Intune 関連の記事 まとめ
はじめに
2023 年 8 月~2024 年 7 月までの1年間に、私が Qiita へ投稿してきた Intune に関連する記事をまとめました。
投稿した順序ではなく、構築する場合の順番に並べてありますので、イチから Intune を始める際にも、参考にしていただければと思います。
以下の5章で構成しています。
- Intune を始める前に必要なもの
- Intune への接続
- Intune を使ってできること
- Intune アドオン
- Intune 関連 の Topic
1. Intune を始める前に必要なもの
1-1. Microoft Entra テナント
Intune を利用するためには、Microsoft Entra テナントや Intune を利用するためのライセンスの手配が必要です。
1-1-1. テナントの追加・削除
はじめてテナントを作成する際に読んでいただく記事として投稿してます。
以下は、上記の記事の補足として 後日に投稿した記事です。
2023 年 11 月頃から、Entra ID の有償ライセンスを持っていないと、テナントを作成できない事が判明し、その理由と 対処方法を記載しました。
テナントの削除方法
1-1-2. カスタムドメイン
カスタムドメインの利用は 任意です。
”user@xxxx.onmicrosoft.com” のアドレス名のままでよければ、カスタムドメインは SKIP 可です。
カスタムドメインとは何か? ドメインをどこから採用すれば良いのか? について説明しています。
MyDNS を使って無料でドメインを入手して、カスタムドメインを利用する方法について
AppService ドメインを使ってドメインを購入して、カスタムドメインを利用する方法について
1-1-3. ライセンス
どうやって必要なライセンスを見定めるのかについて、考え方などを説明しています。
目的に応じて、ライセンスを手配する方法について
評価版ライセンスの適用方法。ユーザーへのライセンス付与方法など。
1-1-4. テナント ノウハウ
一連の作業を終えてから、読んでいただくと理解が深まる記事
1-2. Windows デバイス
Intune は、デバイスを管理するツールです。
Microsoft Entra テナントと Intune ライセンスがあれば、管理するための環境は揃った状態です。
次に、管理される側の Windows デバイス を用意します。
物理の Windows(デスクトップ、ノート)で、Professional 以上のエディション であれば、それで OK です。
手配できない場合は、代替策として Hyper-V や Azure などの仮想環境を使って、Windows デバイス を手配することもできます。
1-2-1. Hyper-V 環境を利用できる場合(物理 PC の代替)
Hyper-V 環境が無い場合
→ Azure を使うことを検討してみてください。
1-2-2. Azure(物理 PC の代替)
Intune を使う上で Azure は必須ではありませんが、
前章で Windows デバイスを手配できない場合の手段として、Azure をサインアップして、Azure VM を使って、検証用の Windows デバイスを手配することができます。
Azure VM を作成すると、英語版になっているため、日本語化するための手順
1-3. ログ
以下の LogAnalytics は、Intune を使う上で 必須ではありません。
ただし、うまく活用すると、テナントのログや、Windows デバイスのログを 1カ所に集約して、集中管理することができるため、参考にしていただけます。
2. Intune への接続
Windows デバイスを Intune に接続するためには、Microsoft Entra Join を介する方法が一般的ですが、そのほかにも、手動操作で行う方法や GPO を使う方法もあります。
2-1. 手動操作 の方法(Microsoft Entra Join を使わない)
BYOD(個人持ち)のデバイスを Intune で管理する場合に使います。
2-2. Microsoft Entra Join を使う方法
Microsoft Entra Join と Intune への接続を連動して行う方法が一般的であり推奨です。
以下の MDM 構成を実施しておきます。この構成が行われている状態で、Join を行うと、Intune にも接続されます。
Join の方法は、WORKGROUP のマシンをテナントに参加させる Microsoft Entra Join と、AD DS にドメイン参加済みのマシンを テナントに参加させる Microsoft Entra Hybrid Join の2通りがあります。
2-2-1. Microsoft Entra Join の手順
Windows 10 と 11 で画面遷移が若干異なるため、別々の記事を用意しています。
Windows 11 Join の 手順
Windows 10 Join の 手順
参加済みデバイスへの RDP
Microsoft Entra Join を実施したデバイスへ、RDP を行う必要がある場合には、追加の設定が必要です。
Windows 10 と 11 で画面遷移が若干異なるため、別々の記事を用意しています。
Windows 11 の RDP 接続手順
Windows 10 の RDP 接続手順
2-2-2. Microsoft Entra Hybrid Join
AD DS ドメインに参加済みのデバイスを Intune に自動接続させるには、Hybrid Join の構成が必要です。
Hybrid Join の前提として、 AD DS と、テナントが Microsoft Entra Connect で同期されている必要があります。これらの環境を構築する手順を紹介しています。
2-2-2-1. Microsoft Entra Hybrid Join の前提環境
ドメインコントローラーの構築
Microsoft Entra Connect
2-2-2-2. Microsoft Entra Hybrid Join の実施
2-3. Windows Autopilot
社用デバイスを Windows デバイスの 初期構成時に Microsoft Entra Join + Intune 登録まで完了させることができるソリューションです。
2-4. Microsoft Entra Join 実施前後の ステータス比較
Join の状態を確認する場合は、dsregcmd /status というコマンドを使うことが一般的です。
このコマンドの実行結果を、記事にまとめておきました。
2-5. Edition の アップグレード
Windows E3/E5 のライセンスがある状態で、Join を実施すると、Enterprise Edition にアップグレードされる件について、掘り下げて解説しています。
2-6. Windows 以外のデバイスの登録方法
iOS
Android
3.Intune を使ってできること
3-1. アプリ
3-2. 更新プログラム
3-3. 構成プロファイル
3-3-1. Windows Hello for Business
Microsoft Entra Join デバイス で Windows Hello for Business を構成する場合
オンプレ ドメイン環境 で Windows Hello for Business を構成する場合
(前提事項)
(Windows Hello for Business の有効化)
Windows Hello for Business で利用できる機能
3-3-2. テナント制限
テナント制限は、Microsoft Entra テナントの機能ですが、その制御に必要な WDAC を Intune で配布させているため、この章で紹介します。
前提知識
事前準備
展開
参考情報
3-3-3. WiFi
WiFi (3-3-3章) と PKI (3-3-4章) は、分けて記載しましたが 連携した動作まで検証している点がポイントです。
3-3-3-1. WPA パーソナル の場合
SSID + 固定キー で認証します。
コンシューマー向けの WiFi AP にも接続でき、とても簡単です。
3-3-3.2 MS-CHAPv2 の場合
ビジネス向け。 ID と パスワード で認証します。
WiFi 基盤の構築
設定配布
3-3-3-3. EAP-TLS または PEAP(EAP-TLS) の場合
ビジネス向け。クライアント証明書 で認証します
WiFi 基盤の構築
設定配布
3-3-3-4. WiFi その他 の ノウハウ
3-3-4. PKI
証明機関 の環境構築
SCEP 証明書 の環境構築
SCEP 証明書 の配布
関連情報
3-3-5. その他 の 構成プロファイル
4. Intune アドオン
5. Intune 関連 の Topic
Discussion