クラウド構成のWindows 10/11 のステップ バイ ステップ セットアップ ガイド
クラウド構成 (クラウド構成) のWindows 10/11 は、Windows クライアント デバイスのデバイス構成です。 エンド ユーザー エクスペリエンスを簡素化するように設計されています。 最小要件など、クラウド構成の詳細については、「 Windows クラウド構成ガイド付きシナリオの概要」を参照してください。
クラウド構成では、Microsoft Intune ポリシーを使用して、Windows クライアント デバイスをクラウド最適化デバイスに変換します。 クラウド構成のWindows 10/11:
Microsoft Entraを使用してIntune管理に登録するようにデバイスを構成することで、クラウドのデバイスを最適化します。 ユーザー データは、 既知のフォルダー移動 が構成された状態で OneDrive に自動的に格納されます。
デバイスにMicrosoft Teamsと Microsoft Edge をインストールします。
エンド ユーザーをデバイス上の標準ユーザーに構成し、デバイスにインストールされているアプリをより詳細に制御できるようにします。
組み込みのアプリと Microsoft Store アプリを削除し、エンド ユーザー エクスペリエンスを簡素化します。
エンドポイント セキュリティ設定とコンプライアンス ポリシーを適用します。 これらのポリシーは、デバイスのセキュリティを維持し、IT がデバイスの正常性を監視するのに役立ちます。
Windows Update for Business を通じてデバイスが自動的に更新されるようにします。
必要に応じて、次のことができます。
- Outlook、Word、Excel、PowerPointなど、他の Microsoft 365 アプリを追加します。
- エンド ユーザーが成功するために必要な基幹業務 (LOB) アプリを追加します。 Microsoft では、構成をシンプルに保つために、これらのアプリを最小限に抑えておくようお勧めします。
- ユーザー ワークフローに必要な Wi-Fi プロファイル、VPN 接続、証明書、プリンター ドライバーなどの重要なリソースを追加します。
ヒント
クラウド構成のWindows 10/11 とその使用方法の概要については、「クラウド構成のWindows 10/11」を参照してください。
クラウド構成をデプロイするには、次の 2 つの方法があります。
- オプション 1 - 自動: ガイド付きシナリオを使用して、構成された値を使用してすべてのグループとポリシーを自動的に作成します。 このオプションの詳細については、「 Windows クラウド構成ガイド付きシナリオの概要」を参照してください。
- オプション 2 - 手動 (この記事): この記事の手順を使用して、クラウド構成を自分でデプロイします。
このガイドは、独自のクラウド構成デプロイを作成するのに役立ちます。 次のセクションでは、Microsoft Intuneを使用してクラウド構成を設定する方法について説明します。
- Microsoft Entra グループを作成する
- デバイス登録を構成する
- 既知のフォルダー移動を構成し、組み込みのアプリを削除するスクリプトをデプロイする
- アプリを展開する
- エンドポイントのセキュリティ設定を展開する
- Windows Update設定を構成する
- Windows コンプライアンス ポリシーを展開する
- オプションの構成
手順 1 - Microsoft Entra グループを作成する
最初の手順は、デプロイする構成を受け取るMicrosoft Entraセキュリティ グループを作成することです。
この専用グループは、デバイスを整理し、Intuneでクラウド構成リソースを管理するのに役立ちます。 Microsoft では、このガイドの構成のみを展開することをお勧めします。 次に、必要に応じて、より重要なアプリやその他のデバイス構成を追加します。
グループを作成するには、次の手順に従います。
Microsoft Intune 管理センターにサインインします。
[グループ>すべてのグループ] [新しいグループ>] の順に選択します。
[グループの種類] で、[セキュリティ] を選択します。
グループ名を入力します (例:
Cloud config PCs
)。[ メンバーシップの種類] で、[ 割り当て済み] を選択します。
必要に応じて、新しいグループにデバイスを追加できます。 [ メンバーが選択されていない] を選択 し、グループにメンバーを追加します。
空のグループから開始し、後でデバイスを追加することもできます。
[作成] を選択します。
ヒント
グループが作成されたら、登録済みの Windows Autopilot デバイスをこのグループに追加できます。
既存のデバイス
クラウド構成で使用するIntuneに既存のデバイスが登録されている場合は、これらのデバイスから新たに開始することをお勧めします。 特に次のような場合です。
- これらのデバイスに展開されている既存のアプリとプロファイルを削除します。
- これらのデバイスをリセットします。
- デバイスを Intune に再登録し、クラウド構成をデプロイします。
これらの追加の手順は、合理化されたユーザー エクスペリエンスを提供するため、既存のデバイスに推奨されます。 その後、他の重要なアプリを追加し、デバイスにユーザーが必要なものだけを持っていることを確認できます。
手順 2 - デバイス登録を構成する
この手順では、Intuneで MDM の自動登録を有効にし、デバイスがIntuneに登録する方法を構成します。
