Intuneを有効にして構成する

Avatar
Nerdio Product Support

Intuneを有効にして構成する

Microsoft Intuneは、モバイルデバイス管理(MDM)およびモバイルアプリケーション管理(MAM)に焦点を当てたクラウドベースのサービスです。Microsoft Intuneを使用すると、組織のデバイス(モバイル、ラップトップ、タブレット、クラウドPC、Azure Virtual Desktop)を管理できます。

この機能により、Windows 365 Cloud PCs や物理デバイスを含む Intune 登録済みエンドポイントを管理できます。

操作モードと権限

Nerdio ManagerのIntune統合を設定すると、選択した機能を実行するための一連の権限が付与されます。これらの権限の範囲は、選択した操作モードによって異なります。Nerdio ManagerのIntune統合を以下の3つのモードのいずれかで動作するように設定できます。組織のセキュリティポリシーにより、以下のいずれかがテナントにとって好ましいかが決まる場合があります。たとえば、組織がアプリケーションレベルの権限や管理者権限を付与するユーザー数に制限を課している場合です。

  • アプリケーションコンテキスト(デフォルト):Nerdio Managerは、選択した機能を実行するためにアプリケーションレベルの権限を取得します。個々のユーザーに権限を付与する必要はなく、このモードでは大多数の機能がサポートされています。ただし、BitLockerキーの表示など、一部の操作はこのモードでは実行できません。

  • ユーザーコンテキスト:Nerdio Managerは、サインインした管理者ユーザーに代わって選択した機能を実行するために必要な委任アクセス権限を取得します。初期設定中またはIntune統合設定からいつでもこのモードに切り替えることができます。

  • アプリケーション&ユーザーコンテキスト:Nerdio Managerは主にアプリケーションコンテキストで動作しますが、ユーザーコンテキストでのみサポートされる操作を実行するために、リンクされたIntuneサービスアカウントに関連付けられた委任アクセス権限を使用します。このモードを設定するには、まず統合をアプリケーションコンテキストで実行するように構成し、次にIntuneサービスアカウントをリンクすることで、委任アクセス権限を必要とする機能のサポートを追加します。

    注意: Intuneがすでに実行中の場合、現在の操作モードを次のようにして確認できます:

    1. [Nerdio Manager設定] > [環境]に移動します。

    2. 統合タイルで、Intuneを選択して展開します。

    3. モードフィールドまでスクロールします。このフィールドに表示される値が現在の操作モードです。

Intuneを有効にし、操作モードを選択し、機能を設定します。

Intuneを使用する前に、Nerdio Managerを有効にして構成する必要があります。

注:

  • Intune 統合は、デバイスタイプまたは Entra ID ユーザーグループによって制限できます。

  • Intune ライセンスは、Nerdio Managerがインストールされている Entra ID テナントに存在する必要があります。

  • Cloud PCが選択されている場合、Windows 365 ライセンスは、Nerdio ManagerがインストールされているEntra IDテナントに存在する必要があります。

  • プロセスが正常に完了するためには、ユーザーは管理者でなければなりません。

Intuneを有効にして構成するには:

  1. [Nerdio Manager設定] > [環境]に移動します。

  2. 統合タイルで、Intuneを選択して展開します。

  3. 現在のステータスフィールドは、テナントに対してIntuneが無効または有効であるかを示します。このステータスを変更するか、Intuneの設定を構成するには、構成を選択します。

  4. Intuneを有効にするには、現在のステータスオプションをオンに切り替えます。Intuneを無効にするには、このオプションをオフに切り替えます。

  5. ユーザー操作モードトグルは、Nerdio ManagerIntune統合に付与される権限の範囲を決定します。(上記の操作モードと権限を参照してください。)

    • このオプションをオフのままにして、アプリケーションコンテキストでIntuneを導入し、選択した機能を実行するためのNerdio Managerアプリケーションレベルの権限を付与します。

    • このオプションをオンに切り替えて、ユーザーコンテキストでIntuneを導入し、サインインした管理者ユーザーに代わって必要な委任されたアクセス許可を付与します。

      注意:ユーザー操作モード設定は、次のステップで構成できる機能のセットを決定します。

  6. 有効にしたいIntune機能を選択してください。設定が完了すると、Nerdio Managerは適切なアプリケーションレベルおよび/または委任された権限を要求します。

