Go to Qiita Advent Calendar 2024 Top
LoginSignup
7
5

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@carol0226(Shuji Noguchi)inNTTデータ先端技術

Intune 関連の記事 まとめ

Last updated at Posted at 2024-07-31

はじめに

2023 年 9 月~2024 年 8 月までの1年間に、私が投稿してきた Intune に関連する記事をまとめました。
投稿した順序ではなく、構築する場合の順番に並べてありますので、イチから Intune を始める際にも、参考にしていただければと思います。

以下の5章で構成しています。

  1. Intune を始める前に必要なもの
  2. Intune への接続
  3. Intune を使ってできること
  4. Intune アドオン
  5. Intune 関連 の Topic

Intune 関連記事 投稿 1年間の実績
(2024/7/31 時点の Intune タグ 年間)
https://qiita.com/tags/intune

1. Intune を始める前に必要なもの

1-1. Microoft Entra テナント

Intune を利用するためには、Microsoft Entra テナントや Intune を利用するためのライセンスの手配が必要です。

1-1-1. テナントの追加・削除

はじめてテナントを作成する際に読んでいただく記事として投稿してます。

はじめての Microsoft Entra テナント の作成
https://qiita.com/carol0226/items/e560688f2b6a93e97126

以下は、上記の記事の補足として 後日に投稿した記事です。
2023 年 11 月頃から、Entra ID の有償ライセンスを持っていないと、テナントを作成できない事が判明し、その理由と 対処方法を記載しました。

テナントが 追加作成できない = 顛末と解決策
https://qiita.com/carol0226/items/3eed9674c17f73c78ba2

Microsoft Entra テナント の削除
https://qiita.com/carol0226/items/0e28af0cfd4e7a5acf6d

1-1-2. カスタムドメイン

カスタムドメインの利用は 任意です。
user@xxxx.onmicrosoft.com” のアドレス名のままでよければ、カスタムドメインは SKIP 可です。

カスタムドメインとは何か? ドメインをどこから採用すれば良いのか? について説明しています。

カスタムドメイン 構成時に どこからドメインを手配するか?
https://qiita.com/carol0226/items/e9618b795ed768572a46

MyDNS を使って無料でドメインを入手して、カスタムドメインを利用する方法について

無料サービス (MyDNS) を使って Microsoft Entra テナントに カスタムドメイン を構成する
https://qiita.com/carol0226/items/cbbe32006d26080847f7

AppService ドメインを使ってドメインを購入して、カスタムドメインを利用する方法について

App Service ドメインを使って Microsoft Entra テナントに カスタムドメインを構成する
https://qiita.com/carol0226/items/5e01ea76a2581c6810b4

1-1-3. ライセンス

どうやって必要なライセンスを見定めるのかについて、考え方などを説明しています。

Microsoft 365 ライセンスと機能の比較確認方法
https://qiita.com/carol0226/items/afb358fafb6901ccf588

目的に応じて、ライセンスを手配する方法について
評価版ライセンスの適用方法。ユーザーへのライセンス付与方法など。

Microsoft Entra テナントで ライセンスを購入して利用を開始する
https://qiita.com/carol0226/items/efbeb78c93d903403676

1-1-4. テナント ノウハウ

一連の作業を終えてから、読んでいただくと理解が深まる記事

Microsoft Entra テナント の実体と 管理画面 の関係性
https://qiita.com/carol0226/items/089045d3e8652573d230

1-2. Windows デバイス

Intune は、デバイスを管理するツールです。
Microsoft Entra テナントと Intune ライセンスがあれば、管理するための環境は揃った状態です。
次に、管理される側の Windows デバイス を用意します。

物理の Windows(デスクトップ、ノート)で、Professional 以上のエディション であれば、それで OK です。
手配できない場合は、代替策として Hyper-V や Azure などの仮想環境を使って、Windows デバイス を手配することもできます。

1-2-1. Hyper-V 環境を利用できる場合(物理 PC の代替)

Hyper-V へ Windows 11 をインストールする
https://qiita.com/carol0226/items/eeced2b88e6d8a9914e7

Hyper-V 環境が無い場合
→ Azure を使うことを検討してみてください。

1-2-2. Azure(物理 PC の代替)

