EMS(Intune)で色々なデバイスをセットアップしてみた

Slide 1

Slide 1 text

#jpemsug EMS(Intune)で色々なデバイスをセットアップしてみた hikky(@ken_hikita)

Slide 2

Slide 2 text

#jpemsug 自己紹介 hikky(@ken_hikita) 某会社の社内SEやってます(SIer経験も有) やってきたこと • オフコン・プリンタ保守、官公庁システムリプレイス、オフィス移転増床閉鎖、 NW構築、サーバ構築、ISMS、PMS、ASP SaaS認証、M&Aプロマネ、CRM/ERP導入ヘルプデスク、コールセンター構築今やってること • 人事労務勤怠給与経費精算システム導入、ERP導入手動で給与計算できるようになった(笑) • Salesforce導入にも巻き込まれ中（炎上案件・・・）好きなOffice 365サービス • OneDrive 保持免許 • 第一種大型自動車免許 • 第一種けん引自動車免許ブログ：https://blog.intracker.net/ 3児の父（見えないって大体言われる） 2

Slide 3

Slide 3 text

#jpemsug 本題に行く前に・・・逸般的な誤家庭内の会話ですすべて実話です。嫁誤家庭 3

Slide 4

Slide 4 text

#jpemsug 本題に行く前に・・・逸般的な誤家庭内の会話ですすべて実話です。嫁自作PC組み立ててぇ～えっ？この前メモリ16GB のノートPC買ったじゃんグラボ欲しいどこいく？ガジェットが並んでるところ明日子供の卒園式だね GoPro首にかけとく 4

Slide 5

Slide 5 text

#jpemsug アジェンダ 1. Windows 10自動セットアップ(Windows Autopilot) 1. 自己展開モード 2. iPhone自動セットアップ(DEP + VPP + MDM) 3. Macデバイス管理 4. Androidアプリ配信(Android ) EMSを利用し始めてまだ２か月程度なので、おかしなところとかもあるかもしれません。皆さんでディスカッションしながら進められたらと思いますのでよろしくです！しかも逸般的な誤家庭でしか使てません。 5

Slide 6

Slide 6 text

#jpemsug Windows編 6

Slide 7

Slide 7 text

#jpemsug Windows10自動セットアップ概要デバイスセットアップデバイス購入組織とデバイス紐づけプロファイル設定デバイスを強制的にMDM管理下へ登録初期化した場合でも設定されている限り強制的にMDM管理下へ登録される自己展開モードを利用するとゼロタッチでWindows10のセットアップが完了します iPhoneのDEPと違い自身でデバイスと企業を紐づけることもできる 7

Slide 8

Slide 8 text

#jpemsug 準備するもの(Windows10 自己展開モード) 1. Windows 10 1809以上 2. TPM2.0を搭載したPC 3. Intune(MDM管理したい場合) + AzureAD(おとなしくEMSですね）仮想環境はNGなので、検証がきつい・・・試してみたときの記事はこちら https://blog.intracker.net/archives/1859 8

Slide 9

Slide 9 text

#jpemsug 実際どんな感じなのか見てみよう(自己展開) 9

Slide 10

Slide 10 text

#jpemsug ユーザドリブンのとき 10

Slide 11

Slide 11 text

#jpemsug autopilotへのデバイス登録 11

Slide 12

Slide 12 text

#jpemsug autopilotへのデバイス登録 12

Slide 13

Slide 13 text

#jpemsug autopilotへのデバイス登録 13 登録用CSVの作り方対象デバイス上で下記PowerShellコマンドを実行する Install-Script -Name Get-WindowsAutoPilotInfo Set-ExecuteionPolicy Unrestricted Get-WindowsAutopilotinfo -outputfile c:¥temp¥autopilot.csv