    • Intuneがアプリケーションコンテキストユーザー操作モードオフに設定されている)で動作する場合は、構成可能な機能の見出しの下で有効にしたい機能を選択してください。

    • Intuneがユーザーコンテキストユーザー操作モードオンに設定されている)で動作する場合、

      • Nerdio管理アプリケーション機能の見出しの下で有効にしたいアプリケーションレベルの機能を選択してください。

      • 委任ユーザー機能の見出しの下で有効にしたいユーザーレベルの機能を選択してください。

      注:機能と権限の詳細については、Intune: 詳細な権限を参照してください。

  7. デバイスの可視性範囲制限の見出しの下で管理したいデバイスタイプとプラットフォームを選択してください:

    • デバイスプラットフォーム: ドロップダウンリストから管理したいデバイスプラットフォームを選択してください。

      デフォルトでは、Windows デバイスのみが含まれます。Android、iOS/iPadOS、およびmacOSデバイスも管理できます。

    • デバイスタイプスコープ: 必要に応じて、ドロップダウンリストから管理するデバイスタイプを選択します。

      注:デフォルトでは、すべての Intune デバイスが含まれます。必要に応じて、デバイス管理を AVD ホスト、Windows 365 Cloud PC、物理デバイスのいずれかまたは複数に制限できます。

    • Entra ID グループで制限: 必要に応じて、ドロップダウンリストから 1 つ以上の Entra ID グループを選択し、管理対象を選択したグループ内で定義されているユーザーのデバイスのみに制限します。

      注意:このオプションは、選択したデバイスタイプスコープと組み合わせて使用されます。

    • プライマリユーザーがいないデバイスを含める: ユーザーに割り当てられていないデバイスを含めるためにこのオプションを選択します。

      注意:このオプションは、選択したデバイスタイプスコープによって制限されますが、選択したEntra ID グループで制限のルールは無視されます。

  8. 必要な情報をすべて入力したら、[保存] を選択します。

Intuneサービスアカウントをリンクする

Intuneインテグレーションがアプリケーションコンテキストで運用するように設定されており、BitLockerキーの表示など、委任されたアクセス許可を必要とする操作を有効にしたい場合は、Entra IDでIntune管理者権限が付与されたIntuneサービスアカウントをリンクして、アプリケーションおよびユーザーコンテキストモードに変更できます。

注意: リンクされたIntuneサービスアカウントに関連する設定は、Intuneがアプリケーションコンテキストで運用するように構成されている場合にのみ有効になります。Intuneがユーザーコンテキストで運用している間にサービスアカウントをリンクした場合(またはサービスアカウントをリンクした後にユーザーコンテキストに切り替えた場合)、構成された操作モードがIntuneインテグレーションのアクセス許可を決定し、リンクされたアカウントは影響を与えません。

Intuneサービスアカウントをリンクする方法:

  1. [設定] に移動します。

  2. 新しい UI: [環境] を選択し、次に [統合] タブを選択します。Intuneセクションに移動し、下矢印を選択してセクションを展開し、次にIntuneサービスアカウントをリンクを選択します。

  3. ユーザーアカウントをリンクダイアログボックスで、ログインを選択して、ログインページにリダイレクトされます。

  4. Intune用に使用されるアクティブなIntune管理者ロールを持つユーザーとしてサインインします。

    注意: このユーザーはNerdio ManagerRBACロールのいずれかの役割の割り当てを持っている必要があります。詳細については、「ロールベースのアクセス制御 (RBAC) は Nerdio Manager で利用できます。」を参照してください。

Intune管理アクセス許可

選択した機能に応じて、Intuneインテグレーションを構成すると、Nerdio Managerアプリケーションおよび/またはサインインした管理者に対して、すでに存在しない場合は、以下のいずれかまたはすべてのアクセス許可が追加されます:

  • (BitlockerKey.Read.All委任)

  • (BitlockerKey.ReadBasic.All委任)

  • CloudPC.ReadWrite.All(委任またはアプリケーション、操作モードに応じて)

  • Device.Read.All(委任またはアプリケーション)

  • DeviceManagementApps.ReadWrite.All(委任またはアプリケーション)

  • DeviceManagementConfiguration.ReadWrite.All(委任またはアプリケーション)

  • DeviceManagementManagedDevices.PrivilegedOperations.All(委任またはアプリケーション)

  • DeviceManagementManagedDevices.ReadWrite.All(委任またはアプリケーション)

