セイテクエンジニアのブログかつて山市良と呼ばれたおじさんのブログ vol.94　基本のIntuneタスクを学ぶ－Entra参加デバイスの管理（前編）｜はじめてのIntune（5）

vol.94　基本のIntuneタスクを学ぶ－Entra参加デバイスの管理（前編）｜はじめてのIntune（5）

2025年03月24日配信
2025年04月23日更新
執筆者：山内和朗

　前回（vol.93）までに、オンプレミスのドメイン参加WindowsデバイスをMicrosoft Intune（以下、Intune）で管理するのに必要なライセンスを用意しました。今回から、具体的な設定と管理について試していきたいと思います。

Intuneで管理するWindowsデバイスの要件

　Intuneは、モバイルデバイスやPCのセキュリティとアプリ管理のための、クラウドベースのエンドポイント管理ツールです。Intuneは、マルチプラットフォームに対応し、Windowsはもちろんのこと、Android、iOS、macOS、Linuxの管理にも対応しています。この連載では、「Windows Server Update Services（WSUS）」の代替ソリューションとしての視点でIntuneを評価します。そのため、モバイルデバイスやLinuxの管理、個人所有デバイス（BYOD）については、触れる予定はありません。

　Windowsデバイスの管理に限定すると、Intuneは以下に示すいずれかの接続方法（deviceTrustType、結合の種類）でIntuneに登録された個人所有/会社所有デバイスを管理することができます。また、更新プログラムの管理のためには、デバイスのOSはWindows 10/11 Pro以上（Home以外）である必要があります。また、Intuneの一部の機能（Windows Autopatchなど）については、Windows 10/11 Enterprsie E3以上のライセンスも必要です。Windows 10/11 Homeエディションについては、ワークプレース参加で管理対象にできますが、利用可能な機能は一部に制限されます。MDM（モバイルデバイス管理）機能による基本的な管理に限定されます、更新プログラムの管理はできません。

ワークプレース参加（Workplace Join） ･･･個人所有デバイス（BYOD）向け
Entra参加（Entra Join、旧称、Azure AD Join） ･･･企業所有デバイス向け
Entraハイブリッド参加（Entra Hybrid Join、旧称、Hybrid Azure AD Join） ･･･オンプレミスのActive Directoryドメインに参加する企業所有デバイス向け

　オンプレミスのWSUSの代替ソリューションとしては、3つ目のハイブリッドID管理環境の構築が必要になります。しかしその前に、Intuneの基本に触れ、慣れるために、Intune試用版の評価ステップ「Intuneタスクを試す > 手順2」以降を進め、Entra参加デバイスの更新管理を試します。

無料でMicrosoft Intuneを試す｜Microsoft Intune（Microsoft Learn）

ユーザーの作成とライセンスの割り当て（Intuneタスクを試す > 手順2）

　エンドポイントのデバイスを使用するユーザー（Entra IDアカウント）を作成し、必要なライセンスを割り当てます。それには、Microsoft Intune管理センター（https://intune.microsoft.com/）」にグローバル管理者のIDでサインインし、「ユーザー」ページを開いて、「＋新しいユーザー｜新しユーザーの作成」を選択します。

　「新しいユーザーの作成」が開くので、「基本」タブでユーザープリンシパル名を設定し、表示名やパスワードを設定します。既定は、「パスワードの自動生成」がチェックされているため、それをクリップボードにコピーして控えておきます（画面1）。なお、自動生成されたパスワードの場合、初回サインイン時、ユーザーにパスワード設定が求められます。

画面1　Microsoft Intune管理センターを使用して、Entraテナントにユーザー（Entra IDアカウント）を作成する

　「プロパティ」タブでは、ユーザーの属性を適宜設定します。「割り当て」タブでは、グループまたはロールを追加できますが、この時点では何も設定しません。最後に「レビューと作成」タブで「作成」ボタンをクリックし、ユーザーを作成します。

　次に作成したユーザーに、ライセンスを割り当てます。この連載で購入したライセンスの場合は、「Enterprise Mobility + Security E3」と「Windows 10/11 Enterprise E3」（日本語表示名は「Windows 10 Enterprise E3」）を割り当てます。それには、Microsoft 365管理センター（https://admin.microsoft.com/）にグローバル管理者のIDでサインインし、「ユーザー > アクティブなユーザー」の一覧から、先ほど作成したユーザーのプロパティページを開き、「ライセンスとアプリ」タブでライセンスを割り当て、「変更の保存」をクリックします。なお、Entra参加やIntuneによる管理のためにWindows 10/11 Enterprise E3（またはE5）が必須なわけではありません。「はじめてのIntune」シリーズでは、最終的な目標としてWindows AutopatchやMicrosoft Connected Cache for Enterprise^*1の導入を考えています。Windows 10/11 Enterprise E3はそのためのライセンスです。

*1　vol.76　オンプレミスWSUSの代替になるか？ Microsoft Connected Cache for Enterprise（Preview）をプレビュー｜Windows Server 2025大特集（13）

　Entraテナントのユーザー（Entra IDアカウント）やプロパティの編集は、Microsoft Intune管理センター、Microsoft 365管理センター、Microsoft Entra管理センター（https://entra.microsoft.com/）のいずれからでも可能ですが、ライセンスの割り当てについてはMicrosoft 365管理センターを使用する必要があります（画面2）。ユーザーのアイコンは既定で「<姓の頭文字><名の頭文字>」になりますが、Microsoft Entra管理センターを使用するとユーザーのアイコン（写真）を変更することができます（画面3、画面2のアイコンは変更後のもの）。また、ユーザー自身はマイアカウント（https://myaccount.microsoft.com/）ポータルで自分の写真を設定することができます。

