Microsoft Intuneでの登録時間のグループ化

適用対象:

• Windows 11
• Android

登録時間のグループ化を設定して、デバイス登録中にアプリとポリシーのプロビジョニングを高速化します。 登録時間のグループ化では、登録プロファイルにMicrosoft Entraセキュリティ グループを追加して、登録時ではなく、登録時にデバイスをグループに追加できます。 その後、必要なアプリとポリシー構成をグループに割り当てることができます。 登録後にデバイスがメンバーになるセキュリティ グループのこの事前認識により、Intuneは登録時にデバイスに構成をすばやく配信でき、登録後の待機時間が短縮され、生産性が向上します。

登録時間のグループ化を構成しない場合、登録済みデバイスはインベントリのプロパティとグループ タグ ID に基づいてグループ化されます。 次Microsoft Intune、グループ メンバーシップに基づいてアプリとポリシーを配信します。 Microsoft Intuneは、デバイスがグループ化された後にのみデバイスに必要なアプリとポリシーを決定できるため、この方法でグループ化されたデバイスは、すぐに使用する準備ができていないことがよくあります。 デバイスがすべてのアプリとポリシーを受信するには、登録後最大 8 時間かかることがあります。

この記事では、登録時間のグループ化の概要、構成方法、および機能の制限事項について説明します。

前提条件

登録時間のグループ化は、次の方法でプロビジョニングされたデバイスでサポートされます。

• Windows Autopilot デバイスの準備

• Android エンタープライズ

Windows Autopilot の場合、Windows Autopilot デバイス準備ポリシーを作成および変更するためのアクセス許可が必要です。 登録プロファイルMicrosoft Entraグループを構成するには、登録時間デバイス メンバーシップの割り当てアクセス許可が必要です。 このアクセス許可は、Microsoft Intune管理センターの [登録プログラム] カテゴリのカスタム ロールで使用できます。

Android Enterprise の場合、Android Enterprise 登録プロファイルを作成および変更するためのアクセス許可が必要です。 Android 登録プロファイルMicrosoft Entraグループを構成するには、Android Enterprise アクセス許可の登録時間デバイス メンバーシップの割り当てが必要です。 このアクセス許可は、Microsoft Intune管理センターの Android Enterprise カテゴリのカスタム ロールで使用できます。 登録時間のグループ化は、次の登録プロファイルでサポートされています。

• 完全に管理されている Android Enterprise

• Android Enterprise の会社所有の仕事用プロファイル

• Android Enterprise 専用

Intuneファースト パーティ アプリをセキュリティ グループの所有者として追加するには、登録時間のグループ化に必要な手順として、次のいずれかの前提条件を満たす必要があります。

• Microsoft Entra グループ管理者、または microsoft.directory/groups/owners/update アクセス許可を持つ別のロールである必要があります。
• Microsoft Entra セキュリティ グループの既存の所有者である必要があります。

最後に、指定されたグループは、管理者が登録時間のグループ化構成で使用するためのスコープ グループとして構成する必要があります。

手順 1: セキュリティ グループMicrosoft Entra作成する

登録プロファイルで使用する静的Microsoft Entraセキュリティ グループを作成します。 登録時間のグループ化を構成するには、Intuneプロビジョニング クライアントをセキュリティ グループの所有者として追加する必要があります。 現在、このグループにデバイスやユーザーを追加する必要はありません。

次の手順では、Microsoft Intune管理センターでセキュリティ グループを作成する方法について説明します。 Windows 11に固有の詳細と手順については、「Windows Autopilot - デバイス グループの作成」を参照してください。

登録プロファイルで登録時間のグループ化を構成した後、このセキュリティ グループに戻ってデバイスを追加および削除できます。 適切なセキュリティ グループのアクセス許可を持つIntune管理者は、セキュリティ グループを編集できます。

