チュートリアル: クラウドを使用して、ADMX テンプレートと Microsoft Intune を使用して Windows 10/11 デバイスでグループ ポリシーを構成する

グループ ポリシー管理テンプレート (ADMX テンプレートとも呼ばれます) には、PC を含む Windows クライアント デバイスで構成できる設定が含まれます。 ADMX テンプレートの設定は、さまざまなサービスで使用できます。 これらの設定は、Microsoft Intune を含むモバイル デバイス管理 (MDM) プロバイダーによって使用されます。 たとえば、PowerPointでデザイン アイデアを有効にしたり、Microsoft Edge でホーム ページを設定したりできます。

ADMX ポリシーの詳細については、「 ADMX によってサポートされるポリシーについて」を参照してください。

これらのテンプレートは Microsoft Intune に組み込まれており、 管理用テンプレート プロファイルとして使用できます。 このプロファイルでは、含める設定を構成し、デバイスにこのプロファイルを "割り当てる" を行います。

このチュートリアルでは、次の操作を行います。

このラボを終了すると、Intune と Microsoft 365 を使用してユーザーを管理し、管理用テンプレートを展開できます。

この機能は、以下に適用されます。

• Windows 11
• Windows 10 バージョン 1709 以降

前提条件

• Intune と Microsoft Entra ID P1 または P2 を含む Microsoft 365 E3 または E5 サブスクリプション。 E3 または E5 サブスクリプションをお持ちでない場合は、 無料で試してください。

  さまざまな Microsoft 365 ライセンスで得られる内容の詳細については、「 Microsoft 365 を使用してエンタープライズを変革する」を参照してください。

• Microsoft Intune は Intune MDM 機関として構成されています。 詳細については、「 モバイル デバイス管理機関の設定」を参照してください。

  

• オンプレミスの Active Directory ドメイン コントローラー (DC) の場合:

  1. 次の Office テンプレートと Microsoft Edge テンプレートを Central Store (sysvol フォルダー) にコピーします。

     • Office 管理用テンプレート
     • ポリシー ファイル > Microsoft Edge 管理テンプレート

  2. これらのテンプレートを DC と同じドメイン内の Windows 10/11 Enterprise 管理者コンピューターにプッシュするグループ ポリシーを作成します。 このチュートリアルでは、次の操作を行います。

     • これらのテンプレートで作成したグループ ポリシーは、 OfficeandEdge と呼ばれます。 この名前は画像に表示されます。
     • 使用する Windows 10/11 Enterprise 管理者コンピューターは 、管理コンピューターと呼ばれます。

     一部の組織では、ドメイン管理者に次の 2 つのアカウントがあります。

     • 一般的なドメイン職場アカウント
     • グループ ポリシーなど、ドメイン管理者タスクにのみ使用される別のドメイン管理者アカウント

     この 管理コンピューター の目的は、管理者が自分のドメイン管理者アカウントでサインインし、グループ ポリシーを管理するために設計されたアクセス ツールです。

• この管理コンピューターでは、次の操作を行います。

  • ドメイン管理者アカウントでサインインします。

  • RSAT: グループ ポリシー管理ツールを追加します。

    1. [設定] アプリ >System>Optional 機能>[追加] 機能を開きます。

       Windows 10 22H2 より前のバージョンを使用している場合は、[設定]>、[アプリ>Apps & 機能>オプション機能>[機能の追加] の順に移動します。

    2. [RSAT: グループ ポリシー管理ツール>追加] を選択します。

       Windows が機能を追加するまで待ちます。 完了すると、最終的には Windows 管理ツール アプリに表示されます。

       

  • Intune 管理センターを含む Microsoft 365 サブスクリプションに対するインターネット アクセス権と管理者権限があることを確認します。

Intune 管理センターを開く

1. Microsoft Edge バージョン 77 以降など、Chromium Web ブラウザーを開きます。

2. Microsoft Intune 管理センターに移動します。 次のアカウントでサインインします。

   ユーザー: Microsoft 365 テナント サブスクリプションの管理者アカウントを入力します。
   パスワード: パスワードを入力します。

この管理センターはデバイス管理に重点を置き、Microsoft Entra ID や Intune などの Azure サービスが含まれています。 Microsoft Entra ID と Intune ブランドが表示されない場合がありますが、使用しています。

Microsoft 365 管理センターから Intune 管理センターを開くこともできます。

1. https://admin.microsoft.comに移動します。

2. Microsoft 365 テナント サブスクリプションの管理者アカウントでサインインします。

3. [ すべて表示>すべての管理センター>Endpoint 管理] を選択します。 Intune 管理センターが開きます。

   