  • DeviceManagementRBAC.ReadWrite.All(委任またはアプリケーション)

  • DeviceManagementServiceConfig.ReadWrite.All(委任またはアプリケーション)

  • Group.ReadWrite.All(委任またはアプリケーション)

  • GroupMember.ReadWrite.All(委任またはアプリケーション)

  • Policy.Read.All(委任またはアプリケーション)

注意: これらの権限とそれに対応する機能に関する詳細は、Intune: 詳細な権限を参照してください。

Windows Update for Business レポートを有効にする

Nerdio Managerは、Windows Update for Business (WUfB) レポートを統合できます。

Windows Update for Business レポートを有効にするには:

  1. Azure ポータルで、手動で Log Analytics ワークスペース(LAW)を作成し、WUfB レポートワークブックを有効にします。

    注:

    • 詳細な手順については、この Microsoft 記事を参照してください。

    • これには最大で24時間かかる場合があります。

  2. オプションとして、Intune ポータルから更新リングを作成することを検討してもよいでしょう。(Nerdio Manager将来のリリースでアプリケーション内からこの機能を提供するために。)

  3. [Nerdio Manager設定] > [Azure 環境] に移動します。

  4. Intune (UEM) タイルで、Windows Update for Business レポート パラメーターを見つけて、無効を選択します。

  5. 次の情報を入力します:

    • Windows Update for Business レポート: このオプションをオンにします。

    • Log Analytics ワークスペース: ドロップダウンリストから使用する既存の LAW を選択します。または、新しい LAW の名前を入力して作成し、使用します。

    • 次のいずれかを選択してください:

      • すべての管理対象エンドポイントで WUfB レポートを有効にする Intune ポリシーを自動的に割り当てる: このオプションを選択して、このポリシーをすべてのエンドポイントに割り当てます。

      • 既存の構成プロファイルを使用する: このオプションを選択して、既存の構成プロファイルを使用します。

      • 自分でエンドポイントに WUfB レポートを有効にする: このオプションを選択して、ポリシーをエンドポイントに自分で割り当てます。

        注意: WUfB レポートは、手動、スクリプト、または Intune ポリシーを展開することによって有効にできます。詳細については、この Microsoft の記事を参照してください。

  6. 必要な情報をすべて入力したら、[保存] を選択します。

    Windows Update for Business レポートは現在有効になっています。

自動ポリシーおよびプロファイルのバックアップを設定する

Nerdio Managerは、自動ポリシーおよびプロファイルのバックアップを設定することを可能にします。これにより、Nerdio コンソールまたはネイティブ Intune コンソールから編集されるたびに、ポリシーまたはプロファイルのバックアップが取得されます。詳細については、Intune: ポリシーとプロファイルのバックアップ管理を参照してください。

ポリシー承認リクエストを構成する

ポリシー承認ワークフローは、Intuneで実装される前にポリシー変更リクエストをレビューする承認者を指定できるNerdio Manager機能です。これにより、すべてのポリシー変更がユーザーやエンドポイントに展開される前に、少なくとも他の1人のユーザーによってレビューされることが保証され、ポリシー管理ライフサイクルに関連するリスクが最小限に抑えられます。

ポリシー承認リクエストを有効にするには:

  1. [Nerdio Manager設定] > [環境] に移動し、[統合] タブを選択します。

  2. Intuneセクションを展開し、ポリシー承認リクエストまでスクロールします。

  3. 設定メニューを開くには、歯車アイコンを選択します。

  4. スイッチを有効にするに切り替え、その後保存を選択します。
    ポリシー承認リクエストが有効になっている間、Intuneポリシーへの変更は即座に適用されず、代わりにエンドポイント > 承認のダッシュボードで承認待ちとしてキューに入れられます。

    注:

    • ポリシー変更リクエストを表示および承認する権限は、以下のようにRBACによって管理されます:

      • 既定では、組み込みのAdminロールに割り当てられたユーザーはポリシー変更リクエストを承認でき、組み込みのReviewerロールに割り当てられたユーザーは承認待ちの変更リクエストに対して読み取り専用アクセスを持ちます。

      • Intuneの権限承認の読み取りまたは承認の管理新規または既存のカスタムロールに追加することで、ユーザーがポリシー変更リクエストを表示または管理できるようにすることもできます。

