Intuneと Windows Autopilot を使用して、ハイブリッド参加済みデバイスMicrosoft Entra展開する

Intuneと Windows Autopilot を使用して、ハイブリッド参加済みデバイスMicrosoft Entra設定できます。 そのためには、この記事の手順のようにします。 ハイブリッド結合Microsoft Entra詳細については、「ハイブリッド結合と共同管理Microsoft Entra理解する」を参照してください。

要件

• ハイブリッド参加済みデバイスMicrosoft Entra正常に構成されました。 Get-MgDevice コマンドレットを使用して、デバイスの登録を確認してください。
• ドメインと OU ベースのフィルター処理が Microsoft Entra Connect の一部として構成されている場合は、Autopilot デバイス用の既定の組織単位 (OU) またはコンテナーが同期スコープに含まれていることを確認します。

デバイス登録の要件

登録するデバイスは、次の要件に従う必要があります。

• 現在サポートされているバージョンの Windows を使用します。
• 以下の Windows Autopilot ネットワーク要件に従ってインターネットにアクセスできる。
• Active Directory ドメイン コントローラーにアクセスできる。
• 参加しているドメインのドメイン コントローラーに正常に ping を実行します。
• プロキシを使用する場合は、Web プロキシ自動検出プロトコル (WPAD) プロキシ設定オプションを有効にして構成する必要があります。
• OOBE (Out-of-Box Experience) を使用している。
• OOBE でサポートMicrosoft Entra ID承認の種類を使用します。

必須ではありませんが、Active Directory フェデレーション サービス (ADFS) のハイブリッド参加Microsoft Entra構成すると、展開中の Windows Autopilot Microsoft Entra登録プロセスの高速化が可能になります。 パスワードの使用と AD FS の使用をサポートしていないフェデレーションのお客様は、prompt=login パラメーターのサポートに関する記事Active Directory フェデレーション サービス (AD FS)手順に従って認証エクスペリエンスを適切に構成する必要があります。

コネクタ サーバーの要件をIntuneする

• Intune コネクタ for Active Directory は、.NET Framework バージョン 4.7.2 以降でWindows Server 2016以降を実行しているコンピューターにインストールする必要があります。

• Intune コネクタをホストするサーバーは、インターネットと Active Directory にアクセスできる必要があります。

  注:

  Intune コネクタ サーバーでは、Active Directory と通信するために必要な RPC ポート要件を含む、ドメイン コントローラーへの標準ドメイン クライアント アクセスが必要です。 詳細については、次の記事を参照してください。

  • Windows のサービス概要およびネットワーク ポート要件
  • Active Directory ドメインと信頼のファイアウォールを構成する方法
  • ハイブリッド ID で必要なポートとプロトコル

• スケールと可用性を高めるために、環境内に複数のコネクタをインストールできます。 コネクタは、他の Intune コネクタが実行されていないサーバーにインストールすることをお勧めします。 各コネクタは、サポートする必要がある任意のドメインにコンピューター オブジェクトを作成できる必要があります。

• Intune コネクタには、Intune と同じエンドポイントが必要です。

Windows 自動 MDM 登録を設定する

1. Azure portalにサインインし、[Microsoft Entra ID] を選択します。

2. 左側のウィンドウで、管理 | Mobility (MDM および WIP)>Microsoft Intune を選択します。

3. Intuneと Windows を使用して参加済みデバイスMicrosoft Entra展開するユーザーが、MDM ユーザー スコープに含まれるグループのメンバーであることを確認します。

4. [MDM 利用規約 URL]、[MDM 探索 URL]、[MDM 準拠 URL] の各ボックスには既定値を使用して、[保存] を選択します。

組織単位でコンピューター アカウントの上限を増やす

Active Directory 用Intune コネクタは、オンプレミスの Active Directory ドメインに自動パイロット登録されたコンピューターを作成します。 Intune コネクタをホストするコンピューターには、ドメイン内にコンピューター オブジェクトを作成する権限が必要です。

一部のドメインでは、コンピューターにコンピューターを作成する権限が付与されていません。 また、ドメインには組み込みの制限 (既定値は 10) があり、コンピューター オブジェクトの作成権限を委任されていないすべてのユーザーとコンピューターに適用されます。 この権限は、ハイブリッド参加済みデバイスが作成される組織単位でIntune コネクタをホストするコンピューター Microsoft Entra委任する必要があります。

