EMS(Intune)で 色々なデバイスをセットアップしてみた

Transcript

1. #jpemsug EMS(Intune)で 色々なデバイスをセットアップしてみた hikky(@ken_hikita)

2. #jpemsug 自己紹介 hikky(@ken_hikita) 某会社の社内SEやってます(SIer経験も有) やってきたこと • オフコン・プリンタ保守、官公庁システムリプレイス、オフィス移転増床閉鎖、 NW構築、サーバ構築、ISMS、PMS、ASP SaaS認証、M&Aプロマネ、CRM/ERP導入 ヘルプデスク、コールセンター構築

   今やってること • 人事労務勤怠給与経費精算システム導入、ERP導入 手動で給与計算できるようになった(笑) • Salesforce導入にも巻き込まれ中（炎上案件・・・） 好きなOffice 365サービス • OneDrive 保持免許 • 第一種大型自動車免許 • 第一種けん引自動車免許 ブログ：https://blog.intracker.net/ 3児の父（見えないって大体言われる） 2

3. #jpemsug 本題に行く前に・・・ 逸般的な誤家庭内の会話です すべて実話です。 嫁 誤家庭 3

4. #jpemsug 本題に行く前に・・・ 逸般的な誤家庭内の会話です すべて実話です。 嫁 自作PC組み立ててぇ～ えっ？この前メモリ16GB のノートPC買ったじゃん グラボ欲しい どこいく？

   ガジェットが並んでるところ 明日子供の卒園式だね GoPro首にかけとく 4

5. #jpemsug アジェンダ 1. Windows 10自動セットアップ(Windows Autopilot) 1. 自己展開モード 2. iPhone自動セットアップ(DEP

   + VPP + MDM) 3. Macデバイス管理 4. Androidアプリ配信(Android ) EMSを利用し始めてまだ２か月程度なので、おかしなところとかもあるかもしれません。 皆さんでディスカッションしながら進められたらと思いますのでよろしくです！ しかも逸般的な誤家庭でしか使てません。 5

6. #jpemsug Windows編 6

7. #jpemsug Windows10自動セットアップ概要 デバイス セットアップ デバイス購入 組織と デバイス紐づけ プロファイル設定 デバイスを強制的にMDM管理下へ登録 初期化した場合でも設定されている限り強制的にMDM管理下へ登録される

   自己展開モードを利用するとゼロタッチでWindows10のセットアップが完了します iPhoneのDEPと違い自身でデバイスと企業を紐づけることもできる 7

8. #jpemsug 準備するもの(Windows10 自己展開モード) 1. Windows 10 1809以上 2. TPM2.0を搭載したPC 3.

   Intune(MDM管理したい場合) + AzureAD(おとなしくEMSですね） 仮想環境はNGなので、検証がきつい・・・ 試してみたときの記事はこちら https://blog.intracker.net/archives/1859 8

9. #jpemsug 実際どんな感じなのか見てみよう(自己展開) 9

10. #jpemsug ユーザドリブンのとき 10

11. #jpemsug autopilotへのデバイス登録 11

12. #jpemsug autopilotへのデバイス登録 12

13. #jpemsug autopilotへのデバイス登録 13 登録用CSVの作り方 対象デバイス上で下記PowerShellコマンドを実行する Install-Script -Name Get-WindowsAutoPilotInfo Set-ExecuteionPolicy Unrestricted

    Get-WindowsAutopilotinfo -outputfile c:¥temp¥autopilot.csv

14. #jpemsug 展開用プロファイル作成 14

15. #jpemsug 展開用プロファイル作成 15

16. #jpemsug 展開用プロファイル割当 16

17. #jpemsug ポリシー設定 17

18. 18 失 敗 談

19. #jpemsug 失敗談1 TPM1.2マシンだった・・・ 19

20. #jpemsug 失敗談2 Microsoft Business ストア側を利用してデバイス登録をしていた 20

21. #jpemsug 失敗談2 Microsoft Business ストア側を利用してデバイス登録をしていた 21

22. #jpemsug 失敗談2 AzureADデバイスとして表示されてこないため、AutopilotからIntuneへの登録でとまる 22

23. #jpemsug 失敗談2 AzureADデバイスに表示されていないとエラーとなるみたい 23

24. #jpemsug ちょっと気になる事 別テナントにもAutopilot用のCSVが登録できるっぽい そして後勝ちのようです 24

25. #jpemsug ストアアプリ配信 ビジネス向けMicrosoft Storeと同期しアプリを配布 25 詳しくは本日主催者の関谷さんのブログに詳しくまとまってます(笑) https://techlife.tokyo/store_for_business_intune_storeapp-1572.html

26. #jpemsug アプリ配信 MSIを利用した場合は基幹業務アプリを選択し追加 26

27. #jpemsug iPhone編 27

28. #jpemsug iPhone自動セットアップ概要 デバイス セットアップ デバイス購入 企業と デバイス紐づけ MDM設定 デバイスを強制的にMDM管理下へ登録 初期化した場合でも設定されている限り強制的にMDM管理下へ登録される

