移行ガイド: Microsoft Intune のセットアップまたは移行

Microsoft Intune への移行を計画した後、次の手順で組織に適した移行アプローチを選択します。 これらの決定は、現在のモバイル デバイス管理 (MDM) 環境、ビジネス目標、技術要件によって異なります。

この移行ガイドでは、Intune を採用または移行するためのオプションの一覧と説明を示します。これには、次のものが含まれます。

  • モバイル デバイス管理ソリューションを使用しない
  • サード パーティのパートナー MDM ソリューションを使用する
  • Configuration Manager を使用する
  • オンプレミスのグループ ポリシーを使用する
  • Microsoft 365 Basic Mobility and Security を使用する

このガイドを使用して、最適な移行方法を判断し、推奨事項 & ガイダンスを入手します。

ヒント

  • このガイドは生き物です。 そのため、役に立つヒントやガイダンスを追加したり、既存のものを更新してください。

  • この記事のコンパニオンとして、Microsoft 365 管理センターにもいくつかのセットアップ ガイダンスがあります。 このガイドでは、環境に基づいてエクスペリエンスをカスタマイズします。 この展開ガイドにアクセスするには、 Microsoft 365 管理センターの Microsoft Intune セットアップ ガイドにアクセスし、 グローバル リーダー (少なくとも) でサインインします。 これらの展開ガイドと必要なロールの詳細については、「 Microsoft 365 および Office 365 製品の高度な展開ガイド」を参照してください。

    サインインせずに自動セットアップ機能をアクティブ化せずにベスト プラクティスを確認するには、 M365 セットアップ ポータルにアクセスします。

開始する前に

  • Microsoft Intune は、ID、デバイス、アプリの管理に役立つクラウド ネイティブ ソリューションです。 クラウドネイティブになることを目標にしている場合は、次の記事で詳細を確認できます。

  • Intune の展開は、以前の MDM の展開とは異なる場合があります。 Intune には、ID 主導のアクセス制御が使用されています。 ご自分のネットワークの外部にあるデバイスから組織のデータにアクセスするためにネットワーク プロキシは必要ありません。

現在は何も使用していない

現在、MDM またはモバイル アプリケーション管理 (MAM) プロバイダーを使用していない場合は、いくつかのオプションがあります。

サード パーティの MDM プロバイダーを現在使用している

デバイスには MDM プロバイダーを 1 つのみ含める必要があります。 ワークスペース ONE (以前は AirWatch)、MobileIron、MaaS360 などの別の MDM プロバイダーを使用する場合は、Intune に移動できます。

Intune に登録する前に、現在の MDM プロバイダーからデバイスの登録を解除する必要があります。

  1. MDM 機関を Intune に設定するなど、Intune を設定します。

    詳細については、次を参照してください:

  2. アプリをデプロイし、アプリ保護ポリシーを作成します。 このアイデアは、移行中やデバイスが Intune によって管理 & 登録されるまで、アプリ内の組織データを保護するのに役立ちます。

    詳細については、「 手順 2 - Intune を使用してアプリを追加、構成、保護する」を参照してください。

  3. 現在の MDM プロバイダーからデバイスの登録を解除します。

    デバイスの登録を解除すると、デバイスはポリシーを受け取らなくなります。これには、保護を提供するポリシーも含まれます。 デバイスは、Intune に登録して新しいポリシーの受信を開始するまで脆弱です。

    ユーザーに特定の登録解除手順を付与します。 デバイスの登録解除の方法については、既存の MDM プロバイダーからのガイダンスを提供します。 明確で役立つコミュニケーションにより、エンド ユーザーのダウンタイム、不満、ヘルプデスクの呼び出しが最小限に抑えられます。

  4. 省略可能ですが、推奨されます。 Microsoft Entra ID P1 または P2 をお持ちの場合は、Intune に登録されるまで条件付きアクセスを使用してデバイスをブロックすることもできます。

    詳細については、「 手順 3 – コンプライアンス ポリシーの計画」を参照してください。

  5. 省略可能ですが、推奨されます。 すべてのユーザーとデバイスに必要なコンプライアンスとデバイス設定のベースラインを作成します。 これらのポリシーは、ユーザーが Intune に登録するときに展開できます。

