Microsoft Intuneって知ってるかい?
ただいまモバイルデバイス管理(MDM)を利用してWindows10の展開をしています。
既にいろいろ大ハマりしているので、備忘録として書き進めていきたいと思います。
すぐ忘れちゃうからね僕。
環境としてはAzureAD P2とIntuneにO365を利用してます。
なんと無く、はまったりしたらココに追記していくつもりです。
ちなみにIntuneについては、Microsoft Intuneの概要とかをみると良いと思います。
まずAzureADでグループ作ったりユーザ登録しとこうぜ
O365ベースでいろいろやる場合も、AzureADでやる場合もAzureADで管理した方が多分楽です。
一応僕はO365でユーザを作って、ライセンスを付与してとかやりましたが、後からAzureADを見るとグループ作ってそこにライセンス付与することができるので二度手間になります。(まあ好みだとは思います。)
今の所グループはセキュリティグループを利用しており、O365グループは使ってません。
また、今回はサーバレス・オールクラウドを目標としているのでオンプレミスのADと連携とかはせず、純粋にクラウドのみの環境です。
AzureADとADは全くの別物ですが、そこまで規模の大きくない組織であればAzureADである程度の管理はできるのではないかと感じています。
Intuneでどんなことできんのさ
Intuneでは
- [デバイスの構成]いわゆるグループポリシーっぽいことの制御
- [クライアントアプリ]なんかアプリケーションインストールできるっぽい(まだできてない)
- [ソフトウェア更新プログラム]更新プログラムの制御
ができる模様。
こんなことができるのがわかれば、こんな思惑を持つのは世の中の情報担当のSAGA。
- 箱からマシンを出す
- インターネットに接続する
- AzureADに参加させる
- MDMでいろいろ流して気がついたらセッティング完了
- マシンの配布
初期設定なまら楽だし、なにより障害があった時に、代替え機を簡単に構築し修理に出せるじゃない。こんなの鼻歌まじりで簡単にできちゃうんでしょ?
そうならないのがMSサンの商品ですよね()
さっそくはまったこと(デバイス構成でプロファイルが流れない)
とりあえずデバイスに基本的な設定を流し込みたいのに、いくら設定をしてもできない。
- 箱からマシンを出す
- インターネットに接続する
- AzureADに参加させる
ここまではOK
- セキュリティグループに登録したマシンを入れる
- デバイス構成でプロファイル(グループポリシーみたいなもの)作って登録する
- プロファイルに先ほどのセキュリティグループを適用させる
ここまでくればOKに思えるじゃないですか。でもダメなんですよ。
いろいろあるけど、簡単に答えはこう。
- 「デバイスの登録」の「デバイス登録マネージャー」に「管理者アカウント」を登録する。
で、たぶんここからまったりすれば良いのでしょうが、僕は面倒だったので、一度管理したい端末をAzureADから削除。再登録。そうすると
「デバイス」の「管理」の「すべてのデバイス」にMDM配下に入ったマシンが出てきます。
デバイス登録マネージャーに管理者アカウントを登録する前まではこんな表示出ないんですが、登録すると、こちらにバッチリ表示されます。で、強制読み込みとかちょっと待つとかしていると・・・
無事設定が流れました。
これはテストで組織で管理する際にちょっと使いづらくなるおせっかいなWindows HelloのPINを止めたところですが、無事適用されている模様です。
現在はテスト中ですが、本運用の時には生き返らせてうまく使いこなしたい一つの機能ですね。
次はクライアントアプリの制御にチャレンジします。
※追記
2020/7月現在だと、教育向けIntuneでは特別なUIが準備されていて、そちらの方が利用しやすくなっています。
こちらを利用した方がMDMは楽かもしれません。
