手っ取り早くIntuneを勉強する必要が出てきたので勉強する。
最初はMSLearnのIntune Fundamentalsを読んでいたが、読んでるだけだとどんどん意味不明になってきたので、HandsOnも交えながら勉強する。
用語
- Mobile Application Management: 組織で MAM を使用することで、アプリケーション内のデータを管理および保護できます。
- Mobile Device Management: MDM を使うと、組織は登録されたデバイスに基づいて、リソースとデータを保護し、セキュリティ保護することができます。
Entra ID RegistrationとEntra ID Joinがある。
- Entra ID Registration - BYOD
- Entra ID Join - 社用端末
DeviceをEntra IDに接続する
Entra側設定
Entra ID CenterのDevice Settingから、自分でDeviceをRegister/Joinできるか設定できる。
※Intuneが構成済みの場合はRegisterは自動的にAllになる。また、Join/Registerする際にMFAを必須とするか等を選択できる。
1ユーザーで何台まで登録できるようにするかなど。
また、Register/JoinするときにDevice Administratorという形で全てのデバイスにログインできるユーザーを設定できる。
VMでJoin
AccountsからWorkのアカウントでログイン。
この画面で上に普通にメルアドを入力するとRegisterになって、下のJoin this deviceをクリックするとJoinになる。紛らわしい。。。
Joinできた。
PS C:\Users\localadmin> dsregcmd /status
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined : YES
EnterpriseJoined : NO
DomainJoined : NO
Virtual Desktop : NOT SET
Device Name : vm2win10
また、AzureAD Joinしたから以下のようにAdministrators GroupにさきほどDevice Administratorとして設定したユーザーが自動的に追加される。
Entra ID Joinしたら、ドメインユーザーでRDPすることができるようになる。手順は詳細はこの辺を参照。この辺の正しい手順がドキュメントだとわかり辛いので助かります。
Intuneへの自動登録
上を実施しただけだとEntra Joinはしているが、Intuneには登録されていない状態。以下のAutomatic Enrollmentから全てのWindows DeviceでEntra 登録すればIntuneへ自動登録されるようになる。
ここのMDMユーザースコープはIntuneへ自動登録を行うことができるユーザーを決める。Allにすれば誰でもできる。ただし、全員にIntuneのライセンスが必要になるので注意。
、、、が、うまく自動登録が動かない場合などは以下からEnroll only in device managementを実施。
以下を参考。
Entra JoinとIntune登録両方できたら以下のようになる。
手動でIntune同期できるようになる。
やっとIntune Portalで出てくるようになった。
ちなみにポータルにDeviceが出てきても、ちゃんとIntuneによる管理が動いていない場合があった。ポリシーを作成していくらSyncしたり、待っても反映されていなかったり。そういう場合は実はIntune登録がうまくいっていない可能性がある。
クライアント側の以下2点を確認して、これらがOKであればIntune登録もOKとみなして良さそう。
①CertからIntuneが発行した証明書が登録されているか。
②以下コマンドを実行し、Tenant DetailsのMdmから始まる項目に値が入っているか。
PS C:\Users\SC200Test> dsregcmd /status
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined : YES
EnterpriseJoined : NO
DomainJoined : NO
Virtual Desktop : NOT SET
Device Name : vm2win10
+----------------------------------------------------------------------+
| Device Details |
+----------------------------------------------------------------------+
DeviceId : e4bc3344-5486-438c-a8ba-a6fee2c3ee95
DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+
| Tenant Details |
+----------------------------------------------------------------------+
TenantName : SC200Trial
MdmUrl : https://enrollment.manage.microsoft.com/enrollmentserver/discovery.svc
MdmTouUrl : https://portal.manage.microsoft.com/TermsofUse.aspx
MdmComplianceUrl : https://portal.manage.microsoft.com/?portalAction=Compliance
最終的には、自分の場合はWindows Updateしたり、Intune解除、再登録などをしてたらいつの間にかちゃんと登録された。
登録制限
登録にはオプションがある。
例えば特定のグループのユーザーでは、個人所有のデバイスを登録させるのを制限させることができる。
Device Enrollment Manager
「Intuneにデバイスを登録できる管理者以外のユーザー」を設定することができる。通常のユーザーは15台までしか登録することができないが、ここに登録すると1000台まで登録できるようになる。(ここに登録されるユーザーにはIntuneのライセンスが必要。)
ポリシー
デバイスを制御するためのポリシーを設定する。
ルールをDeviceGroupに割り振る。
手動でクライアント側から同期を実施すると設定が反映される。
ちなみにIntuneで設定したものはユーザーから変更できなくなる。
ちゃんと全体で反映されているか確認できる。
もし反映されていない端末がある場合は管理ポータルのデバイス詳細画面の上からSyncが実行できる。
ポリシーテンプレート
テンプレートには様々なものがあり、Kioskというのがある。