    詳細については、次を参照してください:

  6. Intune に登録します。 ユーザーに特定の登録手順を指定してください。

    詳細については、次を参照してください:

重要

Intune と既存のサード パーティの MDM ソリューションを同時に構成して、Exchange や SharePoint などのリソースにアクセス制御を適用しないでください。

推奨事項:

  • パートナー MDM/MAM プロバイダーから移行する場合は、実行しているタスクと使用する機能に注意してください。 この情報は、Intune で実行するタスクの概要を示します。

  • 段階的なアプローチを使用します。 パイロット ユーザーで構成された小規模なグループで開始して、全面的な展開に達するまでグループを追加していきます。

  • 各フェーズで、ヘルプ デスクの負荷と登録の完了を監視します。 スケジュールに余裕を持たせ、各グループの成功基準を評価してから次のグループで移行を開始するようにします。

    パイロット展開では次のタスクを検証する必要があります。

    • 登録の成功率と失敗率が想定内であること。

    • ユーザーの生産性:

      • VPN、Wi-Fi、電子メール、証明書などの会社のリソースが機能している。
      • 展開済みのアプリにアクセスできる。
    • データ セキュリティ:

      • コンプライアンス レポートを確認し、一般的な問題と傾向を確認します。 問題、解決策、および傾向をヘルプ デスクに伝達します。
      • モバイル アプリ保護が適用される。
  • 移行の最初のフェーズに満足したら、次のフェーズの移行サイクルを繰り返します。

    • すべてのユーザーが Intune に移行するまで、段階的なサイクルを繰り返します。
    • 移行中に、ヘルプ デスクがエンド ユーザーに対応できているか確認します。 サポート コールのワークロードを見積もることができるまでは、自主的な移行を実施します。
    • ヘルプデスクが残りのすべてのユーザーを処理できるようになるまで、登録の期限を設定しないでください。

役立つ情報:

Configuration Manager を現在使用している

Configuration Manager では、Windows サーバーと Windows & macOS クライアント デバイスがサポートされています。 組織で他のプラットフォームを使用している場合は、デバイスをリセットしてから Intune に登録する必要があります。 登録されると、作成したポリシーとプロファイルを受け取ります。 詳細については、Intune の登録に関する展開ガイドを参照してください。

Configuration Manager を現在使用していて、Intune を使用したい場合は、次のオプションがあります。

オプション 1 - テナントアタッチを追加する

テナントのアタッチを使用すると、"テナント" とも呼ばれる Intune の組織に Configuration Manager デバイスをアップロードできます。 デバイスをアタッチした後、 Microsoft Intune 管理センター を使用して、同期マシンやユーザー ポリシーなどのリモート アクションを実行します。 オンプレミスのサーバーを確認し、OS 情報を取得することもできます。

テナント接続は、Configuration Manager の共同管理ライセンスに追加費用なしで含まれます。 クラウド (Intune) をオンプレミスの Configuration Manager セットアップと統合する最も簡単な方法です。

詳細については、テナントのアタッチの有効化に関するページを参照してください。

オプション 2 - 共同管理を設定する

このオプションでは、一部のワークロードには Configuration Manager を使用し、他のワークロードには Intune を使用します。

  1. Configuration Manager で、共同管理を設定します。
  2. MDM 機関を Intune に設定するなど、Intune を設定します。

デバイスを Intune に登録し、ポリシーを受け取る準備が整いました。

役立つ情報:

オプション 3 - Configuration Manager から Intune に移動する

Configuration Manager の既存のお客様は、ほとんどの場合 Configuration Manager を引き続き使用したいと考えています。 これには、オンプレミスデバイスに有益なサービスが含まれています。

これらの手順は概要であり、100% のクラウド ソリューションを必要とするユーザーのためにのみ記載されています。 このオプションでは、次のことを行います。

  • 既存のオンプレミスの Active Directory Windows クライアント デバイスを Microsoft Entra ID のデバイスとして登録します。
  • 既存のオンプレミスの Configuration Manager ワークロードを Intune に移動します。

