はじめに
Intune を使うと、デバイス に対して アプリ をリモートで配布することができるので大変便利です。
しかし、Intune で アプリ を展開すると、1日単位のタイムラグや 前提条件の不足などが起因するため、仕組みを理解するうえで、とてもつかみどころが無い印象です。
それを、多少なりとも理解する一助になれればと思い、この記事にまとめました。
Intune でアプリを配ることを 公開情報では アプリの追加 と呼ばれているのですが、記事で説明の際に "アプリの追加" と書いても 伝わりづらいと感じたので、私の記事では アプリ展開 と表現させて頂いてます。ご承知おきください。
実際のアプリの展開手順は、以下の記事で説明していますので、参照ください。
Microsoft 365 アプリ
Microsoft Store アプリ (新規)
1. アプリの展開方式
アプリの展開は 必須(緑枠) と、登録済みデバイスで使用可能 (紫枠)の2種類の割り当て方法があります。
どちらの割り当てを行うかによって、展開の方法が大きく異なるため、意識をしておく必要があります。詳細は、以下の通り 各章で説明していきます。
2 章で解説("登録済みデバイスで使用可能")
利用者が ポータルサイト に表示されたアプリの中から選んで導入することができます。
3 章で解説("必須")
デバイスへ サイレントで 強制的に アプリ が導入されます。
割り当てを行う画面について
上記の画面は、Microsoft 365 アプリ に対して、割り当て を行う際の例です。
この場合は、"必須" として "Intune" というグループを割り当てて、"登録済みデバイスで使用可能" として "すべてのデバイス" を割り当てています。
アプリの割り当て に関する 公開情報
2. "登録済みデバイスで使用可能" の場合の アプリ展開 の注意点
"登録済みデバイスで使用可能" で展開したアプリは、一覧から アプリを選んで インストール が行えます。
利用者が デバイス側で アプリを選択するための方法は2通りあります。
① ポータルサイト アプリ (2-1. 章) おススメ!
PC に導入された アプリケーション上で、操作を行います。
ここから、アプリを 選択した場合は、フォアグラウンドで インストールが実施されるため、展開までのタイムラグ の影響を受けずに済みます。
② ポータルサイト Web サイト (2-2. 章) 癖アリ!
ブラウザを使い、Web サイト経由で、操作を行います。
アプリを選んで インストール を押した場合に、即座には導入されず、同期待ち という状態になります。
おそらく、バックグラウンドでの処理になっているものと思われます。
そのため、"同期待ち" になってから、インストールされるまで タイムラグがあります。
この場合、どのくらい待つのかは、情報が無いのですが、おそらく 最大24時間 は待つ必要があり、忍耐が必要です。
2-1. ポータルサイト アプリ
利用者が Intune 管理者が割り当てた アプリ を選択して、導入するためには、"ポータルサイト アプリ" を利用できます。
ポータルサイト アプリは、初期の OS では未導入ですし、Intune に デバイス登録を行ったとしても、自動では導入されません(Autopilot を使った場合には 導入されます)
Intune の アプリ展開を使って ポータルサイト アプリ を展開する手順は、以下で紹介しています。
利用者自身で 手動で導入してもらう場合は、以下の公開情報を参照ください。
2-2. ポータルサイト の Web サイト
"ポータルサイト アプリ" と 似たような名称の "ポータルサイト" という名称の Web サイトがありますが、これが曲者です。
ポータルサイト の Web サイト の URL
https://portal.manage.microsoft.com/
ハマりどころ
サイトにアクセスしても、以下の表示になっており、どのようなアプリを割り当てても ここには表示されません。そのため、"ポータルサイト アプリ" とアプリ一覧の表示が一致させることができません。
原因
これは、ブラウザ で表示しているために、現在 どのデバイスを使っているのかが判定できないので、このような表示になります。利用者が デバイス を 選択する必要があります。
上記の図の赤枠の「デバイス」をクリックすると、以下の画面になります。
すると「ここをタップして使用しているデバイスを知らせるか、新しいデバイスを追加します」と説明が書かれています。
ここで、青枠で囲まれた デバイス名 をクリックしてしまうと、ハズレ です。
以下のような アプリ とは関係の無い画面に遷移してしまいます。
その後 左上のメニューから、「アプリ」を選びます。
しかし、以下のように、何も表示されません。
画面更新をしても、管理センターで 色々なアプリを割り当てたりしても、アプリが表示されることがありませんでした。これには、ホント にハマりました。
正解
正解は、以下の 赤枠 の場所 そのものをクリックする必要があるのです。
以下の URL に説明がありました。
でも、これだけ読んで気づけるかどうか難しい所です。
https://learn.microsoft.com/ja-jp/mem/intune/user-help/manage-apps-cpweb#viewing-apps-for-windows-devices
すると、以下のような画面が開くので、デバイス を選んで「選択」をクリックします。
すると、以下のように 青四角の上部に "このデバイス" という帯が付きます。
そのあと、左上のメニューから「アプリ」を選ぶと、ようやく アプリの一覧が表示されました。これで、問題解決です!
