共同管理とは
共同管理は、Configuration Manager の既存の展開を Microsoft 365 クラウドに接続する主要な方法の 1 つです。 これは、条件付きアクセスなどのクラウドを利用した機能のロックを解除するのに役立ちます。
共同管理により、Configuration Manager と Microsoft Intune の両方を使用して、Windows 10 以降のデバイスを同時に管理できます。 このようにすると、新しい機能を追加することにより、Configuration Manager への既存の投資をクラウドに接続できます。 共同管理を使用すると、お客様の組織に最適なテクノロジ ソリューションを柔軟に使用できます。
Windows デバイスにConfiguration Manager クライアントがあり、Intuneに登録されている場合、両方のサービスの利点が得られます。 管理者は、ワークロードが存在する場合、どのワークロードのオーソリティを Configuration Manager から Intune に切り替えるかを制御します。 Configuration Manager は、管理者が Intune に切り替えなかったワークロードを含む他のすべてのワークロード、および共同管理がサポートしていない Configuration Manager の他のすべての機能を引き続き管理します。
また、デバイスの個別のコレクションを使用してワークロードを移行することもできます。 パイロットを使用すると、より大きなグループの切り替えを行う前に、デバイスのサブセットを使用して Intune 機能をテストできます。
注:
Configuration ManagerとMicrosoft Intuneの両方でデバイスを同時に管理する場合、この構成は共同管理と呼ばれます。 デバイスを Configuration Manager で管理し、サードパーティの MDM サービスに登録する場合、この構成は共存と呼ばれます。 単一のデバイスに 2 つの管理オーソリティを使用することは、両者が正しくオーケストレーションされていないと困難になる場合があります。 共同管理では、Configuration ManagerとIntuneワークロードのバランスを取り、競合がないことを確認します。 このような相互作用はサードパーティのサービスとの間には存在しないため、共存の管理機能には限界があります。 詳細については、「サード パーティの MDM とConfiguration Managerの共存」を参照してください。
共同管理へのパス
共同管理を達成するための 2 つの主なパスは次のとおりです。
既存のConfiguration Manager クライアント: 既にクライアントConfiguration ManagerされているWindows 10以降のデバイスがあります。 ハイブリッド Microsoft Entra IDを設定し、Intuneに登録します。
新しいインターネット ベースのデバイス: Microsoft Entra IDに参加し、Intuneに自動的に登録する新しいWindows 10以降のデバイスがあります。 共同管理の状態を実現するために、Configuration Manager クライアントをインストールします。
パスの詳細については、「 共同管理へのパス」を参照してください。
利点
既存の Configuration Manager クライアントを共同管理に登録すると、すぐに次の価値を実現できます。
デバイスのコンプライアンスを使用した条件付きアクセス
Intune ベースのリモート操作 (例: 再起動、リモート コントロール、出荷時の設定にリセット)
デバイスの正常性の一元表示
ユーザー、デバイス、アプリをMicrosoft Entra IDにリンクする
Windows Autopilot を使用した最新のプロビジョニング
リモート操作
共同管理からのこの即時の値の詳細については、「 Cloud connect with co-management」のクイック スタート シリーズを参照してください。
共同管理を使用すると、複数のワークロードに対してIntuneを調整することもできます。 詳細については、「ワークロード」セクション を 参照してください。
注:
共同管理自体は、リモート接続された Windows システムを管理するためのソリューションではありません。 Configuration Manager クライアントは引き続き、割り当てられたサイトと通信する必要があります。 Configuration Managerを使用してリモート接続された Windows システムを管理するには、クラウド管理ゲートウェイ (CMG) を有効にします。 共同管理には CMG は必要ありません。CMG では共同管理は必要ありませんが、一緒に使用できます。
前提条件
共同管理には、次の領域でこれらの前提条件があります。
- ライセンス
- Configuration Manager
- Microsoft Entra ID (Microsoft Entra ID)
- Microsoft Intune
- Windows
- アクセス許可と役割
ライセンス
Microsoft Entra ID P1 または P2
注:
Enterprise Mobility + Security (EMS) サブスクリプションには、Microsoft Entra ID P1 または P2 とMicrosoft Intuneの両方が含まれます。
