教育デバイスのグループ化とターゲット設定を計画する
✅ デバイスとユーザーを整理する
デバイス、学生、教室、または学習カリキュラムをグループにまとめることで、学生に必要なリソースと構成を提供できます。
グループ化とターゲット設定の概要
Intune には、次の 4 つのターゲット方法があります。
| グループ化の種類 | 説明 | 利点 | デメリット |
|---|---|---|---|
| 仮想グループ | Intune によって作成され、すべてのデバイスとすべてのユーザーを対象にできます | 常に最新の状態に自動的に | フィルターを使用してのみスコープを設定できます |
| 割り当てられたグループ | ユーザーまたはデバイスをグループに手動で追加する場合に使用されます。 | 一意のグループ メンバーシップを簡単に管理する | メンバーシップは手動で管理されます |
| 動的グループ | 学生またはデバイスをグループに割り当てるために作成したルールに基づくグループ。 | これらのグループのメンバーシップメンテナンスを自動化します | 更新には数分から 24 時間かかる場合があります |
| フィルター | グループをターゲットにするときに、ポリシーまたはアプリの割り当てスコープをさらに絞り込めます。 | Intune では、チェックインごとにフィルターをすばやく評価します | 仮想グループ、割り当てグループ、または動的グループに適用する必要がある |
組織では通常、これらのターゲット設定方法の組み合わせを使用します。
注:
フィルターは Intune for Education 管理コンソールではアクセスできませんが、Intune 管理コンソールでアクセスできます。
Microsoft School Data Sync (SDS) を使用すると、すべての教師とすべての学生の 2 つの追加グループが事前に作成されます。 SDS は、各学校の学生と教師のグループを自動的に作成および管理するように構成することもできます。
既定値を超えて、さまざまなニーズに合わせてグループをカスタマイズできます。 たとえば、学校に Windows 10 デバイスと Windows 11 デバイスの両方がある場合は、Windows 10 デバイスや Windows 11 デバイスなどのグループを作成して、さまざまなポリシーとアプリケーションを割り当てることができます。
ヒント
グループ化とターゲット設定のオプションの詳細情報については、「大規模な Microsoft Intune 環境でのグループ化、ターゲット設定、およびフィルター処理に関するパフォーマンスに関する推奨事項」を参照してください。
ポリシーの競合を回避するためのヒントについては、「 ポリシーの競合を回避する」を参照してください。
グループ化方法を選択する
✅ グループ化に最適なオプションを選択する
構成とアプリをターゲットにする方法は、多くの要因と登録の種類によって異なります。
次の表に、登録方法と目的の動作に基づいて使用する Windows デバイス グループ化オプションに関するガイダンスを示します。
| 登録の種類 | 動作 | 最適なグループ化オプション |
|---|---|---|
| Autopilot ユーザー ドリブン | 登録中の最速のアプリケーション | ✔️ Autopilot グループ タグ、製造元、またはモデルに基づくデバイス動的グループ ✔️ ユーザー動的グループ✔️ 割り当て済みグループ |
| Autopilot 自己展開モード | 登録中の最速のアプリケーション | ✔️ Autopilot グループ タグ、製造元、またはモデルに基づくデバイス動的グループ ✔️ 割り当てられたグループ |
| すべての登録の種類 | 登録中の最速のアプリケーション | ✔️ すべてのデバイス グループ ✔️ フィルターを持つすべてのデバイス グループ |
| すべての登録の種類 | 登録後に適用されます | ✔️ 他の属性に基づくデバイス動的グループ |
次の表に、登録方法と目的の動作に基づいて使用する iOS デバイスグループ化オプションに関するガイダンスを示します。
| 登録の種類 | 動作 | 最適なグループ化オプション |
|---|---|---|
| 自動デバイス登録 | 登録中の最速のアプリケーション | ✔️ すべてのデバイス グループ ✔️ フィルターを持つすべてのデバイス グループ |
| ユーザー アフィニティを使用した自動デバイス登録 | 登録中の最速のアプリケーション | ✔️ 割り当てられたユーザー グループまたは動的なユーザー グループ |
| ポータル サイト | 登録中の最速のアプリケーション | ✔️ 割り当てられたユーザー グループまたは動的なユーザー グループ |
| すべての登録の種類 | 登録後に適用されます | ✔️ デバイス動的グループ ✔️割り当てられたデバイス グループ |
ヒント
グループ化とターゲット設定のオプションの詳細情報については、「大規模な Microsoft Intune 環境でのグループ化、ターゲット設定、およびフィルター処理に関するパフォーマンスに関する推奨事項」を参照してください。
グループとフィルターを作成する
✅ 組織グループを作成する
登録とグループ化の計画が整った状態で、グループを作成できます。
グループの例
✅ 登録の種類別の一般的なグループ化の例を参照してください
このセクションには、教育機関でよく見られるターゲット設定方法が含まれます。
Autopilot
デバイスが Autopilot にインポートされると、デバイスの製造元とモデルが含まれます。 インポートされた各デバイスにグループ タグを追加することもできます。 グループ タグを使用して、ターゲット設定用のグループを作成できます。 一部のお客様は、グループ タグを使用して、さまざまなオートパイロット プロファイルのグループを作成し、さまざまなアプリまたはプロファイルをターゲットにしたり、ロールベースのアクセス制御にスコープ タグを割り当てたりします。