Slide 14

Slide 14 text

#jpemsug 展開用プロファイル作成 14

Slide 15

Slide 15 text

#jpemsug 展開用プロファイル作成 15

Slide 16

Slide 16 text

#jpemsug 展開用プロファイル割当 16

Slide 17

Slide 17 text

#jpemsug ポリシー設定 17

Slide 18

Slide 18 text

18 失敗談

Slide 19

Slide 19 text

#jpemsug 失敗談1 TPM1.2マシンだった・・・ 19

Slide 20

Slide 20 text

#jpemsug 失敗談2 Microsoft Business ストア側を利用してデバイス登録をしていた 20

Slide 21

Slide 21 text

#jpemsug 失敗談2 Microsoft Business ストア側を利用してデバイス登録をしていた 21

Slide 22

Slide 22 text

#jpemsug 失敗談2 AzureADデバイスとして表示されてこないため、AutopilotからIntuneへの登録でとまる 22

Slide 23

Slide 23 text

#jpemsug 失敗談2 AzureADデバイスに表示されていないとエラーとなるみたい 23

Slide 24

Slide 24 text

#jpemsug ちょっと気になる事別テナントにもAutopilot用のCSVが登録できるっぽいそして後勝ちのようです 24

Slide 25

Slide 25 text

#jpemsug ストアアプリ配信ビジネス向けMicrosoft Storeと同期しアプリを配布 25 詳しくは本日主催者の関谷さんのブログに詳しくまとまってます(笑) https://techlife.tokyo/store_for_business_intune_storeapp-1572.html

Slide 26

Slide 26 text

#jpemsug アプリ配信 MSIを利用した場合は基幹業務アプリを選択し追加 26

Slide 27

Slide 27 text

#jpemsug iPhone編 27

Slide 28

Slide 28 text

#jpemsug iPhone自動セットアップ概要デバイスセットアップデバイス購入企業とデバイス紐づけ MDM設定デバイスを強制的にMDM管理下へ登録初期化した場合でも設定されている限り強制的にMDM管理下へ登録される 28

Slide 29

Slide 29 text

#jpemsug 準備するもの(iPhone編 DEP + VPP有) 1. D-U-N-S番号(日本の場合は東京商工リサーチで検索・取得) 2. Apple Business Manager用アカウントこのアカウントを取得するのがとてもめんどくさい担当者確認と上長確認が入る DEP利用もキャリアに申込書提出が必要 3. Intune + AzureAD(おとなしく(ry ） 4. iPhone(当たり前) 29

Slide 30

Slide 30 text

#jpemsug 実際どんな感じなのか見てみよう 30

Slide 31

Slide 31 text

#jpemsug DEPの場合のちょっと注意 31 DEP利用でセットアップした場合社名が表示されてしまいます先ほどの動画内にもありましたが、紛失しiTunes接続で初期化されてしまった場合、リモートマネージメントの設定の画面で社名が表示されてしまうため、どこの会社の端末かを特定されてしまいます。気にする人は気にすると思うので注意しましょう

Slide 32

Slide 32 text

#jpemsug D-U-N-S番号検索・取得 32 東京商工リサーチのページで検索して申請する(EMS関係ない（笑）) https://duns-number-jp.dnb.com/search/jpn/login.asp

Slide 33

Slide 33 text

#jpemsug DEPって何？(iPhone自動セットアップ) Device Enrollment Programの略 Device Enrollment を利用すれば、モバイルデバイス管理 (MDM) への登録を自動化し、デバイスの初期設定を簡単に済ませることができます。デバイスのアクティベーション中に本体に触れることなく監視し、継続管理のため MDM への登録を強制することができます。 D E P なし D E P あり管理者管理者利用者利用者開封から設定まで完了し後にユーザに配布する必要がある DEPに紐づけた後すぐ利用者に配布も可能 33

Slide 34

Slide 34 text

#jpemsug VPPって何？(iPhone自動セットアップ) VPPを利用するにはオプションが必要なことが多いですがIntuneは標準で対応しています大体月額＋100円/台が多い印象 Volume Purchase Programの略 App やブックを一括購入後、MDM ソリューション経由で iOS 7 以降または OS X 10.9 以降を利用する各ユーザに割り当てることができます。ユーザは、割り当てられた App を所有するすべてのデバイス上で利用できます。ユーザが App を必要としなくなった場合、またはユーザが所属する組織を離れた場合は、同じ App を他のユーザに再割り当てすることが可能です。 • 組織でライセンスを一括管理できるよ • 有料アプリも組織に紐づけられるよ(立替購入とかいらなくなる) • Apple IDを端末に入力しなくてもアプリインストールができるよ (監視モードの場合） 34