管理者がMicrosoft Intune管理センターにアクセスするための少なくとも 1 つのIntune ライセンス。
ヒント
テナントへのサインインに使用するアカウントにIntune ライセンスを割り当てることを確認します。 そうしないと、予期しないエラーが発生したというエラー メッセージでサインイン が失敗します。
Intune または EMS ライセンスを個別に購入してユーザーに割り当てる必要がない場合があります。 詳細については、「製品とライセンスに関するよく寄せられる質問」を参照してください。
構成マネージャー
共同管理には、現在のブランチConfiguration Managerサポートされているバージョンが必要です。
複数のConfiguration Manager インスタンスを 1 つのIntune テナントに接続できます。
共同管理自体を有効にしても、サイトをMicrosoft Entra IDでオンボードする必要はありません。 2 番目のパス シナリオでは、インターネット ベースのConfiguration Manager クライアントにはクラウド管理ゲートウェイ (CMG) が必要です。 CMG では、サイトがクラウド管理のためにMicrosoft Entra IDにオンボードされている必要があります。
Microsoft Entra ID
Windows デバイスは、Microsoft Entra IDに接続する必要があります。 次のいずれかのタイプを指定できます。
ハイブリッド参加Microsoft Entra。デバイスがオンプレミスの Active Directoryに参加し、Microsoft Entra IDに登録されます。
注:
Microsoft Entra IDにのみ登録されているデバイスは、共同管理ではサポートされていません。 この構成は、 職場参加と呼ばれることもあります。 これらは、Microsoft Entra IDに参加するか、ハイブリッド参加Microsoft Entraする必要があります。 詳細については、「Microsoft Entra登録済み状態のデバイスの処理」を参照してください。
Microsoft Entra参加のみ。 この型は、 クラウド ドメイン参加と呼ばれることもあります)。
ヒント
Microsoft Intuneを使用してクライアント デバイスの展開、管理、セキュリティ保護を行っているお客様と話をすると、多くの場合、デバイスの共同管理やハイブリッド参加済みデバイスMicrosoft Entraに関する質問が寄せられることがよくあります。 多くのお客様が、この 2 つのトピックを混同しています。 共同管理は管理オプションですが、Microsoft Entra IDは ID オプションです。 詳細については、「ハイブリッド Microsoft Entra IDと共同管理のシナリオについて」を参照してください。 このブログ投稿は、ハイブリッド参加と共同管理Microsoft Entra、それらがどのように連携しているかを明確にすることを目的としていますが、同じではありません。
Intune
Windows
デバイスを、サポートされているバージョンのWindows 11またはWindows 10 Intuneに更新します。 詳細については、「サービスとしての Windows の使用」を参照してください。
アクセス許可と役割
アクション | 必要な役割 |
---|---|
構成マネージャーでクラウド管理ゲートウェイを設定する | Azure サブスクリプション マネージャー |
Configuration ManagerからMicrosoft Entra アプリを作成する | グローバル管理者Microsoft Entra ID |
構成マネージャーで Azure アプリをインポートする |
完全な管理者Configuration Manager 他の Azure ロールは必要ありません |
Configuration Manager での共同管理を有効にする | Microsoft Entra ユーザー Configuration Managerすべてのスコープ権限を持つ完全な管理者。 |
Azure ロールの詳細については、「各種ロールについて」を参照してください。
Configuration Manager の役割の詳細については、「Configuration Manager の役割ベースの管理の基本」を参照してください。
ワークロード
ワークロードを切り替える必要はありません。または、準備ができたら個別に行うことができます。 Configuration Manager は、管理者が Intune に切り替えなかったワークロードを含む他のすべてのワークロード、および共同管理がサポートしていない Configuration Manager の他のすべての機能を引き続き管理します。
共同管理でサポートされるワークロードは次のとおりです。
コンプライアンス ポリシー
Windows Update ポリシー
リソース アクセス ポリシー
Endpoint Protection
デバイス構成
Office クイック実行アプリ
クライアント アプリ
詳細については、「 ワークロード」を参照してください。
共同管理を監視する
共同管理ダッシュボードを使用すると、環境内で共同管理されているマシンを確認できます。 グラフは、注意が必要なデバイスを特定するのに役立ちます。
詳細については、「 共同管理を監視する方法」を参照してください。