PR10 GPO にサヨナラ。 Microsoft Intune に よるモダン マネジメント 国井 傑 (くにい すぐる) 株式会社ソフィアネットワーク Microsoft MVP for Enterprise Mobility / マイクロソフト認定トレーナー
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
PR10
GPO にサヨナラ。Microsoft Intune に
よるモダン マネジメント
国井傑 (くにい すぐる)
株式会社ソフィアネットワーク
Microsoft MVP for Enterprise Mobility / マイクロソフト認定トレーナー
モダン マネージメント
モダン マネージメントへの道
これまでの管理
展開とプロビジョニング
・キッティング プロセスによるイメージ展開・イメージ展開サーバーを利用した展開
ID と認証 構成 更新とサービス
・Active Directory による認証とデバイスの管理
・グループ ポリシーまたはSCCM によるポリシー管理 / アプリ管理
・WSUS または SCCMを利用した更新プログラムの管理と展開
モダンマネージメント
・Azure AD によるクラウド ベースの認証とデバイスの管理
・Microsoft Intune によるポリシー管理 /アプリ管理
・直接接続による更新・ Microsoft Intune による更新リングの管理
・OEM イメージの活用・新規デバイスの自動登録 (WindowsAutoPilot)・BYOD
オンプレミスとクラウドでは求めるものが同じとは限らない
歴代の AD管理者による負の遺産を整理する
バッチ ファイル
WSH
Python スクリプト
PowerShell
スクリプト
Microsoft Intune によるプロファイル設定
Windows 10デバイスに対するプロファイル設定
• 既定のプロファイル設定では 450 以上の項目を用意Intune項目名 説明
デバイスの制限 デバイス上での操作に対する制限に関する設定
エディションのアップグレード
およびモードの切り替えPro または Enterprise にアップグレードするための設定
電子メール Exchange ActiveSync 接続時のメールプロファイルの展開
Endpoint Protection マルウェア対策機能の設定
Identity Protection Windows Hello for Business 設定
キオスク 特定アプリのみの実行を許可するための設定
ネットワーク境界 Windows Information Protection で使用するネットワーク境界を展開
信頼済み証明書 信頼されたルート証明機関に登録するルート証明書を展開
SCEP/PKCS 証明書 SCEP または PKCS を利用してユーザー/デバイス証明書を展開
VPN VPN プロファイルを展開
Windows Defender ATP Windows Defender ATP を利用するためのテナント情報を展開
Wi-Fi Wi-Fi プロファイルを展開
教育プロファイル テストを実行するためのユーザーを定義
カスタム OMA-URI ベースのプロファイルを展開
ソフトウェア更新プログラム
更新結果の確認
セキュリティ ベースライン
セキュリティ ベースライン
• OS 種類別/デバイス種類別に
用意されたセキュリティ設定の
ガイドライン
• Microsoft Security Compliance
Toolkit として、ガイドラインと
その設定が含まれる GPO を提供https://www.microsoft.com/en-us/download/
details.aspx?id=55319
セキュリティ ベースライン
• セキュリティ ベースラインに含まれるデバイス種類• Windows 10 Credential Guard
• Windows 10 Defender Antivirus
• Windows 10 Domain Security
• Windows 10 RS4 BitLocker
• Windows 10 RS4 Computer
• Windows 10 RS4 User など
• RS5 より Windows 10
MDM デバイス種類を提供予定
セキュリティ ベースライン ×Microsoft Intune
• セキュリティ ベースラインを Microsoft Intune の
プロファイルとして展開可能
【参考】セキュリティ ベースライン設定
【参考】セキュリティ ベースライン設定
【参考】セキュリティ ベースライン設定
【参考】セキュリティ ベースライン設定
ADMX ポリシー
デバイスの管理形態
• Microsoft Intune では CSP
(Configuration Service Provider) 経由で
ADMX ファイルで定義されている
項目への設定を展開可能
CSP
ADMXポリシーの設定例
OMA-URI の分解
GPO設定項目に対する CSP項目の探し方
GPO設定項目に対する CSP項目の探し方 (続き)
【参考】 GPO設定項目に対する CSP項目の探し方
MMATの実装
MMAT実装のための要件など
キオスク モード
• 特定アプリのみを実行可能にするモード
• Intune 管理ポータルの Windows 10
用プロファイルの [キオスク] から設定
キオスク モード
キオスク モードの実行モード
シングル全画面表示アプリ キオスク マルチ アプリ キオスク
【参考】シングル全画面表示アプリ キオスク設定
【参考】マルチアプリ キオスク設定
【参考】ストアアプリの AUMIDの検索
https://docs.microsoft.com/ja-jp/windows/configuration/find-the-application-user-model-id-of-an-installed-app
【参考】スタート メニューのカスタマイズ
<LayoutModificationTemplate xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout"
xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout" Version="1" xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification">
<LayoutOptions StartTileGroupCellWidth="6" />
<DefaultLayoutOverride>
<StartLayoutCollection>
<defaultlayout:StartLayout GroupCellWidth="6">
<start:Group Name="">
<start:Tile Size=“2x2” Column=“2” Row=“0” AppUserModelID=“Microsoft.
