Intune クロステナント管理を有効にして設定する

Avatar
Nerdio Product Support

Intune クロステナント管理を有効にして設定する

この記事では、Nerdio Managerコンソールを介して複数の追加 Intune テナントを追加および管理するプロセスについて説明します。これは、Intuneクロステナント管理機能の一部です。

注: Intune クロステナント管理は現在、パブリック プレビューです。

前提条件

       Nerdio Managerサブスクリプション

この手順のタスクは、次のNerdio Managerサブスクリプションレベルに適用されます:

AVD コア

True *

AVD プレミアム

True
Windows 365

True *
統合エンドポイント管理

True *

*この機能はすべてのサブスクリプションで完全に機能します。ただし、初期設定では、Entra ID ベースのテナントリンクに Azure Virtual Desktop Premium Nerdio Manager 機能を使用します。他のプランの加入者は、Azure CLI で高度な設定を行う必要があります。詳細については、以下を参照してください。

       役割ベースのアクセス制御 (RBAC) と権限

Intuneのクロステナント管理には、Microsoft Azure/EntraとNerdio Managerの両方での設定が必要です。以下のセクションでは、必要な最小のアクセスレベルについて説明します。

注意: 設定は、異なるプラットフォームおよびテナントにわたって単一の管理者によって行うことも、複数の異なる管理者によって行うこともできます。各役割に適用される手順は以下に示されています。

             Nerdio Manager のロール

管理者の役割は、Nerdio ManagerでIntuneクロステナント管理を有効にし、設定するために必要です。

                          Nerdio Manager アクセスレベル

最小特権の原則(PoLP)に従って、Nerdio ManagerでIntuneクロステナント管理を有効にし、設定するためのカスタムロールを定義できます。フルアクセスは、Intuneモジュールで必要です。

             Azure の組み込みロール

最小特権の原則(PoLP)に従い、二次テナントでIntuneクロステナント管理を有効にするために必要な権限を設定するには、次のAzureの組み込みロールが必要です。

重要:Nerdio Manager に追加される各二次テナントでアプリ登録の作成や必要な権限の設定を行うためには、これらのロールを持つ管理者アカウントが必要です。

ロール

説明

目的

アプリ管理者

アプリ登録を作成および管理する

このロールに割り当てられた管理者は、各二次テナントでNerdio Manager App Service のサービスプリンシパルを作成する必要があります。

このアクセスは、二次テナントを追加または削除するためにのみ必要であり、継続的な管理には必要ありません。

ロールベースのアクセス制御管理者またはユーザーアクセス管理者

Azureリソースへのアクセスを管理する

このロールに割り当てられた管理者は、各二次テナントでNerdio Manager App Service への必要なアクセスを付与する必要があります。

このアクセスは、テナントにIntune管理機能が追加または削除されるたびに必要です。

            追加の権限

各セカンダリテナントにおけるNerdio Manager App Service のサービスプリンシパルは、管理される機能に必要なのIntune のアクセス許可に加えて、LicenseAssignment.Read.Allのアクセス許可が必要です。構成の詳細については、準備手順を参照してください。

              準備手順

Nerdio Managerでセカンダリ テナントを管理する前に、選択した機能の管理に必要な権限を特定し、各セカンダリ テナントに必要な権限を持つサービス プリンシパルを設定する必要があります。

注: 各ターゲット テナントにサービス プリンシパルを作成して構成する必要があります。Nerdio Managerに複数のセカンダリ テナントを追加する場合は、各テナントについてこれらの準備手順を繰り返す必要があります。

必要な権限を特定するには:

Intune: 詳細な権限を参照して、セカンダリ テナントで管理したい各機能を実装するためにNerdio Managerアプリサービスが必要とする権限を特定し、メモしてください。

ヒント: 代わりに、次のようにしてNerdio Manager内で必要な権限を特定できます:

  1. [設定] > [環境] に移動し、[統合] タブを選択します。

  2. Intune タブを選択します。

  3. プライマリ (アイデンティティ) テナントの見出しの下で、その他のオプションアイコンを選択し、ドロップダウンから構成を選択します。

  4. 各機能のツールチップを選択して、セカンダリ テナント(複数可)でその機能を管理するためにNerdio Managerが必要とする権限を特定します。

セカンダリ テナントでサービス プリンシパルを作成して設定するには (AVD Core、Windows 365、および UEM サブスクリプション用):