グループを作成し、ユーザーを追加する

オンプレミス ポリシーは、LSDOU の順序 (ローカル、サイト、ドメイン、組織単位 (OU)) で適用されます。 この階層では、OU ポリシーによってローカル ポリシーが上書きされ、ドメイン ポリシーによってサイト ポリシーが上書きされます。

Intune では、作成したユーザーとグループにポリシーが適用されます。 階層はありません。 例:

• 2 つのポリシーによって同じ設定が更新された場合、設定は競合として表示されます。
• 2 つのコンプライアンス ポリシーが競合している場合は、最も制限の厳しいポリシーが適用されます。
• 2 つの構成プロファイルが競合している場合、設定は適用されません。

詳細については、 デバイス ポリシーとプロファイルに関する一般的な質問、問題、解決策に関するページを参照してください。

次の手順では、セキュリティ グループを作成し、これらのグループにユーザーを追加します。 ユーザーを複数のグループに追加できます。 たとえば、Surface Pro for Work や個人用の Android モバイル デバイスなど、ユーザーが複数のデバイスを持つことは通常です。 また、ユーザーがこれらの複数のデバイスから組織のリソースにアクセスするのが普通です。

1. Intune 管理センターで、[ グループ>新しいグループ] を選択します。

2. 次の設定を入力します。

   • グループの種類: [セキュリティ] を選択します。
   • [グループ名]: 「すべての Windows 10 学生デバイス」と入力します。
   • メンバーシップの種類: [ 割り当て済み] を選択します。

3. [ メンバー] を選択し、一部のデバイスを追加します。

   デバイスの追加は省略可能です。 目標は、グループの作成を練習し、デバイスを追加する方法を知ることです。 運用環境でこのチュートリアルを使用している場合は、実行している内容に注意してください。

4. 選択します>を作成して変更を保存します。

   グループが表示されない場合 [最新の情報に更新] を選択します。

5. [ 新しいグループ] を選択し、次の設定を入力します。

   • グループの種類: [セキュリティ] を選択します。

   • グループ名: 「すべての Windows デバイス」と入力します。

   • メンバーシップの種類: [ 動的デバイス] を選択します。

   • 動的デバイス メンバー: [ 動的クエリの追加] を選択し、クエリを構成します。

     • プロパティ: deviceOSType を選択します。
     • 演算子: [等しい] を選択します。
     • 値: 「Windows」と入力します。

     1. [ 式の追加] を選択します。 式は Rule 構文に表示されます。

        

        ユーザーまたはデバイスが入力した条件を満たすと、動的グループに自動的に追加されます。 この例では、オペレーティング システムが Windows の場合、デバイスはこのグループに自動的に追加されます。 運用環境でこのチュートリアルを使用している場合は、注意してください。 目標は、動的グループの作成を練習することです。

     2. 保存>を作成して変更を保存します。

6. 次の設定で [すべての教師 ] グループを作成します。

   • グループの種類: [セキュリティ] を選択します。

   • グループ名: 「All Teachers」と入力します。

   • メンバーシップの種類: [ 動的ユーザー] を選択します。

   • 動的ユーザー メンバー: [ 動的クエリの追加] を選択し、クエリを構成します。

     • プロパティ: 部署を選択 します。

     • 演算子: [等しい] を選択します。

     • 値: 「教師」と入力します。

       1. [ 式の追加] を選択します。 式が Rule 構文に表示されます。

          ユーザーまたはデバイスが入力した条件を満たすと、動的グループに自動的に追加されます。 この例では、部署が [教師] のときに、ユーザーがこのグループに自動的に追加されます。 ユーザーが組織に追加されたときに、部署やその他のプロパティを入力できます。 運用環境でこのチュートリアルを使用している場合は、注意してください。 目標は、動的グループの作成を練習することです。

       2. 保存>を作成して変更を保存します。

話し合いポイント

• 動的グループは、Microsoft Entra ID P1 または P2 の機能です。 Microsoft Entra ID P1 または P2 がない場合は、割り当てられたグループのみを作成するライセンスが付与されます。 動的グループの詳細については、次のページを参照してください。

  • Microsoft Entra ID の動的グループ メンバーシップ (パート 1)
  • Microsoft Entra ID の動的グループ メンバーシップ (パート 2)

