3. Self-IntroductionYoshihide Kimura
W o r k
• 日本ビジネスシステムズ株式会社に所属
• Microsoft 365全般を担当
• Autopilotのハンズオンも担当
• 主な担当製品:
• Active Directory
• System Center
• Windows 10
• EMS
• あとはPowerAppsとかFlowとか好き勝
手にやってます。
P r i v a t e
• Hybrid Cloud Community Japan(HCCJP)所属
Azure / Azure Stackもやってます。
• Facebook:
https://www.facebook.com/yoshihide.kimura.58
• Twitter:https://twitter.com/objectbuzz
• Blog:https://medium.com/objectbuzz
• ネコ好き
• ペンギン好き
Aboutme…
自 己 紹 介
3
15. Hardware IDハードウェアID
A d v a n c e p r e p a r a t i o n
15
1.Powershellで出力したcsvファイルに
「Order ID」を追加し、値を入力
2. アップロードされたデバイスの「グル
ープタグ」に、csvの「Order ID」が
表示される
16. Hardware IDハードウェアID
A d v a n c e p r e p a r a t i o n
16
3.動的メンバーシップルールを以下の様
に指定
(device.devicePhysicalIds -any _ -
eq [OrderID]:wg1903 )
4. 作成したグループをデプロイプロファ
イルに割り当てる
21. ポリシーはGPOの
置き換えではない
W a y o f t h i n k i n g
「IntuneのポリシーはGPOと同じことができるのか」とよ
くお話をいただきます。
Intuneのポリシー(プロファイル)には「管理用テンプレ
ート」が一部搭載されていますので、かなり近づいている
部分もありますが、完全に置き換えるものではありませ
ん。
また、ポリシーを考える基準としては「どのポリシーを使
用するか」といった視点ではなく、「何を制御したいの
か」と行った視点から考えることをオススメします。
※ポリシー(プロファイル)はあくまでも手段である。
また、設計書には「なんのためにその設定をしたのか」を
必ず明記しておきましょう。
21
管理用テンプレート
22. 所有者
W a y o f t h i n k i n g
Intuneでは最初にデバイスを登録したアカウントを「ユー
ザーによって登録済み(Enrolled by User)」アカウント
として認識/登録します。
基本的には1アカウント5台までの登録となりますので、
例えば「管理者が事前にまとめて管理者アカウントを使っ
てデバイスを登録する」といったことはできません。
※White Gloveは事前にサインインが不要なため、本制限
にはひっかかりません。
また、現時点でIntuneに登録されたデバイスを削除しない
限り変更する方法はありません。
尚、Bitlockerを使用する場合、回復パスワードはIntune
管理者か登録済みユーザーのみ確認することができます。
22
23. グループの考え方
W a y o f t h i n k i n g
Azure ADやIntuneで設定可能なグループ。
Intuneではこのグループを元に、ポリシーの適用先やアプリケ
ーションの配布対象を決定します。
オンプレADのOU/GPOのように、ポリシーやアプリケーショ
ンの対象を考慮してグループを作成してください。
ただし、まずはすべてのユーザーを含むグループとすべてのデ
バイスを含むグループを作成し、その後、ポリシー/アプリケ
ーションを意識したグループを作成しましょう。
23
24. 割り当ての考え方
W a y o f t h i n k i n g
前ページで記載したとおり、ポリシーの適用先やアプリケーシ
ョンの配信対象はグループを対象とします。
グループには「ユーザー」と「デバイス」を登録できますが、
各種設定の割り当てには「ユーザー」を利用することをオス
スメします。
※「デバイス」がダメというわけではない。
特に制御系(USB利用不可等)はユーザーに紐づけておくと
意図しないデータの書き出しを防ぐことができます。
※書き出し用の端末を準備するのであれば不要
逆にWhite Gloveを使うときは「デバイス」をうまく使ってく
ださい。
24
30. Configurationポータルサイトアプリは必須
C o n f i g u r a t i o n / O p e r a t i o n
30Windows Storeから配信しようとすると「必須」が選択できない
参考:https://docs.microsoft.com/ja-jp/intune/windows-store-for-business
36. ConfigurationQU/FU配信
Windows10をIntuneで管理する場合、QU/
FUは「Windows Update For Business」
で管理することになります。
そのため、WSUSやSCCMのように「QU/
