PR10

GPO にサヨナラ。Microsoft Intune に

よるモダン マネジメント

国井傑 (くにい すぐる)

株式会社ソフィアネットワーク

Microsoft MVP for Enterprise Mobility / マイクロソフト認定トレーナー

モダン マネージメント

モダン マネージメントへの道

これまでの管理

展開とプロビジョニング

・キッティング プロセスによるイメージ展開・イメージ展開サーバーを利用した展開

ID と認証 構成 更新とサービス

・Active Directory による認証とデバイスの管理

・グループ ポリシーまたはSCCM によるポリシー管理 / アプリ管理

・WSUS または SCCMを利用した更新プログラムの管理と展開

モダンマネージメント

・Azure AD によるクラウド ベースの認証とデバイスの管理

・Microsoft Intune によるポリシー管理 /アプリ管理

・直接接続による更新・ Microsoft Intune による更新リングの管理

・OEM イメージの活用・新規デバイスの自動登録 (WindowsAutoPilot)・BYOD

オンプレミスとクラウドでは求めるものが同じとは限らない

歴代の AD管理者による負の遺産を整理する

バッチ ファイル

WSH

Python スクリプト

PowerShell

スクリプト

Microsoft Intune によるプロファイル設定

Windows 10デバイスに対するプロファイル設定

• 既定のプロファイル設定では 450 以上の項目を用意Intune項目名 説明

デバイスの制限 デバイス上での操作に対する制限に関する設定

エディションのアップグレード

およびモードの切り替えPro または Enterprise にアップグレードするための設定

電子メール Exchange ActiveSync 接続時のメールプロファイルの展開

Endpoint Protection マルウェア対策機能の設定

Identity Protection Windows Hello for Business 設定

キオスク 特定アプリのみの実行を許可するための設定

ネットワーク境界 Windows Information Protection で使用するネットワーク境界を展開

信頼済み証明書 信頼されたルート証明機関に登録するルート証明書を展開

SCEP/PKCS 証明書 SCEP または PKCS を利用してユーザー/デバイス証明書を展開

VPN VPN プロファイルを展開

Windows Defender ATP Windows Defender ATP を利用するためのテナント情報を展開

Wi-Fi Wi-Fi プロファイルを展開

教育プロファイル テストを実行するためのユーザーを定義

カスタム OMA-URI ベースのプロファイルを展開

ソフトウェア更新プログラム

更新結果の確認

セキュリティ ベースライン

セキュリティ ベースライン

• OS 種類別/デバイス種類別に

用意されたセキュリティ設定の

ガイドライン

• Microsoft Security Compliance

Toolkit として、ガイドラインと

その設定が含まれる GPO を提供https://www.microsoft.com/en-us/download/

details.aspx?id=55319

セキュリティ ベースライン

• セキュリティ ベースラインに含まれるデバイス種類• Windows 10 Credential Guard

• Windows 10 Defender Antivirus

• Windows 10 Domain Security

• Windows 10 RS4 BitLocker

• Windows 10 RS4 Computer

• Windows 10 RS4 User など

• RS5 より Windows 10

MDM デバイス種類を提供予定

セキュリティ ベースライン ×Microsoft Intune

• セキュリティ ベースラインを Microsoft Intune の

プロファイルとして展開可能

【参考】セキュリティ ベースライン設定

【参考】セキュリティ ベースライン設定

【参考】セキュリティ ベースライン設定

【参考】セキュリティ ベースライン設定

ADMX ポリシー

デバイスの管理形態

• Microsoft Intune では CSP

(Configuration Service Provider) 経由で

ADMX ファイルで定義されている

項目への設定を展開可能

CSP

ADMXポリシーの設定例

OMA-URI の分解

GPO設定項目に対する CSP項目の探し方

GPO設定項目に対する CSP項目の探し方 (続き)

【参考】 GPO設定項目に対する CSP項目の探し方

http://aka.ms/MMAT

MDM Migration Analysis Tool (MMAT)

MMATの実装

MMAT実装のための要件など

キオスク モード

• 特定アプリのみを実行可能にするモード

• Intune 管理ポータルの Windows 10

用プロファイルの [キオスク] から設定

キオスク モード

キオスク モードの実行モード

シングル全画面表示アプリ キオスク マルチ アプリ キオスク

【参考】シングル全画面表示アプリ キオスク設定

【参考】マルチアプリ キオスク設定

【参考】ストアアプリの AUMIDの検索

https://docs.microsoft.com/ja-jp/windows/configuration/find-the-application-user-model-id-of-an-installed-app

【参考】スタート メニューのカスタマイズ

<LayoutModificationTemplate xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout"

xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout" Version="1" xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification">

<LayoutOptions StartTileGroupCellWidth="6" />

<DefaultLayoutOverride>

<StartLayoutCollection>

<defaultlayout:StartLayout GroupCellWidth="6">

<start:Group Name="">

<start:Tile Size=“2x2” Column=“2” Row=“0” AppUserModelID=“Microsoft.

