共同管理ワークロード
ワークロードを切り替える必要はありません。 準備ができたら、個別に切り替えたり、一度に複数切り替えたり、同時に切り替えたりできます。 ただし、ワークロードを Intune に切り替えるまで、Configuration Manager は、Intune に切り替えないワークロードと、共同管理がサポートしていない Configuration Manager の他のすべての機能を引き続き管理します。
ワークロードを Intune に切り替えても、後で考えを変えた場合は、影響を受ける可能性がありますが、Configuration Manager に戻すことができます。 たとえば、Intune によってインストールされている場合、Windows と Office のバージョンは新しいバージョンのままです。
共同管理でサポートされるワークロードは次のとおりです。
コンプライアンス ポリシー
コンプライアンス ポリシーでは、条件付きアクセス ポリシーによってデバイスが準拠していると見なされるために遵守する必要があるルールと設定を定義します。 また、コンプライアンス ポリシーは、条件付きアクセスとは別に、デバイスのコンプライアンスに関する問題を監視して修復するためにも使用します。 コンプライアンス ポリシー評価ルールとして、カスタム構成基準の評価を追加できます。 詳細については、「 コンプライアンス ポリシー評価の一部としてカスタム構成基準を含める」を参照してください。
Intune 機能の詳細については、「 コンプライアンス ポリシーを使用して Intune で管理するデバイスのルールを設定する」を参照してください。
Windows Update ポリシー
Windows Update for Business ポリシーを使用すると、Windows Update for Business によって直接管理される Windows 10 以降のデバイスの Windows 10 以降の機能更新プログラムまたは品質更新プログラムの遅延ポリシーを構成できます。
注:
これらのデバイスで Windows Autopatch を使用するには、このワークロードを Intune で管理する必要があります。 詳細については、「 Windows Autopatch の前提条件」を参照してください。
Intune 機能の詳細については、「Intune での Windows ソフトウェア更新プログラムの管理」を参照してください。
リソース アクセス ポリシー
重要
バージョン 2203 以降では、Configuration Manager のこれらの会社のリソース アクセス機能と、この共同管理ワークロードはサポートされなくなりました。 詳細については、「 リソース アクセスの非推奨に関してよく寄せられる質問」を参照してください。
リソース アクセス ポリシーでは、デバイスの VPN、Wi-Fi、電子メール、および証明書の設定を構成します。
Intune 機能の詳細については、「 リソース アクセス プロファイルのデプロイ」を参照してください。
注:
リソース アクセス ワークロードは、デバイス構成の一部でもあります。 これらのポリシーは、 デバイス構成 ワークロードを切り替えるときに Intune によって管理されます。
Endpoint Protection
Endpoint Protection ワークロードには、Defender の保護機能スイートが含まれています。
- Microsoft Defender ウイルス対策
- Microsoft Defender Application Guard
- Microsoft Defender SmartScreen
- Microsoft Defender for Endpoint (正式には Windows Defender Advanced Threat Protection と呼ばれます)
- Windows Defender ファイアウォール
- Windows 暗号化 (BitLocker とも呼ばれます)
- Windows Defender Exploit Guard
- Windows Defender Application Control
- Windows Defender セキュリティ センター
Intune 機能の詳細については、「 Intune を使用してデバイスを保護するための Windows 10 以降の設定」を参照してください。
注:
このワークロードを切り替えると、Intune ポリシーによって上書きされるまで、Configuration Manager ポリシーはデバイスに保持されます。 この動作により、移行中もデバイスに保護ポリシーが適用されます。
Endpoint Protection ワークロードは、デバイス構成の一部でもあります。 デバイス構成ワークロードを切り替える場合も同じ動作が適用されます。
Endpoint Protection ワークロードが Intune に存在する場合、Windows Information Protection 設定は Configuration Manager と Intune の両方から適用されます。 Configuration Manager は、デバイス構成ワークロードが Intune に移動されるまで、引き続き Windows Information Protection ポリシーを適用します。
Intune デバイス構成のデバイス制限プロファイルの種類の一部である Microsoft Defender ウイルス対策設定は、[エンドポイント保護] スライダーのスコープには含まれません。 エンドポイント保護スライダーが有効になっている共同管理デバイスの Microsoft Defender ウイルス対策を管理するには、Microsoft Intune 管理センターの新しいウイルス対策ポリシー>Endpoint セキュリティ>Antivirus を使用します。 新しいポリシーの種類には、使用可能な新しいオプションと改善されたオプションがあり、デバイス制限プロファイルで使用できるのと同じ設定をすべてサポートします。