あとは、いずれかの アプリ を選ぶと 以下のように「インストール」のボタンがあるので、ここをクリックして インストール を指示します。
なお、ダウンロードが開始されるまでは、"同期待ち" という状態があります。
ステータスが "ダウンロード中" になれば、あと少しです。
"同期待ち" となってから、最大24時間 は待つ必要があり、忍耐が必要です。
ポータルサイト の Web サイト についての公開情報
私は、この理解に至るまでは 混乱して かなりハマりました。
初めて検証していた際に、"ポータルサイト アプリ" をわざわざ導入するのが面倒なので、その代用として、"ポータルサイト の Web サイト" を使おうとしたことがありましたが、その際に いくら 管理センターで 割り当ての設定をいじっても、アプリが一覧に表示されないので、何に問題があるのか判らないまま 1週間くらい原因が判らず仕舞いでした。
3. "必須" の場合の アプリ展開の注意点
"必須" の場合は、タイムラグ との戦いであり、さらに 条件によるハードルもあります。
アプリが展開されるためには、本章で説明する段階を踏んで、各条件がクリアされている必要があります。
どこかの段階で 問題が生じていると、アプリは展開されません。
各段階について、説明していきますので、参考にしてみてください。
3-1. デバイス の 同期 と チェックイン
"必須" の アプリ展開 においては、"同期" について理解しておく必要があります。
"同期" については、以下の記事にまとめましたので、参照ください。
正しく同期が行われて、初めて アプリ展開 が実施できる状態になります。
3-2. Intune 管理拡張機能 (Microsoft Management Extension)
"必須" の アプリ展開 において、更に 理解しておきたいのが "Intune 管理拡張機能" の存在です。
このプロセスが、アプリ展開の 仕事 そのものを司どっています。
3-2-1. Intune 管理拡張機能 が導入されるための 前提条件
OS が クリーンインストール された状態では Intune 管理拡張機能 は導入されていません。
結論から言いますと "前提条件" を満たした環境において、そのデバイスに対して "アプリが "必須" で割り当てられた" 際に、タイムラグがありますが いずれ 自動的に導入されますので、この癖を理解しておくことが重要です。
24 時間待っても、アプリが展開されないな・・と思ったら、まずは Intune 管理拡張機能の状態を確認しましょう。
サポート窓口 に問い合わせる際にも、アプリが入らない・・・と大雑把な相談をするよりも、"必須" の割り当てを実施したアプリがあって 24 時間待ったのに、Intune 管理拡張機能が入らない・・とか、Intune 管理拡張機能が入っているのに "必須" の割り当てのアプリが入らないなどと、具体的に状態を申告した方が適切な支援を受けやすくなります。
そこまで言わないと、サポート窓口からは 24 時間待ってください・・と言われるだけです。
(公開情報:Intune 管理拡張機能 の 前提条件)
https://learn.microsoft.com/ja-jp/mem/intune/apps/intune-management-extension#prerequisites
(上記のサイトより 抜粋 および サマリ)
Intune 管理拡張機能には次の 前提条件 があります。
これらが満たされると、PowerShell スクリプトまたは Win32 アプリがユーザーやデバイスに 割り当てられたとき に、Intune 管理拡張機能が自動的にインストールされます。
- Windows 10 1607 (一括登録時は 1709) 以降
- S モード は非対応(S モードは、"Surface Go" などのタブレット製品は既定で 有効になっています)
- テナントに 参加 や 登録 がされていること
Microsoft Entra Join(参加済み)
Microsoft Entra Hybrid Join(参加済み)
Microsoft Entra Registered(登録済み)
Workplace Join(参加済み)
Intune のみにデバイス登録
共同管理されていること(SCCM などと連携) - OS の 時刻が正しいこと(大幅に遅れていると NG)
