この記事はシリーズの4つ目の記事です。他の記事も参考にしてください!
- Windows10をAzure ADに参加させる!【M365フルクラウド環境検証 その1】 | Microsoft Cloud Administrators
- Azure ADにドメインを追加してユーザーIDをわかりやすくする!【M365フルクラウド環境検証 その2】 | Microsoft Cloud Administrators
- M365 E5検証ライセンスを申し込む【M365フルクラウド環境検証 その3】 | Microsoft Cloud Administrators
さて、今回はMicrosoft 365にてデバイス管理を構成していきたいと思います。具体的にはIntuneの話になります。
管理コンソールはどれを使う?
Intuneの構成ならAzure管理ポータルから行うのかな?とも思いますが、Microsoft 365という括りになるとどうでしょうか?こういうときはまずきちんとMicrosoftから提供されているドキュメントを確認したいところですね。
Intune をセットアップするときに、Azure portal でのみ作業してデバイスを管理するか、または Intune と Microsoft 365 を一緒に使用してデバイスを管理するかを選択することもできます。 「Migrating mobile device management to Intune in the Azure portal」(Azure portal でモバイル デバイス管理を Intune に移行する) は Microsoft IT のケース スタディです。 このケース スタディでは、Microsoft IT が最新のデバイス管理アプローチをどのように選択したかを参照し、得られた教訓をお読みください。
Microsoft 365 でのデバイス管理 | Microsoft Docs
デバイス管理の管理センターは、モバイル デバイスに関するタスクの管理と実行を行うためのワンストップ ショップです。 このワークスペースには、デバイス管理のために使用するサービス (Intune や Azure Active Directory など) と、クライアント アプリの管理のために使用するサービスが含まれています。
Microsoft 365 でのデバイス管理 | Microsoft Docs
ちょっと微妙な書きぶりですが、「デバイス管理センター」が現段階ではイチオシのようですからそちらから構成したいと思います。
まずはデバイスの登録周りの設定から行っていきます。
Windows 10の自動登録の有効化
今回Microsoft 365 E5で検証していますのでAzure AD Premiumも利用可能です。AADに対してWindows 10の自動MDM登録を構成します。これはAzure AD Premiumライセンスを保持している場合に構成できる方法です。
Device Enrollmentの管理画面に初回アクセスした時にはMDM Authorityを聞かれます。今回はSCCMは構成しませんので、Intune MDM Authorityを選択します。
まずMDMのみ有効化して試そうと思います。
上記の画面で「自動登録」という意味合いになるというのはちょっと直感的にわかりにくいのですが、実際の挙動として下記画面から構成後にAADに参加した端末はIntuneにも自動登録される動きになります。
現状再確認ですが、すでに2台をAzure AD Joinさせている状態です。
これら2台はMDM自動登録の構成をする前にAzure ADに参加しており、MDMはNoneのステータスです。この「事前に参加していたデバイス」のMDM管理ステータスがどうなるかもウオッチしてみたいと思います。
新規のWindows 10デバイスのAAD Join
Windows 10のMDM自動登録を構成したあとで、Windows 10を新規に展開し、AAD Joinを行ってみます。今の状態であればAAD Joinを行ったタイミングでIntuneにも登録されるはずです。
win10aadtest2という名前のPCを作成しました。
AADに参加します。
Infoボタンがあります。
デバイスも管理される状態になったようです。ポータル側も見てみましょう。
下記のようにAAD上でデバイスが増え、Intuneにも登録されたことが確認できます。
Microsoft 365 Device Management上でも確認できます。MDMへの自動登録を構成したあとでAAD Joinを行った端末は即座にIntune登録も行われることが確認できます。
MDMへの自動登録を構成する前にAADに登録していた端末はMDM管理化に置かれないのか?
これは、自動登録されません。検証時間確保の都合で5日ほど放置してみましたが、登録されませんでした。あくまでも自動登録はAADへの参加時の話ですね。
Windows10デバイスのIntuneへの(手動)登録
Windows10デバイスを手動でIntuneに登録します。これはAzure AD Premiumライセンスを保持していなくても使える通常の方法です。
このようにMDMサーバーURLを入力することを求められます。手動でURLを入力する事もできますが、事前に管理者によってDNSにCNAMEレコードを作成しておく方法が推奨されます。
Microsoft Intune を使用して Windows デバイスの登録をセットアップする | Microsoft Docs
現状はまだ登録していませんので、CNAMEのテストをしても失敗します。
CNAMEレコードを追加します。
この時、Microsoft 365管理センターでDNSレコードとして提示されるものが(恐らく)古く、最新の推奨される値ではないので注意して下さい。登録すべきCNAMEレコードの参照先は下記ドキュメントに記載がある enterpriseEnrollment-s.manage.microsoft.com が推奨です。
テストも正常に通るようになりました。再度登録を行います。
Intuneに登録できました。
この方法だとAzureADへの接続とMDM(Intune)への接続が明示的に別のものとして管理されていますね。
Intuneへの登録デバイスとしてはきちんと表示されています。所有者が「個人」「企業」と異なって表示されているのが目立ちますね。
Windows10をAAD Joinと当時にIntuneに登録する方法ではWin10デバイスは企業によって所有されている扱いとなり、Windows10を手動でIntuneに登録する行為ではWin10デバイスは個人によって所有されているという扱いになることがわかります。
たしかに、(現状の構成では)AADのユーザー名とパスワードがわかればIntuneには自由にデバイスを登録できますし、個人所有のデバイスをBYODとして登録、サービス利用できますので、このような仕切りになるのも思想として理解できますね。
ただし、この設定は簡単にプロパティで変更することができます。
dsregcmd /status
では、今回もdsregcmd /statusの結果を確認しておきます。今回は2種類のデバイスがあります。1つはAAD join後にIntuneに登録したもの。もう1つはAAD Joinと同時にIntuneに登録されたものです。
※Win10のバージョンが異なり結果表示のフォーマットも異なってしまっております…。Updateして揃えておきます…。
AAD Join後にIntuneに登録したデバイス(ローカルユーザーで実行)
C:\Users\mebisuda>dsregcmd /status
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined : YES
EnterpriseJoined : NO
DeviceId : 392704b8-c227-40b0-8a44-daeec3cc44ce
Thumbprint : 0F852D1FEB45DF90FBBD5CEC051E3B94BEE53066
KeyContainerId : aa4c57b1-566e-4938-bf00-74d78ed4ef49
KeyProvider : Microsoft Software Key Storage Provider
TpmProtected : NO
KeySignTest: : PASSED
Idp : login.windows.net
TenantId : e2e06d42-fd4b-40f8-a9be-f94bc834bf47
TenantName : ebisuda
AuthCodeUrl : https://login.microsoftonline.com/e2e06d42-fd4b-40f8-a9be-f94bc834bf47/oauth2/authorize
AccessTokenUrl : https://login.microsoftonline.com/e2e06d42-fd4b-40f8-a9be-f94bc834bf47/oauth2/token