Windows 暗号化機能には、BitLocker 管理が含まれています。 共同管理でのこの機能の動作の詳細については、「 BitLocker 管理の展開」を参照してください。
デバイス構成
デバイス構成ワークロードには、組織内のデバイスに対して管理する設定が含まれています。 このワークロードを切り替えると、 リソース アクセス と エンドポイント保護 のワークロードも移動します。
Intune がデバイス構成機関であっても、Configuration Manager から共同管理デバイスに設定を展開できます。 この例外は、組織が必要とするが Intune ではまだ使用できない設定を構成するために使用される場合があります。 Configuration Manager 構成基準でこの例外を指定します。 ベースラインの作成時に、 共同管理クライアントに対しても常にこのベースラインを適用 するオプションを有効にします。 既存のベースラインのプロパティの [ 全般 ] タブで後で変更できます。
これらのデバイスで Windows Autopatch を使用するには、このワークロードを Intune で管理する必要があります。 詳細については、「 Windows Autopatch の前提条件」を参照してください。
Intune 機能の詳細については、「 Microsoft Intune でデバイス プロファイルを作成する」を参照してください。
注:
設定カタログから作成されたポリシーは、ポリシーの内容に関係なく、デバイス構成ワークロード スライダーによって制御されます。
デバイス構成ワークロードを切り替えると、Windows Information Protection 機能のポリシーも含まれます。 デバイス構成ワークロードが Intune に移動されると、Intune からのポリシーのみが適用されます。
注:
エンドポイント保護設定を削除するには、デバイス構成ワークロードも切り替える必要があります。
Office クイック実行アプリ
このワークロードは、共同管理デバイス上の Microsoft 365 Apps を管理します。
ワークロードを移動すると、アプリがデバイスの ポータル サイト に表示されます
クライアントに Office 更新プログラムが表示されるまでに 24 時間かかることがあります (デバイスを再起動していない場合)。
新しい Microsoft 365 アプリケーションの要件として既定で追加される グローバル条件 があります。 このワークロードを移行すると、共同管理クライアントでアプリケーションの要件が満たされなくなります。 そのため、Configuration Manager で展開される Microsoft 365 がインストールされなくなります。 グローバル条件の名前は次のいずれかです。
- Microsoft Intune によって管理される Microsoft 365 アプリ (バージョン 2111 以降)
- デバイス上の Intune によって管理されている Office 365 アプリケーション (バージョン 2107 以前)
更新プログラムは、次のいずれかの機能を使用して管理できます。
- 更新プログラム チャネルとターゲット バージョンの設定を使用して、Microsoft Intune 管理用テンプレートで Microsoft 365 を更新する
- Configuration Manager を使用して Microsoft 365 Apps を管理します。
注:
これらのデバイスで Windows Autopatch を使用するには、このワークロードを Intune で管理する必要があります。 詳細については、「 Windows Autopatch の前提条件」を参照してください。
Intune 機能の詳細については、「 Microsoft Intune を使用して Windows デバイスに Microsoft 365 アプリを追加する」を参照してください。
クライアント アプリ
ヒント
この機能は、 共同管理デバイスのモバイル アプリとして機能の一覧に表示される場合があります。
Intune を使用して、共同管理された Windows 10 以降のデバイスでクライアント アプリと PowerShell スクリプトを管理します。 このワークロードを移行すると、Intune から展開した利用可能なアプリは [会社のポータル] で利用できるようになります。 Configuration Manager から展開するアプリは、[ソフトウェア センター] で利用できます。
Intune 機能の詳細については、「Microsoft Intune アプリ管理とは」を参照してください。
注:
Windows 10 バージョン 1903 以降では、 クライアント アプリ ワークロードを Intune に切り替えていない場合でも、PowerShell スクリプトは共同管理デバイスで引き続き実行されます。
Configuration Manager 配布ポイントで Microsoft Connected Cache を有効にすると、Microsoft Intune Win32 アプリを共同管理クライアントに提供できます。 詳細については、「 Configuration Manager を使用した Microsoft 接続キャッシュ」を参照してください。
アプリのワークロード図
ヒント
Configuration Manager アプリも表示するようにポータル サイトを構成できます。 このアプリ ポータル エクスペリエンスを変更すると、上の図で説明した動作が変更されます。 詳細については、「 共同管理デバイスでポータル サイト アプリを使用する」を参照してください。