1. 主要ページへ移動
  2. メニューへ移動
  3. ページ下へ移動

QES ブログ

記事公開日

Microsoft Configuration ManagerとIntuneの共同管理の実装手順を新入社員が解説!!

  • このエントリーをはてなブックマークに追加
目次

1. はじめに

こんにちは。 DXソリューション営業本部の土屋です。

MCM(Microsoft Configuration Manager)は、OS展開やパッチ管理、複雑なアプリケーション配布において非常に強力なツールです。一方、Intuneは場所を選ばないポリシー適用や、Entra IDと連携した高度なセキュリティ機能に長けています。
これら二つのツールは「どちらかを選ぶ」ものだと思われるかもしれませんが、実は両方の長所を活かし、共存させる道があります。

「オンプレミスのMCMデバイス管理をしてきたけれど、クラウドのIntuneも活用していきたい…」
この課題を解決するのが、MCMとIntuneの「共同管理」です。本記事では、共同管理の概要から具体的な設定手順を分かりやすく解説します。

2. 共同管理(Co-management)とは?

共同管理とは、MCMとIntuneという2つの管理ツールを使って、Windowsデバイスを同時に管理するための機能です。
これにより、既存のMCM環境を活かしつつ、Intuneの持つクラウドベースのモダンな管理機能を段階的に導入できます。

主なメリット
段階的なクラウド移行: 全ての機能を一度にIntuneへ移行するのではなく、「ワークロード」と呼ばれる機能単位で、MCMからIntuneへ管理権限を少しずつ移していくことができます。
両方の長所を活用: MCMが得意なOS展開や詳細なインベントリ収集と、Intuneが得意なリモートデバイス管理やコンプライアンスポリシー適用などを組み合わせて、より柔軟で強力なデバイス管理を実現します。
ハイブリッドワークへの対応: 社内ネットワークに接続されていないデバイスでも、Intuneを介してポリシーの適用やアプリの配布が可能になり、多様な働き方をサポートします。

3. 前提条件

共同管理を開始する前に、以下のような前提条件を満たしている必要があります。

ライセンス
・MCM: サポートされているバージョンのMCM Current Branch
・Microsoft Entra ID: Entra ID P1 または P2 ライセンス
・Intune: Microsoft Intune ライセンス(Microsoft 365 E3/E5などに含まれます)
デバイスの要件
・Windows 10 または Windows 11
※共同管理の技術的な要件としてはWindows 10もサポートされていますが、Windows 10のサポートは2025年10月14日をもって終了しました。セキュリティの観点からも、Windows 11への移行を強く推奨します。
・Microsoft Entra 参加、またはMicrosoft Entraハイブリッド参加であること
権限
・MCMの完全な管理者権限
・Entra IDの全体管理者権限
その他
・Entra ID ConnectによるオンプレミスADとEntra IDの同期
・Intuneでの自動登録が有効になっていること

4. 共同管理の開始

ここからは、具体的な設定手順を解説します。
まずは、共同管理を始めるための第一歩として、MCMコンソールからクラウド接続を構成し、Intuneへのデバイス自動登録を有効化する手順を解説します。

1. ウィザードの開始
MCM管理コンソールを開き、[管理] > [概要] > [クラウドサービス]の順に進みます。
[クラウド接続]を右クリックし、[クラウド接続の構成]をクリックします。
a646_01.jpg

2. Entra IDへのサインイン
ウィザードが起動したら、[サインイン]ボタンをクリックします。
a646_02.jpg

認証画面が表示されたら、管理者権限を持つアカウントでサインインしてください。
a646_03.jpg


3. Intuneへ自動登録する対象PCを選ぶ
[クラウド接続の構成ウィザード]画面に戻ったら、次の画面で[設定をカスタマイズする]を選択し、[次へ]をクリックします。
a646_04.jpg

「Microsoft Entra ID アプリケーションを作成する」が表示されたら[はい]をクリックします。
a646_05.jpg

「アップロードを構成する」のデバイスの項目で、「特定のコレクションをアップロードする」を選択します。
次に、「参照」からアップロード対象のコレクションを指定し、「次へ」をクリックします。
※「エンドポイント分析」や「ロールベースのアクセス制御」などにチェックを入れておくことで同時に有効化することが可能ですが、今回の手順ではチェックを付けずに進みます。
a646_06.jpg


補足
今回の手順で出てきた「エンドポイント分析」や「ロールベースのアクセス制御」といった、機能の内容について簡単に解説します。

・「エンドポイント分析 (Endpoint Analytics)」
エンドポイント分析は、PCの起動時間やアプリケーションの信頼性などを分析し、ユーザーエクスペリエンスの向上に繋がるインサイトを提供してくれる強力な機能です。
これにより、MCMで管理されているデバイスの情報がIntuneにアップロードされ、Microsoft Intune管理センターで分析データを確認できるようになります。

・「ロールベースのアクセス制御 (RBAC)」
IntuneのRBACを利用することで、管理者に対して必要最小限の権限を付与できます。例えば、「ヘルプデスク担当者には、デバイスのリモートワイプ権限だけを与える」といった細かい制御が可能です。
これにより、MCMで管理されているデバイスに対しても、Intuneのコンソールから安全に管理操作を委任できます。

