こんにちは。
ヘルプデスクの田村です。
今回は、Microsoft Endpoint Configuration Manage (MECM) と Microsoft Intune の共同管理についてご紹介したいと思います。
共同管理という機能自体はかなり前から実装されており、既にご利用になっている企業様も多いと思いますが、これから実装を検討されているという企業様もいらっしゃるかと思います。
そのため、改めて基本的な事項のおさらいと実際に有効化する手順、具体的な活用方法について簡単にご紹介します。
共同管理は、MECM のデバイス情報を Intune に同期させることで、MECM と Intune の両方で Windows デバイスを管理できるようになる機能です。
MECM のみでは実現できないデバイスのリモートワイプや、Azure AD の条件付きアクセスを活用したアクセス制御などを実施することも可能です。また、デバイスによって MECM と Intune のどちらで管理を行うかを選択することが可能になっています。 (ワークロード設定)
既に MECM でデバイス管理を実施していて、新たに共同管理を実装する場合には、以下のような前提条件を満たしている必要があります。事前に前提条件が整っているか確認しておくことをおすすめします。
詳しくは、以下を参照してください。
[共同管理とは -前提条件-]
次の章から、実際に MECM 側で共同管理を有効化する手順と、有効化後にデバイスがどのように Intune 側に登録されるのかを確認していきたいと思います。
共同管理の有効化は、MECM 管理コンソールより実施します。 (Intune 側から実施することはできません。)
今回は、特定のコレクションのクライアントのみを対象 (パイロット) にして、 MECM から共同管理を有効化する手順を見ていきたいと思います。
MECM 管理コンソールを立ち上げ、[管理] – [クラウドサービス] より、「クラウドの接続」を右クリックし、「クラウド接続の構成」をクリックします。
ウィザード画面で [サインイン] をクリックします。
認証画面が表示されたら Azure テナントのグローバル管理者権限を持つアカウントで認証を行います。
以下の警告が表示されたら [はい] をクリックします。
認証されたら「設定をカスタマイズする」にチェックを入れ、[次へ] をクリックします。
[参照] をクリックし、対象のコレクションを選択したら [次へ] をクリックします。
<補足>
この時点で「エンドポイント分析」や「ロールベースのアクセス制御」にチェックを入れておくと、同時に有効化することが可能です。
なお、エンドポイント分析については以下ブログでご紹介しています。
[エンドポイント分析を使ってみる]
「パイロット」を選択し、 [参照] をクリックして対象のコレクションを選択します。コレクションを選択したら [次へ] をクリックします。
設定内容に問題がないことを確認し、 [次へ] をクリックします。
[閉じる] をクリックし、ウィザードを完了させます。
次に、共同管理を有効化したクライアントを、MECM と Intune のどちらで管理するのか、機能毎に選択していきます。
今回は、以下の機能を「パイロット Intune」とし、Intune 側で管理するよう構成してみます。
それぞれどのような機能を使用できるようになるのか、およびその他のワークロードの詳細は以下を参照してください。
[共同管理ワークロード]
[管理] – [クラウドサービス] の「クラウドの接続」に作成された「CoMgmtSettingProd」を右クリックし、「プロパティ」をクリックします。
「ワークロード」タブを開き、スライダーを以下の通りに設定します。
[閲覧] をクリックし、有効化する機能毎に対象のコレクションを選択します。
以上で、共同管理の有効化設定は完了です。
共同管理を有効化後、各クライアントがポリシーを受信すると、上記で指定したコレクションのデバイス情報が Intune 側に同期されます。
Intune 管理センター (https://endpoint.microsoft.com/) にサインインして [デバイス] – [Windows デバイス] を展開し、以下のように「管理者」の項目に「共同管理」と表示されていれば同期が完了していることになります。
これで、Intune とのデバイスの共同管理が可能な状態となりました。 (ワークロードで設定した機能が利用可能)
次の章では、 MECM でのサポートが終了した Microsoft Store アプリの配布を Intune を使用して実施する手順をご紹介します。
Intune を使用して、クライアントに Microsoft Store アプリを配布していきます。
Intune 管理センターにサインインし、[アプリ] – [すべてのアプリ] を展開します。
次に、「+追加」をクリックし、アプリの種類から「Microsoft Store アプリ (新規)」を選択します。
<補足>
Store アプリの選択では (新規) とついているものを選択してください。
(レガシ) とついているものは以前の配信方式となります。詳細は以下を参照してください。
[Microsoft Store アプリをMicrosoft Intuneに追加する]
画面下部の [選択] をクリックします。
「Microsoft Store アプリ (新規) を検索する」をクリックします。
インストールしたいアプリを検索してクリックし、画面下部の [選択] をクリックします。
アプリの情報を確認し、 [次へ] をクリックします。
今回は必須 (バックグラウンド) での配布を行うため、「必須」内の「+グループの追加」をクリックします。
対象のデバイスグループ、もしくはユーザーグループを選択し、 [選択] をクリックします。
(今回はユーザーグループを指定します。)
指定したグループが割り当てに追加されたことを確認し、画面下部の [次へ] をクリックします。
「確認と作成」画面で内容を確認し、 [作成] をクリックします。
以上で、配布設定は完了です。
今回のように、「必須」でのアプリ配布の場合、アプリのインストールはデバイス情報が Intune と同期されるタイミング (8 時間間隔) で動作します。
また、今回はユーザーグループに対して配布しているため、グループに所属するユーザーで Windows デバイスにサインインし、インストールされることを確認します。
なお、インストール完了時には、Windows 側から以下のようにトースト通知も表示されます。
(今回はデフォルト設定としましたが、こちらの設定は、先ほどのグループの割り当ての際に変更することが可能です。)
また、Intune 管理センターからもインストール結果を確認することができます。
Intune 管理センターの「アプリ」 - 「すべてのアプリ」より対象のアプリ名をクリックします。
「デバイスのインストール状態」をクリックします。
「インストール済み」となっていることが確認できました。
いかがだったでしょうか。
今回は MECM と Intune の共同管理有効化と、実際に Intune で Store アプリを配布する手順を確認してみました。
これまで MECM で実施できていた Store アプリ配信の機能も Intune に移行されるなど、機能の統合が進むにつれて共同管理の必要性が高まってきていると言えます。
とはいえ、セキュリティ更新プログラム配信の細かい制御など、MECM 側にアドバンテージのある機能もまだまだあります。
完全に Intune に移行するのではなく、それぞれの利点を生かしてデバイス管理を実施していくことが必要になってくると思われます。
最後までお読みいただき、ありがとうございました。
関連ページ
「Enterprise Mobility + Security 導入支援サービス」はこちら |