Intuneでデバイスにアプリを自動配布してみた！（Part.1）

2023/04/07

はじめに

皆さんこんにちは！！
システムソリューション営業本部金丸と申します。

本シリーズでは、お客様からよくお聞きする、、、、
会社のPCの管理ができておらずMDM製品をいれていきたい～といったご要望にお応えして
社給PCをIntune管理（AzureAD参加）の上アプリケーションを配布する方法を記載していきたいと思います。

この他にも既存でActiveDirectoryがあり、AzureADConnectで同期して利用するパターンやMECMと連携しながら管理するパターン。。。等
多岐にわたり利用する方法がありますが、今回は基本的な方法で記載をしていきます。
※ その他の方法はご要望があれば、、、別途記事にしていきたいと思います。

そもそも、、、Microsoft Intuneとは？？
モバイルデバイスとモバイルアプリの管理が行えるMicrosoft純正のMDM・MAMサービスです。
社内のPCや社給携帯、BYOD利用のPCなんかも管理可能です。
※ ライセンスは一部のMicrosoft365及びEMS（Enterprise Mobility + Security）のサービスに含まれ
　 Intune単体で購入することも可能です。

本記事ではアプリ配布の事前準備となる「デバイス登録」を行います。
※ Intuneにデバイスが登録されていなければ元も子もありません。。。

デバイスの登録

本章ではIntuneセットアップ「デバイスの登録」を行います。
Intuneへのデバイスの登録はWindows 10 (1607 以降) 、Windows 11 (バージョン 21H2 以降) で行えます。
今回使用するクライアントはWIndows 10となります。

作業としては以下の順に行います。
■デバイス登録の事前準備
■デバイスをIntuneに登録する

■デバイス登録の事前準備

事前準備として、以下の3つの作業が必要になります。

　1.デバイスに紐づくユーザーアカウントをあらかじめ作成する（必須）
　2.管理対象のユーザーにライセンスを割り当てる（必須）
　3.ユーザーまたはデバイスのグループを作成する（任意）

管理者側でデバイスの登録を行う前に、必ずデバイスに紐づくユーザーアカウントを作成します。
また、デバイスを管理するためには、紐づくユーザー対してライセンスを割り当てる必要があります。
グループ分けについては、要件として必須ではないため任意としていますが、
以降の作業で必要になるので事前に設定しておいたほうがよいです。

■デバイスをIntuneに登録する

○ MDMとMAMの設定（AzurePortal）
AzurePortalにログインし、Intune管理画面を開きます。
サイドメニューから「デバイス」→「Windows」→「Windowsの登録」→「自動登録」をクリックします。
構成画面が開かれるので、今回は以下の2項目を設定します。
　・MDMユーザースコープ：すべて
　・MAMユーザースコープ：すべて
※ 利用するユーザーを縛る場合はグループ指定で登録できるユーザーを縛ることが可能です。

○ 制限を作成
以下の設定を行うことで、会社でIntune管理するデバイスの種類を制限します。
会社で許可しないデバイスがIntune管理に入ってくることを縛るためにも設定が必要な項目です。

サイドメニューから「デバイス」→「デバイスの登録」→「登録デバイスのプラットフォームの制限」を
クリックします。
「Windowsの登録」から「制限を作成」をクリックします。

① 基本タブ
名前を任意で記入します。

② プラットフォームの設定タブ
以下の設定にします。

　・MDM：許可
　・最小/最大の許容範囲：デフォルト
　・個人所有のデバイス：許可

③ スコープタブ
ここは任意でスコープを追加します。
今回は追加せずにスキップします。

④ 割り当てタブ
ここでグループを追加します。
「グループを追加」をクリックします。

含めるグループを選択画面が表示されるので、「■デバイス登録の事前準備」で作成したグループを選択する。

グループが追加されたことを確認する。

⑤ 確認および作成タブ
入力した情報を確認し、「作成」をクリックします。

登録デバイスのプラットフォームの制限が追加されたことを確認します。

○ AzureADへの参加
それでは、実際にデバイスをAzureADへ参加させていきます。
手順は下記となります。
※ デバイスがインターネットに接続されていること必須になるのでを確認しましょう。

「設定」を開き、「アカウント」をクリックします。

アカウント画面から「職場または学校にアクセスする」→「接続」をクリックします。

ポップアップ画面から、「このデバイスをAzure Active Directroyに参加させる」をクリックします。
電子メールアドレスを入力するフォームもありますが、ここからはAzureADには参加できませんので、
お気をつけください。

AzureADのユーザID、パスワードのを入力し、ログインします。

サインインが完了すると、Azure AD参加の確認画面が表示されます。
以下の情報があっていることを確認し、「参加する」をクリックします。

　接続先
　ユーザ名
　ユーザーの種類

AzureADへの参加の完了画面が表示されます。
これでAzureADへの参加は完了になるので、AzureADのユーザーアカウントでWindowsにログインしましょう。

○AzureADアカウントでデバイスにログイン
Windowsの再サインインについて
「スタート」→「現在サインインしているアカウント名」→「ユーザー切り替え」をクリックします。

ユーザー切り替え画面で「他のユーザー」をクリックし、AzureADアカウントと、パスワードを入力し、
再度サインインします。

サインイン後、初期セットアップが始まります。
いくつかの確認画面がありますが、「次へ」をクリックして進めていきます。
本人確認はスマートフォンアプリの「Windows Authenticator」の作業、または「追加セキュリティ」の設定があります。

PINのセットアップ
ユーザーが任意のPINコードを設定します。

PINコードの設定が終われば、セットアップは完了になります。
以降からPINコードでデバイスにログインできます。

デバイスがAzureADに参加しているかの確認は
「設定」→「アカウント」→「職場または学校にアクセスする」のページで以下のように表示されている事を
確認します。

　「職場または学校名」のAzureADに接続済み
　「登録したユーザー名」によって接続済み

これでWindows10からAzureADへログイン作業は完了になります。
以降はAzureADアカウントでのログイン時に登録したPINを要求されます。

○ Intuneへのデバイス登録
Intuneへのデバイス登録は、、、特段作業は必要ありません！
事前に自動登録設定をしているためAzureAD参加に合わせてIntuneにもデバイス登録されます！
Intune管理画面から登録したデバイスを確認することができます。
Intune管理画面からサイドメニューから「グループ」→「デバイスに登録の際に指定したグループ」→
「グループに入っているユーザー」→「デバイス」をクリックします。
AzureADに参加し、Intuneに登録されたデバイスが表示されます。
ここではデバイスがIntuneが準拠しているか？などのステータスが確認できます。

おわりに

今回はアプリ配布前の事前準備として、Intuneへのデバイス登録を行いました。
今回は1台のみの設定となりましたが、複数台Intuneに登録することで、一括でアプリをインストールしたり、
デバイスの更新ファイルを当てることが可能になります。
またグループを分けることで用途ごとにデバイスを管理することも可能です。

次回以降は実際のアプリ配布を行っていきます。乞うご期待ください！
⇒ Intuneでデバイスにアプリを自動配布してみた！（Part.2）へはこちらです！