• Microsoft Entra ID P1 または P2 には、 多要素認証 (MFA) や 条件付きアクセスなど、アプリやデバイスの管理時に一般的に使用されるその他のサービスが含まれています。

• 多くの管理者は、ユーザー グループを使用するタイミングと、デバイス グループを使用するタイミングを尋ねます。 ガイダンスについては、「 ユーザー グループとデバイス グループ」を参照してください。

• ユーザーは複数のグループに属できることに注意してください。 作成できる他の動的ユーザー グループおよび動的デバイス グループとして、次のようなグループが考えられます。

  • すべての学生
  • すべての Android デバイス
  • すべての iOS/iPadOS デバイス
  • マーケティング
  • 人事
  • シャーロットの全従業員
  • Redmond のすべての従業員
  • 西海岸の IT 管理者
  • 東海岸の IT 管理者

作成されたユーザーとグループは、 Microsoft 365 管理センター、Azure portal の Microsoft Entra ID、Azure portal の Microsoft Intune にも表示されます。 テナント サブスクリプションのこれらのすべての領域でグループを作成および管理できます。 目的がデバイス管理の場合は、Microsoft Intune 管理センターを使用します。

グループ メンバーシップを確認する

1. Intune 管理センターで、[ユーザー>すべてのユーザー] を選択>既存のユーザーの名前を選択します。
2. 追加または変更できる情報の一部を確認します。 たとえば、役職、部署、市区町村、Office の場所など、構成できるプロパティを確認します。 これらのプロパティは、動的グループを作成するときに動的クエリで使用できます。
3. [ グループ] を 選択して、このユーザーのメンバーシップを表示します。 グループからユーザーを削除することもできます。
4. その他のオプションをいくつか選択すると、詳細情報と実行できる操作が表示されます。 たとえば、割り当てられたライセンス、ユーザーのデバイスなどを調べる。

私は何をしましたか?

Intune 管理センターで、新しいセキュリティ グループを作成し、これらのグループに既存のユーザーとデバイスを追加しました。 これらのグループは、このチュートリアルの後の手順で使用します。

Intune でテンプレートを作成する

このセクションでは、Intune で管理テンプレートを作成し、 グループ ポリシー管理の設定を確認し、Intune で同じ設定を比較します。 目標は、グループ ポリシーに設定を表示し、Intune で同じ設定を表示することです。

1. Intune 管理センターで、[ デバイス>管理デバイス>Configuration>Create>New policy] を選択します。

2. 次のプロパティを入力します。

   • [プラットフォーム]: [Windows 10 以降] を選択します。
   • プロファイルの種類: [テンプレート]>[管理用テンプレート] を選択します。

3. [作成] を選択します。

4. [Basics]\(基本\) で次のプロパティを入力します。

   • 名前: プロファイルのわかりやすい名前を入力します。 後で簡単に識別できるよう、プロファイルに名前を付けます。 たとえば、「 Admin template - Windows 10 student devices」と入力します。
   • 説明: プロファイルの説明を入力します この設定は省略可能ですが、推奨されます。

5. [次へ] を選択します。

6. [ 構成設定] で、[ すべての設定] にすべての設定 のアルファベット順の一覧が表示されます。 デバイスに適用される設定 (コンピューターの構成)、およびユーザーに適用される設定 (ユーザー構成) をフィルター処理することもできます。

   

7. [コンピューターの構成>Microsoft Edge] を展開し>[SmartScreen 設定] を選択します。 ポリシーへのパスと、使用可能なすべての設定に注目してください。

   

8. 検索で、「 download」と入力します。 ポリシー設定がフィルター処理されていることに注意してください。

   

グループ ポリシー管理を開く

このセクションでは、Intune のポリシーと、グループ ポリシー管理エディターでの照合ポリシーについて説明します。

デバイス ポリシーを比較する

1. 管理コンピューターで、グループ ポリシー管理アプリを開きます。

   このアプリは 、RSAT: グループ ポリシー管理ツールを使用してインストールされます。これは、Windows に追加するオプションの機能です。 前提条件 (この記事では) に、インストール手順の一覧を示します。

2. [ドメイン] を展開>ドメインを選択します。 たとえば、[ contoso.net] を選択します。

3. OfficeandEdge ポリシー >Edit を右クリックします。 グループ ポリシー管理エディター アプリが開きます。

   

   OfficeandEdge は、Office と Microsoft Edge ADMX テンプレートを含むグループ ポリシーです。 このポリシーについては、前提条件 (この記事内) で説明 します 。

