次の方法で共有

Windows Autopilot デバイスの準備ユーザー主導のMicrosoft Entra参加: 割り当てられたデバイス グループを作成する

Windows Autopilot デバイスの準備ユーザー主導のMicrosoft Entra参加手順:

  • 手順 3: 割り当てられたデバイス グループを作成する

Windows Autopilot デバイスの準備のユーザー駆動型Microsoft Entra参加ワークフローの概要については、「Windows Autopilot デバイスの準備ユーザー主導のMicrosoft Entra参加の概要」を参照してください。

注:

この手順で作成したデバイス グループは、Windows Autopilot デバイスの準備に固有です。 Microsoft では、他の Windows Autopilot シナリオで使用されている既存のデバイス グループを再利用する代わりに、Windows Autopilot デバイスの準備で使用するために特別にデバイス グループを作成することをお勧めします。

割り当てられたデバイス グループを作成する

デバイス グループは、Microsoft Entra グループに編成されたデバイスのコレクションです。 通常、デバイス グループは、割り当てまたは動的にすることができます。

  • 割り当てられたグループ - デバイスは手動でグループに追加され、静的です。 Windows Autopilot デバイスの準備では、割り当てられたグループのみが使用されます。
  • 動的グループ - デバイスは、ルールに基づいてグループに自動的に追加されます。 Windows Autopilot デバイスの準備では、動的グループは使用されません。

Windows Autopilot デバイスの準備では、Windows Autopilot デバイス準備ポリシーの一部として 割り当てられたデバイス グループ が使用されます。 Windows Autopilot デバイス準備ポリシーで指定されたデバイス グループは、 割り当てられたデバイス グループである必要があります。 次に、Windows Autopilot デバイス準備プロセスでは、Windows Autopilot デバイス準備の展開中に、この割り当てられたデバイス グループにデバイスが自動的に追加されます。

重要

Windows Autopilot デバイス準備ポリシーで指定されたデバイス グループは、 割り当てられたセキュリティ デバイス グループである必要があります。

ヒント

同じ割り当て済みデバイス グループを複数の Windows Autopilot デバイス準備ポリシーに使用できますが、Windows Autopilot デバイス準備ポリシーごとに個別に割り当てられたデバイス グループを作成することをお勧めします。 たとえば、ユーザー主導のシナリオと自動シナリオの別の割り当て済みデバイス グループなどです。 これにより、Windows Autopilot デバイス準備ポリシーと、それらに割り当てられているデバイスまたはクラウド PC を簡単に管理できます。

Windows Autopilot デバイスの準備で使用するために割り当てられたセキュリティ デバイス グループを作成するには、次の手順に従います。

  1. Microsoft Intune 管理センターにサインインします。

  2. [ホーム] 画面で、左側のウィンドウで [グループ] を選択します。

  3. グループ |[すべてのグループ] 画面で、[すべてのグループ] が選択されていることを確認し、[新しいグループ] を選択します。

  4. [ 新しいグループ ] 画面が開きます。

    1. [グループの種類] で、[セキュリティ] を選択します。

    2. [ グループ名] に、 Windows Autopilot デバイス準備デバイス グループなどのデバイス グループの名前を入力します。

    3. [ グループの説明] に、デバイス グループの説明を入力します。

    4. Microsoft Entraロールをグループに割り当てることができる場合は、[いいえ] を選択します

    5. [ メンバーシップの種類] で、[ 割り当て済み] を選択します。

    6. [ 所有者] で、[ 所有者が選択されていない ] リンクを選択します。

    7. 開いた [ 所有者の追加] 画面で、次の手順を実行します。

      1. オブジェクトの一覧をスクロールし、f1346770-5b25-470b-88bd-d5744ab7952c の AppId を使用してプロビジョニング クライアントIntuneサービス プリンシパルを選択します。 または、検索バーを使用して、プロビジョニング クライアントIntune検索して選択します。

        注:

        • 一部のテナントでは、サービス プリンシパルの名前は、プロビジョニング クライアントではなく Autopilot ConfidentialClientIntune Intune場合があります。 サービス プリンシパルの AppID が f1346770-5b25-470b-88bd-d5744ab7952c である限り、正しいサービス プリンシパルです。

        • appIdf1346770-5b25-470b-88bd-d5744ab7952cAutopilot ConfidentialClient サービス プリンシパルをIntune Intuneする場合は、オブジェクトの一覧または検索時に、Intuneプロビジョニング クライアント サービス プリンシパルの追加に関するページを参照してください。