重要: ユーザーコンテキストモードのサポートが追加されると、Azure CLI 経由でセカンダリテナントに Nerdio Manager サービスプリンシパルを手動でプロビジョニングしたコアサブスクライバー向けには、アプリコンテキストからユーザーコンテキストへの移行が利用できなくなります。

  1. プライマリ テナントで、Nerdio Managerアプリケーションの一意のアプリケーション ID を取得して記録します。次のステップでターゲット テナント(複数可)にサービス プリンシパルを作成するためにこれを使用します。

  2. Azure CLIを使用して、ターゲット テナントにサービス プリンシパルを作成し、プライマリ テナントNerdio Managerアプリケーションの ID を指定します。

  3. 上記で特定した必要な権限と、権限LicenseAssignment.Read.Allをサービス プリンシパルに追加します。

  4. ターゲット テナント IDを取得し、メモしておきます。これは、Nerdio Manager にテナントを追加するために必要です。

セカンダリ テナントにサービス プリンシパルを作成するには(Azure Virtual Desktop Premium Nerdio Managerサブスクリプションの場合):

  1. https://entra.microsoft.comに移動し、ターゲット テナントで必要な権限を付与された管理者 ID でログインします。

  2. ナビゲーション ペインで、アプリ登録を選択します。

    1. [+ 新規登録] を選択します。

    2. 次の情報を入力します:

      • 名前: アプリのユーザー向け表示名を入力します。

      • サポートされているアカウントの種類: [この組織のディレクトリ内のアカウントのみ] を選択します。

      • リダイレクト URI: このフィールドは空白のままにしてください。リダイレクト URI は必要ありません。

    3. 必要な情報をすべて入力したら、[登録] を選択します。

    4. アプリケーション(クライアント)IDをコピーして、Nerdio Managerでリンクに使用します。

    5. メニューから、証明書とシークレットを選択します。

    6. + 新しいクライアントシークレットを選択します。

    7. アプリ登録の説明と有効期限を入力します。

      ヒント: 有効期限は1年以上の値に設定することをお勧めします。

    8. 必要な情報を入力したら、OKを選択します。

    9. をコピーして、Nerdio Managerでのリンクに使用するクライアントシークレットの値とします。

      クライアントシークレットの値には、初回作成時にのみアクセスできます。値をコピーして安全な場所に保管したことを再確認してください。後で再取得することはできません。

    10. ページを離れる前に、作成したアプリ登録の以下の情報を記録したことを確認してください。これは、Nerdio Managerにテナントを追加するために必要です。

      • テナントID

      • クライアントアプリID

      • クライアントシークレット

    セカンダリ テナントにサービス プリンシパルの権限を追加するには(Azure Virtual Desktop Premium Nerdio Managerサブスクリプションの場合):

    1. アプリ登録リストで新しく作成されたアプリ登録を見つけ、その表示名を選択して概要ページを開きます。

    2. ナビゲーション ペインで、管理見出しの下にあるAPI 権限を選択します。

    3. [+ 権限を追加] を選択します。

    4. Microsoft Graphを選択します。

    5. アプリケーション権限を選択します。

    6. 上記で特定した必要な権限に加えて、権限LicenseAssignment.Read.Allをリストから見つけ、そのチェックボックスをオンにします。

    7. すべての必要な権限にチェックを入れたら、権限を追加を選択します。

    8. 管理者の同意を<tenant name>に付与して、テナントを代表して要求されたNerdio Manager権限に同意します。

Nerdio Managerにセカンダリテナントを追加して有効にします。

セカンダリ テナントにサービス プリンシパルを設定したら、プライマリ テナントのNerdio Managerインスタンスからそれらをリンクできます。

注:

Intune のクロステナント管理はプレビュー中なので、セカンダリーテナントはひとつずつ追加し、さらにテナントを増やす前に Nerdio Manager のパフォーマンスをしっかり監視することをお勧めします。

パフォーマンスに悪影響が出た場合は、サポートチケットを提出して、状況を報告してください

Nerdio Managerにセカンダリテナントを追加するには:

  1. Nerdio Managerで、設定> 環境に移動し、Azure タブを選択します。

  2. プライマリEntra IDテナント(AVDおよびアイデンティティ)見出しを展開します。

  3. リンクされたEntra IDテナントセクションで、アプリの資格情報を使用してリンクを選択します。

  4. プレミアム Nerdio Managerサブスクリプションがある場合、

    1. 上記で記録したターゲットテナントIDを入力してください

    2. アプリIDを選択フィールドで、新しいアプリIDのリンクを選択してください。

    3. アイデンティティタイプフィールドで、アプリ登録を選択してください。

    4. アイデンティティ名フィールドに、後でテナントを簡単に識別できる表示名を入力してください。

      注意: この表示名が設定されると、Nerdio ManagerはドロップダウンメニューやUI画面でテナントを識別するために利用します。必要に応じて、この表示名は後で編集できます。

