グループポリシーを使用してIntuneでActive Directoryデバイスの登録を自動化する方法
オンプレミスの Active Directory デバイスを Intune に自動登録するのは簡単そうに聞こえますが、Windows がそれをすぐに拒否することがあるのは少し奇妙です。このガイドでは、そのプロセスを詳しく説明します。主に、マシンが期待通りに自動登録されない場合によくある困惑を防ぐのに役立ちます。すべてが正しく設定されていれば、ユーザーは Microsoft 365 アカウントでログインするだけでデバイスが Intune にほぼ自動的に登録され、管理者は手間をかけずに一元管理できるようになります。しかし、正直なところ、忍耐は重要です。不足しているものや構成ミスを修正するために、グループポリシーや ADM テンプレートを実際に操作する必要がある場合もあります。
Active Directory (AD) Windows デバイスを Intune に自動的に登録する方法
前提条件:オンプレミスのADがMicrosoft Entra Connect(別名Azure AD Connect)経由でMicrosoft Entra IDと同期されている必要があります。同期されていない場合、このプロセス全体は自動的に開始されません。
グループ ポリシーで既定の Azure 資格情報を使用して自動 MDM 登録を有効にする
これが役立つ理由:Azure ADユーザーに関連付けられた資格情報を使用して、デバイスをIntuneに自動登録するようWindowsに明示的に指示します。通常、このポリシーが有効になっていない場合、デバイスは登録されていないままになるか、ユーザーが手動で登録する必要がありますが、これは大規模な環境には適していません。この設定を行うと、同期と権限が正しく構成されている限り、ポリシーの適用後すぐにデバイスの登録がシームレスに開始されます。
これを試すタイミング: ユーザーが Microsoft 365 の資格情報を使用してログインしているが、デバイスが Intune に表示されない場合、またはユーザーがサインインした後でも自動登録が行われない場合。
- [サーバー マネージャー]に移動し、[ツール]をクリックして、[グループ ポリシーの管理]を選択します。
- 新しいGPOを作成し、ドメインまたはユーザー/デバイスが含まれる特定のOUにリンクします。適切なスコープを指定していないと適用されませんのでご注意ください。
- [コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [MDM]に移動します。
- 「デフォルトのAzure AD資格情報を使用して自動MDM登録を有効にする」を探します。見つからない場合でも慌てないでください。追加方法は以下を参照してください。
- これを「有効」に設定し、資格情報の種類として「ユーザー資格情報」を選択して、 「適用」と「OK」をクリックします。
- コマンドプロンプト(管理者)で実行すると
gpupdate /force、変更がすぐに反映されます。ただし、設定によっては適用に少し時間がかかる場合があります。
グループポリシー管理を開き、新しいGPOを作成します。
新しいGPOを編集して適切なポリシーを設定します
ポリシーを適用する
「既定の Azure 資格情報を使用して自動 MDM 登録を有効にする」ポリシーがない場合はどうなりますか?
Windows Update と ADMX テンプレートが異なるため、この設定が見つからない場合があります。ご安心ください。対処法は以下のとおりです。
- ドメインに参加しているマシンで実行されているWindowsのバージョンを確認してください。次に、Microsoftから対応する管理用テンプレートを入手してください。
- Windows 11、バージョン 25H2
- Windows 11、バージョン 24H2
- Windows 11、バージョン 23H2
- Windows 11、バージョン 22H2
- Windows 10 バージョン 22H2
方法1: 適切なADMXテンプレートを入手する
- 正しいパッケージをダウンロードし、DC にインストールします。
- インストール後、次のような ADMX ファイルが存在するフォルダーを見つけます。
C:\Program Files (x86)\Microsoft Group Policy\Windows 11 October 2023 Update (23H2)\- その場所からフォルダー全体を
PolicyDefinitionsSYSVOL 共有にコピーします。 - \\
\SYSVOL\ .local\ポリシー\ - DFSR レプリケーションがドメイン コントローラー間で同期されるまで数秒待ちます。
- 次に、グループ ポリシー管理に戻り、GPO を作成または編集してその設定を有効にします。
方法2: ドメインコントローラにADMXテンプレートをインストールする
次のステップ: Intune で自動登録を有効にする
ポリシーが設定されたら、Intune 管理センターに移動します。
- [デバイス] > [Windows] > [登録] > [自動登録]に移動します。
- MDMユーザースコープを「すべて」に設定して、すべてのデバイスが登録を試行できるようにします。また、すべてのデバイスに対してWindows情報保護(WIP)をオンにします。
- 「保存」をクリックします。多少の遅延は予想されますが、ユーザーがログインするかマシンのポリシーが更新されると、自動登録が開始されます。通常はこれが計画通りです。
デバイスが正しく登録されているか確認する
すべての設定が完了したら、数分お待ちください。理想的には、次回のAzure AD同期後です。ユーザーが職場アカウントでログインすると、WindowsマシンがIntuneへの自動登録を開始するはずです。Intuneデバイスにアクセスして新しいエントリを確認することで確認できます。
手動登録やスタックしたデバイスの修復に関する追加のヒント
- デバイスを手動で追加するには、[設定] > [アカウント] > [職場または学校へのアクセス]に移動し、[職場または学校のアカウントの追加]をクリックしてサインインします。
- デバイスが以前に登録されていたが、ハイブリッド参加として表示されない場合は、
dsregcmd.exe /leave管理者特権のコマンド プロンプトで実行し、再起動して再度サインインしてみてください。
基本的なことはこれでほぼ網羅しました。正直なところ、設定によっては連携に少し時間がかかる場合もありますが、一度パッチを当ててしまえば、デバイスはその後は自動的に登録される傾向があります。なぜうまくいかないのかは分かりませんが、適切なテンプレートとポリシーを使用すれば、それほどリスクは軽減されます。
まとめ
- Entra Connect 経由で AD が Entra ID と同期されていることを確認します。
- GPO を作成してリンクし、自動 MDM 登録を有効にします。
- 必要に応じて、Windows バージョンに一致する ADMX テンプレートをダウンロードしてインストールします。
- 自動 MDM 登録ポリシーを有効にするを展開し、を実行します
gpupdate /force。 - Intune で自動登録を設定し、同期後にデバイスの状態を確認します。
まとめ
これで自動登録に関する悩みが解消されたかと思います。ポリシーをきちんと理解したり、同期を待ったり、設定を強制的に適用したりするだけで済む場合もあります。一度理解してしまえば、デバイスの管理はずっとスムーズになります。確かに少し複雑に感じるかもしれませんが、少なくとも実現可能です。