このオプションは、管理者にとってはより手間がかかりますが、既存の Windows クライアント デバイスに対してよりシームレスなエクスペリエンスを作成できます。 新しい Windows クライアント デバイスの場合は、 Microsoft 365 と Intune (この記事では) を使用して最初から開始することをお勧めします。

  1. デバイスの ハイブリッド Active Directory と Microsoft Entra ID を 設定します。 Microsoft Entra ハイブリッド参加済みデバイスは、オンプレミスの Active Directory に参加し、Microsoft Entra ID に登録されます。 デバイスが Microsoft Entra ID にある場合は、Intune でも使用できます。

    ハイブリッド Microsoft Entra ID では、Windows デバイスがサポートされています。 サインイン要件など、その他の前提条件については、「 Microsoft Entra ハイブリッド参加の実装を計画する」を参照してください。

  2. Configuration Manager で、共同管理を設定します。

  3. MDM 機関を Intune に設定するなど、Intune を設定します。

  4. Configuration Manager で、Configuration Manager のすべてのワークロードを Intune に移動します

  5. デバイスで、Configuration Manager クライアントをアンインストールします。 詳細については、「クライアントをアンインストールする」を参照してください。

    Intune がセットアップされたら、Configuration Manager クライアントをアンインストールする Intune アプリ構成ポリシーを作成できます。 たとえば、「Intune を使って構成マネージャー クライアントをインストールする」の手順を逆にすることができます。

デバイスを Intune に登録し、ポリシーを受け取る準備が整いました。

重要

ハイブリッド Microsoft Entra ID では、Windows デバイスのみがサポートされます。 Configuration Manager では、Windows デバイスと macOS デバイスがサポートされます。 Configuration Manager で管理されている macOS デバイスの場合、次のことができます。

  1. Configuration Manager クライアントをアンインストールする。 アンインストールすると、デバイスはポリシーを受け取らなくなります。これには、保護を提供するポリシーも含まれます。 Intune に登録し、新しいポリシーの受信を開始するまで脆弱です。
  2. ポリシーを受け取るには、デバイスを Intune に登録します。

脆弱性を最小限に抑えるために、Intune を設定した後、および登録ポリシーを展開する準備ができたら、macOS デバイスを移動します。

オプション 4 - Microsoft 365 と Intune を使用して最初から開始する

このオプションは、Windows クライアントデバイスに適用されます。 Windows Server 2022 などの Windows Server を使用する場合は、このオプションを使用しないでください。 Configuration Manager を使用してください。

Windows クライアント デバイスを管理するには:

  1. Microsoft 365 を展開します。ユーザーとグループを作成する作業も含まれます。 Microsoft 365 Basic Mobility and Security を使用または構成しないでください。

    便利なリンク:

  2. MDM 機関を Intune に設定するなど、Intune を設定します。

  3. 既存のデバイスで、Configuration Manager クライアントをアンインストールします。 詳細については、「クライアントをアンインストールする」を参照してください。

デバイスを Intune に登録し、ポリシーを受け取る準備が整いました。

オンプレミスのグループ ポリシーを現在使用している

クラウドでは、Intune などの MDM プロバイダーがデバイスの設定と機能を管理します。 グループ ポリシー オブジェクト (GPO) は使用されません。

デバイスを管理する場合、Intune デバイス構成プロファイルはオンプレミスの GPO を置き換えます。 デバイス構成プロファイルでは、Apple、Google、Microsoft によって公開される設定が使用されます。

特に次のような場合です。

グループ ポリシーからデバイスを移動する場合は、グループ ポリシー分析を使用します。 グループ ポリシー分析は、GPO を分析する Intune のツールと機能です。 Intune では、GPO をインポートし、Intune で使用できる (使用できない) ポリシーを確認します。 Intune で使用できるポリシーについては、インポートした設定を使用して設定カタログ ポリシーを作成できます。 この機能の詳細については、「 Microsoft Intune でインポートした GPO を使用して設定カタログ ポリシーを作成する」を参照してください