4. [コンピューターの構成>Policies>Administrative Templates>Control Panel>Personalization] を展開します。 使用可能な設定に注目してください。

   

   [ ロック スクリーン カメラの有効化を禁止する] をダブルクリックし、使用可能なオプションを確認します。

   

5. Intune 管理センターで、[ 管理テンプレート - Windows 10 Student Devices ] テンプレートに移動します。

6. [ コンピューターの構成>コントロール パネル>個人用化] を選択します。 使用可能な設定に注目してください。

   

   設定の種類は Device で、パスは /Control Panel/Personalization。 このパスは、グループ ポリシー管理エディターで確認したパスに似ています。 [ ロック画面カメラの有効化を禁止する ] 設定を開くと、[グループ ポリシー管理エディター] に表示されているのと同じ [未構成]、[ 有効]、および [無効] オプションが表示されます。

ユーザー ポリシーを比較する

1. 管理者テンプレートで、[コンピューターの構成] >[すべての設定] を選択し、inprivate browsingを検索します。 パスに注目してください。

   ユーザー構成でも同じ操作を行います。 [ すべての設定] を選択し、 inprivate browsingを検索します。

2. グループ ポリシー管理エディターで、一致するユーザーとデバイスの設定を見つけます。

   • デバイス: [コンピューターの構成>Policies>管理用テンプレート>Windows コンポーネント>Internet Explorer>Privacy>InPrivate 閲覧を無効にする] を展開します。
   • ユーザー: [ユーザーの構成>Policies>管理用テンプレート>Windows コンポーネント>Internet Explorer>Privacy>InPrivate 閲覧を無効にする] を展開します。

   

Microsoft Edge ポリシーを比較する

1. Intune 管理センターで、[ 管理テンプレート - Windows 10 Student Devices ] テンプレートに移動します。

2. [ コンピューターの構成>Microsoft Edge>Startup、ホームページ、新しいタブ ページを展開します。 使用可能な設定に注目してください。

   ユーザー構成でも同じ操作を行います。

3. グループ ポリシー管理エディターで、次の設定を見つけます。

   • デバイス: [コンピューターの構成>Policies>管理用テンプレート>Microsoft Edge>Startup、ホームページ、新しいタブ ページを展開します。
   • ユーザー: [ユーザーの構成>Policies>管理用テンプレート>Microsoft Edge>Startup、ホームページ、新しいタブ ページを展開します

私は何をしましたか?

Intune で管理テンプレートを作成しました。 このテンプレートでは、いくつかの ADMX 設定を確認し、グループ ポリシー管理で同じ ADMX 設定を確認しました。

学生管理テンプレートに設定を追加する

このテンプレートでは、複数の学生が共有するデバイスをロックダウンするように Internet Explorer の設定をいくつか構成します。

1. 管理者テンプレート - Windows 10 学生デバイスで、[コンピューターの構成] を展開し、[すべての設定] を選択して、[InPrivate Browsing をオフにする] を検索します。

   

2. [ InPrivate Browsing をオフにする ] 設定を選択します。 このウィンドウで、設定できる説明と値に注目してください。 これらのオプションは、グループ ポリシーに表示されるオプションと似ています。

3. [有効>OK] を選択して変更を保存します。

4. 次の Internet Explorer 設定も構成します。 [ OK] を 選択して変更を保存してください。

   • ファイルのドラッグ アンド ドロップまたはコピーと貼り付けを許可する

     • 種類: デバイス
     • パス: \Windows コンポーネント\Internet Explorer\インターネット コントロール パネル\セキュリティ ページ\インターネット ゾーン
     • 値: 無効

   • 証明書エラーを無視しないようにする

     • 種類: デバイス
     • パス: \Windows コンポーネント\Internet Explorer\インターネット コントロール パネル
     • 値: 有効

   • ホーム ページ設定の変更を無効にする

     • 型: ユーザー
     • パス: \Windows コンポーネント\Internet Explorer
     • 値: 有効
     • ホーム ページ: contoso.comなどの URL を入力します。

5. 検索フィルターをクリアします。 構成した設定が一番上に一覧表示されていることに注意してください。

   

テンプレートを割り当てる

1. テンプレートで、[割り当て] に移動するまで [次へ] を選択します。 [ グループの選択] を選択して含めます。

   

