Configuration Manager (現在のブランチ) に適用
この記事では、共同管理に関してよく寄せられる質問に回答します。 詳細については、「 共同管理とは」を参照してください。
計画
共同管理を有効にしたい場合、どのような効果がありますか?
共同管理を有効にすると、Configuration Managerは引き続きすべてのワークロードの管理機関になります。 そのため、引き続き同じ方法でデバイスを管理できます。 ワークロードをIntuneに切り替えない場合、すべてのConfiguration Manager設定とアプリは、共同管理を有効にする前と同じように動作し続けます。
共同管理を有効にすることは、エンド ユーザーに対して完全に透過的です。 再起動も、エージェントのインストールも、中断も、ユーザーへの通知もありません。
管理者は、Microsoft Intune管理センターで共同管理デバイスを確認できます。 管理センターからリモート アクションを実行でき、 エンドポイント分析を使用した分析情報の恩恵を受けることができます。
共同管理デバイスは、次回デバイスがリセットされるときに、Autopilot でプロビジョニングされたデバイスに変換される可能性があります。
ポータル サイトの使用を検討してください。 これは、Microsoft Intune 製品ファミリのクロスプラットフォーム アプリ ポータル エクスペリエンスです。 ポータル サイトも使用するように共同管理デバイスを構成することで、すべてのデバイスで一貫性のあるユーザー エクスペリエンスを提供できます。 ユーザーは、今後統合されたエクスペリエンスを提供するため、ポータル サイトについて理解する必要があります。 詳細については、「共同管理デバイスでポータル サイト アプリを使用する」を参照してください。
共同管理またはテナントアタッチを使用する必要がありますか?
両方とも! 個別に使用することはできますが、一緒に動作します。
共同管理を使用すると、Configuration ManagerとIntuneの両方でWindows 10以降のデバイスを同時に管理できます。 Configuration Manager クライアントをインストールし、デバイスを Intune に登録します。 デバイスは、両方のサービスと通信します。 Configuration Managerポリシーは、管理機関としてIntuneに切り替えるワークロードを制御します。 共同管理を有効にし、テナントアタッチを使用してMicrosoft Intune管理センターにデバイスをアップロードすることはできません。
テナントのアタッチ を使用して、Configuration Manager サイトと Intune テナントの間の同期を設定します。 その後、Microsoft Intune管理センターでConfiguration Managerデバイスを表示できます。 この接続により、Microsoft IntuneとConfiguration Managerで管理するすべてのデバイスに対して 1 つのビューが提供されます。 この Web ベースのコンソールは、ヘルプ デスクのスタッフなど、完全なConfiguration Manager コンソールを使用したくない場合に役立つ場合があります。 エンドポイント分析の分析情報からもメリットを得ることができます。 共同管理を有効にせず、Microsoft Intune管理センターにデバイスをアップロードするようにサイトを構成できます。 ただし、共同管理を有効にするまで、これらのデバイスは引き続きConfigMgrによって管理されます。
テナントアタッチとその構成方法の詳細については、「 テナントのアタッチ」を参照してください。
Windows 365クラウド PC を共同管理できますか?
はい。 Windows 365クラウド PC を共同管理できます。
認証
Microsoft Entraハイブリッド参加は共同管理の唯一のオプションですか?
いいえ。 Microsoft Entraハイブリッド参加と共同管理は、次の 2 つの異なるものです。
Microsoft Entraハイブリッド参加は、デバイスが オンプレミスの Active Directory ドメインに参加し、Microsoft Entra IDに登録されているデバイス ID 状態です。
共同管理を使用すると、Configuration ManagerとIntuneの両方でWindows 10以降のデバイスを同時に管理できます。 Configuration Manager クライアントをインストールし、デバイスを Intune に登録します。 デバイスは、両方のサービスと通信します。 Configuration Managerポリシーは、管理機関としてIntuneに切り替えるワークロードを制御します。 共同管理では、デバイスにクラウド ID が必要です。 この ID は、ハイブリッド結合Microsoft Entraすることも、Microsoft Entra結合のみにすることもできます。
Active Directory に既に参加している既存のConfiguration Manager クライアントの場合は、共同管理を有効にする前にハイブリッド参加する必要があります。
Microsoft Entra IDでクラウド ドメインに参加しているだけの新しいデバイスの場合は、すぐに共同管理を有効にすることができます。 新しい共同管理デバイスのハイブリッド参加Microsoft Entra必要はありません。
詳細については、「共同管理にMicrosoft Entra IDを使用する」を参照してください。
共同管理では、参加済みデバイスMicrosoft Entraサポートされていますか?