MdmUrl :
MdmTouUrl :
MdmComplianceUrl :
SettingsUrl :
JoinSrvVersion : 1.0
JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
KeySrvVersion : 1.0
KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
WebAuthNSrvVersion : 1.0
WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/e2e06d42-fd4b-40f8-a9be-f94bc834bf47/
WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
DeviceManagementSrvVersion : 1.0
DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/e2e06d42-fd4b-40f8-a9be-f94bc834bf47/
DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
DomainJoined : NO
+----------------------------------------------------------------------+
| User State |
+----------------------------------------------------------------------+
NgcSet : NO
WorkplaceJoined : NO
WamDefaultSet : NO
AzureAdPrt : NO
AzureAdPrtAuthority :
EnterprisePrt : NO
EnterprisePrtAuthority :
+----------------------------------------------------------------------+
| Ngc Prerequisite Check |
+----------------------------------------------------------------------+
IsUserAzureAD : NO
PolicyEnabled : NO
PostLogonEnabled : YES
DeviceEligible : YES
SessionIsNotRemote : NO
CertEnrollment : none
AadRecoveryNeeded : NO
PreReqResult : WillNotProvisionAAD Joinと当時にIntune登録されたデバイス(ローカルユーザーで実行)
C:\Users\mebisuda>dsregcmd /status
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined : YES
EnterpriseJoined : NO
DomainJoined : NO
+----------------------------------------------------------------------+
| Device Details |
+----------------------------------------------------------------------+
DeviceId : 8f6640f7-9d58-41c4-ad78-9c10bae0b6dd
Thumbprint : 348584547BE89482D8F2753708B9AB4306ACDD48
DeviceCertificateValidity : [ 2019-08-13 13:41:40.000 UTC -- 2029-08-13 14:11:40.000 UTC ]
KeyContainerId : 4e9b74de-1945-4686-b2d5-dd2f221b6875
KeyProvider : Microsoft Software Key Storage Provider
TpmProtected : NO
+----------------------------------------------------------------------+
| Tenant Details |
+----------------------------------------------------------------------+
TenantName : ebisuda
TenantId : e2e06d42-fd4b-40f8-a9be-f94bc834bf47
Idp : login.windows.net
AuthCodeUrl : https://login.microsoftonline.com/e2e06d42-fd4b-40f8-a9be-f94bc834bf47/oauth2/authorize
AccessTokenUrl : https://login.microsoftonline.com/e2e06d42-fd4b-40f8-a9be-f94bc834bf47/oauth2/token
MdmUrl : https://enrollment.manage.microsoft.com/enrollmentserver/discovery.svc
MdmTouUrl : https://portal.manage.microsoft.com/TermsofUse.aspx
MdmComplianceUrl : https://portal.manage.microsoft.com/?portalAction=Compliance
SettingsUrl :
JoinSrvVersion : 1.0
JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
KeySrvVersion : 1.0
KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
WebAuthNSrvVersion : 1.0
WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/e2e06d42-fd4b-40f8-a9be-f94bc834bf47/
WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
DeviceManagementSrvVer : 1.0
DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/e2e06d42-fd4b-40f8-a9be-f94bc834bf47/
DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+
| User State |
+----------------------------------------------------------------------+
NgcSet : NO
WorkplaceJoined : NO
WamDefaultSet : NO
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : NO
AzureAdPrtAuthority :
EnterprisePrt : NO
EnterprisePrtAuthority :
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
AadRecoveryNeeded : NO
KeySignTest : PASSED
+----------------------------------------------------------------------+
| Ngc Prerequisite Check |
+----------------------------------------------------------------------+
IsDeviceJoined : YES
IsUserAzureAD : NO
PolicyEnabled : NO
PostLogonEnabled : YES
DeviceEligible : YES
SessionIsNotRemote : NO
CertEnrollment : none
PreReqResult : WillNotProvisionとりあえずIntuneに登録はできましたので、次はポリシーを構成していきたいと考えています。(予定は変更になるかもしれません。)
シリーズの次の記事はこちら!