Intune を使う上で Azure は必須ではありませんが、
前章で Windows デバイスを手配できない場合の手段として、Azure をサインアップして、Azure VM を使って、検証用の Windows デバイスを手配することができます。

Azure サブスクリプション を サインアップする
https://qiita.com/carol0226/items/066c06d95cb68427f1d0

Azure VM を作成すると、英語版になっているため、日本語化するための手順

Azure VM (Windows 10) の 日本語化(手動)
https://qiita.com/carol0226/items/8cc48bb262bf81dfc9df

Azure VM (Windows 11) の 日本語化(手動)
https://qiita.com/carol0226/items/27d6c1b58e4e0f73539d

1-3. ログ

以下の LogAnalytics は、Intune を使う上で 必須ではありません。
ただし、うまく活用すると、テナントのログや、Windows デバイスのログを 1カ所に集約して、集中管理することができるため、参考にしていただけます。

Azure Log Analytics について
https://qiita.com/carol0226/items/eb07275fe8b3eda4a703

Azure VM のログを Log Analytics に保存する
https://qiita.com/carol0226/items/0e4ebd5db8a4552fa3be

Microsoft Entra ID のログを Log Analytics に保存する
https://qiita.com/carol0226/items/ded21f16f67fece2cc65

Azure アクティビティログを Log Analytics に保存する
https://qiita.com/carol0226/items/791c37494a2a9995c486

Log Analytics と Azure Monitor ワークスペース の違い
https://qiita.com/carol0226/items/2256725e328222173382

2. Intune への接続

Windows デバイスを Intune に接続するためには、Microsoft Entra Join を介する方法が一般的ですが、そのほかにも、手動操作で行う方法もあります。

2-1. 手動操作 の方法(Microsoft Entra Join を使わない)

BYOD(個人持ち)のデバイスを Intune で管理する場合に使います。

Windows デバイス を Intune へ "デバイス管理のみ" で登録する
https://qiita.com/carol0226/items/09c2a8a57fb7a2291b8d

2-2. Microsoft Entra Join を使う方法

Microsoft Entra Join と Intune への接続を連動して行う方法が一般的であり推奨です。
以下の MDM 構成を実施しておきます。この構成が行われている状態で、Join を行うと、Intune にも接続されます。

Windows デバイス を Intune に自動登録する
https://qiita.com/carol0226/items/e75b04f2a6a99fa6bcf7

Join の方法は、WORKGROUP のマシンをテナントに参加させる Microsoft Entra Join と、AD DS にドメイン参加済みのマシンを テナントに参加させる Microsoft Entra Hybrid Join の2通りがあります。
以下の記事で Microsoft Entra Join を使うと何ができるのかを解説しています。

Microsoft Entra Join (旧:Azure AD Join) について
https://qiita.com/carol0226/items/8c2bbc0f480913eaeed4

2-2-1. Microsoft Entra Join の手順

Windows 10 と 11 で画面遷移が若干異なるため、別々の記事を用意しています。

Microsoft Entra Join の手順 (Windows 11)
https://qiita.com/carol0226/items/74efd0c2cce7fc42e110

Microsoft Entra Join の 手順 (Windows 10)
https://qiita.com/carol0226/items/eba166a0a4b2e7df3a92

参加済みデバイスへの RDP
Microsoft Entra Join を実施したデバイスへ、RDP を行う必要がある場合には、追加の設定が必要です。
Windows 10 と 11 で画面遷移が若干異なるため、別々の記事を用意しています。

Microsoft Entra Join した Windows 11 への RDP接続方法
https://qiita.com/carol0226/items/4f60443dead0a20e95f6

Microsoft Entra Join した Windows 10 への RDP接続方法
https://qiita.com/carol0226/items/e419554ef53b2bcbf581

2-2-2. Microsoft Entra Hybrid Join

AD DS ドメインに参加済みのデバイスを Intune に自動接続させるには、Hybrid Join の構成が必要です。
Hybrid Join の前提として、 AD DS と、テナントが Microsoft Entra Connect で同期されている必要があります。これらの環境を構築する手順を紹介しています。

2-2-2-1. Microsoft Entra Hybrid Join の前提環境

Active Directory ドメインサービス (ADDS) の導入
https://qiita.com/carol0226/items/b94f93adc309b5dc8ee8

