IntuneにおいてAutopilot後に、そのままアプリ配信する方法
IntuneからAutopilotでInutneに登録されたWindowsデバイスに、追加作業(設定変更など)なしに、アプリを配布したい場合、Autopilot実施前で、アプリ配布対象のWindowsデバイスがintuneに登録されていない状態で、どのようにアプリ配布の対象としてWindowsデバイスを指定(割り当て)ればよいのでしょうか
2つの設定必要となります。
【Autopilot設定】
①ハードウェアハッシュによるデバイス登録
②Autopilotプロファイル適用のためのデバイスグループを作成し「①」で登録したデバイスと追加する
③Autopilotプロファイル作成、②で作成したデバイスグループを指定する
【アプリ配信設定】
④「M365アプリの追加」画面にて、M365アプリを配信するデバイスグループを指定する
④のおいて、どのデバイスグループを指定すればよいか
Entra 参加構成の場合
Autopilot 実行時に新たに Entra デバイスオブジェクトは作成されずに、① のハードウェアハッシュ登録時に作成された Entra デバイスオブジェクトがそのまま利用されます。
④ のアプリの割り当てにて指定するデバイスグループは、② で作成したデバイスグループを指定すれば問題ありません。
★Autopilot 対象デバイス向けに作成するデバイスグループを、動的デバイスグループで作成するか、手動で作成するかに関わらず、この結論は同じです。
Entra ハイブリッド参加構成の場合
Autopilot 実行中のオンプレ AD 参加時に作成されたオンプレのコンピュータオブジェクトが、Entra ID 側に連携される動作となります。オンプレ AD 参加しているコンピュータオブジェクトが Entra ID に同期され、それに対応した Entra デバイスが作成される動作となります。
その為、① のハードウェアハッシュ登録時に作成された Entra デバイスオブジェクト(=A)と Autopilot 実行中にオンプレ AD から同期された Entra デバイスオブジェクト(=B)の 2 つが存在する状態となります。
その為、Entra Hybrid 参加構成かつ Autopilot を実施する場合は、それぞれの Entra デバイスが存在する状態となります。
(参考)Intune と Windows Autopilot を使用して Microsoft Entra ハイブリッド参加済みデバイスを展開する
https://learn.microsoft.com/ja-jp/autopilot/windows-autopilot-hybrid
—抜粋—
デバイスが Autopilot に登録されると、デバイス オブジェクトは Microsoft Entra ID で事前に作成されます。 デバイスがハイブリッド Microsoft Entra 展開を通過すると、設計上、別のデバイス オブジェクトが作成され、エントリが重複します。
—抜粋—
④ のアプリの割り当てにて指定するデバイスグループとして、何を指定すればよいかは、Autopilot 対象デバイス向けに作成するデバイスグループの作成方法によって、変わってきます。
②を動的デバイスグループで作成する場合
④ のアプリの割り当てにて指定するデバイスグループは、② で作成したデバイスグループを指定すれば問題ありません。
②を手動で作成する場合(Autopilot実施後、アプリ配布をするまでに、追加で一作業必要)
(A)ハードウェアハッシュ登録時に作成された Entra デバイス" と “(B)Autopilot 実行中にオンプレ AD から同期された Entra デバイス" の 2 つが存在しますが、該当デバイスに Autopilot 後に M365 アプリを配布されたい場合は、配布対象のデバイスグループに “(B)オンプレ AD から同期された Entra デバイス" も追加する必要があります(★そのため、Autopilot実施後、アプリ配布をするまでに、追加の一作業が発生します)
理由としては、Microsoft Entra Hybrid 参加構成での Autopilot で登録された Intune デバイスと紐づく Entra デバイスは、Autopilot 中の Hybrid 構成時に (A) から (B) のデバイスに更新される動作となるためです。
「②を動的デバイスグループで作成する場合」は、Microsoft Entra Hybrid 参加構成の場合、自動的に (A), (B) 両方が動的デバイスグループに追加される動作となるため、追加で個別に Entra デバイスをデバイスグループに追加することは不要です。
動的デバイスグループについて
Entraハイブリッド参加の場合、Autopilotの対象とするデバイスグループが、動的デバイスグループか、否かによって、挙動が変わりますが、そもそも動的デバイスグループとは何でしょうか。
Autopilot 対象デバイス向けに作成するデバイスグループは、下記公開情報に記載されているように Autopilot 属性 (ZTDid, OrderID, PurchaseOrderId) を用いて動的デバイスグループを作ることが想定されております。
このように Autopilot 属性を用いた動的デバイスグループを作成することで、手動で対象デバイスをグループに追加せずとも、自動的に動的デバイスグループに追加される動作となります。
– Windows Autopilot のデバイス グループを作成する
https://learn.microsoft.com/ja-jp/autopilot/enrollment-autopilot
—抜粋—
Autopilot デバイス属性を使用してルールを作成します。 これらのルールを満たす Autopilot デバイスは、グループに自動的に追加されます。 Autopilot 以外の属性を使用して式を作成しても、グループに含まれるデバイスが Autopilot に登録される保証はありません。
・すべての Autopilot デバイスを含むグループを作成するには、「 (device.devicePhysicalIDs -any (_ -startsWith “[ZTDid]"))」と入力します。
・Intuneのグループ タグ フィールドは、Microsoft Entra デバイスのOrderID属性にマップされます。 特定のグループ タグ (Microsoft Entra デバイス OrderID) を持つすべての Autopilot デバイスを含むグループを作成するには、「:(device.devicePhysicalIds -any (_ -eq “[OrderID]:179887111881"))」と入力します。
—抜粋—
その他注意事項(補足事項)
①Autopilot構成時に、Entra参加とEntraハイブリッド参加は選択できるが、Entra登録は選択できない。
Autopilot 実行時は、下記画像 Windows Autopilot Deployment プロファイルの[次のように Microsoft Entra ID に参加] の項目で指定したように参加構成が決定され、選択肢にあるようにEntra 参加または Entra Hybrid 参加構成のみが可能です。
(関連記事)
Autopilotでセットアップする対象のWindowsデバイスはAzure AD登録でもOKか | mitsurublog
②コンプライアンスポリシーの適用など、アプリ配信以外のシナリオの場合
この記事では、アプリ配信について記載していましたが、アプリ配信以外のケースもデバイスグループの設定は本記事と同様の考えになります。
たとえば、Autopilot実施後に、(追加作業なしに)そのまま、Autopilot対象のデバイスにコンプライアンスポリシーを適用したいようなケースも、本記事と同様の考え方になります。
③動的デバイスグループを使うために必要となるライセンスについて
動的デバイスグループを利用するためには、当該テナント上に最低限一つの Microsoft Entra ID P1もしくは Intune for Education ライセンスが必要になります。
下記公開情報に記載がるように動的グループのメンバーがユーザーの場合は、メンバーとなるユーザー数分の P1 ライセンスが必要となりますが、メンバーがデバイスの場合 (動的デバイスグループの場合) は、メンバーとなるデバイス分のライセンスは不要です。
<弊社公開情報>
Microsoft Entra ID で動的メンバーシップ グループの規則を管理する
https://learn.microsoft.com/ja-jp/entra/identity/users/groups-dynamic-membership