はい。 共同管理では、Microsoft Entra参加済みデバイスとハイブリッド参加済みデバイスMicrosoft Entra両方がサポートされます。 詳細については、「 共同管理の前提条件」を参照してください。
環境にグループ ポリシー オブジェクトとレガシ認証アプリが多すぎます。 ハイブリッド Microsoft Entra IDを使用する必要がありますか?
場合によって異なります。 一部のお客様は、グループ ポリシーが必要であるか、Win32 アプリ認証が必要であるため、参加済みデバイスMicrosoft Entraに関する懸念があります。 実際のブロックであるかどうかを理解するには、より詳細な情報が必要です。
アプリの場合は、Microsoft Entra参加済みデバイスでテストします。 通常、コンピューターベースの認証を必要とするアプリのみが機能せず、一般的ではありません。 アプリがクラウド ドメインに参加しているデバイスで動作する場合は、そのアプリのためにデバイスをハイブリッド参加させる必要はありません。
グループ ポリシーの場合は、既存のすべてのグループ ポリシー オブジェクト (GPO) をIntuneポリシーに変換しないでください。 クラウドマネージド デバイスの場合、シナリオには適用されないグループ ポリシーがいくつかあります。 グループ ポリシー設定が構成されている理由がわからない場合は、引き続き必要かどうかを判断する機会になります。 また、使用しなくなったアプリの設定を引き続き使用していないことを確認してください。 このプロセスは、クラウドで管理されるデバイスのパフォーマンスと構成の要件を最適化する機会です。
Microsoft ポリシー分析を使用して、INTUNEに移行する必要がある GPO に重要な設定があるかどうかを理解するのに役立ちます。 詳細については、「 グループ ポリシー分析を使用する」を参照してください。
ハイブリッド認証に投資するのは、Windows 10以降のデバイスに必要な設定の確認を避けるためにだけ行わないでください。 この機会を利用して、将来に向けてより良い立場に立つ時間を投資してください。 また、正常でクリーンなデバイス構成は、パフォーマンスとユーザー エクスペリエンスに役立ちます。 新しいハードウェアを購入せず、最新の Windows バージョンをインストールしてから、古い構成を適用してください。
自動登録を実行するには、ユーザーをサインインさせる必要がありますか?
いいえ。 デバイス トークンは、デバイスをIntuneに登録するために使用されます。 設定を適用するために、ユーザーが Windows にサインインする必要はありません。
共同管理を設定するときに、Configuration Managerによって現在管理されているデバイスの自動登録を有効にします。 必要に応じて、パイロット コレクションに対してのみ自動登録のスコープを設定できます。
詳細については、「 共同管理を有効にする方法」を参照してください。 このプロセスを開始する前に、共同管理の前提条件が設定されていることを確認してください。 詳細については、前提条件をご覧ください。
Azure AD Graph API と Azure AD Authentication ライブラリ (ADAL) の廃止に関して何かする必要がありますか?
おそらくそうではない可能性があります。 詳細については、「 CMG FAQ」を参照してください。
ワークロード
共同管理を有効にしました。最初に切り替える必要があるワークロードはどれですか?
コンプライアンス は、ほとんどのお客様が最初に切り替えるワークロードです。 このワークロードをIntuneに切り替えた場合でも、デバイスにConfiguration Managerからの設定の評価を要求できます。 Intuneでコンプライアンス ポリシーを構成する場合は、Configuration Managerからデバイスコンプライアンスを要求するように有効にします。 その後、デバイスコンプライアンス状態を使用して、クラウドベースのリソースへの 条件付きアクセス を制御できます。 この構成により、Configuration Managerに既に存在するコンプライアンス チェックを変更することなく、クラウド サービスの使用を開始できます。
コンプライアンスの後、最も一般的なワークロードは、Office クイック実行アプリ、クライアント アプリ、およびWindows Update ポリシーです。
アプリワークロードをIntuneに切り替える場合でも、Configuration Managerからアプリケーションをデプロイできます。 この構成では、Intuneでアプリを割り当てることもできます。 このエクスペリエンスは、Configuration Manager アプリとIntune アプリの両方を示す新しいポータル サイトとして完全に統合されています。 詳細については、「共同管理デバイスでポータル サイト アプリを使用する」を参照してください。
ソフトウェア更新プログラムの場合、多くのお客様は、Configuration Managerでマイクロ管理するのではなく、Windows Updates for Business を使用しています。 Windows 更新プログラムがクラウドに存在する場合は、オンプレミス ネットワークに同期してインターネット上のクライアントに再配布する代わりに、このワークロードをクラウドで完全に管理するのが最新の方法です。
詳細については、「共同管理ワークロード」を参照してください。
共同管理で Windows Autopilot を使用できますか?