この表には、Autopilot を使用して登録されているデバイスに使用される一般的なグループが含まれています。
| 名前 | 種類 | クエリ |
|---|---|---|
| Windows デバイスを追加 | 動的メンバーシップ ルール | (device.deviceOSType -startsWith "Windows") |
| すべての Autopilot デバイス | 動的メンバーシップ ルール | (device.devicePhysicalIDs -any _ -startsWith "[ZTDId]") |
| Autopilot 以外のすべてのデバイス | 動的メンバーシップ ルール | (device.deviceOSType -startsWith "Windows") -and (device.deviceOwnership -eq "Company") -and -not(device.devicePhysicalIds -any (_ -startsWith "[ZTDId]")) |
| すべての Autopilot Student デバイス | 動的メンバーシップ ルール | (device.devicePhysicalIds -any (_ -eq "[OrderID]:Student")) |
注:
"すべての Autopilot Student デバイス" グループの例では、Autopilot グループ タグが "Student" に設定されていると仮定しています。 別のグループ タグを使用し、それに応じてメンバーシップ ルールを更新できます。
注:
- enrollmentProfileName に基づいてグループまたはフィルターを作成する場合は、ルールに一致する名前で登録プロファイルを作成してください。
- Autopilot グループ タグを使用してデバイスをグループ化する場合は、デバイス オブジェクトに追加されたグループ タグが動的グループ規則と一致していることを確認します。
- Windows では、アプリとポリシーはユーザー グループを対象にすることもできます。 ただし、Windows デバイス上のアプリとポリシーの大部分はデバイス ベースです。 その結果、Windows デバイスの各ユーザーは、デバイスの以前のユーザーに割り当てられたデバイス ベースのアプリとポリシーを受け取ります。新しいユーザーが以前に適用した設定の構成が異なる場合を除きます。
プロビジョニング パッケージ
この表には、プロビジョニング パッケージを使用して登録されているデバイスに使用される一般的なグループが含まれています。
| 名前 | 種類 | クエリ |
|---|---|---|
| Windows デバイスを追加 | 動的メンバーシップ ルール | (device.deviceOSType -startsWith "Windows") |
| すべての学生デバイス | 動的メンバーシップ ルール | (device.displayName -startsWith "STU-") |
注:
"All Student devices" グループの例では、プロビジョニング パッケージ内のデバイス名プレフィックスが "STU-" に設定されていると仮定しています。 別のプレフィックスを使用し、それに応じてメンバーシップ ルールを更新できます。
すべての登録の種類
フィルターを使用して、デバイスをさらにグループに含めたり、グループから除外したりできます。 例:
- Windows 10 を実行しているデバイス (osVersion は 10.0.1 で始まります )
- Windows 11 を実行しているデバイス (osVersion は 10.0.2 で 始まります )
自動デバイス登録
デバイスが自動デバイス登録で登録されると、登録時に使用される登録プロファイル名がデバイスにスタンプされます。 [登録] の [自動デバイス登録トークン] セクションで、デバイスをさまざまな登録プロファイルに関連付けることができます。 一部のお客様は、登録プロファイル名を使用して、さまざまな登録設定のグループまたはフィルターを作成し、さまざまなアプリやプロファイルをターゲットにしたり、ロールベースのアクセス制御のスコープ タグを割り当てたりします。
動的セキュリティ グループでよく使用されるクエリの例を次に示します。
| 名前 | 種類 | クエリ |
|---|---|---|
| すべての iOS デバイス | 動的メンバーシップ ルール | (device.deviceOSType -startsWith "iOS") |
| すべての "ユース ケース" デバイス | 動的メンバーシップ ルール | (device.enrollmentProfileName -eq "'use case'") |
動的グループの更新を待たずに登録中にできるだけ早く設定を適用するために、一部のお客様は、enrollmentProfileName とターゲット構成に基づくフィルターを [すべてのデバイス] 仮想グループで使用します。
- 特定の enrollmentProfileName を持つデバイス (enrollmentProfileName equals'usecase')
注:
enrollmentProfileName に基づいてグループまたはフィルターを作成する場合は、ルールに一致する名前で登録プロファイルを作成してください。
警告
iOS デバイスが登録されるたびに新しい Entra デバイス オブジェクトが作成されるため、 割り当てられたグループ メンバーシップは維持されず、デバイスがリセットされたと推定されます。