この投稿は Microsoft Security Advent Calender 2023 3日目に参加しております。
はじめに
最近は、Microsoft Entra ID に関する記事を良く書いていますが、今回は Intune への自動登録をまとめてみました。関連する情報へのリンクも すべて私の記事(またはMS公式情報)としていますので、読みやすいと思っていただけると幸いです。
本手順の位置づけ
私が Microsoft Entra 関係で記載している記事で共通で使っている表です。
私なりに、機能を分類して コンポーネント に分割しています。
このうち、本手順は、以下の 赤丸 のエリアが対象となります。
分類 | コンポーネント | 備考 |
---|---|---|
デバイスの手配 | いずれも可 | どこで手配されたデバイスでも構いません |
OS キッティング (IT部門・個人) |
いずれも可 | OS の導入経緯は問いません ※Home Edition は不可 |
ユーザー管理 | D-④ Microsoft Entra Join |
手動で Microsoft Entra Join を行う |
デバイス管理 | E-③ Intune 自動登録 |
MDM の自動登録の構成によって、 Intune にも自動登録される |
本記事の手順で構築する環境は、"デバイスの手配"、"OSキッティング(IT部門)"、"OSキッティング(個人)" などが、さまざまな組み合わせで手配されることがある Windows デバイス を、Intune に自動参加 させるために使うことができます。
コンポーネントの関係性を見ても分かるように この手順で構築した環境は、Autopilot を動作させるための 前提となる 環境です。この環境を作っておくと、これを元にして Autopilot を構築可能です。
本記事の最終章に、Autopilot 構築手順へのリンクを掲載してあります。
1. Intune 自動登録とは?
デバイスは、Intune を使って管理することが出来ますが、1台ずつ Intune への登録作業が必要です。
しかし、Microsoft Entra Join には、"参加" の際に Intune にも同時に登録させる機能があり、この登録作業の工数を軽減させることができます。
その結果、デバイスを Microsoft Entra Join するだけで、Intune にも連動して自動登録されて、デバイス に対して リモート からあらゆる管理が実施できるようになります。
Microsoft Entra Join からの 自動登録ではなく、Intune だけに登録したい場合は、以下の記事を参照してください。
こちらのほうが、管理者側の事前作業は 少ないステップ で構成できます。
2. Intune 自動登録に必要な要件
以下の ①~⑤ が揃っていれば、自動登録が機能します。
次章から、そのための 構築手順を ご案内 します。
① Microsoft Entra テナント を所持していること
② テナントの グローバル管理者 権限(本記事の作業を行うため)
③ Microsoft Entra ID P1 の ライセンスが適用されている
④ Intune のライセンスが適用されている
⑤ テナントが Intune 自動登録 の構成になっている
⑥ デバイスが Microsoft Entra Join の要件を満たしている
(参考:前提条件)
https://learn.microsoft.com/ja-jp/mem/intune/enrollment/windows-enroll#prerequisites
3. 事前構成の手順
3-1. Microsoft Entra テナント の手配
以下の記事を参考に、Microsoft テナント を手配して、グローバル管理者 を作成します。
既に手配済みの テナント は、グローバル管理者 の権限を所持していれば構成できます。
カスタムドメインは、構成されていても いなくても どちらでも構いません。
3-2. 本作業で必要なライセンス
"Microsoft Entra ID P1" ライセンス は、テナントで MDM 自動登録 を行うために必要です。
"Intune" ライセンス は、デバイスを Intune に登録する際、および Intune の機能を利用するために必要です。
Microsoft Entra ID P1 と Intune を包含する上位のライセンスでも構いません。
※ EMS E3 / E5 や、Microsoft365 E3 / E5 などには、両方の ライセンス が含まれます。
以下の記事に、テナントでライセンスの選び方や 購入のしかた、ユーザーへの適用方法などを纏めてあります。
始めは、Microsoft Entra ID P1 と Intune の機能を無料で使える "評価版" を探して利用してみましょう。
ライセンスを契約して、ユーザーに割り当てるところまでを実施してください。
3-3. Intune 利用者のグループを作成する(任意)
ここで作成するグループは 次章 で MDMスコープ を選択する際に使います。
グループを作成しない場合は、MDMスコープ は「すべて」を選択することになり、テナント内の全ユーザーが Intune 自動登録 の対象になります。
- Azure Portal に テナント の グローバル管理者 でサインインします。
https://portal.azure.com
- 検索窓で "Microsoft Entra ID" を探して、選びます。
- 左ペインから「グループ」を選択します。
- 「新しいグループ」の作成ボタンを押します。