Slide 35

Slide 35 text

#jpemsug Intuneとの紐づけ 35

Slide 36

Slide 36 text

#jpemsug Intuneとの紐づけ 36

Slide 37

Slide 37 text

#jpemsug Intuneとの紐づけ 37 公開キーをダウンロードし保存しておきます

Slide 38

Slide 38 text

#jpemsug Apple Business Manager 38

Slide 39

Slide 39 text

#jpemsug Intuneとの紐づけ 39

Slide 40

Slide 40 text

#jpemsug Intuneとの紐づけ 40 保存した公開キーをアップロードしMDMサーバを追加します登録が完了したらトークンをダウンロードします

Slide 41

Slide 41 text

#jpemsug Intuneとの紐づけ 41 ダウンロードしたトークンをIntuneへアップロードし登録完了

Slide 42

Slide 42 text

#jpemsug Intuneとの紐づけ 42 Apple DEPサーバと同期しデバイス情報を取得します少し時間がかかります

Slide 43

Slide 43 text

#jpemsug Intuneとの紐づけ 43 ようやくiOSセットアッププロファイルが作成できる画面へいけます人によってはこのあたりからお馴染みの画面になっていきますパスコードと位置情報のみセットアップ時に表示させるようにしていますデバイス名も自動的に設定するようにすることができますが、変数が少ないのでちょっと微妙・・・会社略称＋SERIAL とかはいいかもしれない命名規則って迷いますよね。

Slide 44

Slide 44 text

#jpemsug デバイスグループの作成 Intuneからアプリ配布をするためにデバイスグループを作成する必要があります。 Intune管理画面から作成できます。グループの種類はセキュリティを選択します。動的デバイスにしない場合であればO365でも可動的グループメンバーシップルール https://docs.microsoft.com/ja-jp/azure/active- directory/users-groups-roles/groups-dynamic-membership 44

Slide 45

Slide 45 text

#jpemsug デバイスグループの作成条件にあったデバイスが表示される少し表示されるまで時間かかります 45

Slide 46

Slide 46 text

#jpemsug VPPアプリ購入 46 組織として利用したアプリをApple Business Manger上から購入します無料のアプリも入手しておきます有料版も会社資産として管理できるので、VPPで管理するほうが管理しやすいです

Slide 47

Slide 47 text

#jpemsug アプリケーション配信先ほど作成したグループに対して配信設定を実施していくことになりますが、設定はアプリ一覧から行いますが、VPPを利用して配布したいためVPPトークンをIntuneへ登録します 47

Slide 48

Slide 48 text

#jpemsug アプリケーション配信ダウンロードしたトークンをIntuneへ登録 48

Slide 49

Slide 49 text

#jpemsug アプリケーション配信同期ボタンを押してしばらくするとアプリ一覧にVPPアプリが表示されます 49

Slide 50

Slide 50 text

#jpemsug アプリケーション配信配信したいアプリ名をクリックし、割り当てからグループの追加をクリックしますここからはどのプラットフォームでも同様です 50 割り当ての種類を必須にしておくと自動でインストールされますゼロタッチが近づいてきましたね！

Slide 51

Slide 51 text

#jpemsug アプリケーション配信デバイスのインストール状態等でインストールされたかの結果がわかります 51

Slide 52

Slide 52 text

#jpemsug アプリケーション配信概要画面で配信状況が確認できます 52

Slide 53

Slide 53 text

#jpemsug アプリケーション配信アンインストールも同様 53

Slide 54

Slide 54 text

#jpemsug アプリケーションアンインストール 54 端末には何も表示されずにアンインストールされるため、いきなりアプリとアプリ内のデータが削除されます

Slide 55

Slide 55 text

#jpemsug ポリシー定義種類毎にポリシーを作成していかないといけないためちょっと面倒 Macで作成したconfigファイルインポート機能はなさそう（あるようです） 55

Slide 56

Slide 56 text

#jpemsug 紛失モードへ移行させる監視モードでセットアップした場合のみ紛失モードが利用できます 56

Slide 57

Slide 57 text

#jpemsug 位置情報あれ？ここまでしかズームできない・・・ 57 注意プライバシー上の理由から、マップでズームインできる距離は、半径 300 メートルに制限されています。 https://docs.microsoft.com/ja-jp/intune/device-locate