      • ポリシーの管理権限を持っているが、承認の読み取りまたは承認の管理権限を持っていないユーザーは、承認ダッシュボードを表示できますが、自分の承認リクエストのみを見ることができます。

    • 承認プロセスの堅牢性を確保するために、承認権限を持つユーザーは自分の変更を承認することができません。したがって、この機能を有効にする際には、タイムリーなレビューを提供するために十分な規模の承認者プールがあることを確認する必要があります。

Intune Insightsを有効にし、しきい値を設定します。

Nerdio ManagerIntune Insightsは、データ駆動型のインサイトを提供する包括的なエンドポイントアナリティクスツールであり、デバイスのパフォーマンス問題に積極的に対処し、ユーザーエクスペリエンスを向上させ、デバイスの構成を最適化することを可能にします。詳細については、Insights:Intuneを参照してください。

Intune Insightsを使用するには:

  1. 環境でIntune Insightsを有効にします。

  2. Intune Insightsのしきい値を設定して、次のことができるようにします:

    • 許容可能なパフォーマンスレベルを定義する:主要な指標(例:コンプライアンス状態、パッチ状態、アプリの正常性)に対してしきい値を設定し、基準を下回るデバイスを迅速に特定します。

    • プロアクティブ監視を有効にする: 問題が深刻化する前に通知を受け取ります。

    • 可視性を向上させる: 赤、オレンジ、緑(RAG)ステータスインジケーターを用いてダッシュボード上の問題箇所を強調し、全体のデバイスヘルスを一目で把握しやすくします。

    • 修復作業を最適化する: 重大度に基づいてトラブルシューティングの優先順位を決め、重大な問題が最初に対処されるようにします。

Intune Insightsを有効にするには:

  1. [Nerdio Manager設定] > [環境] に移動し、[統合] タブを選択します。

  2. Intuneセクションで、下矢印を選択してセクションを展開し、Intune Insightsまでスクロールします。

  3. Intune Insightsを有効にするためのトグルを選択します。

  4. これで、Intune Insightsのしきい値を設定できるようになりました。

Intune Insightsのしきい値を設定するには:

  1. 設定 > 環境に移動し、統合タブを選択し、Intuneセクションで下矢印を選択してセクションを展開し、Intune Insightsまでスクロールします。歯車 アイコンを選択します。

  2. Intune Insightsのしきい値ダイアログボックスで、以下の側面のしきい値を定義します:

    • テナント: セキュリティパッチが欠落しているか、サポートされていないOS

    • テナント: Intune証明書のしきい値(例: Apple VPP、登録、プッシュ)

    • コンプライアンスポリシー

    • 構成プロファイル

    • 管理されたアプリ

  3. 保存を選択します。

Intune Insightsを管理する

Nerdio Managerは、Intune Insightsのステータスを表示し、手動で同期を行うことを可能にします。

Intune Insightsのステータスを表示するには:

  1. 設定 > 環境に移動し、統合タブを選択し、Intuneセクションで下矢印を選択してセクションを展開し、Intune Insightsまでスクロールします。ステータスアイコンを選択します。

  2. Intune Insightsのステータスが表示されます。

  3. ダイアログボックスを閉じるには、再度ステータスアイコンを選択します。

Intune Insightsを同期するには:

  1. 設定 > 環境に移動し、統合タブを選択し、Intuneセクションで下矢印を選択してセクションを展開し、Intune Insightsまでスクロールします。同期 アイコンを選択します。

  2. Intune Insights Syncダイアログボックスで、同期を選択します。

追加情報

Active Directory Domain Services (ADDS) および Entra Domain Services のシナリオでは、ADDS サービス アカウントは、対象デバイスに対してローカル管理者権限を設定する必要があります。製品でドメインサービス アカウント機能を有効にするには、App Service 設定 Features:UamServiceAccounts を追加してください。この設定の詳細については、高度な App Service の構成を参照してください。

制限事項:

  • サービス アカウントは Entra ID ジョイン シナリオをサポートしていません。この設定は Entra ID 参加展開ではバイパスされます。

  • サービスアカウントは多要素認証ポリシーから除外する必要があります。ただし、信頼できるネットワークでのみ使用できるように、アカウントに条件付きアクセス ポリシーを適用することをお勧めします。

関連トピック

Intune: デバイスの管理

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください

関連記事

コメント (0件のコメント)

記事コメントは受け付けていません。