    28

29. #jpemsug 準備するもの(iPhone編 DEP + VPP有) 1. D-U-N-S番号(日本の場合は東京商工リサーチで検索・取得) 2. Apple Business

    Manager用アカウント このアカウントを取得するのがとてもめんどくさい 担当者確認と上長確認が入る DEP利用もキャリアに申込書提出が必要 3. Intune + AzureAD(おとなしく(ry ） 4. iPhone(当たり前) 29

30. #jpemsug 実際どんな感じなのか見てみよう 30

31. #jpemsug DEPの場合のちょっと注意 31 DEP利用でセットアップした場合社名が表示されてしまいます 先ほどの動画内にもありましたが、紛失しiTunes接続で初期化されてし まった場合、リモートマネージメントの設定の画面で社名が表示されて しまうため、どこの会社の端末かを特定されてしまいます。 気にする人は気にすると思うので注意しましょう

32. #jpemsug D-U-N-S番号検索・取得 32 東京商工リサーチのページで検索して申請する(EMS関係ない（笑）) https://duns-number-jp.dnb.com/search/jpn/login.asp

33. #jpemsug DEPって何？(iPhone自動セットアップ) Device Enrollment Programの略 Device Enrollment を利用すれば、モバイルデバイス管理 (MDM) への登録を自動化し、

    デバイスの初期設定を簡単に済ませることができます。 デバイスのアクティベーション中に本体に触れることなく監視し、継続管理のため MDM への登録を強制することができます。 D E P な し D E P あ り 管理者 管理者 利用者 利用者 開封から設定まで完了し後にユーザに配布する必要がある DEPに紐づけた後すぐ利用者に配布も可能 33

34. #jpemsug VPPって何？(iPhone自動セットアップ) VPPを利用するにはオプションが必要なことが多いですがIntuneは標準で対応しています 大体月額＋100円/台が多い印象 Volume Purchase Programの略 App やブックを一括購入後、MDM ソリューション経由で

    iOS 7 以降または OS X 10.9 以降を利用する各ユーザに割り当て ることができます。ユーザは、割り当てられた App を所有するすべてのデバイス上で利用できます。 ユーザが App を必要としなくなった場合、またはユーザが所属する組織を離れた場合は、同じ App を他のユーザに再割り 当てすることが可能です。 • 組織でライセンスを一括管理できるよ • 有料アプリも組織に紐づけられるよ(立替購入とかいらなくなる) • Apple IDを端末に入力しなくてもアプリインストールができるよ (監視モードの場合） 34

35. #jpemsug Intuneとの紐づけ 35

36. #jpemsug Intuneとの紐づけ 36

37. #jpemsug Intuneとの紐づけ 37 公開キーをダウンロードし保存しておきます

38. #jpemsug Apple Business Manager 38

39. #jpemsug Intuneとの紐づけ 39

40. #jpemsug Intuneとの紐づけ 40 保存した公開キーをアップロードしMDMサーバを追加します 登録が完了したらトークンをダウンロードします

41. #jpemsug Intuneとの紐づけ 41 ダウンロードしたトークンをIntuneへアップロードし登録完了

42. #jpemsug Intuneとの紐づけ 42 Apple DEPサーバと同期しデバイス情報を取得します 少し時間がかかります

43. #jpemsug Intuneとの紐づけ 43 ようやくiOSセットアッププロファイルが作成できる画面へいけます 人によってはこのあたりからお馴染みの画面になっていきます パスコードと位置情報のみセットアップ時に表示させる ようにしています デバイス名も自動的に設定するようにすることができますが、 変数が少ないのでちょっと微妙・・・ 会社略称＋SERIAL

    とかはいいかもしれない 命名規則って迷いますよね。

44. #jpemsug デバイスグループの作成 Intuneからアプリ配布をするためにデバイスグループを作成する必要があります。 Intune管理画面から作成できます。 グループの種類はセキュリティを選択します。 動的デバイスにしない場合であればO365でも可 動的グループメンバーシップルール https://docs.microsoft.com/ja-jp/azure/active- directory/users-groups-roles/groups-dynamic-membership 44

45. #jpemsug デバイスグループの作成 条件にあったデバイスが表示される 少し表示されるまで時間かかります 45

46. #jpemsug VPPアプリ購入 46 組織として利用したアプリをApple Business Manger上から購入します 無料のアプリも入手しておきます 有料版も会社資産として管理できるので、VPPで管理するほうが管理しやすいです

47. #jpemsug アプリケーション配信 先ほど作成したグループに対して配信設定を実施していくことになりますが、 設定はアプリ一覧から行いますが、VPPを利用して配布したいためVPPトークンをIntuneへ登録し ます 47