SingleAppにして。
HPをBingにして。
Syncして再起動するとログイン時にKioskとでた。
が、VMだとKioskモードを利用するのは色々と難しいらしい。
こういうこともできるということで。
Active DirectoryのGroup PolicyをIntuneに移行
自前で環境を準備できなかったので、ざっくり手順と参考サイトを貼る。
- ADのグループポリシーオブジェクト(GPO)をXML形式でエクスポートして
- Intune Portalのグループポリシー分析という機能でGPOをImportして、Intuneがサポートしているポリシーの割合をレポートで表示できる
- 移行機能でIntuneのポリシー設定が作成される
Intune Portalから見れる情報
ちなみにIntune Portalからも色々な情報が見れる。
User
もうこの辺Entra Adminポータルと見間違うばかり。
Audit
Devices
ハードウェア詳細
どのポリシーが適用されているか
等など。
Intuneを利用したクラウドアプリの配布
Microsoft Storeのアプリを配布してみる。
どのアプリタイプ。
何のアプリを
どのように配布するか。
配布先を決定する。
配布先にはRequiredとAvailableがあり、Requiredの場合は時間が経てば自動的にインストールされ、Availableの場合は以下の手順で手動でインストールされる。
ポータルからSyncする。
Manage Portalから自分の状況を見てみる。
配布設定されたアプリを手動でインストールする
以下のページから。
アプリが表示される。
アプリをインストールしたいデバイスを選択。
このDevice上でアプリが利用できるようになった。
インストールボタンを押す。
インストールできた。この際ポータルにログインするにはonmicrosoft.comのドメインユーザーでログインしているので、VMにもローカルユーザーではなくドメインユーザーでログインしていないとダメっぽい。
ちなみに、Intuneから登録したアプリは上記のように手動インストールもできるが、基本は時間がたてば自動的にインストールされるようになる。
Intune Portalからのインストールステータスも更新されていることを確認。
Intuneを経由してインストールしたアプリにはManaged Appとして表示されるようになる。
Intuneを利用したComplianceの設定
カスタム設定が可能。
最小OSバージョンや、
Defender の有効化を必須とするなど。
状態が非準拠の場合、何日でnoncompliantとして記録するか。0だと即時になる。
ポリシーを割り当てる。
Complianceを利用して条件付きアクセスポリシーを設定
条件付きアクセスについては以前雑にまとめた。
Device > 条件付きアクセスから。Entra Admin Portalからでなくてもできちゃうんですね。。
TargetをExchange Online、条件にプラットフォームをWindowsに設定。
デバイス
とりあえず条件を色々厳しくしてNot compliantの状態にしてみた。
Exchange onlineを見るとこんなメッセージが出た。
Check Complianceを押すと、どのComplianceにひっかかっているか、どう解消すればいいかが記載されている。
IntuneによるEndpointセキュリティ
Intuneを利用してMicrosoft Defenderを構成する。
ここは色々設定がある。Windowsの設定だったり、Defenderの設定だったり。
Defenderの設定。
適用先を決定。
VM側に適用された。元々はもっと詳細に設定できたが、ログインしているユーザーには見えないようになった。
適用状態も見える。
Intuneによるディスク暗号化
Bitlockerの設定。PIN入力を求めるか、Bitlocker Recovery Keyをどうするかとか。
適用するグループを選択。
AutopilotによるWin11端末の初期設定
本来なら物理端末で実施するのだが、VMで新しくWin11端末を構築して試してみる。が、Azure VMだとできないらしく、Azure VMにHyperVを建てる感じでやってみる。
以下の手順でWindows11 Proをたてる。
まずはHyperV上のVMで以下のコマンドを実行。
PS C:\Users\localadmin> Install-Script -Name Get-WindowsAutoPilotInfo
PS C:\Users\localadmin> Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
PS C:\Users\localadmin> Get-WindowsAutoPilotInfo.ps1 -OutputFile C:\Computer.csv
PS C:\Users\localadmin> type C:\Computer.csv
Device Serial Number,Windows Product ID,Hardware Hash
0000-0005-9753-7171-9844-3163-20,,T0FMBAEAHAAAAAoAJxVdWAAACgD4FV1YGYElMAACCQgCABAACQABAAEAAgABAAAABQAZAAgAAAAAAAAAAAgAAAAAAAADAAEAAwMAEQBHZW51aW5lSW50ZWwABAA0AEludGVsKFIpIFhlb24oUikgUGxhdGludW0gODI3MkNMIENQVSBAIDIuNjBHSHoAAAYAEACIAAAAAAAAAAoA/wEG...省略
Device OnboardingからAutopilot > Devicesを選択。
先ほど出力したComputer.csvをインポート。10分程度かかった。
AutopilotのProfileを設定
今度はDeployment Profileを押す。
OOBE(Out of Box Experiment)の設定を決める。
Assign Groupは一旦全部にしてしまう。
※もし特定の端末だけを対象にしたい場合は、動的メンバーシップのグループでメンバーシップのルールで以下のようにDeviceのIDで絞ればいい。
(device.devicePhysicalIDs -any (_ -contains "[ZTDId]"))
Profileができた。
Autopiliotの進捗を表示するように設定
Enrollment status pageから
PCリセット
HyperVのVM上でReset this PCを実施。
(本来は物理デバイスであれば、起動時に実行されるので不要だが、VMなので実施。)
Local Reinstallを実施。
Reset実施中。
ドメインユーザーでログイン
これがAutopilotの画面なのかな?なんか他のページで見るのと違うのだが。。。
でも内容的には同じだからこれっぽい。
とこんな感じで一通りAutopilotを体験することができた。