はじめに
先日のブログでもご案内しましたとおり、 1 つの Windows 10 コンピューター上に Hybrid Azure AD Join と MDM (Intune) 登録するために、 Azure AD registered するという 2重構成は推奨されない(構成上は可能ですが)という記事を投稿したかと思います。
理由は、 Azure AD ユーザーが取得した PRT (Primary Refresh Token) を Azure AD に提示する際に、 Hybrid Azure AD Join か Azure AD resgistered いずれかの PRT を提示するかの制御をすることができません。
例えば 条件付きアクセスで「ハイブリッド Azure AD 参加済みのデバイスが必要」というポリシーを作成した場合、 Azure AD registered の PRT を Azure AD に提示した場合 、 Azure AD 側が 「Hybrid Azure AD Join した Windows 10 コンピューターではない」とみなされ、条件付きアクセスでブロックされてしまうという動作となります。
本事象の解消方法として、下記 Microsoft 公開情報に、グループ ポリシーの「automatic MDM enrollment using default Azure AD credentials」を有効にしてくださいとの記載があります。
グループ ポリシーは一般的には、オンプレミスの Active Directory で管理するグループ ポリシーと、 Windows コンピューター各々で管理できる「ローカル グループ ポリシー」の 2 種類を総じて「グループ ポリシー」と呼称しており、 一般的には双方のグループ ポリシーが適用されている場合は、オンプレミスの Active Directory のグループがローカル グループ ポリシーを「上書き」する動作となります。
考えてみたら同然の動作ですよね、各社員が勝手にローカル グループ ポリシーを作成していて、 Active Directory のグループ ポリシーが効かないようでは、システム管理者はたまったものではないですから。
Enroll a Windows 10 device automatically using Group Policy
URL:https://docs.microsoft.com/en-us/windows/client-management/mdm/enroll-a-windows-10-device-automatically-using-group-policy#configure-the-auto-enrollment-for-a-group-of-devices
やってみる
では一旦、デフォルトの状態のグループ ポリシーを見てみましょう。
「Windows 管理ツール」→「グループ ポリシーの管理」→「フォレスト」→「ドメイン」→「グループ ポリシー オブジェクト」→「Default Domain Policy」の順にクリックします。
次に、右クリックから「編集」を選択すると、下記のとおり、「グループ ポリシー管理エディター」が表示されます。
次に、「コンピューターの構成」→「ポリシー」→「管理用テンプレート」→「Windows コンポーネント」→「MDM」の順にクリックすると…**ない!**ですね…。
※日本語名だと「既定の Azure AD 資格情報を使用して自動の MDM 登録を有効にします」のポリシーとなります。
ない、できないじゃないか、と思うかもしれませんが(初めて見たときは私もそう思いました)安心してください。
もう 1 度上記公開情報を見てみましょう。
Windows 10 (1709)以降で利用できるグループ ポリシーと書いてあります。
お見せしたオンプレミスの Active Directory は Windows Server 2016 ですので、 「Windows 10 (1709)」以降のグループ ポリシーのテンプレートをもってきて、オンプレミスの Active Directory にインポートして、適用させてあげないといけない、ということです。
Windows 10 (1709) のテンプレートをインポートする
テンプレートは下記 URL から落としてこれます。
ダウンロードURL
URL:https://www.microsoft.com/ja-JP/download/details.aspx?id=56121
※管理用テンプレートのダウンロード 一覧サイトは下記 URL になります。
URL:https://support.microsoft.com/ja-jp/help/3087759/how-to-create-and-manage-the-central-store-for-group-policy-administra
ダウンロードしたテンプレート ファイルのインストーラーを、オンプレミスの Active Directory 上にコピーしてインストールしてください。
※デフォルトのテンプレート インストール先は下記になります。
C:\Program Files (x86)\Microsoft Group Policy\Windows 10 Fall Creators Update (1709)\
次にテンプレートをインポートします。
- インストール先フォルダにある、「Policy Definitions」フォルダーをコピーします
- %windir%\SYSVOL\sysvol<ドメイン名>\Policies\ にコピーしたフォルダーを貼り付けます
もう 1 度グループ ポリシー管理エディターから、「コンピューターの構成」→「ポリシー」→「管理用テンプレート」→「Windows コンポーネント」→「MDM」の順にクリックすると、きちんと、「AAD トークンによる自動 MDM 登録 (automatic MDM enrollment using default Azure AD credentials)」のポリシーが追加されていますね!
あとはこのポリシーを有効にして、グループ ポリシーを適用させたい OU にリンクさせてあげれば、当該の OU 内にある、コンピュータ オブジェクトは、自動で MDM 登録される動作となります。
まとめ
今回は、 MDM を自動登録するためのグループ ポリシーをローカル ポリシーではなく、 Active Directory のグループ ポリシーとして、 OU 単位で適用される方法をご案内しました。
当然、適用範囲は指定した OU が対象になりますので、オンプレミス AD 上の管理外の Azure AD ユーザーが Azure AD registered しても自動で MDM が適用されることはありません。
少しでも今回の情報が参考になればい幸いです。