2. 既存のユーザーとグループの一覧が表示されます。 前に作成したすべての Windows 10 学生デバイス グループを選択>選択します。

   運用環境でこのチュートリアルを使用している場合は、空のグループを追加することを検討してください。 目標は、テンプレートの割り当てを練習することです。

3. [次へ] を選択します。 [ 確認と作成] で、[ 作成 ] を選択して変更を保存します。

プロファイルが保存されるとすぐに、Intune でチェックインするときにデバイスに適用されます。 デバイスがインターネットに接続されている場合は、すぐに発生する可能性があります。 ポリシーの更新時間の詳細については、「デバイスが ポリシー、プロファイル、またはアプリを取得するまでにかかる時間」を参照してください。

厳格または制限の厳しいポリシーとプロファイルを割り当てるときは、自分をロックアウトしないでください。ポリシーとプロファイルから除外されるグループを作成することを検討してください。 考え方は、トラブルシューティングへのアクセス権を持つことです。 このグループを監視して、意図したとおりに使用されていることを確認します。

私は何をしましたか?

Intune 管理センターで、管理テンプレート デバイス構成プロファイルを作成し、作成したグループにこのプロファイルを割り当てます。

OneDrive テンプレートを作成する

このセクションでは、Intune で OneDrive 管理者テンプレートを作成して、いくつかの設定を制御します。 これらの特定の設定は、組織でよく使用されるために選択されます。

1. 別のプロファイル (デバイス>管理デバイス>Configuration>Create>新しいポリシー) を作成します。

2. 次のプロパティを入力します。

   • [プラットフォーム]: [Windows 10 以降] を選択します。
   • プロファイルの種類: [ テンプレート>管理用テンプレート] を選択します。

3. [作成] を選択します。

4. [Basics]\(基本\) で次のプロパティを入力します。

   • 名前: すべての Windows 10 ユーザーに適用される管理者テンプレート - OneDrive ポリシーを入力します。
   • 説明: プロファイルの説明を入力します この設定は省略可能ですが、推奨されます。

5. [次へ] を選択します。

6. [ 構成設定] で、次の設定を構成します。 [ OK] を 選択して変更を保存してください。

   • コンピューターの構成:

     • Windows 資格情報を使用して OneDrive 同期クライアントにユーザーをサイレント モードでサインインする
       • 種類: デバイス
       • 値: 有効
     • OneDrive ファイル オンデマンドを使用する
       • 種類: デバイス
       • 値: 有効

   • ユーザー構成:

     • ユーザーが個人用の OneDrive アカウントを同期できないようにする
       • 型: ユーザー
       • 値: 有効

設定は次のようになります。

OneDrive クライアント設定の詳細については、「 グループ ポリシーを使用して OneDrive 同期クライアント設定を制御する」を参照してください。

テンプレートを割り当てる

1. テンプレートで、[割り当て] に移動するまで [次へ] を選択します。 [ グループの選択] を選択して含めます。

2. 既存のユーザーとグループの一覧が表示されます。 前に作成 したすべての Windows デバイス グループを選択 >選択します。

   運用環境でこのチュートリアルを使用している場合は、空のグループを追加することを検討してください。 目標は、テンプレートの割り当てを練習することです。

3. [次へ] を選択します。 [ 確認と作成] で、[ 作成 ] を選択して変更を保存します。

この時点で、いくつかの管理用テンプレートを作成し、作成したグループに割り当てます。 次の手順では、Windows PowerShell と Microsoft Graph API for Intune を使用して管理テンプレートを作成します。

省略可能: PowerShell と Graph API を使用してポリシーを作成する

このセクションでは、次のリソースを使用します。 このセクションでは、これらのリソースをインストールします。

• Intune PowerShell SDK
• Intune 用 Microsoft Graph API

1. 管理コンピューターで、管理者として Windows PowerShell を開きます。

   1. 検索バーに「 powershell」と入力します。
   2. [Windows PowerShell]\(Windows PowerShell>管理者として実行\) を右クリックします。

   

2. 実行ポリシーを取得して設定します。

   1. 入る： get-ExecutionPolicy

      ポリシーの設定内容を書き留めます。これは 制限されている可能性があります。 チュートリアルが完了したら、元の値に戻します。

   2. 入る： Set-ExecutionPolicy -ExecutionPolicy Unrestricted

   3. 「 Y 」と入力して変更します。

   PowerShell の実行ポリシーは、悪意のあるスクリプトの実行を防ぐのに役立ちます。 詳細については、「 実行ポリシーについて」を参照してください。

3. 入る： Install-Module -Name Microsoft.Graph.Intune

   次の場合は、「 Y 」と入力します。

   • NuGet プロバイダーのインストールを求められる
   • 信頼されていないリポジトリからモジュールをインストールするように求められた

   完了するまでに数分かかる場合があります。 完了すると、次のようなプロンプトが表示されます。

   