48. #jpemsug アプリケーション配信 ダウンロードしたトークンをIntuneへ登録 48

49. #jpemsug アプリケーション配信 同期ボタンを押してしばらくするとアプリ一覧にVPPアプリが表示されます 49

50. #jpemsug アプリケーション配信 配信したいアプリ名をクリックし、割り当てからグループの追加をクリックします ここからはどのプラットフォームでも同様です 50 割り当ての種類を必須にしておくと自動でインストールされます ゼロタッチが近づいてきましたね！

51. #jpemsug アプリケーション配信 デバイスのインストール状態等でインストールされたかの結果がわかります 51

52. #jpemsug アプリケーション配信 概要画面で配信状況が確認できます 52

53. #jpemsug アプリケーション配信 アンインストールも同様 53

54. #jpemsug アプリケーションアンインストール 54 端末には何も表示されずにアンインストールされるため、 いきなりアプリとアプリ内のデータが削除されます

55. #jpemsug ポリシー定義 種類毎にポリシーを作成していかないといけ ないためちょっと面倒 Macで作成したconfigファイルインポート機 能はなさそう（あるようです） 55

56. #jpemsug 紛失モードへ移行させる 監視モードでセットアップした場合のみ紛失モードが利用できます 56

57. #jpemsug 位置情報 あれ？ここまでしかズームできない・・・ 57 注意 プライバシー上の理由から、マップでズームインできる 距離は、半径 300 メートルに制限されています。 https://docs.microsoft.com/ja-jp/intune/device-locate

58. #jpemsug Mac編 58

59. #jpemsug macOSの自動セットアップ 59 1. macのDEP登録マシンがなかった そのためアプリ配信と機能制限をテストしてみた。だけになっています。

60. #jpemsug macOSデバイスの登録 60 1. https://portal.manage.microsoft.com/ へアクセス 2. デバイスページから「新しいデバイスを追加します」をクリック 3. パッケージをダウンロードしてインストール

61. #jpemsug macOSデバイスの登録 61 1. ポータルサイトアプリを起動 2. サインインする

62. #jpemsug macOSデバイスの登録 62 なんかでてる

63. #jpemsug macOSデバイスの登録 63 システム環境設定からプロファイルを承認する必要がある

64. #jpemsug macOSデバイスの登録 64 プロファイルアイコンが増えてる

65. #jpemsug macOSデバイスの登録 65 承認ボタンをクリックする

66. #jpemsug macOSデバイスの登録 66 承認ボタンをクリックする

67. #jpemsug macOSデバイスの登録 67 intune側に表示される

68. #jpemsug macOSデバイス管理 68 シリアルやアプリ一覧も取得できる

69. #jpemsug macOSデバイス管理 69 さぁリモートロックと初期化を試してみよう！ インターネット接続がある場合はほとんどタイムラグ なくロック画面に強制的に切り替わります (試してたのが休日というのもあったかも・・・)

70. #jpemsug macOSデバイス管理 70 初期化してみよう！ PIN番号を一度しか入力しないので、打ち間違いを気づかないと悲惨・・・ 実際に一度やばかったことがあります・・・ 必ずスクリーンショットをとりましょう！

71. #jpemsug macOSデバイス管理 71 ほんとに何もない・・・ネットワークリカバリのみ可能状態

72. #jpemsug macOSデバイス管理 72 アプリ配信 Office 365配信(?)のみのようです

73. #jpemsug Andorid編 73

74. #jpemsug Android Enterpriseでゼロタッチを設定したかったけど・・・ 74 1. iPhoneのDEP同様にキャリア側で登録が必要 2. G Suiteアカウントは一般家庭なのである 3.

    EMMトークンの確認まではいけた 4. マネージドGoogle PlayアプリをIntune管理画面へ表示はできた 誤家庭テナントなので1が無理。そのため アプリ配信と機能制限をテストしてみた。だけになっています。

75. #jpemsug ポリシー設定 75 カメラ制限してみた。 iPhoneと同様プロファイル種類ごとに設定が必要

76. #jpemsug Androidにアプリを配信設定してみたけれど・・・ Android 7と9で検証 アプリ一覧にでてくれない・・・ アプリインストールに失敗する 76 配信手順はiPhoneと同様

77. #jpemsug Androidへアプリを配信設定してみたけれど・・・ 同期押してみた あっなんか通知きた！ Playストア開く インストールはできた インストールしようとしました しました？ 77

78. #jpemsug 失敗したこと(Android編) 78

79. #jpemsug Intuneでこんなことできるようになったらいいな 1. TeamViewer連携必要なくリモートセッション制御(Meraki MDMみたいに） 2. Jamf以外とも連携できるといいな(国産MDMとか) 3. 位置情報はもっとズームできるといいな 4.

    指定アプリがインストールされている端末検索クエリとかが書けるといい 5. 端末直指定でインストールとかアンインストールできるようにしてほしい 79

80. #jpemsug https://blog.intracker.net/ @ken_hikita hank ou! 80