はい。 共同管理の 2 つのパスの 1 つは、最新のプロビジョニングでブートストラップすることです。 新しいデバイスまたは再利用されたデバイスの場合、Autopilot はそれをMicrosoft Entra IDに参加させ、Intuneに登録します。 Intuneは、Configuration Manager クライアントをデプロイし、共同管理を有効にすることができます。
詳細については、「 共同管理のためにインターネット ベースのデバイスを準備する方法」を参照してください。
注:
Microsoft Entra ハイブリッド参加の Windows Autopilot ユーザー 駆動モードで新しいコンピューターをプロビジョニングしているときに、Configuration Manager クライアントを展開することはできません。 この制限は、Microsoft Entra参加プロセス中のデバイスの ID 変更が原因です。 Autopilot プロセスの後に構成マネージャー クライアントを展開します。 クライアントをインストールする別のオプションについては、「Configuration Managerのクライアント インストール方法」を参照してください。
Windows アプリと Microsoft 365 アプリの更新プログラムを管理操作方法
Windows および Microsoft 365 アプリの更新プログラムは、Configuration ManagerまたはIntuneで管理できます。 Configuration Managerは、これらの更新プログラムとそのコンテンツを管理するための非常に詳細で制御されたプロセスを提供します。これは、一部の顧客にとって重要です。 最新のアプローチは、デバイスを最新の状態に保つだけでなく、タイミングとユーザー エクスペリエンスを制御することです。
Windows Update ポリシーのワークロードをIntuneに切り替えると、Windows の品質と機能の更新プログラムの管理機関になります。 Intuneを使用して、更新リングと機能更新設定の設定を構成します。 詳細については、「Intuneでの Windows ソフトウェア更新プログラムの管理」を参照してください。
Office クイック実行アプリワークロードをIntuneに切り替えると、Microsoft 365 アプリと更新プログラムの管理機関になります。 新しい Microsoft 365 スイートの展開を作成するときに、クライアントの更新チャネルを選択します。 詳細については、次の記事を参照してください。
共同管理では、Configuration ManagerのIntuneとコンプライアンス設定のコンプライアンス ポリシーを使用して、デバイスの全体的なコンプライアンスを評価できますか?
はい。 環境を共同管理し、コンプライアンス ワークロードをIntuneに切り替えたら、既存のConfiguration Managerコンプライアンス設定を使用して条件付きアクセスと統合できます。 詳細については、次の記事を参照してください。
どこからでも作業できる
自宅で作業しているユーザーのデバイスの VPN 帯域幅を管理するためのオプションは何ですか?
次のブログ投稿を参照してください。クラウド管理ゲートウェイ (CMG) を使用する方法と、スプリット トンネル VPN を使用して設定して最適なエクスペリエンスを提供し、VPN トラフィックを軽減する方法について詳しく説明します。
共同管理にはクラウド管理ゲートウェイ (CMG) が必要ですか?
いいえ。 CMG は、デバイス接続のConfiguration Manager機能です。 クライアントが共同管理されている場合は、インターネット上にConfiguration Managerクライアントがある場合は、CMG を使用する必要があります。 CMG を使用しない環境の共同管理クライアントは、オンプレミス ネットワークの外部をローミングするときに VPN 接続に依存する必要があります。
参加している共同管理デバイスMicrosoft Entraプロビジョニングするシナリオでは、CMG が必要です。 これにより、インターンベースのデバイスは、Autopilot プロセスの後にConfiguration Manager クライアントをインストールできます。
詳細については、次の記事を参照してください。
リモート クライアントがソフトウェア更新プログラムをインストールするために、コンテンツが有効な CMG にソフトウェア更新プログラムを配布する必要がありますか?
いいえ。 Windows 更新プログラムはインターネット上で既に利用できるため、CMG に配布する必要はありません。
以前のバージョンでは、ブロックされた更新パッケージをクラウドベースのコンテンツ ソースにConfiguration Managerしました。 サード パーティのソフトウェア更新プログラムを配布できるように、この制約は削除されました。 Microsoft Updatesから入手できる更新プログラムは CMG に配布しないでください。
Configuration Managerクライアントは、CMG を使用して Microsoft Updates クラウド サービスから直接更新プログラムを取得する場合にネイティブ アフィニティを持っています。 CMG が Microsoft Updates サービスと構成ガイダンスと連携する方法の詳細については、Microsoft Configuration Managerでのクラウド管理ゲートウェイを使用したリモート マシンの管理に関するブログ投稿を参照してください。