- インターネットに接続されていること
参考:S モード とは
3-2-2. Intune 管理拡張機能が導入されるタイミング
Intune 管理拡張機能 が "前提条件" を満たしており、かつ
対象の デバイス/ユーザー に対して、"必須" の アプリの展開 が割り当てられたとき です。
そのため、アプリ を デバイス や ユーザー に割り当てておらず、ただ Intune 拡張管理機能 の 前提条件 を満たしているだけでは、導入されないということです。
3-2-3. Intune 管理拡張機能 の確認方法
設定パネルからの確認
「職場または学校にアクセスする」を開き、①の部分 を開くと、②「情報」ボタンがあるのでクリックします。
以下の画面で、赤枠の箇所に Microsoft Intune Management Extension があるかどうかで、導入の有無が確認できます。
3-2-4. Intune 管理拡張機能 の サービスの状態
既定で「自動(遅延開始)」になっています。「実行中」である必要があります。
もし、サービスが「停止中」であれば、当然 アプリ は展開されません。
海外の MVP の方の Intune 管理拡張機能についての解説記事
とても判りやすく、分析結果が述べられています。
(英語なので ブラウザ翻訳 で読みましょう)
https://jannikreinhard.com/2022/07/31/summary-of-the-intune-management-extension/
3-2-5. Intune 管理拡張 Health 機能のトリガー(タスクスケジューラ)
以下の画面の通り、タスクスケジューラ で起動するようになっているようです。
起動されるのは、ClientHealthEval.exe というプログラムのようなので、Intune 管理拡張機能の実態そのものでは無さそうです(ちゃんと実行できる状態なのかをチェックしたり、問題があれば調整や報告したりしているのかな・・・と推測)
少なくとも、このスケジュールが止まったままになってしまうと問題は起こりそうなので、要チェックです。
タスクスケジューラ
全般タブ
「ユーザーがログオンしているかどうかに関わらず実行」
トリガータブ
毎日1回起動している
トリガータブで「編集」ボタン
操作タブ
ClientHealthEval.exe が実行されている
条件タブ
興味深いのは、この設定です。
AC 電源利用時 および ネットワーク接続 がある状態の時しか、起動しないらしい。バッテリ駆動だと 実際の アプリ展開 に影響があるかどうかは不明ですが、意識しておいた方が良さそうです。
設定タブ
「スケジュールされた時刻にタスクを開始できなかった場合、すぐにタスクを実行する」がチェックON。つまり PC 起動して 19:15 を過ぎていたら 必ず実行されるという事になりそうです。
海外の MVP の方の Intune 管理拡張 Health 機能 についての解説記事
とても判りやすく、分析結果が述べられています。
(英語なので ブラウザ翻訳 で読みましょう)
https://jannikreinhard.com/2022/09/18/deep-dive-into-the-ime-health-check/
Configuration Manager の説明記事
Configuration Manager の正常性チェックの解説記事なので、あくまで参考です。
しかし "ClientHealthEval.exe" "learn" で検索したら、この記事が引っかかりましたし、Intune と Configuration Manager は兄弟のようなものなので、同じような仕事をしているのではないかと考えられます。
https://learn.microsoft.com/ja-jp/mem/configmgr/core/clients/manage/client-health-checks
3-2-6. Intune 管理拡張機能 の ログ
Intune 管理拡張機能 の仕事っぷりは、以下のログに出力されます。
C:\ProgramData\Microsoft\IntuneManagementExtension\Logs
"IntuneManagementExtension.log"