      2. プロビジョニング クライアントIntune所有者として選択されたら、[選択] を選択します

    8. [ 作成] を 選択して、割り当てられたデバイス グループの作成を完了します。

    重要

    Windows Autopilot デバイスの準備の展開中に、デバイスがこのデバイス グループに自動的に追加されます。 この手順で作成したデバイス グループのメンバーとしてデバイスを手動で追加する必要はありませんが、そうしても Windows Autopilot デバイスの準備プロセスには影響しません。

Intune プロビジョニング クライアント サービス プリンシパルの追加

AppId f1346770-5b25-470b-88bd-d5744ab7952c を使用してクライアント サービス プリンシパルをプロビジョニングIntune場合は、次の手順に従ってサービス プリンシパルを追加します。

  1. Microsoft IntuneまたはMicrosoft Entra IDが通常管理されているデバイスで、管理者特権のWindows PowerShellコマンド プロンプトを開きます。

  2. [Windows PowerShell コマンド プロンプト] ウィンドウで、次の操作を行います。

    1. 次のコマンドを入力して 、Microsoft.Graph.Authentication モジュールをインストールします。

      Install-Module Microsoft.Graph.Authentication

      メッセージが表示されたら、次の操作を行います。

      • 「Y」または「はい」と入力するか、[はい] ボタンを選択して NuGet をインストールすることに同意します。
      • [Y] または [はい] を入力するか、[はい] ボタンを選択して、PSGallery 信頼されていないリポジトリからインストールすることに同意します。

      詳細については、「 Microsoft.Graph.Authentication 」および 「Set-PSRepository -InstallationPolicy」を参照してください。

    2. 次のコマンドを入力して、 Microsoft.Graph.Applications モジュールをインストールします。

      Install-Module Microsoft.Graph.Applications

      これを行うように求められたら、「Y」または「はい」と入力するか、[はい] ボタンを選択して、PSGallery の信頼されていないリポジトリからインストールすることに同意します。

      詳細については、「 Microsoft.Graph.Applications 」および 「Set-PSRepository -InstallationPolicy」を参照してください。

    3. Microsoft.Graph.Authentication モジュールと Microsoft.Graph.Applications モジュールがインストールされたら、次のコマンドを入力してMicrosoft Entra IDに接続します。

      Connect-MgGraph -Scopes "Application.ReadWrite.All"

      詳細については、「 Connect-MgGraph」を参照してください。

    4. Microsoft Entra IDに対してまだ認証されていない場合は、[アカウントへのサインイン] ウィンドウが表示されます。 サービス プリンシパルを追加するアクセス許可を持つMicrosoft Entra ID管理者の資格情報を入力します。

    5. [アクセス許可が要求されました] ウィンドウが表示されたら、[organizationに代わって同意する] チェック ボックスをオンにし、[同意] ボタンを選択します。

    6. Microsoft Entra IDに対して認証され、適切なアクセス許可が付与されたら、次のコマンドを入力して、Intune Provisioning Client サービス プリンシパルを追加します。

      New-MgServicePrincipal -AppID f1346770-5b25-470b-88bd-d5744ab7952c

      詳細については、「 New-MgServicePrincipal -BodyParameter」を参照してください。

      注:

      • Intune プロビジョニング クライアント サービス プリンシパルがテナントに既に存在する場合、次のエラー メッセージが表示されます。

        New-MgServicePrincipal : The service principal cannot be created, updated, or restored because the service principal name
f1346770-5b25-470b-88bd-d5744ab7952c is already in use.
Status: 409 (Conflict)
ErrorCode: Request_MultipleObjectsWithSameKeyValue

      • 次のいずれかの条件に該当する場合、次のエラー メッセージが表示されます。

        • Connect-MgGraph コマンドでサインインするために使用するアカウントには、テナントにサービス プリンシパルを追加するためのアクセス許可がありません。
        • -Scopes "Application.ReadWrite.All"引数は、Connect-MgGraph コマンドには追加されません。
        • [アクセス許可が要求されました] ウィンドウは受け入れられません。
        • [アクセス許可が要求されました] ウィンドウで、[organizationに代わって同意する] チェック ボックスがオンになっていません。
        New-MgServicePrincipal : Insufficient privileges to complete the operation.
Status: 403 (Forbidden)
ErrorCode: Authorization_RequestDenied

次の手順: ユーザー グループを作成する

手順 4: ユーザー グループを作成する

関連コンテンツ

Intuneでのグループの作成の詳細については、次の記事を参照してください。