Office.OneNote_8wekyb3d8bbwe!microsoft.onenoteim" />

<start:DesktopApplicationTile Size=“2x2” Column=“0” Row=“0”

DesktopApplicationLinkPath=“%APPDATA%¥Microsoft¥Windows¥Start Menu

¥Programs¥Accessories¥Notepad.lnk" />

</start:Group></defaultlayout:StartLayout>

</StartLayoutCollection>

</DefaultLayoutOverride>

</LayoutModificationTemplate>

アプリの展開

Microsoft Intuneからアプリを展開

• GPO と同じ要領で展開が可能• デバイスまたはユーザーに展開

• 必須または利用可能にて展開

(デバイス単位での利用可能による展開も可能)

• .msi または .exe ファイルを展開

(デバイス単位での .exe ファイルの展開も可能)

.exe ファイルの展開

Intune項目名 説明

アプリの種類 Windows アプリ (.intunewin)

パッケージファイル .intunewin 拡張子のセットアップ プログラムをアップロード

アプリ情報 アプリの名前や説明などを定義

プログラムインストール / アンインストール時のプログラム (.exe) と

オプション スイッチを指定

必要条件 OS 種類や CPU/ メモリ容量などの要件を定義

検出規則 既にインストールされていることを判断する基準を定義

リターンコード 展開実行時のリターンコードを定義

.intunewin ファイルの作成

https://github.com/Microsoft/Intune-Win32-App-Packaging-Tool

Windows PowerShell によるプロファイル設定

• PowerShell スクリプトの実行制御

Windows PowerShell によるプロファイル設定

Intune

Mgmt.

Extension

【まとめ】モダンマネージメントへのポリシー移行・管理ステップ

・プロファイル設定

・更新リング

・セキュリティ ベースライン

・ADMX ポリシー

・アプリ展開

おすすめセッション

ひと目でわかる Intuneクラウドで始めるモバイルデバイス管理特別価格にて先行発売中です！

LinkedIn Learning 90日間お試しコード

© 2018 Sophia Network Ltd. All rights reserved.

本コンテンツの著作権、および本コンテンツ中に出てくる商標権、団体名、ロゴ、製品、サービスなどはそれぞれ、各権利保有者に帰属します。

【 Appendix 】デバイスの管理形態

Windows 10のデバイス管理形態

01

オンプレミス管理

02

オンプレミスと

クラウドでの並行管理

03

SCCM とクラウド

の並行管理

04

クラウド管理へ

完全移行

05

BYOD

01 オンプレミス管理

ID管理Windows

サインインデバイス登録先 ポリシー管理

Active Directory Active Directory Active Directory Group Policy

・Active Directory

・グループポリシー

ドメイン参加

02 オンプレミスとクラウドでの並行管理

ID管理Windows

サインインデバイス登録先 ポリシー管理

Active Directory

Azure Active DirectoryActive Directory

Active Directory

Azure Active Directory

Microsoft Intune

Group Policy

Microsoft Intune

Azure Active Directory

Microsoft Intune

・Active Directory

・グループポリシー

ドメイン参加

ハイブリッド

Azure AD 参加

03 クラウド管理へ完全移行

ID管理Windows

サインインデバイス登録先 ポリシー管理

Azure Active Directory Azure Active DirectoryAzure Active Directory

Microsoft IntuneMicrosoft Intune

Azure Active Directory

Microsoft Intune

Azure AD 参加

04 SCCM とクラウドの並行管理

・Active Directory

・グループポリシー

ID管理Windows

サインインデバイス登録先 ポリシー管理

Active Directory

Azure Active DirectoryActive Directory

Active Directory / SCCM

Azure Active Directory

Microsoft Intune

Group Policy

SCCM

Microsoft Intune

Azure Active Directory

Microsoft Intune

SCCM

ドメイン参加

ハイブリッド

Azure AD 参加

05 BYOD

ID管理Windows

サインインデバイス登録先 ポリシー管理

Azure Active Directory Windows ローカルAzure Active Directory

Microsoft IntuneMicrosoft Intune

Azure Active Directory

Microsoft Intune

Azure AD

デバイス登録