皆さんこんにちは。国井です。
私はトレーニングでAzure ADやMicrosoft Intuneなどについてお話しさせていただくことが多いのですが、「お客さんからは機能があることはわかった。それでウチの会社ではどの設定をすればよいか?」というご質問をいただくことがあります。会社の状況によってベストプラクティスは異なるのですが、それでも一般的にやるべきことってある程度決まっていたりします。それを説明しようかなと思っていたら、マイクロソフトのWebサイトに「Windows 10 in cloud configuration」というドキュメントを見つけ、これ読めばいいんじゃない?ということに気が付いたので、自分の備忘録も兼ねてまとめをしておきます。
(以降、私の主観が多分に含まれますので、英語が読める人は原文を読んでくださいね)
ガイドのスコープ
Microsoft Endpoint Managerを利用して実現するWindows 10の構成、というコンセプトのようです。そのため、Microsoft IntuneとAzure ADを使ってできることを紹介しています(MECMの話はありませんでした)。
一方、オンプレミスとクラウドにおけるデバイス管理の違いについて細かく語られていて、
ざっくりこんな感じのことが書いてありました。
■オンプレミスの場合
・会社標準の構成を定義し、イメージで展開
・展開するアプリや設定はたくさん
・展開するデバイスやドライバーの種類も多い (クラウドでも一緒のような気がするけど?)
・オンプレミスベースのデバイス管理アーキテクチャ
■クラウドの場合
・クラウドベースでアプリを利用するため、基本的なアプリだけ展開すればよい
・クラウドストレージを利用
・ビルトインのエージェントを利用するため、事実上のエージェントレスの運用
・シンプルなデバイス構成
・シンプルなユーザー構成
Intuneをよくご存じの方からしてみれば、Intuneに誘導するために作られた前フリとしか思えないのですが、言い方を換えれば、こんな切り替えをしようと思っている会社にIntuneは向いているという言い方ができると思います。
ただ、ひとつだけ言っておきたいことはオンプレミス管理→クラウド管理に切り替えるときに
どうやってGPOをIntuneに置き換えるか?という話をする人がいますが、クラウド管理になると、そもそものクライアントデバイスに対して求められる要件が変わってきます。
ですのでGPOで設定していた内容をそのままクラウドに持っていくことが正解とは限りません。そのため「どうやって移行するか?」の前に「そもそも移行する必要があるのか?」を検討する必要があります。
前提条件
MSのガイドなんで、ここでは以下のライセンスがあることを前提としています。
・Windows 10 Pro以上
・Office 365 (Microsoft 365 BPでもいいかも)
・EMS E3以上
こうすれば、クラウド経由でのWindows 10の構成が実現できるだけでなく、クライアントデバイス上のデータはOneDrive for Businessで一元管理なんていうクラウド構成も実現します(とってつけた感満載の雑な説明w)。
全体の構成
1. Azure ADグループの作成
2. デバイス登録
3. デフォルトアプリの削除
4. アプリの展開
5. エンドポイントセキュリティの設定
6. 更新プログラムの管理
7. コンプライアンスポリシーの設定
8. そのほか
1回じゃ終わらなさそうだから、2回ぐらいに分けて、私の主観も入れつつ書き起こしてみますか。
1. Azure ADグループの作成
グループはOffice 365リソースにアクセスするためのアクセス許可として利用するだけでなく、Intuneのリソース割り当てにも使います。そのため、ユーザーをまとめたグループと、
デバイスをまとめたグループを作成しておくと良いでしょう。
Intuneのポリシーはユーザーにも、デバイスにも割り当てができますが、(これは私の意見ですが)感覚的にデバイスを単位として割り当てたほうが管理しやすいように思います。
あと、Windows Autopilotを利用する場合はAutopilot専用のグループを作成しておく必要があります。
2. デバイス登録
Intuneを使ってデバイスを管理するためには、事前にIntuneにデバイスを登録しなければなりません。色々な登録方法がありますが、現実的には次の3つの方法を選択することになるかと思います。
A. Azure ADにデバイス登録したら自動的にIntuneにもデバイス登録される方法
B. Windows Autopilotでデバイスのキッティングと共に登録まで完了させる方法
C. プロビジョニングパッケージから登録する方法
A.については既にお使いになっているデバイスをターゲットにした登録方法で、
Azure ADへのデバイス登録方法にはAzure AD登録、Azure AD参加、ハイブリッドAzure AD参加の3種類があり、どれを選べばよいか?という課題があります。これについては別の投稿で解説していますので、参考にしてください。
また、Azure ADにデバイスを登録したら、Intuneにも自動的に登録される設定は
Azure AD管理センター > モビリティ > Microsoft Intune > MDM ユーザー スコープを
[一部]もしくは[すべて]を選択してもらえれば設定完了です。
C.についてはプロビジョニングパッケージをWindows 10デバイスに登録すると、そのデバイスがAzure ADに自動登録し、さらにA.の機能によってIntuneにも自動登録するというものです。便利な機能なのですが、Azure ADに自動登録されない!なんて声もちらほら聞こえてくる機能だったりもします。
3.デフォルトアプリの削除
Windows 10にデフォルトでインストールされるストアアプリをアンインストールする場合、
IntuneからPowerShellスクリプトを展開し、アンインストールしてしまいましょう。
スクリプトはMSサイトからダウンロードできます。
私自身、スクリプトをダウンロードして中身を見てみたのですが、
書いてあることは
Get-AppXProvisionedPackage -Online | Remove-AppxProvisionedPackage –Online
の一行だけでしたw
ストアアプリってユーザーに対するインストールとデバイスに対するインストールの2つから構成されていて、1台のデバイスをひとりで使うことを前提にしているんですよね。
なので共有デバイスとして利用するときはこのスクリプトを使うことはお勧めしていないようです。
続きは明日紹介します!