次に、 手順 1: Microsoft Intune を設定します。

現在、Microsoft 365 Basic Mobility and Security を使用しています

Microsoft 365 Basic Mobility および Security ポリシーを作成して展開した場合は、ユーザー、グループ、ポリシーを Microsoft Intune に移行できます。

詳細については、「 Microsoft 365 Basic Mobility and Security から Intune に移行する」を参照してください

テナントからテナントへの移行

テナントは、Contoso のような Microsoft Entra ID の組織です。 これには、Microsoft Intune や Microsoft 365 などの Microsoft クラウド サービスを取得したときに Contoso が受け取る専用の Microsoft Entra サービス インスタンスが含まれています。 Microsoft Entra ID は、Intune と Microsoft 365 によって、ユーザーとデバイスの識別、作成するポリシーへのアクセスの制御などを行うために使用されます。

Intune では、Microsoft Graph と Windows PowerShell を使用して、一部のポリシーをエクスポートおよびインポートすることができます。

たとえば、Microsoft Intune 試用版サブスクリプションを作成するとします。 このサブスクリプションの試用版テナントには、アプリと機能の構成や、コンプライアンスの確認などを行うポリシーがあります。 これらのポリシーを別のテナントに移動することができます。

このセクションでは、テナントからテナントへの移行に Microsoft Graph スクリプトを使用する方法について説明します。 また、エクスポートできるポリシーの種類とエクスポートできないポリシーの種類も一覧表示されます。

重要

  • これらの手順では、GitHub 上の Intune ベータ Graph サンプルを使用します。 サンプル スクリプトでは、テナントに変更が加えられます。 これらはそのまま使用できます。また、非運用または "テスト" テナント アカウントを使用して検証する必要があります。 スクリプトが組織のセキュリティ ガイドラインを満たしていることを確認してください。
  • スクリプトでは、証明書プロファイルなど、すべてのポリシーがエクスポートおよびインポートされるわけではありません。 これらのスクリプトで利用できるタスクよりも多くのタスクを実行する必要があります。 いくつかのポリシーを再作成する必要があります。
  • ユーザーのデバイスを移行するには、古いテナントからデバイスの登録を解除してから、新しいテナントに再登録する必要があります。

サンプルをダウンロードし、スクリプトを実行する

このセクションには、各手順の概要が記載されています。 これらの手順をガイダンスとして使用し、特定の手順が異なる可能性があることを把握します。

  1. サンプルをダウンロードし、Windows PowerShell を使用してポリシーをエクスポートします。

    1. microsoftgraph/powershell-intune-samples に移動し、[Code]\(コード\)>[Download ZIP]\(ZIP のダウンロード\) を選択します。 .zip ファイルの内容を抽出します。

    2. 管理者として Windows PowerShell アプリを開き、使用するフォルダーにディレクトリを変更します。 たとえば、次のコマンドを入力します。

      cd C:\psscripts\powershell-intune-samples-master

    3. AzureAD PowerShell モジュールをインストールします。

      Install-Module AzureAD

      [Y] を選択して、信頼されていないリポジトリからモジュールをインストールします。 このインストールには数分かかることがあります。

    4. 実行するスクリプトがあるフォルダーにディレクトリを変更します。 たとえば、ディレクトリを CompliancePolicy フォルダーに変更します。

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

    5. エクスポート スクリプトを実行します。 たとえば、次のコマンドを入力します。

      .\CompliancePolicy_Export.ps1

      自分のアカウントでサインインします。 メッセージが表示されたら、ポリシーを配置するパスを入力します。 たとえば、次のように入力します。

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies

    フォルダーに、ポリシーがエクスポートされます。

  2. 新しいテナントにポリシーをインポートします。

    1. 実行するスクリプトがある PowerShell フォルダーにディレクトリを変更します。 たとえば、ディレクトリを CompliancePolicy フォルダーに変更します。

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

    2. インポート スクリプトを実行します。 たとえば、次のコマンドを入力します。

      .\CompliancePolicy_Import_FromJSON.ps1

      自分のアカウントでサインインします。 メッセージが表示されたら、インポートするポリシーの .json ファイルへのパスを入力します。 たとえば、次のように入力します。