コンピューターを作成する権限を持つ組織単位は、次と一致する必要があります。

• ドメイン参加プロファイルに入力された組織単位。
• プロファイルが選択されていない場合は、organizationのドメインのコンピューターのドメイン名。

1. Active Directory ユーザーとコンピューター (DSA.msc)] を開きます。

2. ハイブリッド参加済みコンピューター>Delegate Control を作成するために使用する組織単位Microsoft Entra右クリックします。

   

3. オブジェクト制御の委任次へ] [追加] [オブジェクト タイプ] を選択します。

4. [オブジェクトの種類] ウィンドウで、[コンピューター]>[OK] の順に選択します。

   

5. [ユーザー、コンピューター、またはグループの選択] ウィンドウの [選択するオブジェクト名を入力してください] ボックスに、コネクタをインストールするコンピューターの名前を入力します。

   

6. [名前の確認] を選択して、エントリ >OK>Next を検証します。

7. 委任するカスタム タスクを作成する] [次へ] を選択します。

8. [フォルダ内の次のオブジェクトのみ]>[コンピューター オブジェクト] の順に選択します。

9. [このフォルダーに選択したオブジェクトを作成する] と [このフォルダー内の選択したオブジェクトを削除する] を選択します。

   

10. 次へ] を選択します。

11. アクセス許可] で、[フル コントロール] チェック ボックスをオンにします。 このアクションは、他のすべてのオプションを選択します。

    

12. 次へ] [完了] の順に選択します。

Intune コネクタをインストールする

インストールを開始する前に、すべてのIntune コネクタ サーバー要件が満たされていることを確認してください。

インストール手順

1. Windows Server では既定で、Internet Explorer セキュリティ強化の構成がオンになっています。 インターネット エクスプローラーセキュリティ強化構成により、Intune コネクタ for Active Directory へのサインインに問題が発生する可能性があります。 インターネット エクスプローラーは非推奨であり、ほとんどの場合、Windows Server にもインストールされていないため、Microsoft はインターネット エクスプローラーセキュリティ強化構成をオフにすることをお勧めします。 インターネット エクスプローラー拡張セキュリティ構成をオフにするには:

   1. Intune コネクタがインストールされているサーバーで、サーバー マネージャーを開きます。

   2. サーバー マネージャーの左側のウィンドウで、[ローカル サーバー] を選択します。

   3. サーバー マネージャーの右側の [プロパティ] ウィンドウで、[IE セキュリティ強化構成] の横にある [オン] または [オフ] リンクを選択します。

   4. [Internet エクスプローラー Enhanced Security Configuration]\(インターネット エクスプローラーセキュリティ強化構成\) ウィンドウで、[Administrators:]\(管理者:\) の下の [オフ] を選択し、[OK] を選択します。

2. Microsoft Intune 管理センターにサインインします。

3. [ホーム] 画面で、左側のウィンドウで [デバイス] を選択します。

4. デバイス |[概要] 画面の [プラットフォーム別] で [Windows] を選択します。

5. Windows で |[Windows デバイス ] 画面の [ デバイス オンボード] で、[登録] を選択 します。

6. Windows で |Windows 登録画面の [Windows Autopilot] で、[Intune コネクタ for Active Directory] を選択します。

7. [Intune コネクタ for Active Directory] 画面で、[追加] を選択します。

8. 手順に従ってコネクタをダウンロードします。

9. ダウンロードしたコネクタのセットアップ ファイル ODJConnectorBootstrapper.exe を開いて、コネクタをインストールします。

10. セットアップの最後に、[ 今すぐ構成] を選択します。

11. [サインイン] を選びます。

12. Intune管理者ロールの資格情報を入力します。 ユーザー アカウントに Intune ライセンスが割り当てられている必要があります。

認証後、Active Directory 用のIntune コネクタのインストールが完了します。 インストールが完了したら、次の手順に従って、Intuneでアクティブであることを確認します。

