GPOとIntuneプロファイル設定の共存

GPOとIntuneプロファイル設定の共存 

皆さんこんにちは。国井です。

今日はMicrosoft Intuneのプロファイル設定の話です。
Microsoft Intuneのプロファイル設定は、オンプレミスで言うところのActive Directoryから提供されるグループポリシー(GPO)に当たると思います。

Active Directoryドメインに参加しているデバイスであれば、GPOが適用されるでしょうし、

image

Microsoft Intuneに登録されているデバイスであれば、Intuneからプロファイル(ポリシー)が適用されます。

image

しかし、Hybrid Azure AD Joinと呼ばれる方法で、Active DirectoryドメインとAzure ADドメインの両方に参加している場合、GPOとIntuneのプロファイルが同時に適用されます。

image

このとき、GPOとIntuneのプロファイルで相反する設定が施された場合、どちらの設定が適用されるのか?という問題があります。
結論から先に言うと、GPOとIntuneのプロファイル設定はGPOの設定が優先されます。
GPOからIntuneへの移行をするときにGPOが優先されたら、いつまで経ってもIntuneに移行できないという問題があります。

Intuneでは Windows 10からレジストリ設定で
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\ControlPolicyConflict
から MDMWinsOverGP項目を作り値を1と設定することでIntuneのプロファイルを優先するように構成できます。

この設定をIntuneからまとめて設定したいということであれば、Intuneプロファイル設定のOMA-URIを利用して上記のレジストリ相当の設定をしてしまえばよいのです。
設定はMicrosoft 365デバイス管理ポータル(https://endpoint.microsoft.com)から、
デバイス構成 > プロファイル > プロファイルの作成
からプロファイルを新規作成し、Windows 10 のカスタム設定を開き、

image

OMA-URIの設定として次の内容を追加します。

OMA-URI:
./Device/Vendor/MSFT/Policy/Config/ControlPolicyConflict/MDMWinsOverGP
データ型:整数
値:1

GPOとIntuneプロファイル設定の共存

以上の設定ができたら、後は該当のデバイスグループに割り当てるだけ。
これでIntuneのプロファイルが優先されます。

GPOとIntuneの両方を利用する環境自体、多くないかもしれないですが、
今後、クラウドシフトをしていく中での一環で必要になるかもしれないので、覚えておきたい設定ですね。