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies\PolicyName.json

  3. Intune 管理センターにサインインします。 インポートしたポリシーが表示されます。

実行できない操作

エクスポートできないポリシーの種類がいくつかあります。 一部のポリシーの種類は、エクスポートできても別のテナントにインポートできません。 次の一覧をガイドとして使用してください。 記載されていないポリシーの種類が他にもあることに注意してください。

ポリシーまたはプロファイルの種類 情報
アプリケーション  
Android の基幹業務アプリ ❌ エクスポート
❌ インポート

LOB アプリを新しいテナントに追加するには、元の .apk アプリケーション ソース ファイルも必要です。
Apple – Volume Purchase Program (VPP) ❌ エクスポート
❌ インポート

これらのアプリは、Apple VPP と同期されます。 新しいテナントで、お使いの VPP トークンを追加します。これによって使用可能なアプリが表示されます。
iOS および iPadOS 基幹業務アプリ ❌ エクスポート
❌ インポート

LOB アプリを新しいテナントに追加するには、元の .ipa アプリケーション ソース ファイルも必要です。
マネージド Google Play ❌ エクスポート
❌ インポート

これらのアプリと Web リンクは、マネージド Google Play と同期されます。 新しいテナントで、お使いのマネージド Google Play アカウントを追加します。これによって使用可能なアプリが表示されます。
ビジネス向け Microsoft Store ❌ エクスポート
❌ インポート

これらのアプリは、ビジネス向け Microsoft Store と同期されます。 新しいテナントで、お使いのビジネス向け Microsoft Store アカウントを追加します。これによって使用可能なアプリが表示されます。
Windows アプリ (Win32) ❌ エクスポート
❌ インポート

LOB アプリを新しいテナントに追加するには、元の .intunewin アプリケーション ソース ファイルも必要です。
コンプライアンス ポリシー  
コンプライアンス非対応に対するアクション ❌ エクスポート
❌ インポート

電子メール テンプレートへのリンクが存在する可能性があります。 コンプライアンス非対応アクションを含むポリシーをインポートすると、既定のコンプライアンス非対応に対するアクションが代わりに追加されます。
課題 ✅ エクスポート
❌ インポート

割り当てはグループ ID を対象としています。 新しいテナントでは、グループ ID は異なります。
構成プロファイル  
メール ✅ エクスポート

✅ 電子メール プロファイルで証明書が使用されていない場合は、インポートが機能します。
❌ 電子メール プロファイルでルート証明書を使用している場合、そのプロファイルを新しいテナントにインポートすることはできません。 新しいテナントでは、ルート証明書 ID は異なります。
SCEP 証明書 ✅ エクスポート

❌ インポート

SCEP 証明書プロファイルでは、ルート証明書が使用されます。 新しいテナントでは、ルート証明書 ID は異なります。
VPN ✅ エクスポート

✅ VPN プロファイルで証明書が使用されていない場合は、インポートが機能します。
❌ VPN プロファイルでルート証明書を使用している場合、そのプロファイルを新しいテナントにインポートすることはできません。 新しいテナントでは、ルート証明書 ID は異なります。
Wi-Fi ✅ エクスポート

✅ Wi-Fi プロファイルで証明書が使用されていない場合は、インポートが機能します。
❌ Wi-Fi プロファイルでルート証明書を使用している場合、そのプロファイルを新しいテナントにインポートすることはできません。 新しいテナントでは、ルート証明書 ID は異なります。
課題 ✅ エクスポート
❌ インポート

割り当てはグループ ID を対象としています。 新しいテナントでは、グループ ID は異なります。
エンドポイントのセキュリティ  
エンドポイントの検出および応答 ❌ エクスポート
❌ インポート

このポリシーは Microsoft Defender for Endpoint にリンクされます。 新しいテナントで、Microsoft Defender for Endpoint を構成すると、エンドポイントの検出と応答ポリシーが自動的に含まれます。

次の手順