1. Microsoft Intune 管理センターにサインインします。

2. [ホーム] 画面で、左側のウィンドウで [デバイス] を選択します。

3. デバイス |[概要] 画面の [プラットフォーム別] で [Windows] を選択します。

4. Windows で |[Windows デバイス ] 画面の [ デバイス オンボード] で、[登録] を選択 します。

5. Windows で |Windows 登録画面の [Windows Autopilot] で、[Intune コネクタ for Active Directory] を選択します。

6. [状態] 列の接続状態が [アクティブ] であることを確認します。

Active Directory 用のIntune コネクタがインストールされると、アプリケーションとサービス のログ>Microsoft>Intune>ODJConnectorService のパスの下にあるイベント ビューアーのログインが開始されます。 このパスの下には、管理ログと運用ログがあります。

Web プロキシ設定の構成

ネットワーク環境に Web プロキシがある場合は、「既存のオンプレミス プロキシ サーバーを使用する」を参照して、Intune コネクタ for Active Directory が適切に動作することを確認します。

デバイス グループを作成する

1. Microsoft Intune管理センターで、[グループ>新しいグループ] を選択します。

2. [ グループ ] ウィンドウで、次のオプションを選択します。

   1. [グループの種類] で、[セキュリティ] を選択します。

   2. [グループ名] と [グループの説明] を入力します。

   3. [メンバーシップの種類] を選択します。

3. メンバーシップの種類として [動的デバイス ] が選択されている場合は、[ グループ ] ウィンドウで [ 動的デバイス メンバー] を選択します。

4. ［ルール構文］ ボックスで ［編集］ を選択し、次のいずれかのコード行を入力します。

   • すべての Autopilot デバイスを含むグループを作成するには、次のように入力します。

     (device.devicePhysicalIDs -any _ -startsWith "[ZTDId]")

   • Intuneの [グループ タグ] フィールドは、Microsoft Entra デバイスの OrderID 属性にマップされます。 特定のグループ タグ (OrderID) を持つすべての Autopilot デバイスを含むグループを作成するには、次のように入力します。

     (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")

   • 特定の発注書 ID を持つすべての Autopilot デバイスを含むグループを作成するには、次のように入力します。

     (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")

5. [保存]>[作成] の順に選択します。

Autopilot デバイスを登録する

Autopilot デバイスを登録するには、次のいずれかの方法を選択します。

既に登録されている Autopilot デバイスを登録する

1. [対象のすべてのデバイスを Autopilot に変換する] を [はい] に設定して、Autopilot 展開プロファイルを作成します。

2. Autopilot に自動的に登録する必要があるメンバーを含むグループにプロファイルを割り当てます。

詳しくは、「Autopilot Deployment プロファイルを作成する」をご覧ください。

登録されていない Autopilot デバイスを登録する

Windows Autopilot にまだ登録されていないデバイスは、手動で登録できます。 詳細については、「手動登録」を参照してください。

OEM からデバイスを登録する

新しいデバイスを購入する場合、一部の OEM は、organizationの代わりにデバイスを登録できます。 詳細については、「OEM 登録」を参照してください。

登録済みの Autopilot デバイスを表示する

デバイスがIntuneに登録される前に、登録済みの Windows Autopilot デバイスが 3 か所に表示されます (名前はシリアル番号に設定されています)。

• Microsoft Intune管理センターの [Windows Autopilot デバイス] ウィンドウ。 [デバイス>By プラットフォーム] を選択する |Windows>Device オンボード |登録。 [Windows Autopilot] で、[デバイス] を選択します。
• デバイス |Azure portalのすべてのデバイス ウィンドウ。 [デバイス]>[すべてのデバイス] を選択します。
• Microsoft 365 管理センターの [Autopilot] ペイン。 [ デバイス>Autopilot] を選択します。

Windows Autopilot デバイスが 登録されると、デバイスは次の 4 つの場所に表示されます。

• デバイス |Microsoft Intune管理センターのすべての [デバイス] ウィンドウ。 [デバイス]>[すべてのデバイス] の順に選択します。
• Windows |Microsoft Intune管理センターの [Windows デバイス] ウィンドウ。 [デバイス>By プラットフォーム] を選択する |Windows。
• デバイス |Azure portalのすべてのデバイス ウィンドウ。 [デバイス]>[すべてのデバイス] を選択します。
• Microsoft 365 管理センターの [アクティブなデバイス] ウィンドウ。 [ デバイス>アクティブなデバイス] を選択します。