Windows Autopilot を既に使用している場合は、この手順をスキップし、「 手順 3 - スクリプトを展開して既知のフォルダー移動を構成し、組み込みのアプリを削除 します (この記事では)」に進んでください。
✅ 1 - 自動登録を有効にする
クラウド構成を使用するorganization ユーザーの自動登録を有効にします。クラウド構成には自動登録が必要です。自動登録の詳細については、「登録ガイド - Windows 自動登録」を参照してください。
Microsoft Intune 管理センターにサインインします。
[プラットフォーム>別のデバイス]>[Windows>デバイス オンボード登録>>の自動登録] の順に選択します。
[ MDM ユーザー スコープ] で、次のいずれかを選択します。
- [すべて] を選択して、organizationのユーザーが使用するすべての Windows デバイスにクラウド構成を適用します。 ほとんどのクラウド構成シナリオでは、[ すべて ] が選択されています。
- [一部] を選択して、organization内のユーザーのサブセットによって使用されるデバイスにクラウド構成を適用します。 段階的なアプローチでクラウド構成を適用する場合は、 一部 が適している可能性があります。
MAM ユーザー スコープ、MAM 用語のユーザー URL、MDM 検出 URL、MAM コンプライアンス URL の設定は構成しないでください。 これらの設定は空白のままにします。 MAM 設定はクラウド構成用に構成されていません。
[保存] を選択し、変更内容を保存します。
✅ 2 - デバイスの登録方法を選択し、デバイス上の標準ユーザーとしてユーザーを構成する
Intuneで Windows の自動登録を有効にした後、次の手順は、デバイスがIntuneに登録する方法を決定することです。 登録すると、クラウド構成ポリシーを受け取るために使用できます。 また、デバイス上の標準ユーザーとしてユーザーを構成する必要もあります。 標準ユーザーは、organizationが承認したアプリのみをインストールできます。
登録には、3 つのオプションがあります。 1 つの登録オプションを選択します。
- Windows Autopilot を使用する (推奨)
- プロビジョニング パッケージを使用した一括登録
- すぐに使えるエクスペリエンス (OOBE) でMicrosoft Entra IDを使用する
このセクションでは、これらの登録オプションと、デバイス上の標準ユーザーとしてユーザーを構成する方法について詳しく説明します。
登録オプション 1: Windows Autopilot ユーザー主導の登録 (推奨)
Windows Autopilot 登録と登録状態ページ (ESP) を使用することをお勧めします。 この登録方法と ESP は、一貫性のあるエンド ユーザー エクスペリエンスを提供します。
- Windows Autopilot 展開サービスを使用してデバイスを事前登録します。 Windows Autopilot では、管理者はデバイスの起動方法を構成し、デバイス管理に登録します。
- Intune Windows Autopilot ポリシーは、すぐに使用するエクスペリエンス (OOBE) を構成します。 OOBE では、標準ユーザーにするユーザーを選択します。
- Intune Windows Autopilot ポリシーは、登録状態ページ (ESP) を構成します。 ESP には、構成の進行状況が表示されます。 すべてのクラウド構成設定がデバイスに適用されるまで、ユーザーは ESP にとどまります。
Windows Autopilot ユーザードリブン登録を設定するには、次の手順に従います。
Windows Autopilot にデバイスを追加します。
手順 3 - Windows Autopilot にデバイスを登録する (Windows Autopilot の記事を開く) の手順を使用して、Windows Autopilot にデバイスを登録します。
注:
「手順 3 - デバイスを Windows Autopilot Windows Autopilot に登録する」の記事は、一連の手順の一部です。 このクラウド構成の場合は、 手順 3 - デバイスを Windows Autopilot に登録してデバイス を登録するだけです。 シリーズの他の手順に従ってはいけません。 Windows Autopilot シリーズの他の手順は、別の Windows Autopilot シナリオ用です。
Windows Autopilot を使用するようにデバイスを手動で登録することもできます。 手動でデバイスを登録することは、Windows Autopilot で以前に設定されていない既存のハードウェアを再利用するためによく使用されます。
Intuneで Windows Autopilot 展開プロファイルを作成して割り当てます。
Microsoft Intune 管理センターにサインインします。
[プラットフォーム>別のデバイス>] [Windows>デバイス オンボード登録>>Windows Autopilot Deploymentプログラム>展開プロファイル] を選択します。
[プロファイルの作成]、>[Windows PC] の順に選択します。 プロファイルの名前を入力します。
[ 対象デバイスをすべて Autopilot に変換する ] 設定で、[ はい] を選択します。 [次へ] を選択します。