ドメインコントローラーを Azure 上に構築する場合は、以下の記事を参照ください。
Azure上で Active Directory の構築&ドメイン参加
https://qiita.com/carol0226/items/084fbbb3f31b646025f4

Microsoft Entra Connect

Microsoft Entra Connect とは(旧:Azure AD Connect)
https://qiita.com/carol0226/items/487874f07d2fe90f8e0c

Azure AD Connect 構成手順(代替UPNサフィックス編)
https://qiita.com/carol0226/items/dab8390fb8f4420559da

Azure AD Connect アンインストール のハマりどころ
https://qiita.com/carol0226/items/fdb787ef9f7445affd02

2-2-2-2. Microsoft Entra Hybrid Join の実施

Microsoft Entra ハイブリッド参加(旧HAADJ)を構成してみた
https://qiita.com/carol0226/items/7c16c4813e2b54a76789

2-3. Windows Autopilot

社用デバイスを Windows デバイスの 初期構成時に Microsoft Entra Join + Intune 登録まで完了させることができるソリューションです。

Windows Autopilot:ユーザー駆動モードの手順
https://qiita.com/carol0226/items/1e8023611f74f158c38c

Windows Autopilot:事前プロビジョニング の手順
https://qiita.com/carol0226/items/b2476be7b9f8b0c20af3

Windows Autopilot リセット(ローカル)の手順
https://qiita.com/carol0226/items/93cd440beb6e1091a6be

Windows Autopilot:リセット(リモート)の手順
https://qiita.com/carol0226/items/a5c26bf543f137ca0ba9

2-4. Microsoft Entra Join 実施前後の ステータス比較

Join の状態を確認する場合は、dsregcmd /status というコマンドを使うことが一般的です。
このコマンドの実行結果を、記事にまとめておきました。

Microsoft Entra Join の Before / After
https://qiita.com/carol0226/items/e0767bc61e8f27e9fe6a

2-5. Edition の アップグレード

Windows E3/E5 のライセンスがある状態で、Join を実施すると、Enterprise Edition にアップグレードされる件について、掘り下げて解説しています。

Windows Enterprise サブスクリプションライセンスを ちゃんと適用する
https://qiita.com/carol0226/items/c7e1b8d7fc82ebc666fc

2-6. Windows 以外のデバイスの登録方法

2-6-1. iOS

iOS デバイス を Intune へ 登録する(事前作業:MDM プッシュ証明書)
https://qiita.com/carol0226/items/6a9d3c5c137ba45506a0

iOS デバイス を Intune へ 登録する(デバイス登録)
https://qiita.com/carol0226/items/07820608cd94737ee59a

2-6-2. Android

Android デバイス を Intune へ 登録する(個人所有デバイス)
https://qiita.com/carol0226/items/50295a0f1f997c0a4ed9

3.Intune を使ってできること

3-1. アプリ

アプリ展開を実施する前の前提知識として知っておいて貰いたいことを Tips としてまとめました。

Intune アプリ展開 Tips あれこれ
https://qiita.com/carol0226/items/df5a2a8e647a06564576

アプリごとの具体的な展開方法です。

Intune で Windows 用の ポータルサイト アプリ を展開する
https://qiita.com/carol0226/items/bf8261d0bc6fef32bdcf

Intune で Microsoft 365 for Apps を展開する
https://qiita.com/carol0226/items/d75517263a97a2a998db

Intune + OCT(xml) で Office アプリ を展開する
https://qiita.com/carol0226/items/365a6f0979462e3ba436

参考
以下は、ODT を使った展開のために記載した記事ですが、この中で使われている OCT で作成した xml も Intune で配布可能です。

ODT を使って Office 365 を自動展開する
https://qiita.com/carol0226/items/240923f4fe696fec0569

ODT を使って Office パッケージ版 を自動展開する
https://qiita.com/carol0226/items/6c278660ae329e2b3708

3-2. 更新プログラム

Intune を使う事によって、モダン管理 と呼ばれる 管理方法が可能になります。

Intune を使った 更新プログラム の管理
https://qiita.com/carol0226/items/8f7aa8ad2fc246321b65

忍耐が必要な Windows Update for Business レポート をやってみた
https://qiita.com/carol0226/items/ff7c1ed42bb36ca8f86e

