Microsoft Intune でできる Windows デバイスの管理 (後編)
こんにちは、エス・ワイ・シーの郷田です。
時間が空いてしまいましたが、前回に引き続き Microsoft Intune 関連記事第 5 回「 Microsoft Intune でできる Windows デバイスの管理 (後編) 」をお送りいたします。
「 Microsoft Intune でできる Windows デバイスの管理 (前編) 」では、Windows デバイスの登録、コンプライアンスポリシーの適用、リモートワイプの動作検証を行いました。
今回はその続き、構成プロファイルの適用から始めます。
Entra ID(旧 Azure AD) と構成プロファイル
Microsoft Intune へ Windows デバイスの登録を行うことで、Entra ID(旧 Azure AD)へのユーザー登録も行われるため、Azure Active Directory Domain Services( Azure AD DS )も絡めると、Active Directory から Entra ID への移行の足掛かりともなります。
既存環境に Active Drirectory が無い小規模環境でも、グループポリシーライクな構成プロファイルを配布することで Active Directory のような管理が可能になります。
構成プロファイルを利用して、Wi-Fi設定を配布する
Active Directory のグループポリシーを利用して、各端末に Wi-Fi 設定を配布しているケースがありますが、同様に Microsoft Intune の構成プロファイルを利用して、設定をしていない端末でも指定の Wi-Fi に接続できるよう、設定を配布してみます。
① Microsoft Intune 管理センターにサインインし、 [デバイス]-[デバイスの管理]-[構成]-[ポリシー] タブをクリックします。
② メニューの「作成」から「新しいポリシー」をクリックします。
③ プロファイルの作成画面で、以下の内容を選択して「作成」をクリックします。
プラットホーム : Windows10 以降
プロファイルの種類 : テンプレート
テンプレート名 : Wi-Fi
④ Wi-Fi の画面「①基本」で構成プロファイルの名前を設定します。
⑤ 「②構成設定」で「Wi-Fi の種類: 基本」 を選択し、以下の内容を設定します。
Wi-Fi名(SSID) : <接続したいSSID>
接続名 : <デバイスに表示される接続名>
範囲内にある場合は自動的に接続する : はい
ネットワークが SSID をブロードキャストしていない場合でも、このネットワークに接続する : はい
ワイヤレスセキュリティの種類 : WPA/WPA2 – パーソナル
事前共有キー : <事前共有キー>
※ここでは簡易な例として WPA2-Personal (WPA2-PSK) 構成を示します。
「Wi-Fi の種類: Enterprise」 を選択することで WPA2-Enterprise (RADIUS 認証構成) など、より企業利用に適した Wi-Fi 構成も構成可能です。
⑥ 割り当てるグループ、ユーザーまたはデバイスを選択し、「作成」をクリックします。
設定して数分後、Windows デバイスの状況を確認してみると Wi-Fi のリストに構成プロファイルで設定した名前の Wi-Fi の設定が追加されていました。
デバイスの再起動かログオフはいるかなと思っていたのですが、リアルタイムで設定を行ってくれるようです。
このレスポンスの速さはいいですね。
その他便利な機能 【 Bitlocker 回復キー保管】
各自が端末にノート PC を利用している場合、Bitlocker によりドライブを暗号化することが多いですが、暗号化の際に回復キーのバックアップをユーザーに任せる運用をしているケースもあるかと思います。
利用者に回復キーを退避させる運用では、どこに回復キーをバックアップしたかわからなくなった、どの回復キーが自デバイスのものなのかわからなくなった、など回復キーが特定できず困ったこともあるのではないでしょうか。
こういった運用で管理者による回復キーの統括管理は難しいと思いますが、この回復キー、Entra ID (Azure AD) 保管にすることができ、高可用性のSaaS で保持することができます。
管理者は Microsoft Intune 管理センターや Microsoft Entra 管理センターで対象デバイスの回復キーを確認することができるようになり、管理しやすくなります。
【端末の C ドライブを bitlocker で暗号化し、その回復キーを Entra ID に保存する】
① 対象端末の C ドライブを右クリックし、「 BitLocker を有効にする」をクリックします。
② セットアップウィザードで「次へ」をクリックして「 BitLocker ドライブ暗号化( C: )」まで進めます。
③ 「次へ」をクリックすると回復キーのバックアップ方法の指定画面になりますので、「 Azure AD アカウントに保存する (A) 」をクリックします。