Windows Autopilot 以外の登録方法を使用して、登録されたデバイスにクラウド構成を適用できます。 これらのデバイス (Windows 以外の Autopilot デバイス) をグループに追加すると、デバイスは Windows Autopilot に変換されます。 次回デバイスがリセットされ、Windows Out-of-Box エクスペリエンス (OOBE) を通過すると、Windows Autopilot を使用して登録されます。
[ すぐに使えるエクスペリエンス (OOBE)] タブで、次の値を入力し、[ 次へ] を選択します。
設定 値 デプロイ モード ユーザー駆動型 Microsoft Entra IDに参加する Microsoft Entra参加済み Microsoft ソフトウェア ライセンス条項 非表示 プライバシー設定 非表示 アカウントの変更オプションを非表示にする 非表示 ユーザー アカウントの種類 標準 事前プロビジョニングされたデプロイを許可する いいえ 言語 (地域) オペレーティング システムの既定値 キーボードを自動的に構成する はい デバイス名テンプレートを適用する 省略可能。 デバイス名テンプレートを適用できます。 クラウド構成デバイス (.' など Cloud-%SERIAL%
) を識別するのに役立つ名前プレフィックスを使用します。手順 1 - Microsoft Entra グループを作成する (この記事では) で作成したグループにプロファイルを割り当て、[次へ] を選択します。
新しいプロファイルを確認し、[ 作成] を選択します。
Intuneで登録状態ページを作成して割り当てます。
Microsoft Intune 管理センターにサインインします。
[プラットフォーム>別のデバイス>] [Windows>デバイス オンボード登録>>の一般>登録の状態] ページを選択します。
[ 作成] を 選択し、[ 登録状態] ページの名前を入力します。
[ 設定 ] タブで、次の値を入力し、[ 次へ] を選択します。
設定 値 アプリとプロファイルの構成プロセスを表示する はい インストールに指定した分数を超える時間がかかる場合にエラーを表示する 60 時間制限エラーの発生時にカスタム メッセージを表示する はい - 既定のメッセージを変更することもできます。 インストール エラーに関するログの収集をユーザーに許可する はい すべてのアプリとプロファイルがインストールされるまでデバイス ユーザーをブロックする はい インストール エラーが発生した場合にデバイスのリセットをユーザーに許可する はい インストール エラーが発生した場合にデバイスの使用をユーザーに許可する いいえ これらの必要なアプリがユーザー/デバイスに割り当てられている場合にインストールされるまで、デバイス ユーザーをブロックする すべて 注:
インストール エラーが発生した場合は、ユーザーによるデバイスの使用をブロックすることをお勧めします。 ユーザーをブロックすると、クラウド構成が完全に適用された後にのみデバイスの使用を開始できます。
展開のニーズに基づいてインストール エラーが発生した場合は、ユーザーにデバイスの使用を許可できます。 デバイスの使用を許可する場合、デバイスが Intune でチェックインすると、Intuneは引き続き構成の適用を試みます。
[割り当て] で、手順 1 - Microsoft Entra グループを作成する (この記事で) で作成したグループに [登録の状態] ページを割り当てます。
[次へ] を選択します。
[ 作成] を 選択して、[登録状態] ページを作成して割り当てます。
登録オプション 2: プロビジョニング パッケージを使用した一括登録
デバイスは、Windows Configuration Designerまたは学校用 PC のセットアップ アプリを使用して作成されたプロビジョニング パッケージを使用して登録できます。
一括登録の詳細については、「 Windows デバイスの一括登録」を参照してください。
一括登録の場合:
- デバイスをIntuneに登録した後、手順 1 - Microsoft Entra グループを作成する (この記事で) で作成したグループにデバイスを追加します。 グループに追加されると、クラウド構成を受け取ります。
- すべてのユーザーは、デバイス上で自動的に標準ユーザーになります。
- [登録の状態] ページはありません。 すべてのクラウド構成設定が適用されるため、ユーザーは進行状況を表示できません。 クラウド構成が完全に適用される前に、ユーザーはデバイスの使用を開始できます。
- デバイスをユーザーに配布する前に、設定とアプリがデバイス上にあることを確認することをお勧めします。
登録オプション 3: Microsoft Entra IDを使用してすぐに使用できるエクスペリエンス (OOBE) を使用して登録する
Intuneで MDM 自動登録が有効になっていると、OOBE 中にユーザーは自分のMicrosoft Entra アカウントでサインインします。 サインインすると、登録が自動的に開始されます。
この登録オプションを使用すると、次の操作を行うことができます。
Microsoft Intuneカスタム プロファイルを構成して、デバイス上のローカル管理者を制限します。 ポリシー CSP には、カスタム プロファイルで使用できるサンプル ポリシー定義 XML が含まれています。
ヒント
このカスタム プロファイルには、デバイス上のローカル管理者として使用できるグループを追加する別の設定があります。 このローカル管理者グループには、環境内の IT 管理者のみを含める必要があります。
手順 1 - Microsoft Entra グループを作成する (この記事で) で作成したグループにカスタム プロファイルを割り当てます。