この章で説明された内容を理解しておくと、アプリが展開されない場合に、まずは Intune 拡張管理機能の導入状態を確認し、未導入であれば 前提条件 や 割り当て を確認すれば良いことが判ると思います。
Intune 拡張管理機能が導入されていれば、サービスの状態や ログを見て 異常 が無いかを確認します。
Intune 管理拡張機能 が無事に導入されたからと言っても、すぐに アプリケーション が導入されるとは限りません。
アプリケーションの導入には、さらに 条件があります。次章 で説明します。
3-3. アプリ の インストールタイミング
"必須" で割り当てられた アプリ は、以下の公開情報で説明されているとおり、24時間以内を目途にインストールされます。即時には 導入されません。
おそらく このような仕様は Intune クラウドサービス や 社内ネットワーク などのボトルネック箇所に負荷が集中しないために考えられた仕組みなのではないかと思います。
ある程度は、仕方のないことなのかもしれません。
つまり、最悪は 24時間が経過してみないと アプリの割り当て設定のミス等に気づくことができないという事です。
これが、Intune を触り始めた技術者を悩ませる大きな要因になっている気がします。
検証などで、アプリ展開した結果を 早めに知りたい場合は、数台のマシン(こういう場合は、仮想マシンがお薦め)を用意して どれかに展開されるのを気長に待つのが良いと思います。
複数台あれば、いずれか 1 台の結果が得られれば OK とすることができます。
検証デバイス 1 台だけで、ひたすら待っているとストレスになるだけです。
4. "必須" と "登録済みデバイスで使用可能" 共通の注意点
4-1. ストアアプリ の 注意点
ストアアプリについては、さらなる注意点があります。
デバイスが ストアアプリの前提条件 を満たしている必要があります。
前提条件に満たない場合などは導入されない場合があります。
4-1-1. デバイスの 参加/登録 状態
"Microsoft Entra Joined (参加)" で構成されたデバイスなら条件を満たしていますが、"Microsoft Entra Registrared (登録)" の構成の場合は、アプリのインストールの処理の設定が "システム" で 設定しないと 条件外 となってしまうようです。
つまり、"システム" ではなく "ユーザー" で設定してしまうと、ポータルサイト アプリ の一覧に表示されなかったり、"必須" の展開では、延々待っても 導入されないという事になります。
(公開情報:インストールの処理が "システム" である必要性)
https://learn.microsoft.com/ja-jp/mem/intune/apps/store-apps-microsoft#microsoft-store-uwp-apps
上記の画面で、インストールの処理 の右の緑丸 の箇所にマウスポインタ を合わせると、以下の説明が記載されています。
つまり、Microsoft Entra Registared の場合には、デバイス単位(すべてのユーザー)に対してのインストールしか出来ないという事です。
さらに、システム/ユーザー の両方に対応した アプリ の場合に、後から変更したりすると、「更新とアンインストール」に支障をきたす事も説明されています。この設定を変更して アプリ展開の検証をする際には、事前に 手動でアンインストールを実施してからの方が良さそうです。
以前に、リモートデスクトップ のストアアプリを割り当ててテストした際は、1日以上待っても "インストール待機中" の状態から変化が見られない事象も経験しました。
リモートデスクトップ は、OS にプレインストールされているアプリです。
検証した当時は、プレインストールされている状態への上書きだからかな・・程度に考えていたのですが、システム/ユーザー の インストールの処理モード が競合してしまったのかな・・と推測しています。
プレインストールされているのは、"システム" だと推測しますが、これに対して Intune から "ユーザー" モードで展開してしまうと、競合が発生すると考えられます。なお、これを 裏付ける検証までは出来てないです。
4-1-2. CPU コア数
他にも CPU コア が 2 以上でなくてはダメ という条件もあります。
