皆さんこんにちは、システムソリューション営業本部 高山です。

今まではAutopilotの機能を使ってブログの記事を書いてきましたが、今回はIntune機能の1つである「フィルター」を使ってAutipilotのプロファイルが割り当たっているデバイスに対してフィルターをかけたらどうなるのか確認をしてみました。

Intuneのフィルター機能

フィルターの作成をして実際にプロファイルの確認をする前に、フィルターの使用対象やプラットフォーム、フィルターの仕組み等についてお話していきます。

◆フィルターの使用対象

Intuneのフィルターは、Intune上に登録されているデバイスにのみ適用されます。
具体的に言うと、フィルターを適用した場合、Intune上に保持されているデバイス情報に基づいて対象デバイスか決定されます。

◆フィルターの使用対象

フィルターは全てのプラットフォームで使用することができます。
ただし、「エンドポイントセキュリティ」の一部機能でフィルター機能が拡充されていないものがあるので設計時には注意が必要です。
今回は「Windows 10以降向け」に設定します。

◆フィルターの仕組み

フィルターの仕組みについてお話していきます。
Autopilotのプロファイルをフィルター対象にし以下の図を作成してみました。
作成手順については以下の流れの通りです。
　➊フィルターの作成：Autopilotのフィルターを作成。
　❷構成プロファイルとアプリの作成・割り当て：ここでAutopilotのプロファイルが割り当たっているデバイスを含めるか、もしくは除外するかを設定します。
　➌デバイスの登録と同期・情報チェック：デバイスをキッティングした時等のIntuneへデバイス登録された時、このデバイスはAutopilotのプロファイルが割り当たっているデバイスなのかもチェックされます。
　➍Intune上に適用状況が反映：フィルターの結果に基づいて構成プロファイルやアプリを割り当てが行われ、フィルターの結果や構成プロファイル・アプリの適用結果がIntune上に表示されます。


また、フィルター設定時にフィルタリングの結果どのデバイスが対象となるか事前に確認することも可能です。
※フィルターの評価が”未評価”となる場合がありますが、確認したところデバイスがIntuneと接続できない状態の時にフィルターの変更・更新を行っている場合に起こりました。
デバイスと同期ができないため、更新待ち状態の時が未評価とされることがある様です。

◆作成条件・制限

フィルターの作成に関して、主に以下２点の条件・制限があります。
・フィルターの文字数は3072文字以内
・テナントごとに、フィルター作成上限は200個

フィルターの作成

早速フィルターを作成していきます。
Intuneに管理者アカウントでログインし、デバイスの「その他」の中にフィルターから作成していきます。

①デバイスから、その他にあるフィルターをクリック


②「＋作成」をクリックし、フィルターの設定をしていきます。

後でどのフィルターなのか分かりやすい様に、フィルター名を「Autopilot」入力し、プラットフォームを「Windows10以降」を選択。
このプラットフォームは、デバイスの種類によって変更となります。


"プロパティの選択をしていきます。"
登録プロファイルの名前でフィルターをかけたいので、「enrollentProfileName(登録プロファイル名)」を選択。

続いて、演算子を"含む"の意味の「Contains」を選択。
含まない”にしたい場合は、「NonContaines」、”完全一致”のみにしたい場合は「Equals」を選択します。

値にAutopilotプロファイルの名前に入っている「Autopilot」を入力します。
「次へ」を押してフィルターの作成完了です。

◆注意すること

プロパティで「Name」の入っている”DeviveName”や”enrollmentProfileName”を選ぶ場合、
それがどういった内容のものなのかでフィルターをかけているのではなく表示名でフィルターをかけているため、必ず名前に入っている値を入れましょう。
例：Autopilot用のデプロイ プロファイル名が「Autopilot profile」の場合、Deployment×　Autopilot〇

フィルターの適用

フィルターを作成したので、前回作成したデバイス用の構成プロファイルに割り当てていきます。
構成プロファイルの作成については、以前のブログ記事を参照してみてください。

構成プロファイルの割り当ての編集を行い、フィルターの編集をクリック。
フィルターを含めたいので、”フィルターされたデバイスを割り当てに含める”にチェックを入れて、作成したフィルター名を検索。
フィルターをクリックして、フィルターが選択済みとなってることを確認して、保存します。
これで、登録プロファイルにAutopilotという名前が入っているプロファイルがデバイスに割り当たって入れば、構成プロファイルが配布されます。

フィルターの確認

Autopilot用のプロファイル"Autopilot profile"でセルフキッティング済みだったので、フィルター適用後少し待ってみて適用状況を確認してみました。
構成プロファイルを再度開き、「レポートの表示」をクリックします。

レポートの表示をクリックすると、デバイス名一覧が表示され、「チェックイン状態」に配布ができたかどうか状態が表記されます。
一番右側にある、”評価されたフィルター”をクリックして、フィルターの適用状況を確認します。


評価されたフィルターをクリックすると、「ポリシーの割り当てが適用されました」という内容が表示されているのと、フィルターの評価の結果が"一致”となっていました。
これで登録プロファイル名に”Autopilot”が含まれているデバイスに、ポリシーの割り当てが成功したことが分かります。

念のため、デバイス情報から登録プロファイル名も確認しました。
登録プロファイル名の横に”Autopilot profile”と入っていることが分かります。


続いて、”enrollmentName”が名前に基づいてることを確認するため、Autopilot用のデプロイ プロファイル名を”Profile”にして確認してみました。


再度PCをキッティングし、Intune上で再度確認をしてみたところ、
”ポリシーの適用ができませんでした”というメッセージと、診断の結果が”一致なし”の表記に変更されました。
「評価に使用されるプロパティ」の箇所に記載されている”enrollmentProfimeName”が”Profile”に変更されていることもわかります。


最後に、念のためフィルターの値を合わせていきます。
Intune上でフィルターの値を"profile"に変更して、しばらく時間をおいてから更新をしてみました。
あえて全て小文字でいれてみましたが、大小文字は関係ない様です。無事構成プロファイルが適用され、評価の結果も”一致”となりました。

まとめ

今回は、フィルターを使ってAutopilot用のデプロイ プロファイルが割り当たっているのかを確認していきました。
フィルター機能を使用することでAutopilotデバイスだけにポリシーやアプリを配信するなど制御が可能となります。
類似機能にセキュリティグループの「動的グループメンバーシップ」がありますが、ポリシーやアプリを「全てのユーザー」に割り当ててユーザーに紐づくAutopilotデバイスのみフィルタリングする場合は本機能を採用する方が良いと思います。

最後までお読みいただきありがとうございました。

※このブログで参照されている、Microsoft、Windows、Microsoft Azure、その他のマイクロソフト製品およびサービスは、米国およびその他の国におけるマイクロソフトの商標または登録商標です。

本AutoPilotに関するブログはシリーズ化しております。
Windows Autopilot を使ってみた 1　ーセルフキッティング編ー
Windows Autopilot を使ってみた 2　ーAutopilot用のプロファイル作成・設定確認編ー
Windows Autopilot を使ってみた 3　ーアプリ配信編ー
Windows Autopilot を使ってみた 4　ーWindows10 PC 事前プロビジョニング編ー
Windows Autopilot を使ってみた 5　ーWindows11 PC 事前プロビジョニング編ー
Windows Autopilot を使ってみた 7　ー既存PCのAutopilot登録・キッティング編ー