[Intune/MCM]アプリ配布失敗の原因を追う:共同管理の状態を確認するための具体的方法

Intune/Autopilot
[Intune/MCM]アプリ配布失敗の原因を追う:共同管理の状態を確認するための具体的方法

企業でデバイス管理を行う際に使用される「共同管理」ですが、想定していた挙動と実際の結果が一致しない場合、原因を突き止めるのは一筋縄ではいきません。

今回はMicrosoft Entra Joinの環境において「Microsoft 365 Apps」のインストーラー展開がうまくいかなかった実例を元に、「共同管理が正しく機能しているかどうか」を確認する方法をご紹介します。

共同管理とは

共同管理とは、MCMとIntuneを同時に運用するための仕組みです。

共同管理を使用することで、社内ネットワークの端末も社外ネットワークの端末も同時に管理が可能な上、一部機能については管理項目のワークロードを指定することでMCMとIntuneのどちらのサービスで管理するかを選択することができます。

アーザスBlog
 
https://a-zs.net/intune_joint-management
2023.09.22
Intuneは細かい制御に向かない?完全移行よりMCM(MECM)と共同管理がおすすめ
リモート環境もオンプレミス環境も管理できるIntuneは非常に便利で、MCM(MECM)よりも優れているように見えます。ただ、MCMでは可能でもIntuneでは不可能なことが多数あります。MCMからIntuneに安易に完全移行してしまうと困った事態となる可能性が高いです。では、IntuneはあきらめてMCMを使い続けるしかないのでしょうか?はじめにリモートワークの普及から、クラウドで既存のオンプレミス環境を管理できるIntuneが新たなエンドポイント管理ツールとして注目を浴びています。しかし、今までMCMでできていたことがIntuneではできないと...

Microsoft Entra Joinとは

Microsoft Entra Join(以下、Entra Join)とは、デバイスがオンプレミスのActive Directoryには参加せず、Microsoft Entra IDのみに参加している状態です。
共同管理EntraIDJoin

事例紹介

とある案件で、Entra Join環境でMCMコンソールのワークロードに以下の設定を行いました。

「Intuneで自動登録」を[すべて]に設定

ワークロードを全て[パイロット Intune]に設定

ステージングを全て[ダイレクト規則で数台を入れたコレクション]に設定

そして、パイロットグループのデバイスコレクションと、それ以外のデバイスコレクションに対し、MCMで「Microsoft 365 Apps」のインストーラーを展開しました。

ワークロードの設定の「Officeクイック実行アプリ」には「Microsoft 365 Apps」のインストーラーも含まれています。[パイロット Intune]に設定していますので

  • パイロットグループのデバイスコレクション:展開されない
  • それ以外のデバイコレクション:展開される

・・・となる想定でしたが、展開されませんでした。

原因の調査

共同管理が正常に動作していない可能性がありますので確認します。

Entra Join

まずEntra Joinができているかどうか確認します。

Microsoft Entra管理センターに移動します。そして ID>デバイス>すべてのデバイス で今回のデバイスの[結合の種類]を確認します。

上記のように「Microsoft Entra joined」になっていることが確認できます。

他には「Microsoft Entra hybrid joined」と「Microsoft Entra registered」があります。

ひとまずEntra Joinはできていました。

Intuneの共同管理設定

次にIntuneで共同管理が設定できているのか確認します。

Microsoft Intune管理センターに移動します。そして デバイス>すべてのデバイス で今回のデバイスの[管理者]を確認します。

Intuneの共同管理設定

上記のように共同管理になっていることが確認できます。

他にはIntuneとConfigMgrがあります。

Intuneでは共同管理が設定されていました。

MCMの共同管理設定

最後にMCMで共同管理が設定できているのか確認します。

共同管理の状態

MCMコンソールの 監視>概要>セキュリティ>共同管理 にある共同管理の状態で確認できます。

▼(参考)共同管理が設定されている場合は「登録済み」に登録されているデバイスの数が表示されます。
登録なし

▼(今の環境)「登録済み」が1つもありません。怪しいです。

デバイスの状態

共同管理されているはずの個別のデバイスを確認します。

MCMコンソールの 資産とコンプライアンス>概要>デバイスコレクション>共同管理 の対象デバイスを右クリックし、メンバーを表示を押します。項目に共同管理があるので追加します。

▼「共同管理」が “はい” であれば共同管理ができています。これはできていませんね。

Entra Join環境での共同管理について

Entra Join環境での管理は、共同管理もしくはIntuneです。

ハイブリッド Azure AD 参加と共同管理について_Microsoft

共同管理が正常に動いておらずIntuneのみで管理されているため、MCMからは展開できなかったのではないかと思われます。

最後に

Microsoft Entra Joinの環境において「共同管理が正しく機能しているかどうか」を確認する方法をご紹介しました。

弊社はIntune及びMCMの環境構築から運用設計までワンストップで対応できます。お困りでしたら是非とも弊社までご相談ください。