画面2　Microsoft 365管理センターを使用して、ユーザーにライセンスを割り当てる

画面3　ユーザーのアイコンは、Microsoft Entra管理センターまたはマイアカウントポータルから管理者またはユーザー自身で変更できる

グループの作成（Intuneタスクを試す > 手順3）

　ユーザーやデバイスをグループ化すると、管理を効率化（ポリシーや更新リングの対象化など）できて便利です。グループを作成するには、Microsoft Intune管理センターの「グループ」を開き、「新しいグループ」をクリックします。

　ここでは、セキュリティグループ「myLab Users」を作成し、先ほど作成したユーザーをダイレクトメンバー（割り当て済みメンバー）として登録しました（画面4）。このグループを特に何に使用するという目的は、現時点ではありません。グループの作成方法を学ぶ目的で作成しました。次回は、Intuneへの登録方法によってメンバーを動的に含めることができる、より実用的な動的グループを作成します。更新プログラムや設定の配布は、その動的グループを使用して行う予定です。

画面4　エンドユーザーをメンバー（割り当て済みメンバー）として含む「myLab Users」グループを作成した。このグループの用途は特に決まっていない

Windowsデバイスの自動登録の設定（Intuneタスクを試す > 手順4）

　Intuneに接続するWindowsデバイスを自動的にIntuneに登録するように、Intuneを設定します。なお、Windowsデバイスの自動登録のためには、Entra ID P1ライセンスが必要です。

　Microsoft Intune管理センターで「デバイス｜デバイスのオンボーディング > 登録」を開き、「Windows」タブにある「自動登録」をクリックします。「Microsoft Intune」ページが開くので、「MDMユーザースコープ: すべて」を選択し、「Windows情報保護（WIP）ユーザースコープ: なし」を選択して、「保存」ボタンをクリックします（画面5）。

画面5　Windowsデバイスの自動登録を設定する

WindowsデバイスのEntra参加（Intuneタスクを試す > 手順5）

　Intuneに登録するデバイスは、以下のいずれかのWindowsバージョンを実行している必要があります。

Windows 10バージョン1607以降
Windows 11バージョン21H2以降

　WindowsデバイスのEntra参加を試すために、Windows 11 Enterpriseバージョン24H2をプロダクトキーなしでインストールし、ローカルアカウントでセットアップして、Windows Updateを実行して最新状態にした仮想マシン（VM）を用意しました。つまり、Windowsのライセンス認証はまだ行われていないデバイスです（画面6）。

画面6　まだライセンス認証されていないプロダクトキーが未入力のWindows 11 Enterpriseバージョン24H2を実行するVM

　Windows 11にローカルアカウントでサインインしたら、「設定」アプリの「アカウント > 職場または学校にアクセスする」を開き、「職場またはアカウントを追加」の横にある「接続」ボタンをクリックします。「職場または学校アカウントのセットアップ」が開くので、「電子メールアドレス」テキストボックスには何も入力せずに、「このデバイスをMicrosoft Entra IDに参加させる」をクリックします（画面7）。

画面7　「職場または学校アカウントのセットアップ」で「このデバイスをMicrosoft Entra IDに参加させる」をクリックする

　Microsoftアカウントのサインイン画面が表示されるので、ここでEntra IDアカウントのメールアドレス（ユーザー名@サブドメイン名.onmicrosoft.com）を入力し、ユーザー作成時に自動生成されたパスワードを入力してサインインします。すると、パスワードの更新が要求されるので、新しいパスワードを設定してサインインします。サインインが完了すると、「これがあなたの組織のネットワークであることを確認してください」と表示されるので、「参加する」ボタンをクリックします（画面8）。

画面8　初回サインイン時にパスワードの更新が求められる。サインインが完了すると、デバイスのEntra参加を続行するかどうか確認が求められる

　「これで完了です。このデバイスは<組織名>に接続しています。」と表示されたら、メッセージに従って、アカウントの切り替えを実行するか、いったんサインアウトして、Entra IDアカウントのメールアドレスと先ほど変更したパスワードを使用してサインインします。WindowsへのEntra IDアカウントによる初回サインイン時に、Windows Helloの設定（PINの設定）と多要素認証（MFA）のセットアップが行われ、Entra参加が完了します（画面9）。

画面9　組織アカウント（Entra IDアカウント）による初回サインイン時、Windows Helloのセットアップ（組織の既定のポリシーにより）と多要素認証（MFA）のセットアップ（Microsoftクラウドサービスの認証の既定）が行われ、IntuneにWindowsデバイスが自動登録される

　適切なライセンスの割り当てられたユーザーでサインインしたことにより、Windowsのライセンス認証がアクティブに切り替わりました。ちなみに、Entra参加前にWindows 10/11 Proであった場合でも、Entra参加後には自動的にEnterpriseに切り替わります（アップグレードインストールが行われるわけではありません）。デバイスのEntra参加の状態は、コマンドプロンプトやPowerShellで「dsregcmd /status」を実行することで確認できます。また、Microsoft Intune管理センターの「デバイス｜Windows｜Windowsデバイス」に自動登録されたデバイスを確認できます（画面10）。

画面10　Entra参加によりWindows 11 Enterpriseのライセンス認証がアクティブになり、デバイスがIntuneに自動登録された