3-3. 構成プロファイル

構成プロファイルでは、PC に対する 構成・設定 を一元管理することができます。

3-3-1. Windows Hello for Business (WHfB)

WHfB を使う事で、認証の セキュリティ が向上し リスクが低減します。

Windows Hello for Business とは?
https://qiita.com/carol0226/items/441659a20bc256bbe639

3-3-1-1. Microsoft Entra Join デバイス で WHfB を構成する場合

Microsoft Entra Join を実施して、コンソールセッションで利用することで、既定で WHfB は有効です。RDP では発動しません。Intune を使う事で、既定以外の WHfB の構成を行う事が可能になります。

3-3-1-2. オンプレ ドメイン環境 で WHfB を構成する場合

オンプレミスドメインに参加した PC では、WHfB を有効にするための構成が必要です。

(前提事項)
Microsoft Entra Kerberos 認証 を構成し オンプレミスへ SSO する
https://qiita.com/carol0226/items/a52a54ff63c19fa957e6

(Windows Hello for Business の有効化)
Windows Hello for Business ハイブリッド展開(Cloud Kerberos 信頼)を構成する
https://qiita.com/carol0226/items/0c06016f18e57bf44cb0

3-3-1-3. Windows Hello for Business で利用できる機能

WHfB を有効にすることで、以下のような機能が利用できるようになります。

Windows Hello for Business の 動的ロック と 多要素ロック解除 を試す
https://qiita.com/carol0226/items/51487eeb06871cb65a7a

Windows Hello for Business での PIN ロックアウト の動作
https://qiita.com/carol0226/items/317403405fb23f4a391f

3-3-2. テナント制限

テナント制限は、Microsoft Entra テナントの機能ですが、その制御に必要な WDAC を Intune で配布させているため、この章で紹介します。

(前提知識)
Microsoft Entra テナント制限 v1 と v2 の違い
https://qiita.com/carol0226/items/a5d11103506cee9e00fb

(事前準備)
Microsoft Entra テナント制限v2 で 外部テナントへのアクセスをブロックする
https://qiita.com/carol0226/items/f0d9bcb8adffb66d49f2

テナント制限v2 で Microsoftエンドポイントのファイアウォール保護を WDACポリシーで制御してみた
https://qiita.com/carol0226/items/c06e7f84dfe851885f12

(展開)
テナント制限v2 + WDAC を Intune で配布する
https://qiita.com/carol0226/items/8a5f11acd6282705b6fe

(参考情報)
テナント制限、条件付きアクセス、URLフィルタ を組み合わた アクセス制御
https://qiita.com/carol0226/items/3bcf4e2014c422679733

3-3-3. WiFi

WiFi (3-3-3章) と PKI (3-3-4章) は、分けて記載しましたが 連携した動作まで検証している点がポイントです。

3-3-3-1. WPA パーソナル の場合

SSID + 固定キー で認証します。
コンシューマー向けの WiFi AP にも接続でき、とても簡単です。

Intune 構成プロファイル で WiFi 設定 を配布する(WPA パーソナル編)
https://qiita.com/carol0226/items/084d31ce07e4540f069c

3-3-3.2 MS-CHAPv2 の場合

ビジネス向け。 ID と パスワード で認証します。

(WiFi 基盤の構築)
NPS + WiFi + 802.1x 認証 (MS-CHAPv2) 構築手順
https://qiita.com/carol0226/items/05d8ef17a6d25018cd4e

(設定配布)
Intune 構成プロファイル で WiFi 設定 を配布する - PEAP(MS-CHAPv2) 編
https://qiita.com/carol0226/items/99e1674ce6be6e24f53c

3-3-3-3. EAP-TLS または PEAP(EAP-TLS) の場合

ビジネス向け。クライアント証明書 で認証します

(WiFi 基盤の構築)
NPS + WiFi + 802.1x 認証 PEAP (EAP-TLS) 構築手順(エンタープライズ CA 編)
https://qiita.com/carol0226/items/564a21455cd3e5f58906

