皆さんこんにちは。国井です。
最近、お問い合わせページからいただいているお問い合わせが私のメールアドレスに転送されないという事象が発生していることにしばらく気が付かず、久しぶりに問い合わせページを見たら、たくさんお問い合わせをいただいておりました。無視するつもりはなかったんですけど.. ごめんなさい。今日はそのお問い合わせでいただいていた内容と同じ内容のご質問を何人かの方からいただいていたので、そのQ&Aということで進めていきます。
■ ■ ■
弊社で開催しているEMSトレーニングでは、Active Directory × GPOによるデバイス管理からAzure AD × Microsoft Intuneによるデバイス管理に切り替えて運用したいというお客様がいらしており、その中でもよく話題にあがるのがGPOで設定していたWindows UpdateのパラメーターをどうやってIntuneに切り替えるか?です。
Intuneでは[Windows 10 更新リング]というポリシーがあり、このポリシー設定を通じてWindows 10のWindows Updateの設定を変更します。ところが[Windows 10 更新リング]というポリシー、設定が適用されたことは確認できるのですが、各デバイスでの設定後の値を見ることはできません。
例えば、更新プログラムを自動でインストールするように設定されているか?
アクティブ時間は何時から何時までか?などの現在の設定を知りたいという場合には
各クライアントコンピューターのログ (レポート) を参照する必要があります。
クライアントレポートを参照する
レポートは
設定アプリ > アカウント > 職場または学校にアクセスする > 情報 > レポートの作成
から参照できます。ただし、[レポートの作成] ボタンをクリックしない限り、
レポートは生成してくれません。
[レポートの作成] ボタンをクリックするという操作はMdmDiagnosticsTool.exeというコマンドがつかさどっているので、これを利用して自動実行してしまいましょう。
MdmDiagnosticsTool.exe -out <保存先フォルダー>
こうして生成されたログファイル群の中からMDMDiagReport.htmlファイルを見てみましょう。
字が小さくて申し訳ないのですが、Managed policiesのカテゴリにUpdateというエリアがあり、その中でそれぞれの設定項目の中の現在の値(Current Value)が確認できることがわかります。そもそも設定項目がわからないという方は公式サイトに記載がありますので、ご参照ください。
余談ですけど、VMwareのWorkspace ONEでもOMA-URIベースの設定を行うことができるようになっており、Policy Builderというのを使うとそれぞれの設定項目の名称を簡単に調べられたりします。例えば、品質更新プログラムのロールバックを行う設定項目の名前を調べたい場合、UpdateカテゴリにアクセスしてRollback > Quality Update > ADD と選択すると、画面右側にOMA-URIの値が生成されます。この時のRollback/QualityUpdateと書かれた部分が設定項目になります(当たり前ですけど、Intuneの全設定項目をカバーしているわけではないので、後述するActiveHoursEnd項目はありません)。
話を戻しますが、設定が完了するとアクティブ時間の終了時刻はDefault Valueの17時に対して、Current Valueでは22時に設定が変わっていることがわかります(ブラック起業かよ!)。
遠隔からコマンドを実行する
レポートが生成できることがわかると次に問題になるのはMdmDiagnosticsTool.exeを遠隔から実行したい!ということになりますが、PowerShellスクリプトをIntuneから実行するように構成すればよい話だと思います。
また、生成されたレポートファイルの保存場所としてAzureストレージを利用すれば各クライアントからのレポートを一か所に集約することができるでしょう。
やり方は… って思案していたら、既に実践されている方がいらしたのでこちらも参考にしてみてください。
2023年2月27日追記
MdmDiagnosticsTool.exeの実行結果はIntune管理センターから特定のデバイスにアクセスし、[診断の収集]をクリックすると収集できるログ群の中にmdmlogs~で始まるキャビネットファイル(67番のログ)の中にMDMDiagHtmlReport.htmlとして実行結果が保存されています。