手順 3 - OneDrive の既知のフォルダーの移動を構成し、組み込みのアプリを削除するスクリプトを展開する
OneDrive の既知のフォルダー移動を構成すると、ユーザー ファイルとデータは自動的に OneDrive に保存されます。 組み込みの Windows アプリと Microsoft Store を削除すると、[スタート] メニューとデバイス エクスペリエンスが簡略化されます。
この手順は、Windows ユーザー エクスペリエンスを簡略化するのに役立ちます。
✅ 1 - 管理用テンプレートを使用して OneDrive の既知のフォルダー移動を構成する
既知のフォルダー移動では、ユーザー データ (ファイルとフォルダー) が OneDrive に保存されます。 ユーザーが別のデバイスにサインインすると、OneDrive は新しいデバイスにデータを自動的に同期します。 ユーザーはファイルを手動で移動する必要はありません。
注:
OneDrive の既知のフォルダー移動 と SharedPC の構成に関する同期の問題のため、Microsoft では、複数のユーザーがサインインおよびサインアウトしているデバイスでクラウド構成で Windows を使用することはお勧めしません。
既知のフォルダー移動を構成するには、Intuneで ADMX テンプレートを使用します。
Microsoft Intune 管理センターにサインインします。
[デバイス>バイ プラットフォーム>] [Windows>デバイスの管理]>[構成][新しいポリシーの作成>] > の順に選択します。
プラットフォームの場合は [Windows 10 以降] を選択し、プロファイルの種類として [テンプレート] を選択します。
[ 管理用テンプレート] を 選択し、[ 作成] を選択します。
プロファイルの名前を入力し、[ 次へ] を選択します。
[ 構成設定] で、次の表の設定を検索し、推奨される値を選択します。
設定名 値 Windows の既知のフォルダーを OneDrive 対応テナント ID にサイレント 移動する organizationのテナント ID を入力します。
テナント ID は、[プロパティ] ページ>の [テナント ID] Microsoft Entra 管理センター>表示されます。フォルダーがリダイレクトされた後にユーザーに通知を表示する はい。 通知を非表示にすることもできます。 Windows 資格情報を使用して OneDrive 同期アプリにユーザーをサイレント モードでサインインする 有効 ユーザーが Windows の既知のフォルダーから OneDrive に移動できないようにする 有効 ユーザーが Windows の既知のフォルダーから PC にリダイレクトできないようにする 有効 OneDrive ファイル オンデマンドを使用する 有効 手順 1 - Microsoft Entra グループを作成する (この記事で) で作成したグループにプロファイルを割り当てます。
✅ 2 - 組み込みのアプリを削除するスクリプトをデプロイする
Microsoft は、次のWindows PowerShell スクリプトを作成しました。
- 組み込みのアプリをデバイスから削除します。
- デバイスから Microsoft Store アプリを削除します。
スクリプトは、Intune で を使用してデバイスにデプロイされます。 スクリプトを追加してデプロイするには、次の手順に従います。
Cloud config Window PowerShell アプリの削除スクリプトをダウンロードします。 このスクリプトは、Microsoft Store アプリと組み込みアプリを削除します。
注:
Microsoft Store アプリをデバイスに保持する場合は、 組み込みのアプリを削除するが、代わりに Microsoft Store を保持するスクリプトを 使用できます。 このスクリプトを使用するには、代わりにスクリプトをダウンロードし、同じ手順に従います。 このスクリプトでは、組み込みのアプリを削除しようとしますが、それらすべてを削除しない場合があります。 スクリプトを変更して、デバイス上のすべての組み込みアプリを削除する必要がある場合があります。
Microsoft Intune 管理センターにサインインします。
[デバイス]>[プラットフォーム>別] [Windows>デバイスの管理>] [スクリプトと修復>] [プラットフォーム スクリプト] タブ [追加] の順に選択します>。
[ 基本] で、スクリプト ポリシーの名前を入力し、[ 次へ] を選択します。
[ スクリプト設定] で、ダウンロードしたスクリプトをアップロードします。 他の設定はそのままにして、[ 次へ] を選択します。
手順 1 - Microsoft Entra グループを作成する (この記事で) で作成したグループにスクリプトを割り当てます。
Microsoft Store アプリ
以前に Microsoft Store アプリを削除した場合は、Microsoft Intuneを使用して再デプロイできます。 Microsoft Store アプリ (または再追加するその他のアプリ) を再追加するには、プライベート organization アプリ リポジトリに Microsoft Store アプリを追加します。 次に、Intuneを使用してデバイスにアプリをデプロイします。 Microsoft Store アプリは、アプリの更新を維持するのに役立ちます。 Microsoft Store アプリへのアクセスを構成する方法については、「 プライベート ストアへのアクセスを管理する」を参照してください。