1. Microsoft Intune 管理センターにサインインします。

2. [グループ] に移動します。

3. [ すべてのグループ] を選択し、[ 新しいグループ] を選択します。

4. 開いた [新しいグループ ] 画面で、次の情報を入力します。

   1. グループの種類: [セキュリティ] を選択します。

   2. [グループ名]: デバイス グループの名前を入力します。 例: 共有インベントリ デバイス

   3. グループの説明: デバイス グループの説明を入力します。

   4. Microsoft Entraロールをグループに割り当てることができます。[いいえ] を選択します。

   5. メンバーシップの種類: [ 割り当て済み] を選択します。

   6. 所有者: [ 所有者が選択されていない ] リンクを選択します。

   7. 開いた [所有者の追加] 画面で、Intuneプロビジョニング クライアントを所有者として追加します。

      1. オブジェクトの一覧をスクロールし、f1346770-5b25-470b-88bd-d5744ab7952c の AppId を使用してプロビジョニング クライアントIntuneサービス プリンシパルを選択します。 または、検索バーを使用して、プロビジョニング クライアントIntune検索して選択します。

         注:

         • 一部のテナントでは、サービス プリンシパルの名前は、プロビジョニング クライアントではなく Autopilot ConfidentialClientIntune Intune場合があります。 サービス プリンシパルの AppID が f1346770-5b25-470b-88bd-d5744ab7952c である限り、正しいサービス プリンシパルです。

         • appId が f1346770-5b25-470b-88bd-d5744ab7952c の Autopilot ConfidentialClient サービス プリンシパルをIntune Intuneする場合は、オブジェクトの一覧または検索時に、「Intune プロビジョニング クライアント サービス プリンシパルの追加」を参照してください。

      2. [選択] を選択します。

   8. [ 作成] を 選択して、割り当てられたデバイス グループの作成を完了します。

手順 2: 登録プロファイルで登録時間のグループ化を構成する

登録時間のグループ化機能は、新しいデバイス登録にのみ適用されます。 既に登録されているデバイスには影響しません。

登録プロファイルごとに 1 つの静的Microsoft Entraセキュリティ グループを追加できます。 Intune管理者は、Intune ロールのスコープ グループで承認されているMicrosoft Entra グループのみを追加できます。 プロファイルの作成時に管理者がセキュリティ グループを表示できるように、スコープ グループとグループ タグが適切なロールに割り当てられていることを確認します。

1. Microsoft Intune管理センターで、[デバイス] に移動します。

2. [ デバイス オンボード] を展開し、[ 登録] を選択します。

3. 構成する登録の種類を選択し、プロファイルを作成します。

   • Windows: Windows Autopilot デバイス準備ポリシーを作成する

   • 仕事用プロファイルを使用した Android Enterprise: 仕事用プロファイルを使用して Android Enterprise 企業所有デバイスのIntune登録を設定する

   • Android Enterprise 専用: Android Enterprise 専用デバイスのIntune登録を設定する

   • Android Enterprise フル マネージド: Android Enterprise フル マネージド デバイスの登録を設定する

   ヒント

   登録時間のグループ化は、ステージング トークンではサポートされていません。 登録時間のグループ化で使用するプロファイルを構成する場合は、会社所有のフル マネージド (既定) トークンまたは企業所有の仕事用プロファイル (既定) トークンを使用します。

プロファイルを保存したら、いつでもプロファイルに戻ってグループ設定を編集できます。 グループ設定に対して行ったUpdatesは、プロファイルに既に登録されているデバイスには適用されません。 グループからデバイスを削除する場合、Microsoft Intuneポリシー構成を再評価し、新しい構成を取得するためにデバイスを強制的にチェックします。

手順 3: デバイスを登録する

登録プロファイルが割り当てられたデバイスは、登録時にMicrosoft Entraセキュリティ グループのメンバーになり、アプリとポリシーの受信を開始します。 管理者またはエンド ユーザーがデバイスの初期セットアップを完了すると、デバイスのホーム画面に移動します。 この時点で、対象となるすべてのアプリとポリシーが既にデバイス上にあるか、インストール中である必要があります。

グループからデバイスを削除する場合、Microsoft Intuneポリシー構成を再評価し、新しい構成を取得するためにデバイスを強制的にチェックします。

既知の問題と制限事項

登録時間のグループ化に関するレポートは現在使用できません。

トラブルシューティング

予期しない動作が発生した場合は、次の情報をMicrosoft サポートに問い合わせてください。

• デバイスのシリアル番号。
• アプリ ログポータル サイト(該当する場合)、ログ ID。
• 発生したイベントとタイム ゾーンのおおよそのタイム スタンプ。
• Microsoft Intune管理センターまたはデバイスのスクリーンショット。
• デバイスでの動作の詳細な説明。