なお、公開情報には 2 コアの要件が記載されていますが、私が検証してみたところでは、OS インストール&Intuneデバイス登録までは 2 コアで動作をさせて、1 コアに変更してから アプリ展開 したらインストールされてしまいました。
このあたりは、ゆらぎがあり つかみどころが無いなぁ・・と思うところです。
どのタイミングで どのプロセスが コア数をチェックしているのかにもよるのかなと推測しています。
(公開情報:ストアアプリの前提条件)
https://learn.microsoft.com/ja-jp/mem/intune/apps/store-apps-microsoft#prerequisites
(上記 URL より抜粋)
Microsoft Store アプリを正常にインストールして実行するには、クライアント デバイスで少なくとも 2 つのコア プロセッサがサポートされている必要があります。
Hyper-V 仮想マシンの CPU コア数の設定画面
4-2. 通信要件
社内ネットワークなどで、プロキシサーバー や Webフィルタ などが導入されていると、そこで通信がさえぎられて、アプリが導入されない・・という事も考えられます。
デバイスは、さまざまなインターネット上のエンドポイント(IP アドレス)と通信するようになっており、例えば、Intune 管理センターとは通信できるけど、ストアアプリ の配布元とは通信がブロックされているような事も起こり得ます。
そのような場合は、同期 は行われるけど、アプリの展開が一向に完了しないという事象になります。
Intune でアプリを展開した場合、インターネット上の配布ポイントなどからダウンロードして デバイスへ導入する流れになるため、該当のアプリケーションと デバイス間の通信が正しく行える状態なのかを確認すると良いと思います。
主なエンドポイントの情報(重複した URL も記載されてます)
Intune のエンドポイント
https://learn.microsoft.com/ja-jp/mem/intune/fundamentals/intune-endpoints
Microsoft 365 for Apps のエンドポイント
https://learn.microsoft.com/ja-jp/microsoft-365/enterprise/urls-and-ip-address-ranges
Windows 11 のエンドポイント
https://learn.microsoft.com/ja-jp/windows/privacy/manage-windows-11-endpoints
4-3. 従量制課金接続
この章の内容は、裏付け取れておらず 私の 推測レベルです。
どうしても、アプリが展開されないようなら、これも疑ってみてください。
Windows には、モバイル WiFi ルーターに接続した時に、データ量 で課金されないようにするために、従量制課金接続 の モードが用意されています。
従量制課金接続 が ON の場合には、バックグラウンドでの通信を抑制し コストを削減する仕組みです。
これが、Intune のアプリ展開に影響する事が あるんじゃないかなぁ・・と推測しています。
これは 技術的な根拠や 情報、経験があるわけでは無いのですが、問題切り分けの際の観点として認識しておきたい点かと思って、記載をさせていただきました。
Intune の兄弟である SCCM においては、以下のような情報がありました。
SCCM の場合には、従量制課金接続 の影響を受けるようです。
5. 公開情報:アプリの追加
アプリの追加 に関する 公開情報 の場所です。
ココに アプリ展開 についての情報が集約されていますので、ブックマークしておきましょう。
上記 URL の左ペインを開いた状態です。
ネット検索で引っかかったページだけを見るのではなく、上から順番に見ていくことで 新しい気づきが得られることもあります。
公開情報を見て理解するのは難しい場合もありますが、本記事なども参考にしていただければと思います。
トラブルシューティング について
上図のメニューの 緑下線 のリンク先が 以下の URL です。
この URL から、アプリ展開のトラブルシューティングページ に遷移できます。
問題の切り分けなどは、こちらを参考にしていただくと良いと思います。
参考情報
アプリ展開 に関して 参考になる記事を集めてみました。