プライベート organization アプリ リポジトリは、Intune ポータル サイト アプリまたは Web サイトにすることができます。
Intuneを使用すると、Windows 10/11 Enterprise および Education デバイスで、エンド ユーザーがorganizationのプライベート アプリ リポジトリの外部に Microsoft Store アプリをインストールできないようにすることができます。
これらの外部アプリを防ぐには、次の手順を使用します。
Microsoft Intune 管理センターにサインインします。
[デバイス>バイ プラットフォーム>] [Windows>デバイスの管理]>[構成][新しいポリシーの作成>] > の順に選択します。
[Windows 10以降のプラットフォーム] を選択し、[プロファイルの種類] に [設定カタログ] を選択します。 [作成] を選択します。
[ 基本] に、プロファイルの名前を入力します。
[構成設定] で、[追加の追加] を選択します。 その後で以下の手順に従います。
- 設定ピッカーで を検索します
private store
。 [Microsoft App Store] カテゴリの検索結果で、[プライベート ストアのみ必須] を選択します。 - [ プライベート ストアのみ必要] 設定を [ プライベート ストアのみ] に設定すると、有効になります。
- [次へ] を選択します。
- 設定ピッカーで を検索します
[割り当て] で、手順 1 - Microsoft Entra グループを作成する (この記事で) で作成したグループにプロファイルを割り当てます。
[ レビューと作成 ] でプロファイルを確認し、[ 作成] を選択します。
手順 4 - アプリをデプロイする
この手順では、Microsoft Edge とMicrosoft Teamsを展開します。 この手順では、他の重要なアプリをデプロイできます。 ユーザーが必要とするもののみをデプロイしてください。
✅ 1 - Microsoft Edge の展開
- Intuneに Microsoft Edge を追加します。
- [ アプリの設定] で、[ 安定したチャネル] を選択します。
- 手順 1 - Microsoft Entra グループを作成する (この記事で) で作成したグループに Microsoft Edge アプリを割り当てます。
✅ 2- Microsoft Teamsをデプロイする
Microsoft Intune 管理センターにサインインします。
[Apps Windows] を>選択します。
[ 追加] を 選択して新しいアプリを作成します。
[Microsoft 365 Apps] で[Windows 10] を選択し、後で[選択] を選択します>。
[ スイート名] に名前を入力するか、推奨される名前を使用します。 [次へ] を選択します。
[ アプリ スイートの構成] で、[Teams] のみを選択します。
他の Microsoft 365 アプリを展開する場合は、この一覧からアプリを選択します。 ユーザーが必要とするもののみをデプロイしてください。
ヒント
OneDrive を選択する必要はありません。 OneDrive は、Windows 10/11 Pro、Enterprise、Education に組み込まれています。
アプリ スイートの情報については、次の設定を構成します。
設定 値 アーキテクチャ 64 ビット
クラウド構成は、32 ビットでも機能します。 Microsoft では、64 ビットを選択することをお勧めします。更新プログラム チャネル 現在のチャネル 他のバージョンを削除する はい インストールするバージョン 最新 [プロパティ] で、次の設定を構成します。
設定 値 共有コンピューターのライセンス認証を使用する はい ユーザーに代わって Microsoft ソフトウェア ライセンス条項に同意する はい [次へ] を選択します。
手順 1 - Microsoft Entra グループを作成する (この記事で) で作成したグループにスイートを割り当てます。
手順 5 - エンドポイントのセキュリティ設定をデプロイする
この手順では、組み込みの Windows セキュリティ ベースラインや BitLocker 設定など、デバイスのセキュリティを維持するのに役立つエンドポイント セキュリティ設定を構成します。
✅1 - Windows 10/11 MDM セキュリティ ベースラインをデプロイする
クラウド構成の Windows の場合は、Windows 10/11 セキュリティ ベースラインを使用することをお勧めします。 organizationの設定に基づいて変更できる設定値がいくつかあります。
Intuneでセキュリティ ベースラインを構成します。
Microsoft Intune 管理センターにサインインします。
[エンドポイント セキュリティ セキュリティ>ベースライン>]Windows 10以降のセキュリティ ベースラインを選択します。
[ プロファイルの作成] を選択して、新しいセキュリティ ベースラインを作成します。
セキュリティ ベースラインの名前を入力し、[ 次へ] を選択します。
既定の構成設定をそのまま使用します。 または、organizationのニーズに基づいて次の設定を変更できます。