- 以下の通り、値を入力してから「メンバーが選択されていません」の箇所をクリックして、グループに追加するメンバーを選択します。このグループに所属するユーザーが デバイスを テナントに "参加" させたときに、Intuneへ自動登録 が行われる想定です。
- グループの種類:セキュリティ
- グループ名:(任意) わかりやすい名前を付けてください。
6.以下の通り、メンバーが選択された状態になったら「作成」を押します。
7.グループを表示させて「メンバー」を選択すると、以下のように グループ内のメンバーが表示されます。この画面から、メンバーの「追加」や「削除」が行えます。
3-4. テナント で Intune 自動登録 の構成を行う
- Azure Portal に テナント の グローバル管理者 でサインインします。
https://portal.azure.com
- 検索窓で "Microsoft Entra ID" を探して、選びます。
- 以下の画面で 左ペインから「モビリティ (MDM および MAM)」を選び「Microsoft Intune」を選びます。
- MDM ユーザースコープ は、Intune へ 自動登録 を行なうことが出来るユーザーを誰にするのかを決める設定です。
ここでは、前章で グループを作成していた場合は「一部」を選んで 該当のグループを選択します。グループを作成しておらず、全ユーザーを Intune 自動登録 の対象ユーザーにする場合は「すべて」を選択します。
- 「一部」か「すべて」を選んだら「保存」を押します。
- モビリティの構成が保存されると、以下の通知が表示されます。
MDM スコープ に含まれているユーザーは、必ず Intune のライセンスを適用しておきましょう。
Intune のライセンスが不足している場合は、以下の記事で説明している 事象① の画面がでて、参加がブロックされます。
Microsoft Entra の "Join" を制限した場合の動作
https://qiita.com/carol0226/items/6c7e84c8c12f702e9bf8
(公開情報:Windows の MDM 自動登録を有効にする)
https://learn.microsoft.com/ja-jp/mem/intune/enrollment/windows-enroll
4. 自動登録の実施
インターネットに接続されている Windows デバイス にサインインして、Microsoft Entra Join を実施するだけです。以下の手順を参考に実施してください。
(Windows 10 の場合の手順)
https://qiita.com/carol0226/items/eba166a0a4b2e7df3a92
(Windows 11 の場合の手順)
https://qiita.com/carol0226/items/74efd0c2cce7fc42e110
5. テナントユーザーで サインイン の確認
自動登録の作業が終わったら、実際に デバイス にサインインして確認しましょう。
物理デバイスの場合は、サインイン画面へ テナントユーザー の ID と パスワードを入力すれば問題ありません。
仮想マシンなどへ RDP 接続 をする場合は、やり方が難しくてハマるので、以下の記事を参考に接続を試してください。
(Windows 10 の場合の手順)
https://qiita.com/carol0226/items/e419554ef53b2bcbf581
(Windows 11 の場合の手順)
https://qiita.com/carol0226/items/4f60443dead0a20e95f6
6. 結果確認
6-1. Azure Portal の表示
URL:https://portal.azure.com/
正しく Intuneへ自動登録された時の画面です。
テナント の デバイス の一覧では Intune を使っていないときに加えて、「MDM」と「セキュリティ管理の構成」の項目値が、"Microsoft Intune" と表示され、「準拠している」が "はい" と表示されます。
6-2. Microsoft Intune 管理センター の表示
URL:https://intune.microsoft.com/
「デバイス-Windows のデバイス」の画面に、デバイスの一覧が表示されます。
(ホーム)
(ダッシュボード)
(すべてのサービス)
(デバイス)
(デバイス-Windows のデバイス)
この画面の一覧に、登録されたデバイスが表示されます。
6-3. Windows デバイス側 の表示
6-3-1. ローカルアカウント でサインインしたとき
6-3-1-1. Windows 10
6-3-1-2. Windows 11
6-3-2. テナントのユーザーで サインインしたとき
アイコンが、Microsoft の4色の四角のロゴになっています。
6-3-2-1. Windows 10
6-3-2-2. Windows 11
6-3-3. 上記の画面で「情報」を押したときの画面
※上記は、Windows 11 の画面ですが Windows 10 も 同様の情報が表示されています。
ご参考
以下の記事で、Microsoft Entra Join を行う事で可能になる事をまとめて説明しています。
この記事の中で「Intune への自動登録」も紹介されています。併せて参照頂ければと思います。
Next Step
Intune への 自動登録 が構成できたら、次は Windows Autopilot に挑戦してみては如何でしょうか?
トラブルシューティング