Intuneの構成プロファイルとCSPとOMA-URIの関係
はじめに
タイトルの通りですが、Microsoftの公開情報に分かりやすく記載があったので自分なりに解釈してみました。
間違っている部分もあると思うのでご教示いただけますと幸いです。
とりあえず読んでみる
IntuneからWindowsに設定を配布するには 構成プロファイル という機能を使います。
これにより、複数のデバイスに共通の設定を配布することができます。
テンプレートも多くあります
構成プロファイルに関するMicrosoftの公開情報を読んでいると、よくCSPという単語が登場します。
レジストリとはまた違う謎のパスが!
CSP とは(Windows) Configuration Service Providersの略です。
MDMツールがデバイスに構成設定を行うためのインターフェースのようなものです。
Windows OSに組み込まれています。
Windows 10から?搭載されたものかと思われます。(自信ないです)
例えば、Intune > 構成プロファイル > デバイスの制限 > 全般 > OneDrive のファイル同期は設定しやすいようにユーザーに分かりやすく表示されています。
OneDriveのファイル同期の項目がどのCSPに含まれるかはMicrosoftの公開情報に記載があります。
CSPから対象の項目を探します。
リンク先のURLにsystem-disableonedrivefilesyncが含まれるので参考にする
この項目が OMA-URI とよばれるCSPのパスの文字列です。
次にIntuneで設定した構成プロファイルがどのようにデバイスのレジストリを変更するかの流れを簡単に記載します。
Intuneからデバイスに構成プロファイルが配布されるときは、実際にはOMA-URIの ./Device/Vendor/MSFT/Policy/Config/System/DisableOneDriveFileSync というパスの文字列がOMA-DMというプロトコルで配布されるようです。
※上記のMSの公開情報の図がとてもイメージがわきやすいです。
つまり構成プロファイルは単一のOMA-URI、または複数のOMA-URIsが含まれたただのコンテナです。
デバイスにOMA-URIが到達すると、デバイスの各CSP(Bitlocker担当やWifi担当など)がOMA-URIを解釈し、マッピングされたレジストリを変更します。
この一連の流れによりMDMツールからWindowsへの構成管理が実現しているみたいです。
以上のことからIntuneの構成プロファイルで用意されている項目は必ずOMA-URIで設定でき、用意されていない項目もOMA-URIが分かれば構成プロファイルでカスタムポリシーとして設定できます。
GPOと異なるのか
GPOとCSPは異なります。
Windowsのグループ ポリシー管理テンプレート (ADMX) はXML形式で構成されています。
このADMXにCSPからもアクセスできるように機能が拡張されました。
これにより、MDMツールからADMX(GPO)を設定することができます。
ADMXも結局のところはレジストリを変更しているものなので目的は変わりません。
以下のMicrosoftの公開情報にADMXとCSPの関係が解説されています。
具体的にIntuneからは構成プロファイルの管理用テンプレートの項目からADMX(GPO)の設定をできます。
設定カタログってなに
構成プロファイルの設定カタログはすべてのCSP(管理用テンプレート含む)を設定できるので、Bitlockerに関する設定を1つにまとめたい時や、個別の構成プロファイルに表示されていない項目を設定したい時に活用できます。
おわりに
イメージがついたようなついていないような、そんな感じでIntuneを触る日々です。
Discussion