カテゴリの設定 設定 変更の理由 ブラウザー パスワード マネージャーをブロックする エンド ユーザーにパスワード マネージャーの使用を許可する場合は、この設定を無効にします。 リモート アシスタンス リモート アシスタンスの要請 この設定を使用すると、サポート スタッフはデバイスにリモートで接続できます。 必要な場合を除き、この設定を無効にすることをお勧めします。 ファイアウォール すべてのファイアウォール設定 organizationのニーズに基づいてデバイスへの特定の接続を許可する必要がある場合は、既定のファイアウォール設定を変更します。 [次へ] を選択します。
[割り当て] で、手順 1 - Microsoft Entra グループを作成する (この記事で) で作成したグループを選択します。
[ 作成] を 選択して、ベースラインを作成して割り当てます。
✅ 2 - ドライブ暗号化エンドポイントのセキュリティ プロファイルを使用して、さらに BitLocker 設定を展開する
デバイスのセキュリティ保護に役立つ BitLocker 設定が増えています。 Intuneで次の BitLocker 設定を構成します。
Microsoft Intune 管理センターにサインインします。
[エンドポイント セキュリティ]>[ディスク 暗号化]>[ポリシーの作成] を選択します。
[プラットフォーム] には、[Windows 10 以降] を選択します。
[ プロファイル] で、[ BitLocker>作成] を選択します。
[ 基本] に、プロファイルの名前を入力します。
[ 構成設定] で、次の設定を選択します。
カテゴリの設定 設定 値 BitLocker – 基本設定 OS と固定データ ドライブの完全ディスク暗号化を有効にする はい BitLocker – 固定ドライブ設定 BitLocker 固定ドライブ ポリシー Configure BitLocker によって保護されていない固定データ ドライブへの書き込みアクセスをブロックする はい 固定データ ドライブの暗号化方法を構成する AES 128 ビット XTS BitLocker – OS ドライブの設定 BitLocker システム ドライブ ポリシー Configure スタートアップ認証が必要 はい 互換性のある TPM の起動 許可 互換性のある TPM スタートアップ PIN 許可 互換性のある TPM スタートアップ キー 必須 互換性のある TPM スタートアップ キーと PIN 許可 TPM に互換性がないデバイスで BitLocker を無効にする はい オペレーティング システム ドライブの暗号化方法を構成する AES 128 ビット XTS BitLocker – リムーバブル ドライブの設定 BitLocker リムーバブル ドライブ ポリシー Configure リムーバブル データ ドライブの暗号化方法を構成する AES 128 ビット CBC BitLocker によって保護されていないリムーバブル データ ドライブへの書き込みアクセスをブロックする はい [割り当て] で、手順 1 - Microsoft Entra グループを作成する (この記事で) で作成したグループにプロファイルを割り当てます。
[ 作成] を 選択して、プロファイルを作成して割り当てます。
手順 6 - Windows Update設定を構成する
この手順では、Windows Updateリングを使用してデバイスを自動的に更新します。 このガイドの設定は、Windows Update ベースラインの推奨設定と一致します。
Intuneで更新リングを構成します。
Microsoft Intune 管理センターにサインインします。
[デバイス]> [更新プログラム>の管理Windows 10以降の更新プログラムの [リングの更新>] タブ [プロファイルの作成] の順に選択します。>
[ 基本] に、更新リングの名前を入力します。
[ リング設定の更新] で、次の値を構成し、[ 次へ] を選択します。
設定 値 サービス チャネル 半期チャネル Microsoft 製品の更新 許可 Windows ドライバー 許可 品質更新プログラムの延期期間 (日) 0 機能更新プログラムの延期期間 (日) 0 機能更新プログラムのアンインストール期間を設定する 10 自動更新のビヘイビアー 既定値にリセット 再起動チェック 許可 Windows 更新プログラムを一時停止するオプション 有効にする Windows 更新プログラムのチェックオプション 有効にする 再起動通知を無視するためにユーザーの承認を要求する いいえ 必要な自動再起動の前にユーザーに通知する (時間) この設定は未構成のままにします 永続的なリマインダーを使用して必要な自動再起動の前にユーザーに通知する (分) この設定は未構成のままにします Update 通知レベルを変更する 既定のWindows Update通知を使用する 期限設定を使用する 許可 機能更新プログラムの期限 7 品質更新プログラムの期限 2 猶予期間 2 期限前に自動的に再起動する はい 手順 1 - Microsoft Entra グループを作成する (この記事で) で作成したグループに更新リングを割り当てます。
手順 7 - Windows コンプライアンス ポリシーを展開する
デバイスのコンプライアンスと正常性の監視に役立つコンプライアンス ポリシーを構成します。 このポリシーはコンプライアンス違反を報告し、ユーザーがデバイスを使用することを引き続き許可します。 organizationのプロセスに基づいて、他のアクションとの非準拠に対処する方法を選択できます。
Intuneでコンプライアンス ポリシーを作成します。
Microsoft Intune 管理センターにサインインします。
[デバイス>コンプライアンス]> [ポリシーの作成] の順に選択します。