FU」を完全に抑制することはできませんの
で、「更新リング」をうまく活用して、適用
タイミングをコントロールしましょう。
なお、合わせて「配信の最適化」を利用す
ることをオススメします。
「配信の最適化」はQU/FUだけでなく、
Intuneで配信されたアプリケーションにも
対応しています。
C o n f i g u r a t i o n / O p e r a t i o n
36
40. ホスト名のランダム値
O t h e r
Autopilotのプロファイル設定にてデバイス名のテンプレート
に「%RAND:x%」や「%SERIAL%」を指定することでホスト
名の重複を防ぐことができます。
ただしデバイス名のテンプレートでは「連番」をつけることは
できません。
「連番」をつける場合は展開後にPowershell等を利用して変
更することをおすすめします。
また、「%RAND:x%」を使用してホスト名の一部にランダム
値を割り当てる場合、このランダム値が重複する可能性があり
ます。
そのため、ランダム値の桁数はできるだけ多くすることをおす
すめします。
40
41. リモートアクセス
あれこれ
O t h e r
Intuneでは「TeamViewer」を連携することでリモートアクセ
スすることが可能ですが、ライセンスはIntuneとは別に必要と
なります。
Office 365proplusのSkypeやTeamsを使って画面共有する
こともできますし、レジストリやOMA-URIを利用して
Remote Desktopを有効化することも可能です。
また、イントラネット限定かつ専用サーバーが必要になります
が、Intel AMTの機能を利用してハードウェアレベルでリモー
トアクセスすることも可能です。
※端末がIntel AMTに対応している必要あり
Intel AMT:https://downloadcenter.intel.com/ja/
product/23549
41
42. リモートアクセス
あれこれ
O t h e r
PowershellでRDPとFW有効化(sample)
# Allow this to Run
Set-ExecutionPolicy Bypass -Force
# Enable RDP
Set-ItemProperty -Path "HKLM:
SystemCurrentControlSetControlTerminal Server" -
Name "fDenyTSConnections" ‒Value 0
# Open Firewall
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"
42
OMA-URIでRDP有効化
• OMA-URI: ./Device/Vendor/MSFT/Policy/Config/
RemoteDesktopServices/
AllowUsersToConnectRemotely
• Date type: String
• Value: <enabled />
43. Intune Enrollment
O t h e r
以前は端末の登録に使用されていた「Microsoft Intune
Enrollment」
※今は使われていないはず
Azure AD上にこれが残っているとAutopilotが失敗すること
があります。
特にHybrid AzureAD Joinの場合、Autopilot実行中にイベン
トログに以下のエラーがよく表示されます。
[microsoft-windows-moderndeployment-diagnostics-
provider/autopilot]に[0x81036501]が記録される。
この場合、「Microsoft Intune Enrollment」を削除すればエ
ラーが表示されなくなります。
43
44. Proplus失踪事件
O t h e r
Surface Laptop等、端末購入時にOffice 365 Proplusがプレ
インストールされている機種の場合、IntuneでProplus配信する
とプレインストールされているProplusがアンインストールされ
ることがあります。
これは、プレインストールされているProplusの更新チャネルが
毎月であり、配信しようとしているProplusの更新チャネルが毎
月以外の場合に起こりえます。
Proplusの更新チャネル変更はレジストリ変更で可能ですが、
レジストリ変更後にアップデートが必要です。
そして、このアップデートでは再インストールが実施されます。
この挙動により、Proplusのアップデート時にプレインストール
のProplusがアンインストールされ、その次の配信のタイミング
で再度Proplusがインストールされます。
44
51. Deep Diveイベントログあれこれ
B O N U S
51
• microsoft-windows-moderndeployment-diagnostics-provider/autopilot
にjsonファイルがダウンロードされたログが表示されます。
SCCMを使用したWindows7/8.1からのAutopilot対応の際に、
タスクシーケンスでjsonファイルを指定しますが、
おそらく同じ物と思われますので、やろうと思えば
手動でできるんじゃないかと考えてます。