④ 「 AzureAD に回復キーを保存しています。」の画面で進捗状況が表示されます。(ほとんど一瞬で終わります)
【一般ユーザーでの確認方法】
① Webブラウザで 各ユーザーの Microsoft365 ページにログインします。
② 右上アカウントマネージャのアイコンをクリックし、「アカウントの表示」をクリックします。
③ 画面左「デバイス」をクリックし、回復キーを確認したい Windows 端末をクリックして展開します。
④ 「 Bitlocker キーの表示」をクリックし、「回復キーを表示する」をクリックします。
⑤ Bitlocker Recovery Key が表示されます。
【管理者ユーザーでの確認方法】
Microsoft Entra 管理センターで確認するのが一般的かと思いますが、今回は Microsoft Intune に特化した検証ですので、Microsoft Intune 管理センターでの確認方法を記載します。
① Webブラウザで Microsoft Intune 管理センターに管理者アカウントでログインします。
② 画面左 [デバイス]-[Windows] をクリックし、回復キーを確認したい Windows デバイスをクリックします。
③ デバイスのメニューから [モニター]-[回復キー] をクリックします。
④ 「回復キーの表示」をクリックすると、回復キー(プレビュー)画面に Bitlocker 回復キー が表示されます。
Windows Autopilot について (概要)
Windows Autopilot とは、新しい Windows デバイスのセットアップと事前構成をクラウドベースで自動的に展開できるサービスです。
砕けた言い方をしますと、インターネットに接続できるLANケーブルを繋げば、 Windows 端末が自動でセットアップできる機能と考えてもらえばいいと思います。
なぜ Microsoft Intune の検証記事でこちらが出てくるかといいますと、Entra ID と Microsoft Intune と連携して Autopilot を構成することにより、Windows 端末の展開・認証・管理まで一気通貫で行える、という点があるためです。
Windows Autopilot の仕様として、最低限でも
・Microsoft Entra ID P1 または P2
・Microsoft Intune サブスクリプション (または代替 MDM サービス)
が必要となっており、Microsoft 365 Enterprise E3 または E5 サブスクリプションだと、EMS 機能 (Microsoft Entra ID と Intune) 双方が含まれるため、Microsoft Intune と組み合わせるケースがほとんどなのではないでしょうか。
この Windows Autopilot ですが、新規 Windows デバイスの展開を行う場合、Microsoftから公表されている「デバイス製造元」「デバイスリセラー」より端末を購入し、CSV 形式でハードウェア情報を提供いただく必要があります。
Microsoft Intune への登録手順は
① Microsoft Intune 管理センターから [デバイス]-[Windows]-[Windows 登録] をクリックします。
② Windows Autopilot 欄の [デバイス]をクリックし、画面上部の「インポート」をクリックします。
③ メーカーやベンダーより提供されたCSVファイルを読み込んで、「インポート」をクリックします。
④ 新規 Windows デバイスが Microsoft Intune に登録されます。
これで Windows デバイスをインターネットに接続すると、Entra ID や Microsoft Intune と連携して、自動展開が行われる仕組みです。
(当然ですが、Microsoft Intune にて展開に適切な設定をする必要があります。)
Windows Autopilot 検証について
実機で検証を、、とは思っていますが、検証に使用している機器がちょっと古い (Windows タブレット) というのもあって、検証に時間を要しております。
もう少し、次回までお待ちいただければと思います。
まとめ
Windows 端末の場合、構成プロファイルを ActiveDirectory のグループポリシーライクに使うことで、オンプレミスに Active Directory がない環境でも管理が始められることがわかりました。
Bitlocker 回復キーの SaaS 保管・集中管理ついては、検索エンジンで「回復キー」と検索すると、サジェストに「わからない」や「保存場所」など出てきて、困っている様子が手に取るようにわかります。
これはもう是非、集中管理をしていただきたいです。
次回は「 Microsoft Intune でできる Windows デバイスの管理 ( Autopilot 編) 」
なんとか形にできるよう頑張ります!
以上、「 Microsoft Intune でできる Windows デバイスの管理 (後編) 」でした。
是非、次回記事もご覧ください。