Office.OneNote_8wekyb3d8bbwe!microsoft.onenoteim" />
<start:DesktopApplicationTile Size=“2x2” Column=“0” Row=“0”
DesktopApplicationLinkPath=“%APPDATA%¥Microsoft¥Windows¥Start Menu
¥Programs¥Accessories¥Notepad.lnk" />
</start:Group></defaultlayout:StartLayout>
</StartLayoutCollection>
</DefaultLayoutOverride>
</LayoutModificationTemplate>
アプリの展開
Microsoft Intuneからアプリを展開
• GPO と同じ要領で展開が可能• デバイスまたはユーザーに展開
• 必須または利用可能にて展開
(デバイス単位での利用可能による展開も可能)
• .msi または .exe ファイルを展開
(デバイス単位での .exe ファイルの展開も可能)
.exe ファイルの展開
Intune項目名 説明
アプリの種類 Windows アプリ (.intunewin)
パッケージファイル .intunewin 拡張子のセットアップ プログラムをアップロード
アプリ情報 アプリの名前や説明などを定義
プログラムインストール / アンインストール時のプログラム (.exe) と
オプション スイッチを指定
必要条件 OS 種類や CPU/ メモリ容量などの要件を定義
検出規則 既にインストールされていることを判断する基準を定義
リターンコード 展開実行時のリターンコードを定義
.intunewin ファイルの作成
https://github.com/Microsoft/Intune-Win32-App-Packaging-Tool
Windows PowerShell によるプロファイル設定
• PowerShell スクリプトの実行制御
Windows PowerShell によるプロファイル設定
Intune
Mgmt.
Extension
【まとめ】モダンマネージメントへのポリシー移行・管理ステップ
・プロファイル設定
・更新リング
・セキュリティ ベースライン
・ADMX ポリシー
・アプリ展開
おすすめセッション
ひと目でわかる Intuneクラウドで始めるモバイルデバイス管理特別価格にて先行発売中です!
LinkedIn Learning 90日間お試しコード
© 2018 Sophia Network Ltd. All rights reserved.
本コンテンツの著作権、および本コンテンツ中に出てくる商標権、団体名、ロゴ、製品、サービスなどはそれぞれ、各権利保有者に帰属します。
【 Appendix 】デバイスの管理形態
Windows 10のデバイス管理形態
01
オンプレミス管理
02
オンプレミスと
クラウドでの並行管理
03
SCCM とクラウド
の並行管理
04
クラウド管理へ
完全移行
05
BYOD
01 オンプレミス管理
ID管理Windows
サインインデバイス登録先 ポリシー管理
Active Directory Active Directory Active Directory Group Policy
・Active Directory
・グループポリシー
ドメイン参加
02 オンプレミスとクラウドでの並行管理
ID管理Windows
サインインデバイス登録先 ポリシー管理
Active Directory
Azure Active DirectoryActive Directory
Active Directory
Azure Active Directory
Microsoft Intune
Group Policy
Microsoft Intune
Azure Active Directory
Microsoft Intune
・Active Directory
・グループポリシー
ドメイン参加
ハイブリッド
Azure AD 参加
03 クラウド管理へ完全移行
ID管理Windows
サインインデバイス登録先 ポリシー管理
Azure Active Directory Azure Active DirectoryAzure Active Directory
Microsoft IntuneMicrosoft Intune
Azure Active Directory
Microsoft Intune
Azure AD 参加
04 SCCM とクラウドの並行管理
・Active Directory
・グループポリシー
ID管理Windows
サインインデバイス登録先 ポリシー管理
Active Directory
Azure Active DirectoryActive Directory
Active Directory / SCCM
Azure Active Directory
Microsoft Intune
Group Policy
SCCM
Microsoft Intune
Azure Active Directory
Microsoft Intune
SCCM
ドメイン参加
ハイブリッド
Azure AD 参加
05 BYOD
ID管理Windows
サインインデバイス登録先 ポリシー管理
Azure Active Directory Windows ローカルAzure Active Directory
Microsoft IntuneMicrosoft Intune
Azure Active Directory
Microsoft Intune
Azure AD
デバイス登録
Related Documents
