More than 3 years have passed since last update.

ネクストリード株式会社

クラウドネイティブPCを試してみよう④　～構築編その１　デバイス登録～

Last updated at 2020-10-27Posted at 2020-10-27

デバイス登録

前章でテナント・ライセンスの準備が完了したと思いますので、次にデバイスをIntuneに登録してみましょう。

1. Windows10
2. MacOS
3. iOS

1. Windows10

クラウドマネージド PC ウィザードの実行

まずはMicrosoft Endpoint Managerでクラウドマネージド PC ウィザードを実行します。
このウィザードはWindows10 PCをクラウドで管理するための基本的な、以下のポリシーを自動的に作成する便利なツールです。

・Microsoft推奨のデバイスセキュリティ設定（Windows 10 セキュリティベースライン　ポリシー）
・Office365 Apps for Enterprise（旧称：Office365 ProPlus）の配布設定
・検証用ユーザーグループ

それでは、以下の手順で設定していきましょう。

Microsoft Endpoint Manager に全体管理者でサインインします
[クラウドマネージド PC を試す] をクリックします
[次へ] をクリックします
[ユーザーを選択] をクリックし、全体管理者アカウントを選択し、[次へ] をクリックします
[次へ] をクリックします
[展開] をクリックします。完了まで数分待ちます。
[最後の手順１] - [Azure ADを開く] をクリックします
"MDM ユーザースコープ" で [一部] を選択し、手順6で作成されたグループを指定し、[保存] をクリックします
[最後の手順２] - [Azure ADを開く] をクリックします
"ユーザーはデバイスを Azure AD に参加させることができます" で [選択済み] を選択し、手順6で作成されたグループを指定し、[OK] をクリックします
"Azure AD 参加済みデバイスの追加のローカル管理者" で [選択済み] を選択し、全体管理者アカウントを指定し、[OK] をクリックし、[保存] をクリックします

認証方式の切り替え（必要な場合のみ）

ADFSや3rd Partyの認証製品をフェデレーション認証で利用している場合など、Azure ADの認証方式がクラウド認証でない場合、Windows10デバイスの登録ができませんので、認証方式を切り替えます。
Staged Rolloutという機能を利用することにより、検証ユーザーのみ認証方式を切り替えることが可能ですので、以下の手順で設定します。

Azure AD Connect管理画面に全体管理者でサインインします
[マネージドユーザーサインインの段階的なロールアウトを有効にする ] をクリックします
[パスワードハッシュの同期] を [オン] に設定し、[グループの管理] をクリックします
[グループの追加] をクリックし、検証ユーザーグループを追加します

Windows Hello for Businessの有効化（オプション）

次にWindowsにパスワードでなく、PIN（暗証番号）または生体認証（顔または指紋）でログインできるように、Windows Hello for Businessを有効化します。
この設定を行うことにより、デバイスへのログインが簡単になるだけでなく、パスワードがネットワークを流れなくなるため、セキュリティも向上するため、
ぜひご利用することをお勧めします。

Microsoft Endpoint Manager admin center に全体管理者でサインインします
[エンドポイントセキュリティ] - [セキュリティのベースライン] - [Windows 10 セキュリティベースライン] をクリックします

[プロファイル] - [Cloud-Managed PC MDM Security Baseline～] をクリックします
[プロパティ] - [構成設定] - [編集] をクリックします
[Windows Hello for Business] のタブを開き、以下の通り設定します
[レビューと保存] - [保存] をクリックします

Windows 10 デバイスの登録

Windows 10デバイスに管理者権限のあるアカウントでログインし、以下の手順でAzure ADに登録します。

Windowsのスタートメニューから [設定] を開き、検索ボックスに「職場または学校へのアクセス」と入力し、表示された候補をクリックします。
[接続] ボタンをクリックします
[このデバイスをAzure Active Directoryに参加させる] をクリックします
Azure ADのアカウント（Office365にサインインするときのアカウント）を入力し、[次へ] をクリックします
パスワードを入力し、[次へ] をクリックします
[参加する] をクリックします
[完了] をクリックして画面を閉じます。

デバイスにAzure ADアカウントでサインイン

これまでの手順で、デバイスがAzure ADに登録され、Azure ADのアカウントでデバイスにサインインできるようになりました。以下の手順で動作を確認してみましょう。

Windowsのスタートメニューでユーザーのアイコンをクリックし、 [サインアウト] をクリックします。
サインイン画面で、左下の [ほかのユーザー] をクリックし、Azure ADのアカウント・パスワードを入力しサインインします。

＜Windows Hello for Businessを有効にしている場合、以下の手順3～5の手順が必要となります。＞

右下の [PINのセットアップ] をクリックします。環境によってはこの後に多要素認証を要求されるため、画面の指示に従って認証してください。
任意のPINを入力し、 [OK] をクリックします。
PINの設定が完了したら、 [OK] をクリックします。
デスクトップが表示されたらEdgeを立ち上げ、https://portal.office.com にアクセスしてください。
認証を求められることなく、シングルサインオンでアクセスが出来たかと思います。
デバイスにログインする際にAzure ADの認証が既に完了しているため、このような動きとなります。

2. MacOS

次に mac OS デバイスのでバースポリシーを作成し、デバイスを Intune MDM に登録してみましょう。

macOS デバイスの登録準備

APNS 証明書の設定が完了していることを確認します

macOS デバイスの登録

以降の手順は Intune MDM に登録する macOS デバイスで実施します。

Company Portal Web にデバイスを利用するユーザーでサインインします
"どの種類のデバイスを使用していますか?" で [Mac、MacBook、MackBook Pro、または MackBook Air] を選択して [選択] をクリックします
[デバイス] をクリックします
[ここをタップして使用しているデバイスを知らせるか、新しいデバイスを追加します] をクリックします
[ダウンロード] をクリックします
[許可] をクリックします
[インストール] をクリックします
使用許諾契約を読み [続ける] をクリックします
[同意する] をクリックします
[インストール] をクリックします
ソフトウェアのインストールを許可するため、Touch ID を使用するかパスワードを入力します
"必要なデータに関する通知" で [OK] をクリックします
インストールが完了したら [閉じる] をクリックします
インストールされたポータルサイトアプリで [サインイン] をクリックし、デバイスを利用するユーザーでサインインします
[開始] をクリックします
[セットアップの開始] をクリックします
Intune が収集する情報、収集しない情報を確認して [続行] をクリックします
[プロファイルのダウンロード] をクリックします
[インストール] をクリックします
[続ける] をクリックします
[インストール] をクリックします
管理者のパスワードを入力し、[OK] をクリックします
デバイスプロファイルの中から黄色い警告マークがつきの [Management Profile] を選択し [承認] をクリックします
確認のダイアログで [承認] をクリックします
ステータスが緑の "承認済み" に変わります
プロファイルメニューを閉じ、"デバイス管理の確認" ステップで [続行] をクリックします
[完了] をクリックします
ポータルサイトアプリに登録した macOS デバイスが表示されます