System Center 2012, Configuration Manager (SCCM)では、SP1からWindows Intune (v3)の管理をConfiguration Managerコンソールから行えるようになりました。
Windows Intuneも、SCCMも、システム管理製品だから、両方使うなんてナンセンスと思うかもしれませんが、Windows Intuneはモバイルデバイス管理がSCCM以上に充実しているので、
・PC管理→SCCM
・モバイルデバイス管理→Windows Intune
のようなシナリオが考えられるかもしれません。
そこで、Windows IntuneをSCCMと連携させるための設定について、ここでは確認してみたいと思います。
Windows Intune側の設定
1.Windows Intuneの契約を結ぶ
2.Windows Azure Active Directoryからディレクトリ同期の設定を有効にする(オプション)
Windows Azure Active Directory(WAAD)でディレクトリ同期の設定を行うことは必須ではありませんが、ディレクトリ同期の設定を行っておくことで、Active DirectoryのユーザーアカウントがWindows Intuneでも使えるようになりますので、
その結果、SCCMから管理したときにモバイルデバイスを使っているユーザーが確認できるというメリットがあります。
SCCM側の設定
1.モバイルデバイスを登録するためのデータを取得
2.Windows IntuneサブスクリプションとしてWindows Intuneのテナントを登録
3.SCCMの役割として「Windows Intuneコネクタ」を追加
まず、1.の設定ですが、Windows Intuneで管理されているモバイルデバイスのうち、SCCMから管理するデバイスを選択します。Androidだったら、何も事前準備が不要なのですが、iOSだとAPN証明書の取得、Windows RTだとサイドローディングキーの取得がそれぞれ必要になります。
ここでは、iOSの場合を例に1.の設定を確認します。
Configuration Managerコンソールの[管理]-[Windows Intuneサブスクリプション]から[APNs証明書要求の作成]をクリックします。
証明書署名要求ファイルを保存するためのファイル名を入力して、[ダウンロード]をクリックします。
Windows Intuneの認証画面が表示されるので、資格情報を入力してサインインします。
すると、自動的にWindows Intuneサイトより証明書署名要求ファイルがダウンロードされます。
続いて、Apple Push Certificate Portalのリンクをクリックします。
Apple IDを入力してサインインしたら、[Create Certificate]をクリックしてスタートします。
使用許諾契約に同意した後、証明書署名要求ファイルを提示します。
アップロードすると、自動的にファイルのダウンロード画面が表示されます。
こうしてダウンロードしたファイルがAPN証明書と呼ばれるものになります。2013年3月16日修正 APN証明書とは異なるようです。これはなんでしょうね。。
証明書を作成した後でダウンロードできる、このポータルからダウンロードしたファイルが
APN証明書になります。このファイルが後から使用するファイルになります。
■ ■ ■
続いて、2. の設定を行い、Windows Intuneのテナントを登録します。
Configuration Managerコンソールの[管理]-[Windows Intuneサブスクリプション]から[Windows Intuneサブスクリプションの作成]をクリックします。
サインインをクリックして、Windows Intuneのアカウントでサインインします。
(あと、Configuration Managerコンソールによるこのサブスクリプションの管理を許可するのチェックもお忘れなく)
デバイスの登録を行えるユーザーを選択します。
デバイスの登録やアプリケーション管理などはWindows Intuneで提供されるポータルサイトから行いますが、そのときに表示する会社名やサイトの色などを同時に定義できます。
プラットフォームとして利用するモバイルデバイスのOSを選択します。
(このときは気が大きくなって、いろいろ選んでみたものの、やっぱりiOSだけに絞ることにしました)
それぞれのデバイスで必要な設定画面が表示されます。iOSを選択した場合、先に取得したAPNs証明書の提示が求められます。
ここまででWindows IntuneのサブスクリプションをSCCMに登録できました。
■ ■ ■
最後に、3.の設定を行います。
Configuration Managerコンソールの[管理]-[サイトの構成]-[サーバーとサイトシステムの役割]からサーバーを右クリックして[サイトシステムの役割の追加]をクリックします。
サイトシステムの役割の追加ウィザードで、役割としてWindows Intuneコネクタを選択すれば完了です。
出来上がりの確認
これですべての設定が完了です。
ここまでの設定が完了すると、Windows Intuneの管理ポータルの[管理]-[管理者の管理]-[モバイルデバイスの管理]の項目はConfiguration Managerから管理されている旨が表示され(画面中央に「モバイルデバイス管理機能」:Configuration Managerに設定」と表示されていますね)、Windows Intuneからの管理はできなくなります。
一方、Configuration ManagerコンソールではWindows Intuneの管理下にあるモバイルデバイスの一覧がデバイス一覧から確認できます。
iPadを右クリックして、[プライマリユーザーの編集]をクリックすれば、デバイス所有者であるプライマリユーザーを確認できます。ちなみに、私の環境では、プライマリユーザーに表示される名前はActive Directoryのユーザーです。なぜなら、Windows Intuneのテナント(Windows Azure Active Directory)でディレクトリ同期の設定を行い、Active DirectoryのアカウントでWindows Intuneのサービスを利用できるように設定したからです。
2013年6月6日追記
APNs証明書は1年に一度、更新する必要があります。
注意したいポイントのひとつですね。
【参考】iOS モバイル デバイスの Windows Intune ダイレクト管理のセットアップ
http://technet.microsoft.com/ja-jp/library/jj733668.aspx
