Intuneクロステナント管理
Nerdio ManagerのIntune クロステナント管理機能により、管理者は単一のNerdio Managerインスタンス内で複数の追加の Intune テナントを追加および管理できます。これにより、大規模または複雑な Intune 環境の管理が簡単になり、特に複数の組織が関与するシナリオ(例:合併や買収(M&A)後、または親組織が複数の子組織を管理する場合)で役立ちます。
セカンダリテナントでサービスプリンシパルとエンタープライズ アプリケーション登録の設定を行うことで、プライマリテナントで実行中のNerdio Managerインスタンスを経由して、セカンダリテナントの Intune および Windows 365 の管理が可能になります。
シングルテナントのNerdio Manager展開で使えるほとんどの管理機能は、マルチテナントシナリオでも利用でき、将来のリリースで完全な機能互換が実現される予定です。
提供状況
この機能はパブリックプレビューです。
この機能は、以下のNerdio Managerプランで利用可能です:
AVD コア |
* |
AVD プレミアム |
|
| Windows 365 | * |
| 統合エンドポイント管理 | * |
*この機能はすべてのサブスクリプションで完全に動作しますが、初期設定では Entra ID ベースのテナントリンクのために AVD PremiumNerdio Manager機能を使用します。他のプランの加入者は、Azure CLI で高度な設定を実行する必要があります。
制限事項と既知の問題
この機能のプレビュー版には、以下の制限があります:
問題および制限 |
影響 |
緩和策または計画された修正 |
|---|---|---|
セカンダリテナントでのNerdio Manager権限の自動割り当てはサポートされていません。 |
セカンダリテナントにサービスプリンシパルを作成し、必要な Intune 機能用に権限を手動で割り当てる必要があります。 |
|
Intuneユーザーオペレーティングモードはセカンダリテナントではサポートされていません。 |
Nerdio Managerはアプリケーションコンテキストモードで動作するように設定する必要があります。 |
ユーザーコンテキストモードのサポートは将来のリリースで予定されています。 重要: ユーザーコンテキストモードのサポートが追加されると、Azure CLI 経由でセカンダリテナントに Nerdio Manager サービスプリンシパルを手動でプロビジョニングしたコアサブスクライバー向けには、アプリコンテキストからユーザーコンテキストへの移行が利用できなくなります。 |
テナント間のポリシー伝播は現在サポートされていません。 |
各テナントに個別にIntune ポリシーをNerdio Manager割り当てる必要があります。 |
|
Intune Insights機能はセカンダリテナントではサポートされていません。 |
Intune Insightsに関連するデータダッシュボードとレポートは、現在プライマリ管理テナントでのみ利用できます。 |
いくつかのレポートはレポート内のIntune ポータルで確認できますが、Nerdio Manager Insightsに関連する詳細な視覚表示は、現在セカンダリテナントでは利用できません。 |
Intune サービスアカウントはセカンダリテナントにリンクできません。 |
BitLocker キーの表示など、いくつかの操作は、Nerdio Manager内のセカンダリテナントでは実行できません。 |
これらの操作は、Intune ポータル経由で実行してください。 |
Nerdio Manager経由での Intune スクリプト署名は、セカンダリテナントでは使用できません。 |
Nerdio Managerでの Intune スクリプト自己署名は、プライマリテナントのみで利用できます。 |
セカンダリテナントのスクリプトに署名するには、ネイティブの PowerShell メソッドを使用してください。 |
AVD から Windows 365 への移行は、セカンダリテナントやクロステナント シナリオではサポートされていません。 |
AVD ホストを Windows 365 Cloud PC に移行することは、現在プライマリテナントのみで自動化できます。 |
セカンダリテナントでの移行には、 Windows 365 Cloud PC の手動インスタンス化と、 Microsoft Graph API を使用したユーザーアカウントの移行が必要です。 |
役割ベースのアクセス制御 (RBAC) と権限
Intuneのクロステナント管理には、Microsoft Azure/EntraとNerdio Managerの両方での設定が必要です。以下のセクションでは、必要な最小のアクセスレベルについて説明します。
注意: 設定は、異なるプラットフォームおよびテナントにわたって単一の管理者によって行うことも、複数の異なる管理者によって行うこともできます。各役割に適用される手順は以下に示されています。
Nerdio Manager のロール
管理者の役割は、Nerdio ManagerでIntuneクロステナント管理を有効にし、設定するために必要です。
Nerdio Manager アクセスレベル
最小特権の原則(PoLP)に従って、Nerdio ManagerでIntuneクロステナント管理を有効にし、設定するためのカスタムロールを定義できます。フルアクセスは、Intuneモジュールで必要です。
Azure の組み込みロール
最小特権の原則(PoLP)に従い、二次テナントでIntuneクロステナント管理を有効にするために必要な権限を設定するには、次のAzureの組み込みロールが必要です。
重要:Nerdio Manager に追加される各二次テナントでアプリ登録の作成や必要な権限の設定を行うためには、これらのロールを持つ管理者アカウントが必要です。
ロール |
説明 |
目的 |
|---|---|---|
アプリ登録を作成および管理する |
このロールに割り当てられた管理者は、各二次テナントでNerdio Manager App Service のサービスプリンシパルを作成する必要があります。 このアクセスは、二次テナントを追加または削除するためにのみ必要であり、継続的な管理には必要ありません。 |
|
Azureリソースへのアクセスを管理する |
このロールに割り当てられた管理者は、各二次テナントでNerdio Manager App Service への必要なアクセスを付与する必要があります。 このアクセスは、テナントにIntune管理機能が追加または削除されるたびに必要です。 |
追加の権限
各セカンダリテナントにおけるNerdio Manager App Service のサービスプリンシパルは、管理される機能に必要なのIntune のアクセス許可に加えて、LicenseAssignment.Read.Allのアクセス許可が必要です。
手順
以下の手順では、Intune クロステナント管理の設定と運用方法を案内します:
展開時の考慮事項
スケーリングの考慮事項
Intune のクロステナント管理はプレビュー中なので、セカンダリーテナントはひとつずつ追加し、さらにテナントを増やす前に Nerdio Manager のパフォーマンスをしっかり監視することをお勧めします。
パフォーマンスに悪影響が出た場合は、サポートチケットを提出して、状況を報告してください。
ヘルプとサポート
便利なリンク
マルチテナント組織のドキュメント | Microsoft Learn
お問い合わせ
この機能の詳細については、営業チームにお問い合わせください。
この機能については、サポートチケットを提出してください。
コメント (0件のコメント)