Intune に物理PC をデバイス登録しポリシーを適用する

ちょっと前に Chromebook の Intune のデバイス登録は現時点で未サポートで登録出来なかった話を記事に書きました。 今回は物理PCの Windows 10 Enterprise のデバイス登録を試してみた話となります。

Intune をテストする目的は Microsoft Endpoint Manager admin center による Windows 10 の管理機能について、どこまで現場の運用に適用出来そうか見極めるためです。 そして次のステップとして Windows Virtual Desktop の仮想 Windows 10 の管理も確認していきます。 OS パッチの適用のコントロールとアプリケーションのインベントリ管理や適用の運用管理タスクが対象となる予定です。  まあ、Intune の Muliti-session 対応は未サポートなので Single-session からの確認となります(この話のMicrosoft Docs のURLはこちら)。

今回、Intune にデバイス登録する物理PCは以前にも記事に書いた富士通社の LIFEBOOK で OS は Windows 10 Enterprise 20H2 です。 Windows の Intune へのデバイス登録に関する Microsoft Docs の URL はこちら。 登録方法は大きく以下の4つがあります。 今回は “Windows 10 自動登録” を利用します。

Microsoft Docs の手順に従い、実際の操作を進めていきます。

まずは エンドポイント マネージャー管理センター にアクセスします。

デバイス登録 > Windows 登録 > 自動登録 をクリックします。

MDM と MAM のユーザースコープを “すべて” に変更します。

ただ、MAMのユーザースコープは後からなしに変えました。 すべてにするとポリシーなどを適切に構成しないと初回のサインインが正常に完了しないということがありまして。

次は物理PC 側での作業です。 Microsoft Docs を見る限り、端末を起動し、Azure AD にジョインする時に Intune への登録が行われるとのこと。 ただ、この物理PCは Azure AD には既にジョインしているのですが、その場合の手順が見つかりません。 試行錯誤してみます。 

まずは 物理PCを再起動し、Azure AD のアカウントでサインインします。 このタイミングで Intune にも登録されると予想はしています。 しかし、Intune にデバイスとして登録されません。 

一度、Azure AD の接続を解除し、再度接続します。 この手順であれば上手くいくはずです。

“切断” をクリックします。

アカウントの削除について、確認が求められます。 基本的にローカルプロファイルにあるデータは消えて困るものはありません。 ”はい” で進めます。

再度確認が来るので “切断” で進めます。 仕事であれば慎重に調査や確認もしますが、個人の環境で個人的なテストなのでとりあえず進めていきます。

ローカル管理者の入力が求められます。

PCを再起動します。

再起動後、ローカル管理者アカウントでログインします。

“接続” をクリックします。

”このデバイスを Azure Active Directory に参加させる” をクリックします。

Azure AD のアカウントでサインインします。

“参加する” をクリックします。

数分を待たなかったと思います。

完了しました。

このあと、ローカルアカウントからサインアウトし、 Azure AD アカウントでサインインしなおします。 初回ログイン時の処理となり、PIN など再登録していきます。 途中の処理が進まないということがありましたが、MAM の登録をいったん解除し、進めました。 最終的に無事 物理PC の Windows 10 に Azure AD のアカウントでサインインできました。

Intune の管理画面にアクセスします。

Windows デバイスとして登録されたことを確認できました。

また、サインイン後に BitLocker によるシステムドライブの暗号化が組織ポリシーとして求められました。

ポリシーなどどのように構成されているか未確認のまま、上記のデバイス登録を進めてしまったのですが、以下のポリシーで暗号化が指定されていることがわかりました。

この結果、展開状態としても “エラー” となっています。 暗号化以外にも対応が必要なものがあるかどうか確認していきます。

結果、暗号化だけでした。 なお、エラーが続いているのは先ほど暗号化を開始したばかりで未完了のためだと思われます。 暗号化が完了すればエラーは解消されるでしょう。

Intune へのデバイス登録と単純なポリシーの適用まで確認することが出来ました。 自宅にはあと合計 3台の Windows PC があります。 残る2台も登録していきます。 その後、OS パッチの適用のコントロールとアプリケーションのインベントリ管理と展開のテストを別途実施します。その次に Windows Virtual Desktop 上の仮想の Windows 10 でのテストです。 こちらは別記事で紹介する予定です。

以上