[プラットフォーム] で、[Windows 10] を選択し、後で[作成] を選択します>。
[ 基本] に、コンプライアンス ポリシーの名前を入力します。 [次へ] を選択します。
[ コンプライアンス設定] で、次の値を構成し、[ 次へ] を選択します。
カテゴリの設定 設定 値 デバイスの正常性 BitLocker が必要 必須 デバイスでセキュア ブートを有効にする必要がある 必須 コードの整合性を要求する 必須 システム セキュリティ ファイアウォール 必須 ウイルス対策 必須 スパイウェア対策 必須 モバイル デバイスのロックを解除するパスワードを要求する 必須 単純なパスワード ブロック パスワードの種類 英数字 パスワードの最小文字数 8 パスワードが要求されるまでの非アクティブの最長時間 (分) 1 分 パスワードの有効期限 (日) 41 再使用を禁止するパスワード世代数 5 Defender Microsoft Defender マルウェア対策 必須 最新の Microsoft Defender マルウェア対策セキュリティ インテリジェンス 必須 リアルタイム保護 必須 [非 準拠のアクション] で、[ デバイスの非準拠のマーキング ] アクションで、 スケジュール (準拠していない日数) を日に
1
構成します。 organization設定に基づいて異なる猶予期間を構成できます。organizationで条件付きアクセス ポリシーを使用する場合は、猶予期間を構成することをお勧めします。 猶予期間により、非準拠デバイスがorganization リソースへのアクセスを直ちに失うのを防ぎます。
準拠を取得するための手順に準拠していない旨をユーザーに通知するアクションを電子メールに追加できます。
手順 1 - Microsoft Entra グループを作成する (この記事で) で作成したグループにコンプライアンス ポリシーを割り当てます。
手順 8 - オプションの構成
クラウド構成を使用して作成およびデプロイできるオプションのポリシーがあります。このセクションでは、これらの省略可能なポリシーについて説明します。
✅ テナント ドメイン名を構成する
ユーザー サインインにテナントのドメイン名を自動的に使用するようにデバイスを構成します。ドメイン名を追加するときに、ユーザーがサインインするために完全な UPN を入力する必要はありません。
Intuneにテナント ドメイン名を追加します。
- Microsoft Intune 管理センターにサインインします。
- [デバイス>バイ プラットフォーム>] [Windows>デバイスの管理]>[構成][新しいポリシーの作成>] > の順に選択します。
- プラットフォームの場合は、[Windows 10 以降] を選択します。
- [プロファイルの種類] で、[テンプレート] [デバイスの>制限] [作成] を選択します>。
- プロファイルの名前を入力し、[ 次へ] を選択します。
- [構成設定] の [パスワード] で、優先Microsoft Entraテナント ドメインを構成します。 ユーザーがデバイスへのサインインに使用する必要があるMicrosoft Entraドメイン名を入力します。
- 手順 1 - Microsoft Entra グループを作成する (この記事で) で作成したグループにプロファイルを割り当てます。
✅ 他の重要な生産性と基幹業務 (LOB) アプリをデプロイする
すべてのデバイスに必要な重要な LOB アプリがいくつか存在する場合があります。 デプロイするこれらのアプリの最小数を選択します。 仮想化ソリューションを使用してアプリを配信する場合は、仮想化クライアント アプリもデバイスにデプロイします。
クラウド構成にアプリを追加してデプロイできる他のアプリの数やサイズに制限はありません。 ただし、Microsoft では、ユーザーがロールに必要とする内容に基づいて、これらの他のアプリを最小限に抑えておくことをお勧めします。 手順 1 - Microsoft Entra グループを作成する (この記事で) で作成したグループに、これらの重要なアプリを割り当てます。
一部のデバイスで特定の LOB アプリが必要になる場合があります。 または、複雑なパッケージ化またはプロシージャの要件を持つアプリがいくつか存在する場合があります。 これらのシナリオでは、クラウド構成デプロイからこれらのアプリを移動することを検討してください。 または、これらのアプリを必要とするデバイスを既存の Windows 管理モデルに保持します。
クラウド構成は、いくつかの主要なアプリを必要とするデバイスと、コラボレーションと閲覧に推奨されます。
✅ユーザーがorganizationアクセスに必要なリソースをデプロイする
ユーザーが必要とする可能性がある重要なリソースを構成します。これは、organizationのプロセスによって異なります。 重要なリソースには、証明書、プリンター、VPN 接続、および Wi-Fi プロファイルを含めることができます。
Intuneで、手順 1 - Microsoft Entra グループを作成する (この記事で) で作成したグループにこれらのリソースを割り当てます。
✅ OneDrive の既知のフォルダー移動の推奨設定を構成する
OneDrive の既知のフォルダー移動のユーザー エクスペリエンスを向上させるその他の設定があります。 既知のフォルダー移動を機能させるには設定は必要ありませんが、役に立ちます。
これらの設定の詳細については、「 既知のフォルダー移動に推奨される OneDrive 設定」を参照してください。