    5. アプリIDフィールドに、クライアントアプリID上記に記録したものを入力してください。

    6. Azureクラウドフィールドで、Azure Global (商用)またはAzure US Governmentを選択してください。

    7. クライアントアプリシークレットフィールドに、クライアントアプリシークレット上記に記録したものを入力してください。

    または、もしCore Nerdio Managerサブスクリプションをお持ちの場合、

    1. 上記で記録したターゲットテナントIDを入力してください

    2. アプリIDを選択フィールドで、Nerdio Managerセカンダリーテナントでサービスプリンシパルを作成したアプリケーションを選択してください。残りのフィールドは自動的に入力されます。

  5. OKを選択して、セカンダリーテナントをNerdio Managerにリンクし、エディターを閉じてください。

    重要: APIの権限が登録されるまでに時間がかかる場合があります。次のステップに進む前に、少なくとも1時間待つことをお勧めします。

Nerdio ManagerのセカンダリーテナントにIntuneを有効にするには:

  1. [Nerdio Manager設定] > [環境] に移動し、[統合] タブを選択します。

  2. [Intune] 見出しを展開します。

    前のステップが正しく完了していれば、セカンダリーテナントがリストに表示され、ステータス無効有効列に表示されます。

  3. テナントのその他のオプションアイコンを選択し、ドロップダウンから設定を選択してください。

  4. 現在のステータストグルを有効に設定してください。

  5. テナントの必要なIntune管理機能を有効にしてください。

    重要: 選択した機能は、セカンダリーテナントのアプリ登録に追加した権限と正確に一致する必要があります。追加の機能を管理したい場合は、アプリ登録に対応する権限を手動で追加する必要があります。

  6. 保存を選択して、変更を確定し、設定画面を終了してください。

    テナントは現在、Intuneテナントリストで有効として表示されます。

Intuneでのセカンダリテナントの設定を管理します。

セカンダリテナントに対してIntuneを有効にした後、テナントの管理機能を追加または削除するか、テナントをIntune管理テナントのリストから完全に削除できます。Intune管理機能に対する変更は、セカンダリテナントのアプリ登録とNerdio ManagerのIntune統合に並行して行う必要があります。

セカンダリテナントのIntune管理機能を変更するには:

  1. Intune: 詳細な権限を参照して、セカンダリテナントで管理したい各機能を実装するためにNerdio Managerアプリサービスが必要とする権限を特定し、メモしてください。

  2. ターゲットテナントのEntra IDポータルを使用して、以前に設定したNerdio Managerアプリ登録を特定し、管理したいIntune機能の修正されたセットに合わせて権限を追加または削除してください。設定の詳細については、あなたのNerdioサブスクリプションに関連する準備ステップのセクションを参照してください。

  3. [Nerdio Manager設定] > [環境] に移動し、[統合] タブを選択します。

  4. [Intune] 見出しを展開します。

  5. ターゲットテナントのその他のオプションアイコンを選択し、ドロップダウンから設定を選択してください。

  6. テナントに適用可能なIntune管理機能を有効にするか、削除してください。

    重要: 有効にした機能は、セカンダリテナントのアプリ登録に追加した権限と正確に一致する必要があります。追加の機能を管理したい場合は、アプリ登録に対応する権限を手動で追加する必要があります。

  7. 保存を選択して、変更を確定し、設定画面を終了してください。

テナントをIntune管理から削除するには:

  1. [Nerdio Manager設定] > [環境] に移動し、[統合] タブを選択します。

  2. 削除したいテナントのその他のオプションアイコンを選択し、ドロップダウンから設定を選択してください。

  3. 現在のステータストグルを無効に設定してください。

  4. 保存を選択して、変更を確定し、設定画面を終了してください。

    テナントは、Intuneテナントリストで無効として表示されます。

  5. サービスプリンシパルは、Nerdio ManagerのIntune管理にはもはや必要ないため、他の機能で使用されていない限り、安全にテナントから削除できます。

    重要: 削除する前に、サービスプリンシパルオブジェクトがAVDまたはIntune Insightsに必要とされていないことを確認してください。

お困りですか?

この項目についてサポートチケットを作成します。

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください

関連記事

コメント (0件のコメント)

サインインしてコメントを残してください。