・「Microsoft Defender for Endpoint 連携」
これは、MCMで管理しているデバイスをMicrosoft Defender for Endpoint (MDE) にオンボードし、その脅威検知やセキュリティ状態に関する情報をMicrosoft Intune管理センターに集約するための非常に重要な連携機能です。
※MCMのクラウド接続のプロパティでこの設定を有効にすると、MCMクライアントが収集したエンドポイントのセキュリティ情報がクラウドにアップロードされます。


4. 共同管理を有効にするコレクションを選択する
[有効化]の[共同管理を有効にする]で[パイロット]を選択し、[参照]をクリックします。
共同管理を有効にするコレクションを選択し、[次へ]をクリックします。
a646_07.jpg

5. 設定の確認と完了
[概要]で設定項目に間違いがないことを確認し、[次へ]をクリックします。
a646_08.jpg

[タスク"クラウド接続の構成ウィザード"が正常に完了しました]が表示されたことを確認し、[閉じる]をクリックします。
a646_09.jpg

以上で、MCMからIntuneへの接続と、デバイスの自動登録設定は完了です。

5. ワークロードの切り替え(パイロットIntune)

共同管理の接続が完了したので、続いて具体的にどの管理機能(ワークロード)をMCMからIntuneへ切り替えるかを選択するステップに進みます。

1. 設定画面を開く
[管理] > [クラウド サービス] > [クラウドの接続] の中に、先ほどのウィザードで作成された [CoMgmtSettingProd] という項目ができています。
「CoMgmtSettingProd」を右クリックし、「プロパティ」をクリックします。
a646_10.jpg

2. ワークロードのタブを開く
プロパティ画面が開いたら、[ワークロード] タブをクリックします。
ここには「コンプライアンス ポリシー」「デバイス構成」といった、PCを管理するための機能(ワークロード)が一覧で表示されています。
a646_11.jpg

3. 管理をIntuneに切り替える
各ワークロードの横にあるスライダーを動かして、管理者をMCMとIntuneのどちらにするか決めます。
今回は例として、「コンプライアンスポリシー」、「デバイスの構成」、「Endpoint Protection」を「パイロット Intune」に変更し、上のタブから「ステージング」をクリックします。
a646_12.jpg

4. パイロットIntune対象のコレクションを指定する
スライダーを [パイロット Intune] に動かしたワークロードの、グレーアウトが解除され、「閲覧」ボタンがクリックできるようになります。
[閲覧] をクリックし、該当する機能を有効にしたいコレクションを選択し、[OK]をクリックします。
※どのコレクションをIntune管理にするかは、ワークロード毎に指定する必要があります。
a646_13.jpg

以上で、共同管理の有効化とワークロードの設定はすべて完了です。 指定したコレクション内のPCは、MCMとIntuneの両方から認識されるようになり、指定した機能の管理はIntuneが担当するようになります。

6. 共同管理になっているかの確認

共同管理の設定が完了したら、デバイスが正しく共同管理状態になっているかを確認しましょう。

MCMコンソールでの確認
[監視] > [概要] > [セキュリティ] > [共同管理] ダッシュボードで、[共同管理の状態]の[対象デバイス]をクリックします。
a646_14.jpg

[資産とコンプライアンス] > [デバイス] で、対象デバイスのプロパティを見ると、「共同管理」が「はい」になっていることを確認します。
a646_15.png

Intune管理センターでの確認
Intune管理センターにログインし、[デバイス] > [Windows デバイス] でデバイスの一覧を表示します。
パイロットに設定したデバイスの、「管理者」の項目が 「共同管理」 と表示されていれば成功です。
a646_16.jpg

7. おわりに

MCMとIntuneの共同管理は、これまでのオンプレミスでの管理資産を活かしながら、クラウドの利点を享受するための最適なソリューションです。
段階的に移行できるため、リスクを抑えつつ、よりモダンで柔軟なデバイス管理体制へとシフトすることが可能です。本記事が、MCMとIntuneの長所を最大限に活かし、デバイス管理をより柔軟でセキュアなものへと進化させるための一助となれば幸いです。

MCMとIntuneの共同管理について気になるという方は、是非一度お問い合わせください。

※このブログで参照されている、Microsoft、その他のマイクロソフト製品およびサービスは、米国およびその他の国におけるマイクロソフトの商標または登録商標です。
※その他の会社名、製品名は各社の登録商標または商標です。

  • このエントリーをはてなブックマークに追加

関連記事

最新記事

アーカイブ

アーカイブ全てを表示

カテゴリ

カテゴリ全てを表示

タグ

タグ全てを表示

お問い合わせ

Contact

ご質問やご相談、サービスに関する詳細など、何でもお気軽にご連絡ください。下記のお問い合わせフォームよりお気軽に送信ください。

お問い合わせ

資料ダウンロード

Download

当社のサービスに関する詳細情報を掲載した資料を、下記のページよりダウンロードいただけます。より深く理解していただける内容となっております。ぜひご活用ください。

資料ダウンロード