✅ 推奨される Microsoft Edge 設定を構成する
ユーザー エクスペリエンスを向上するために構成できる Microsoft Edge アプリ設定がいくつかあります。 これらの設定は、エンド ユーザー エクスペリエンスの要件または設定に基づいて構成できます。
これらの推奨設定を構成するには、次のIntuneを使用します。
Microsoft Intune 管理センターにサインインします。
[デバイス>バイ プラットフォーム>] [Windows>デバイスの管理]>[構成][新しいポリシーの作成>] > の順に選択します。
[プラットフォーム] には [Windows 10 以降] を選択し、プロファイルの種類には [テンプレート] を選択します。
[ 管理用テンプレート] を 選択し、[ 作成] を選択します。
プロファイルの名前を入力し、[ 次へ] を選択します。
[ 構成設定] で、次の設定を検索し、推奨値に構成します。
カテゴリの設定 設定 値 インターネット エクスプローラー統合を構成する 有効、インターネット エクスプローラー モード SmartScreen の設定 SmartScreen Microsoft Defender構成する 有効 信頼できるソースからのダウンロードに対して SmartScreen チェックを強制的にMicrosoft Defenderする 有効 望ましくない可能性のあるアプリをブロックするように smartScreen Microsoft Defender構成する 有効 注:
SmartScreen 設定は、Microsoft Defenderによっても適用されます。 Microsoft Edge アプリを使用して SmartScreen 設定を構成すると、Microsoft Edge によって設定が直接適用されます。
手順 1 - Microsoft Entra グループを作成する (この記事で) で作成したグループにプロファイルを割り当てます。
クラウド構成の状態を監視する
クラウド構成をデバイスに適用する場合は、Intuneを使用してアプリとデバイスの構成の状態を監視できます。
スクリプトの状態
デプロイされたスクリプトのインストール状態を監視できます。
- Microsoft Intune管理センターで、[デバイス>] [プラットフォーム>別] [Windows>スクリプトと修復][プラットフォーム スクリプト] の順に>移動します。
- デプロイしたスクリプトを選択します。
- スクリプトの詳細ページで、[ デバイスの状態] を選択します。 スクリプトのインストールの詳細が表示されます。
アプリのインストール
デプロイされたアプリのインストール状態を監視できます。
- Microsoft Intune管理センターで、[アプリ] [Windows Windows> アプリ]> に移動します。
- Microsoft 365 App Suite など、デプロイしたアプリを選択します。
- [ デバイスのインストール状態] または [ ユーザーのインストール状態] を選択します。 アプリのインストールの詳細が表示されます。
個々のデバイスでのアプリの問題のトラブルシューティングについては、「アプリのインストールに関する問題Intuneトラブルシューティング」を参照してください。
セキュリティ ベースライン
デプロイされたセキュリティ ベースラインのインストール状態を監視できます。 詳細については、「Intuneでセキュリティ ベースラインとプロファイルを監視する」を参照してください。
ディスク暗号化プロファイル
手順 5 - エンドポイント セキュリティ設定を展開する (この記事では) で、BitLocker 設定を構成して展開している可能性があります。
この BitLocker プロファイルの状態を監視できます。
- Microsoft Intune管理センターで、[エンドポイント セキュリティ>ディスクの暗号化] に移動します。
- クラウド構成でデプロイしたディスク暗号化プロファイルを選択します。
- [ デバイスのインストール状態] または [ ユーザーのインストール状態] を選択します。 プロファイルの詳細が表示されます。
Windows Update の設定
Windows Updateリング ポリシーの状態を監視できます。
- Microsoft Intune管理センターで、[デバイス>] [更新プログラム>の管理] に移動しWindows 10以降の更新プログラムの[リングの更新>] タブに移動します。
- クラウド構成の一部としてデプロイした更新リングを選択します。
- [ デバイスの状態]、[ ユーザーの状態]、または [エンド ユーザーの更新状態] を選択します。 更新リング設定の詳細が表示されます。
Windows Update リングのレポートの詳細については、「Windows 10 以降のポリシーのリングを更新するためのレポート」を参照してください。
コンプライアンス ポリシー
コンプライアンス ポリシーの状態を監視できます。
- Microsoft Intune管理センターで、[デバイス>のコンプライアンス] に移動します。
- クラウド構成の一部としてデプロイしたコンプライアンス ポリシーを選択します。
デバイス コンプライアンス監視ビューには、コンプライアンス ポリシーの割り当ての状態と割り当てエラーに関する詳細情報が表示されます。 また、準拠していないデバイスをすばやく見つけてアクションを実行するためのビューもあります。
Intuneでのコンプライアンス ポリシーの監視の詳細については、「Intuneデバイス コンプライアンス ポリシーの結果を監視する」を参照してください。