Configuration Manager でオンプレミス MDM を計画する
Configuration Manager (現在のブランチ) に適用
Configuration Manager でオンプレミス モバイル デバイス管理 (MDM) を実装する予定の場合は、いくつかの重要な領域を確認する必要があります。
- サポートされているデバイスと OS のバージョン
- 必要なサイト システムの役割
- セキュリティで保護された通信
- デバイスの登録
重要
サイトまたはモバイル デバイスは Microsoft Intune に接続しませんが、組織はこの機能を使用するために Intune ライセンスを引き続き必要とします。 詳細については、「Microsoft Intune のライセンス」を参照してください。
オンプレミス MDM を処理する Configuration Manager インフラストラクチャを準備する前に、次の要件を検討してください。
サポート対象のデバイス
Configuration Manager の現在のブランチでは、Windows 10 を実行しているデバイスのオンプレミス モバイル デバイス管理への登録がサポートされています。 これらのデバイスの種類には、主にノート PC、IoT、Surface Hub が含まれます。 特定のエディションの詳細と一覧については、「 クライアントとデバイスでサポートされている OS バージョン」を参照してください。
サイト システムの役割
オンプレミス MDM には、少なくとも次のいずれかのサイト システムの役割が必要です。
登録要求 をサポートする登録プロキシ ポイント。
デバイス登録をサポートする登録ポイント。
ポリシー配信用のデバイス管理ポイント。 このロールは管理ポイントのバリエーションですが、モバイル デバイス管理を可能にします。
コンテンツ配信の配布ポイント。
組織のニーズに応じて、これらの役割を単一サーバーにインストールすることも、別のサーバーに個別にインストールすることもできます。
注:
信頼されたデバイスと通信するための HTTPS エンドポイントとして、オンプレミス MDM に使用される各ロールを構成する必要があります。 詳細については、「 必要な信頼された通信」を参照してください。
一般的な情報については、「 サイト システム サーバーと役割の計画」を参照してください。
信頼できる通信
オンプレミス MDM では、HTTPS 通信に対してサイト システムの役割を有効にする必要があります。 ニーズに応じて、組織の証明機関 (CA) を使用して、サーバーとデバイス間の信頼された接続を確立できます。 また、パブリックに利用可能な CA を使用して、信頼された機関にすることもできます。 どちらの方法でも、次の証明書を構成する必要があります。
必要なサイト システムの役割をホストしているサーバー上の IIS の Web サーバー証明書 。 1 つのサーバーが複数のサイト システムの役割をホストしている場合、そのサーバーに必要な証明書は 1 つだけです。 各ロールが個別のサーバー上にある場合、各サーバーには個別の証明書が必要です。
Web サーバー証明書を発行する CA の 信頼されたルート 証明書。 サイト システムの役割に接続する必要があるすべてのデバイスに、このルート証明書をインストールします。
詳細については、「 オンプレミス MDM で信頼された通信用の証明書を設定する」を参照してください。
デバイスの登録
オンプレミス MDM のデバイス登録を有効にするには:
クライアント設定を使用して登録するアクセス許可をユーザーに付与する
必要な役割をホストしているサイト システム サーバーとの信頼された通信用にデバイスを構成する
ユーザーが開始する登録の代わりに、一括登録パッケージを設定できます。 このパッケージを使用すると、ユーザーの介入なしにデバイスを登録できます。 使用のためにプロビジョニングする前、または OOBE プロセスを通過した後に、パッケージをデバイスに配信します。
詳細については、「 オンプレミス MDM のデバイス登録を設定する」を参照してください。