」を参照してください。
Intune がセットアップされたら、Configuration Manager クライアントをアンインストールする Intune アプリ構成ポリシーを作成できます。 たとえば、「Intune を使って構成マネージャー クライアントをインストールする」の手順を逆にすることができます。
デバイスを Intune に登録し、ポリシーを受け取る準備が整いました。
Important
ハイブリッド Microsoft Entra ID では、Windows デバイスのみがサポートされます。 Configuration Manager では、Windows デバイスと macOS デバイスがサポートされます。 Configuration Manager で管理されている macOS デバイスの場合、次のことができます。
- Configuration Manager クライアントをアンインストールする。 アンインストールすると、デバイスはポリシーを受け取らなくなります。これには、保護を提供するポリシーも含まれます。 Intune に登録し、新しいポリシーの受信を開始するまで脆弱です。
- ポリシーを受け取るには、デバイスを Intune に登録します。
脆弱性を最小限に抑えるために、Intune を設定した後、および登録ポリシーを展開する準備ができたら、macOS デバイスを移動します。
オプション 4 - Microsoft 365 と Intune を使用して最初から開始する
このオプションは、Windows クライアントデバイスに適用されます。 Windows Server 2022 などの Windows Server を使用する場合は、このオプションを使用しないでください。 Configuration Manager を使用してください。
Windows クライアント デバイスを管理するには:
Microsoft 365 を展開します。ユーザーとグループを作成する作業も含まれます。 モビリティとセキュリティMicrosoft 365 Basic使用または構成しないでください。
便利なリンク:
MDM 機関を Intune に設定するなど、Intune を設定します。
既存のデバイスで、Configuration Manager クライアントをアンインストールします。 詳細については、「クライアントをアンインストールする」を参照してください。
デバイスを Intune に登録し、ポリシーを受け取る準備が整いました。
オンプレミスのグループ ポリシーを現在使用している
クラウドでは、Intune などの MDM プロバイダーがデバイスの設定と機能を管理します。 グループ ポリシー オブジェクト (GPO) は使用されません。
デバイスを管理する場合、Intune デバイス構成プロファイルはオンプレミスの GPO を置き換えます。 デバイス構成プロファイルでは、Apple、Google、Microsoft によって公開される設定が使用されます。
特に次のような場合です。
- Android デバイスでは、これらのプロファイルに Android 管理 API と EMM API が使用されます。
- Apple デバイスでは、これらのプロファイルにデバイス管理ペイロードが使用されます。
- Windows デバイスでは、これらのプロファイルに Windows 構成サービス プロバイダー (CSP) が使用されます。
グループ ポリシーからデバイスを移動する場合は、グループ ポリシー分析を使用します。 グループ ポリシー分析は、GPO を分析する Intune のツールと機能です。 Intune では、GPO をインポートし、Intune で使用できる (使用できない) ポリシーを確認します。 Intune で使用できるポリシーについては、インポートした設定を使用して設定カタログ ポリシーを作成できます。 この機能の詳細については、「Microsoft Intuneでインポートした GPO を使用して設定カタログ ポリシーを作成する」を参照してください。
次に、手順 1: Microsoft Intuneを設定します。
現在、モビリティとセキュリティMicrosoft 365 Basic使用
モビリティ ポリシーとセキュリティ ポリシー Microsoft 365 Basic作成してデプロイした場合は、ユーザー、グループ、ポリシーをMicrosoft Intuneに移行できます。
詳細については、「Microsoft 365 Basicモビリティとセキュリティから Intune への移行」を参照してください。
テナントからテナントへの移行
テナントは、Contoso などのMicrosoft Entra ID のorganizationです。 これには、Microsoft Intuneや Microsoft 365 などの Microsoft クラウド サービスを取得したときに Contoso が受け取る専用のMicrosoft Entra サービス インスタンスが含まれます。 Microsoft Entra ID は、Intune と Microsoft 365 によって、ユーザーとデバイスの識別、作成するポリシーへのアクセスの制御などを行うために使用されます。
Intune では、Microsoft Graph と Windows PowerShell を使用して、一部のポリシーをエクスポートおよびインポートすることができます。
たとえば、Microsoft Intune 試用版サブスクリプションを作成するとします。 このサブスクリプションの試用版テナントには、アプリと機能の構成や、コンプライアンスの確認などを行うポリシーがあります。 これらのポリシーを別のテナントに移動することができます。
このセクションでは、テナントからテナントへの移行に Microsoft Graph スクリプトを使用する方法について説明します。 また、エクスポートできるポリシーの種類とエクスポートできないポリシーの種類も一覧表示されます。
Important
- これらの手順では、GitHub 上の Intune ベータ Graph サンプルを使用します。 サンプル スクリプトでは、テナントに変更が加えられます。 これらはそのまま使用できます。また、非運用または "テスト" テナント アカウントを使用して検証する必要があります。 スクリプトが組織のセキュリティ ガイドラインを満たしていることを確認してください。
- スクリプトでは、証明書プロファイルなど、すべてのポリシーがエクスポートおよびインポートされるわけではありません。 これらのスクリプトで利用できるタスクよりも多くのタスクを実行する必要があります。 いくつかのポリシーを再作成する必要があります。
- ユーザーのデバイスを移行するには、古いテナントからデバイスの登録を解除してから、新しいテナントに再登録する必要があります。
サンプルをダウンロードし、スクリプトを実行する
このセクションには、各手順の概要が記載されています。 これらの手順をガイダンスとして使用し、特定の手順が異なる可能性があることを把握します。
サンプルをダウンロードし、Windows PowerShell を使用してポリシーをエクスポートします。