Slide 58

Slide 58 text

#jpemsug Mac編 58

Slide 59

Slide 59 text

#jpemsug macOSの自動セットアップ 59 1. macのDEP登録マシンがなかったそのためアプリ配信と機能制限をテストしてみた。だけになっています。

Slide 60

Slide 60 text

#jpemsug macOSデバイスの登録 60 1. https://portal.manage.microsoft.com/ へアクセス 2. デバイスページから「新しいデバイスを追加します」をクリック 3. パッケージをダウンロードしてインストール

Slide 61

Slide 61 text

#jpemsug macOSデバイスの登録 61 1. ポータルサイトアプリを起動 2. サインインする

Slide 62

Slide 62 text

#jpemsug macOSデバイスの登録 62 なんかでてる

Slide 63

Slide 63 text

#jpemsug macOSデバイスの登録 63 システム環境設定からプロファイルを承認する必要がある

Slide 64

Slide 64 text

#jpemsug macOSデバイスの登録 64 プロファイルアイコンが増えてる

Slide 65

Slide 65 text

#jpemsug macOSデバイスの登録 65 承認ボタンをクリックする

Slide 66

Slide 66 text

#jpemsug macOSデバイスの登録 66 承認ボタンをクリックする

Slide 67

Slide 67 text

#jpemsug macOSデバイスの登録 67 intune側に表示される

Slide 68

Slide 68 text

#jpemsug macOSデバイス管理 68 シリアルやアプリ一覧も取得できる

Slide 69

Slide 69 text

#jpemsug macOSデバイス管理 69 さぁリモートロックと初期化を試してみよう！インターネット接続がある場合はほとんどタイムラグなくロック画面に強制的に切り替わります (試してたのが休日というのもあったかも・・・)

Slide 70

Slide 70 text

#jpemsug macOSデバイス管理 70 初期化してみよう！ PIN番号を一度しか入力しないので、打ち間違いを気づかないと悲惨・・・実際に一度やばかったことがあります・・・必ずスクリーンショットをとりましょう！

Slide 71

Slide 71 text

#jpemsug macOSデバイス管理 71 ほんとに何もない・・・ネットワークリカバリのみ可能状態

Slide 72

Slide 72 text

#jpemsug macOSデバイス管理 72 アプリ配信 Office 365配信(?)のみのようです

Slide 73

Slide 73 text

#jpemsug Andorid編 73

Slide 74

Slide 74 text

#jpemsug Android Enterpriseでゼロタッチを設定したかったけど・・・ 74 1. iPhoneのDEP同様にキャリア側で登録が必要 2. G Suiteアカウントは一般家庭なのである 3. EMMトークンの確認まではいけた 4. マネージドGoogle PlayアプリをIntune管理画面へ表示はできた誤家庭テナントなので1が無理。そのためアプリ配信と機能制限をテストしてみた。だけになっています。

Slide 75

Slide 75 text

#jpemsug ポリシー設定 75 カメラ制限してみた。 iPhoneと同様プロファイル種類ごとに設定が必要

Slide 76

Slide 76 text

#jpemsug Androidにアプリを配信設定してみたけれど・・・ Android 7と9で検証アプリ一覧にでてくれない・・・アプリインストールに失敗する 76 配信手順はiPhoneと同様

Slide 77

Slide 77 text

#jpemsug Androidへアプリを配信設定してみたけれど・・・同期押してみたあっなんか通知きた！ Playストア開くインストールはできたインストールしようとしましたしました？ 77

Slide 78

Slide 78 text

#jpemsug 失敗したこと(Android編) 78

Slide 79

Slide 79 text

#jpemsug Intuneでこんなことできるようになったらいいな 1. TeamViewer連携必要なくリモートセッション制御(Meraki MDMみたいに） 2. Jamf以外とも連携できるといいな(国産MDMとか) 3. 位置情報はもっとズームできるといいな 4. 指定アプリがインストールされている端末検索クエリとかが書けるといい 5. 端末直指定でインストールとかアンインストールできるようにしてほしい 79

Slide 80

Slide 80 text

#jpemsug https://blog.intracker.net/ @ken_hikita hank ou! 80