デバイス オブジェクトは、デバイスが Autopilot に登録されると、Microsoft Entra IDで事前に作成されます。 デバイスがハイブリッド Microsoft Entra展開を通過すると、設計上、別のデバイス オブジェクトが作成され、エントリが重複します。

VPN

次の VPN クライアントがテストおよび検証されます。

• インボックス Windows VPN クライアント
• Cisco AnyConnect (Win32 クライアント)
• Pulse Secure (Win32 クライアント)
• GlobalProtect (Win32 クライアント)
• Checkpoint (Win32 クライアント)
• Citrix NetScaler (Win32 クライアント)
• SonicWall (Win32 クライアント)
• FortiClient VPN (Win32 クライアント)

VPN を使用する場合は、Windows Autopilot 展開プロファイルの [AD 接続チェックスキップ] オプションで [はい] を選択します。 Always-On VPN は自動的に接続されるため、このオプションは必要ありません。

サポートされていない VPN クライアント

次の VPN ソリューションは Windows Autopilot では動作しないことが わか っているため、Windows Autopilot での使用はサポートされていません。

• UWP ベースの VPN プラグイン
• ユーザー証明書が必要なすべてのクライアント
• DirectAccess

AutoPilot Deployment プロファイルを作成して割り当てる

Autopilot Deployment プロファイルは、Autopilot デバイスを構成する場合に使用されます。

1. Microsoft Intune 管理センターにサインインします。

2. [ホーム] 画面で、左側のウィンドウで [デバイス] を選択します。

3. デバイス |[概要] 画面の [プラットフォーム別] で [Windows] を選択します。

4. Windows で |[Windows デバイス ] 画面の [ デバイス オンボード] で、[登録] を選択 します。

5. Windows で |Windows 登録 画面の [Windows Autopilot] で、[ 展開プロファイル] を選択します。

6. [Windows Autopilot 展開プロファイル] 画面で、[プロファイルの作成] ドロップダウン メニューを選択し、[Windows PC] を選択します。

7. [ プロファイルの作成 ] 画面の [ 基本 ] ページで、[ 名前] とオプションの [説明] を入力します。

8. 割り当てられたグループ内のすべてのデバイスが自動的に Windows Autopilot に登録される場合は、[ すべての対象デバイスを Autopilot に変換] を [はい] に設定します。 割り当てられたグループ内のすべての企業所有の Autopilot 以外のデバイスは、Autopilot デプロイ サービスに登録されます。 個人所有のデバイスは Autopilot に登録されません。 登録が処理されるまで 48 時間待ちます。 デバイスの登録が解除され、リセットされると、Autopilot によって再び登録されます。 この方法でデバイスを登録した後、この設定を無効にするか、プロファイルの割り当てを削除しても、Autopilot 展開サービスからデバイスは削除されません。 代わりに、デバイスを直接削除する必要があります。 詳細については、「 Autopilot デバイスの削除」を参照してください。

9. [次へ] を選択します。

10. [Out-of-box experience (OOBE)] ページの [配置モード] で、[ユーザー ドリブン] を選択します。

11. [Microsoft Entra IDに参加] ボックスで、ハイブリッド参加Microsoft Entra選択します。

12. VPN サポートを使用してorganizationのネットワークからデバイスを展開する場合は、[ドメイン接続チェックのスキップ] オプションを [はい] に設定します。 詳細については、「VPN サポートを使用したハイブリッド参加Microsoft Entraユーザー駆動モード」を参照してください。

