ドメイン参加PCをMicrosoft Intuneに登録する方法

皆さんこんにちは。国井です。

Microsoft Intuneで管理するWindowsデバイスと言えば、ワークグループPCであることが多かったですが、現実にはオンプレミスのActive Directoryドメインに参加しているPCをMicrosoft Intuneに登録させて使いたい、というニーズもあるかと思います。

ドメイン参加のPCをIntuneに登録する方法って、ネットで探してみると、
ありそうで、あんまり多くなかったりするので、今日はこのブログでチャレンジしてみようと思います。

Microsoft Intuneにデバイスを登録するときは、Azure ADへのデバイス登録も同時に行うことが事実上必須なので、

1．ハイブリッドAzure AD参加設定を利用して、ドメイン参加PCをAzure ADにデバイス登録
2．Azure ADにデバイス登録したPCがAADトークンを使ってMicrosoft Intuneにデバイス登録
3．同期ユーザーにIntuneのライセンスを割り当て
4．晴れてMicrosoft Intuneデバイスとして登録完了

という流れで、登録作業を進めていくことになります。
では、順番に作業を見ていきましょう。

2020年11月28日追記
最近ではGPOの設定項目なども変わり、設定方法も変わってきています。
そんな折、わかりやすく紹介してくださっているブログを見つけましたので、ご紹介しておきます。

lig-log.com

 

2 Pockets

GPOによるハイブリッドAzure AD JoinデバイスのIntune登録

https://lig-log.com/intune-enrollment-of-hybrid-azure-ad-join-device-with-gpo/

ハイブリッド Azure AD Join のデバイスはGPOを利用して Intune に登録することが出来ます。Intune への登録を自動化することで運用の負荷が軽減されるのでお勧めです。 ハイブリ

ハイブリッドAzure AD参加の設定

ハイブリッドAzure AD参加とは、オンプレミスのActive Directoryドメインに参加しているPCをAzure AD ドメインにも参加させる機能のことです。設定方法は以前の投稿でも書いた通りなのですが、Azure AD ConnectのVersion 1.1.819.0以上を利用している場合はAzure AD ConnectからハイブリッドAzure AD参加の設定ができるようになりました。

Azure AD ConnectからハイブリッドAzure AD参加の設定を行うときは、
一度普通にAzure AD Connectをインストールした後、デスクトップに作られるショートカットを実行し、[追加のタスク]から[デバイスオプションの構成]を選択します。

その後、[ハイブリッドAzure AD参加の構成]を選択して、

オンプレミスADドメインとAzure ADドメインのマッピング設定を行い、

ハイブリッドAzure AD参加させるOS種類を選択します。特に、ダウンレベルのOSをハイブリッドAzure AD参加させる場合の設定は面倒なので、これで自動化できるのは結構便利ですね。

以上で設定は完了。ただし、これでハイブリッドAzureAD参加のためのすべての設定が完了か、と言うとそうではなく、グループポリシーの設定をしなければなりません。
グループポリシーはコンピューターの構成＞ポリシー＞管理用テンプレート＞Windowsコンポーネント＞デバイスの登録＞ドメインに参加しているコンピューターをデバイスとして登録する
このポリシー設定を有効にすればOKです。

AADトークンを使ってIntuneにデバイス登録

Azure ADに参加したデバイスは、AADトークン(詳細は割愛)をもらえるので、このトークンを持ってIntuneにデバイス登録させてくれ！というお願いをすれば、その願いは叶います。
設定は、グループポリシーから、コンピューターの構成＞ポリシー＞管理用テンプレート＞Windowsコンポーネント＞MDM＞AADトークンによる自動MDM登録
このポリシー設定を有効にすればOKです。

なお、このグループポリシー設定項目は、Windows 10 Version 1709以降で対応しているので、クライアントPC自身がWindows 10 Version 1709以降であることに加え、Windows 10 Version 1709以降のグループポリシーをドメインコントローラーに保存しておかなければなりません。その設定は、マイクロソフトのWebサイトよりツールをダウンロード・インストールし、インストールディレクトリからPolicyDefinitionsフォルダーをドメインコントローラーのC:\Windows\Sysvol\domain\policiesフォルダーにコピーすれば、上記のグループポリシー設定項目が表示されるようになります。

ユーザーの同期とライセンス割り当て

前の手順でAzure AD Connectをインストールしているので、オンプレミスのユーザーアカウントはAzure ADに同期されているはずです。ですので、Azure ADに同期されたユーザーに対して、Microsoft Intuneのライセンスを割り当てておきましょう。

クライアントPCで確認

ここまで設定が完了すれば、あとはクライアント側で確認するだけです。
確認するときは、ドメイン参加のPCでMicrosoft Intuneのライセンスが割り当てられたユーザーでサインインし、グループポリシーが適用されるのを待つだけです(せっかちな人はgpupdate /forceコマンドでどうぞ)。

Intuneへの登録が完了すると、設定アプリの[アカウント]-[職場または学校にアクセスする]にアクセスすると、オンプレミスADドメインに接続済みの項目に[情報]というボタンが増えてる！Intuneを普段からお使いの方ならご存知ですよね？[情報]ボタン→[同期]ボタンの順にクリックすれば、Intuneのポリシー設定を今すぐダウンロードしなさい、のボタンです。
つまり、[情報]ボタンが表示されているということはIntuneにデバイス登録が完了した証なのです。

デバイス登録が完了したことは、Azure管理ポータルでも、もちろん確認できます。

ドメイン参加PCがIntuneにデバイス登録すると、GPOとIntuneポリシーのどちらが優先されるのか？など、課題がまだまだあると思います。しかし、少なくともデバイスの種類を選ばずIntuneで管理できるので、皆さんの会社でもデバイス管理のクラウド化への第一歩を踏み出せるようになるのではないでしょうか？