(設定配布)
Intune 構成プロファイル で WiFi 設定 を配布する - PEAP (EAP-TLS) 編
https://qiita.com/carol0226/items/3b17a2c02c5791727e93

3-3-3-4. WiFi その他 の ノウハウ

Intune で WiFi の設定を固定化する(+すぐ戻す方法)
https://qiita.com/carol0226/items/2c1d368857288f8910e3

Cisco WiFi-AP 802.1x 認証 の 設定 と 簡易テスト
https://qiita.com/carol0226/items/0424fb68de69d7b90d2c

NPS と 802.1x 認証 で注意すること
https://qiita.com/carol0226/items/f3bd546d74da609222dd

3-3-4. PKI

802.1x 認証を扱う上で必要だった 証明書 関連の記事です。

(証明機関 の環境構築)
Active Directory 証明書サービス (ADCS) の導入
https://qiita.com/carol0226/items/cb38ed3188c520bd9d64

AD CS 証明書要求の承認
https://qiita.com/carol0226/items/0c9a6c880fcacbcb8998

AD CS 証明書失効リストを HTTP 匿名アクセスに構成変更する
https://qiita.com/carol0226/items/333da143c95550412b2b

AD CS 証明書失効の実施手順
https://qiita.com/carol0226/items/3f0d77848aed59751d9b

(SCEP 証明書 の環境構築)
Intune と NDES を連携して SCEP 証明書 配布の準備をする
https://qiita.com/carol0226/items/472747e7308762ca0ce1

(SCEP 証明書 の配布)
Intune で SCEP 証明書プロファイル を配布する
https://qiita.com/carol0226/items/6c707d70fe7251346cf4

(関連情報)
証明書の作成方法 まとめ
https://qiita.com/carol0226/items/5c45e1fb177075545c07

AD CS で SAN (サブジェクトの別名) を追加するリスク
https://qiita.com/carol0226/items/be07b6e11967c31aeb65

3-3-5. その他 の Intune 構成プロファイル

Intune ファイアウォール 設定項目 の マッピング
https://qiita.com/carol0226/items/b00b251a756319a84e85

Intune で Windows デバイス を BitLocker で暗号化する
https://qiita.com/carol0226/items/200866296fb4d1e57d70

Intune の キオスクモード を使った AVD 用 簡易シンクライアント
https://qiita.com/carol0226/items/fc68560a9bb448c933bd

4. Intune アドオン

Intune アドオン 関連サービス の はじめかた
https://qiita.com/carol0226/items/6529a423573ed246305f

Intune Cloud PKI 失敗談(消せなくなる)
https://qiita.com/carol0226/items/b74b4ee89182faffb06e

Intune Cloud PKI + NPS を使って、Wi-Fi 認証 できた!しかし・・・
https://qiita.com/carol0226/private/8ae2ba23a78290d98ff4

5. Intune 関連 の Topic

1~4 章に分類できなかった Intune に関連する記事です。

Intune の 同期 タイミングについて 深堀してみた
https://qiita.com/carol0226/items/f731780dd3e9fd154ee9

Autopilot 実施時に Windows Update を止めれるのか?
https://qiita.com/carol0226/items/9d83abf53527b7bca188

Microsoft Entra の "Join" を制限した場合の動作
https://qiita.com/carol0226/items/6c7e84c8c12f702e9bf8

Intune アプリ保護ポリシー (Windows) の注意点=ハマる!
https://qiita.com/carol0226/items/6a9a7e9788d87d4596c2

Microsoft Entra ID:アンマネージドな MAM 登録 のやり方
https://qiita.com/carol0226/items/b051951fd89f865dd76e

AVD を閉域環境にするための 10 のポイント
https://qiita.com/carol0226/items/00f3ad1c96960dd38b0c

Azure AI Language Studio を使った ドキュメント翻訳の実行
https://qiita.com/carol0226/items/09821bca4f0946ec8c51
→ 技術的には Intune とは関係ありませんが、「Intune ビジュアル登録ガイド」を日本語化したくてやってみました。

Microsoft 管理者向け のリンク集
https://qiita.com/carol0226/items/8375107246b0ea6bda9a
→ Intune 管理センターも含めた、各種ポータルのリンク先紹介です。

7
5
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
7
5

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?