13. 必要に応じて、[Out-of-box experience (OOBE)] ページで残りのオプションを構成します。

14. [次へ] を選択します。

15. [スコープ タグ] ページで、プロファイルのスコープ タグを選択します。

16. [次へ] を選択します。

17. [割り当て] ページで、[含めるグループの選択] を選択>デバイス グループを検索して選択>選択します。

18. [次へ]>[作成] を選択します。

(省略可能) 登録状態ページを有効にする

1. Microsoft Intune 管理センターにサインインします。

2. [ホーム] 画面で、左側のウィンドウで [デバイス] を選択します。

3. デバイス |[概要] 画面の [プラットフォーム別] で [Windows] を選択します。

4. Windows で |[Windows デバイス ] 画面の [ デバイス オンボード] で、[登録] を選択 します。

5. Windows で |Windows 登録 画面の [Windows Autopilot] で、[ 登録の状態] ページを選択します。

6. [登録ステータス ページ] ウィンドウで、[既定]>[設定] の順に選択します。

7. [アプリとプロファイルのインストール進行状況を表示する] ボックスで、[はい] を選択します。

8. 必要に応じて、他のオプションを構成します。

9. [保存] を選択します。

ドメイン参加プロファイルを作成して割り当てる

1. Microsoft Intune管理センターで、デバイス>管理デバイス |構成>Policies>Create>New Policy。

2. 開 いたプロファイルの作成ウィンドウで 、次のプロパティを入力します。

   • 名前: 新しいプロファイルのわかりやすい名前を入力します。
   • 説明: プロファイルの説明を入力します
   • [プラットフォーム]: [Windows 10 以降] を選択します。
   • プロファイルの種類: [ テンプレート] を選択し、テンプレート名 [ドメイン参加] を選択して、[ 作成] を選択します。

3. ［名前］ と ［説明］ を入力し、［次へ］ を選択します。

4. ［コンピューター名プレフィックス］ と ［ドメイン名］ を指定します。

5. (省略可能) DN 形式で組織単位 (OU) を指定します。 以下のオプションがあります。

   • Intune コネクタを実行している Windows デバイスにコントロールを委任する OU を指定します。
   • organizationのオンプレミスの Active Directoryのルート コンピューターにコントロールを委任する OU を指定します。
   • このフィールドを空白のままにすると、コンピューター オブジェクトが Active Directory の既定のコンテナーに作成されます。 既定のコンテナーは通常、 CN=Computers コンテナーです。 詳細については、「 Active Directory ドメイン内のユーザーとコンピューターのコンテナーをリダイレクトする」を参照してください。

   有効な例:

   • OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com
   • OU=Mine,DC=contoso,DC=com

   無効な例:

   • CN=Computers,DC=contoso,DC=com - コンテナーを指定できません。 代わりに、ドメインの既定値を使用するには、値を空白のままにします。
   • OU=Mine - ドメインは、 DC= 属性を使用して指定する必要があります。

   組織単位の値を引用符で囲まないようにしてください。

6. [OK]>[作成] を選択します。 プロファイルが作成されて、一覧に表示されます。

7. 手順「デバイス グループの作成」で使用したのと同じグループにデバイス プロファイルを割り当てます。 別のドメインまたは OU にデバイスを参加させる必要がある場合は、異なるグループを使用できます。

ODJ コネクタをアンインストールする

ODJ コネクタは、実行可能ファイルを使用してコンピューターにローカルにインストールされます。 ODJ コネクタをコンピューターからアンインストールする必要がある場合は、コンピューター上でもローカルで実行する必要があります。 ODJ コネクタは、Intune ポータルまたは graph API 呼び出しでは削除できません。

コンピューターから ODJ コネクタをアンインストールするには、次の手順に従います。

1. ODJ コネクタをホストしているコンピューターにサインインします。
2. [スタート] メニューを右クリックし、[設定] を選択します。
3. [ Windows の設定] ウィンドウで、[アプリ] を選択 します。
4. [アプリの & 機能] で、[Intune コネクタ for Active Directory] を見つけて選択します。
5. [Intune コネクタ for Active Directory] で、[アンインストール] ボタンを選択し、もう一度 [アンインストール] ボタンを選択します。
6. ODJ コネクタはアンインストールに進みます。

次の手順

Windows Autopilot を構成したら、それらのデバイスを管理する方法について説明します。 詳細については、「Microsoft Intune デバイスの管理とは」を参照してください。

関連コンテンツ

• デバイス ID とは
• クラウドネイティブ エンドポイントの詳細については、こちらをご覧ください。
• Microsoft Entra参加済みとMicrosoft Entraハイブリッドがクラウドネイティブ エンドポイントに参加しています。
• チュートリアル: Microsoft Intuneを使用してクラウドネイティブ Windows エンドポイントを設定して構成する。
• 方法: Microsoft Entra参加の実装を計画する。
• Windows エンドポイント管理変換のフレームワーク。
• ハイブリッド Azure AD と共同管理のシナリオについて説明します。
• リモート Windows Autopilot とハイブリッド Azure Active Directory 参加での成功。