microsoftgraph/powershell-intune-samples に移動し、[Code]\(コード\)>[Download ZIP]\(ZIP のダウンロード\) を選択します。
.zipファイルの内容を抽出します。管理者として Windows PowerShell アプリを開き、使用するフォルダーにディレクトリを変更します。 たとえば、次のコマンドを入力します。
cd C:\psscripts\powershell-intune-samples-masterAzureAD PowerShell モジュールをインストールします。
Install-Module AzureAD[Y] を選択して、信頼されていないリポジトリからモジュールをインストールします。 このインストールには数分かかることがあります。
実行するスクリプトがあるフォルダーにディレクトリを変更します。 たとえば、ディレクトリを
CompliancePolicyフォルダーに変更します。cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicyエクスポート スクリプトを実行します。 たとえば、次のコマンドを入力します。
.\CompliancePolicy_Export.ps1自分のアカウントでサインインします。 メッセージが表示されたら、ポリシーを配置するパスを入力します。 たとえば、次のように入力します。
C:\psscripts\ExportedIntunePolicies\CompliancePolicies
フォルダーに、ポリシーがエクスポートされます。
新しいテナントにポリシーをインポートします。
実行するスクリプトがある PowerShell フォルダーにディレクトリを変更します。 たとえば、ディレクトリを
CompliancePolicyフォルダーに変更します。cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicyインポート スクリプトを実行します。 たとえば、次のコマンドを入力します。
.\CompliancePolicy_Import_FromJSON.ps1自分のアカウントでサインインします。 メッセージが表示されたら、インポートするポリシーの
.jsonファイルへのパスを入力します。 たとえば、次のように入力します。C:\psscripts\ExportedIntunePolicies\CompliancePolicies\PolicyName.json
Intune 管理センターにサインインします。 インポートしたポリシーが表示されます。
実行できない操作
エクスポートできないポリシーの種類がいくつかあります。 一部のポリシーの種類は、エクスポートできても別のテナントにインポートできません。 次の一覧をガイドとして使用してください。 記載されていないポリシーの種類が他にもあることに注意してください。
| ポリシーまたはプロファイルの種類 | 情報 |
|---|---|
| アプリケーション | |
| Android の基幹業務アプリ | ❌ エクスポート ❌ インポート LOB アプリを新しいテナントに追加するには、元の .apk アプリケーション ソース ファイルも必要です。 |
| Apple – Volume Purchase Program (VPP) | ❌ エクスポート ❌ インポート これらのアプリは、Apple VPP と同期されます。 新しいテナントで、お使いの VPP トークンを追加します。これによって使用可能なアプリが表示されます。 |
| iOS および iPadOS 基幹業務アプリ | ❌ エクスポート ❌ インポート LOB アプリを新しいテナントに追加するには、元の .ipa アプリケーション ソース ファイルも必要です。 |
| マネージド Google Play | ❌ エクスポート ❌ インポート これらのアプリと Web リンクは、マネージド Google Play と同期されます。 新しいテナントで、お使いのマネージド Google Play アカウントを追加します。これによって使用可能なアプリが表示されます。 |
| ビジネス向け Microsoft Store | ❌ エクスポート ❌ インポート これらのアプリは、ビジネス向け Microsoft Store と同期されます。 新しいテナントで、お使いのビジネス向け Microsoft Store アカウントを追加します。これによって使用可能なアプリが表示されます。 |
| Windows アプリ (Win32) | ❌ エクスポート ❌ インポート LOB アプリを新しいテナントに追加するには、元の .intunewin アプリケーション ソース ファイルも必要です。 |
| コンプライアンス ポリシー | |
| コンプライアンス非対応に対するアクション | ❌ エクスポート ❌ インポート 電子メール テンプレートへのリンクが存在する可能性があります。 コンプライアンス非対応アクションを含むポリシーをインポートすると、既定のコンプライアンス非対応に対するアクションが代わりに追加されます。 |
| 課題 | ✔️ エクスポート ❌ インポート 割り当てはグループ ID を対象としています。 新しいテナントでは、グループ ID は異なります。 |
| 構成プロファイル | |
| メール | ✔️ エクスポート ✔️ 電子メール プロファイルで証明書を使用していない場合、インポートは機能します。 ❌ 電子メール プロファイルでルート証明書を使用している場合、そのプロファイルを新しいテナントにインポートすることはできません。 新しいテナントでは、ルート証明書 ID は異なります。 |
| SCEP 証明書 | ✔️ エクスポート ❌ インポート SCEP 証明書プロファイルでは、ルート証明書が使用されます。 新しいテナントでは、ルート証明書 ID は異なります。 |
| VPN | ✔️ エクスポート ✔️ VPN プロファイルで証明書を使用していない場合、インポートは機能します。 ❌ VPN プロファイルでルート証明書を使用している場合、そのプロファイルを新しいテナントにインポートすることはできません。 新しいテナントでは、ルート証明書 ID は異なります。 |
| Wi-Fi | ✔️ エクスポート ✔️ Wi-Fi プロファイルで証明書を使用していない場合、インポートは機能します。 ❌ Wi-Fi プロファイルでルート証明書を使用している場合、そのプロファイルを新しいテナントにインポートすることはできません。 新しいテナントでは、ルート証明書 ID は異なります。 |
| 課題 | ✔️ エクスポート ❌ インポート 割り当てはグループ ID を対象としています。 新しいテナントでは、グループ ID は異なります。 |
| エンドポイントのセキュリティ | |
| エンドポイントの検出および応答 | ❌ エクスポート ❌ インポート このポリシーは Microsoft Defender for Endpoint にリンクされます。 新しいテナントで、Microsoft Defender for Endpoint を構成すると、エンドポイントの検出と応答ポリシーが自動的に含まれます。 |
次の手順
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示