4. Web ブラウザーで、[ https://github.com/Microsoft/Intune-PowerShell-SDK/releases] に移動し、 Intune-PowerShell-SDK_v6.1907.00921.0001.zip ファイルを選択します。

   1. [ 名前を付けて保存] を選択し、記憶するフォルダーを選択します。 c:\psscripts 良い選択です。

   2. フォルダーを開き、.zip ファイル >Extract all>Extract を右クリックします。 フォルダー構造は、次のフォルダーのようになります。

      

5. [ 表示 ] タブで、[ ファイル名拡張子] をオンにします。

   

6. フォルダーで、[ c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471] に移動します。 すべての .dll >Properties>Unblock を右クリックします。

   

7. Windows PowerShell アプリで、次のように入力します。

   Import-Module c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471\Microsoft.Graph.Intune.psd1
   

   信頼されていない発行元からの実行を求められた場合は、「 R 」と入力します。

8. Intune 管理テンプレートでは、Graph のベータ版が使用されます。

   1. 入る： Update-MSGraphEnvironment -SchemaVersion 'beta'

   2. 入る： Connect-MSGraph -AdminConsent

   3. メッセージが表示されたら、同じ Microsoft 365 管理者アカウントでサインインします。 これらのコマンドレットは、テナント組織にポリシーを作成します。

      ユーザー: Microsoft 365 テナント サブスクリプションの管理者アカウントを入力します。
      パスワード: パスワードを入力します。

   4. [同意する] を選択します。

9. テスト構成構成プロファイルを作成します。 入る：

   $configuration = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations -Content '{"displayName":"Test Configuration","description":"A test configuration created through PS"}' -HttpMethod POST
   

   これらのコマンドレットが成功すると、プロファイルが作成されます。 確認するには、Intune 管理センター >Devices>Manage devices>Configuration に移動します。 テスト構成プロファイルが一覧表示されます。

10. すべての SettingDefinitions を取得します。 入る：

    $settingDefinitions = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions -HttpMethod GET
    

11. 設定の表示名を使用して定義 ID を見つけます。 入る：

    $desiredSettingDefinition = $settingDefinitions.value | ? {$_.DisplayName -Match "Silently sign in users to the OneDrive sync app with their Windows credentials"}
    

12. 設定を構成します。 入る：

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues" -Content ("{""enabled"":""true"",""configurationType"":""policy"",""definition@odata.bind"":""https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions('$($desiredSettingDefinition.id)')""}") -HttpMethod POST
    

    Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -Content ("{""enabled"":""false""}") -HttpMethod PATCH
    

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -HttpMethod GET
    

ポリシーを確認する

1. Intune 管理センターで、デバイス>管理デバイス>Configuration>Refresh を>します。
2. テスト構成プロファイル >Settings を選択します。
3. ドロップダウン リストで、[ すべての製品] を選択します。

[ Windows 資格情報を使用してユーザーを OneDrive 同期クライアントにサイレント サインイン する] 設定が構成されていることを確認できます。

ポリシーのベスト プラクティス

Intune でポリシーとプロファイルを作成する場合は、いくつかの推奨事項とベスト プラクティスを考慮する必要があります。 詳細については、「 ポリシーとプロファイルのベスト プラクティス」を参照してください。

リソースをクリーンアップする

不要になった場合は、次のことができます。

• 作成したグループを削除します。

  • すべての Windows 10 学生デバイス
  • Windows デバイスを追加
  • すべての教師

• 作成した管理テンプレートを削除します。

  • 管理テンプレート - Windows 10 学生デバイス
  • 管理テンプレート - すべての Windows 10 ユーザーに適用される OneDrive ポリシー
  • テスト構成

• Windows PowerShell 実行ポリシーを元の値に戻します。 次の例では、実行ポリシーを Restricted に設定します。

  Set-ExecutionPolicy -ExecutionPolicy Restricted
  

次の手順

このチュートリアルでは、 Microsoft Intune 管理センターの知識を深め、クエリ ビルダーを使用して動的グループを作成し、Intune で管理テンプレートを作成して ADMX 設定を構成しました。 また、オンプレミスとクラウドの ADMX テンプレートを Intune と比較しました。 ボーナスとして、PowerShell コマンドレットを使用して管理テンプレートを作成しました。

Intune の管理用テンプレートの詳細については、次のページを参照してください。