登録時間のグループ化を設定して、デバイス登録中にアプリとポリシーのプロビジョニングを高速化します。 登録時間のグループ化を使用すると、登録ポリシーにMicrosoft Entraセキュリティ グループを追加して、登録時ではなく、登録時にデバイスをグループに追加できます。 その後、必要なアプリとポリシー構成をグループに割り当てることができます。 登録後にデバイスがメンバーになるセキュリティ グループのこの事前認識により、Intuneは登録時にデバイスに構成をすばやく配信でき、登録後の待機時間が短縮され、生産性が向上します。
登録時間のグループ化を構成しない場合、登録済みデバイスはインベントリのプロパティとグループ タグ ID に基づいてグループ化されます。 次Microsoft Intune、グループ メンバーシップに基づいてアプリとポリシーを配信します。 Microsoft Intuneは、デバイスがグループ化された後にのみデバイスに必要なアプリとポリシーを決定できるため、この方法でグループ化されたデバイスは、すぐに使用する準備ができていないことがよくあります。 デバイスがすべてのアプリとポリシーを受信するには、登録後最大 8 時間かかることがあります。
この記事では、登録時間のグループ化の概要、構成方法、および機能の制限事項について説明します。
要件
デバイス プラットフォームの要件
登録時間のグループ化は、次のプラットフォームでサポートされています。
- Windows 11
- Android エンタープライズ
- tvOS
- visionOS
登録方法
登録時間のグループ化は、次の方法でプロビジョニングされたデバイスでサポートされます。
Android Enterprise の場合、登録時間のグループ化は次の登録ポリシーでサポートされています。
- 完全に管理されている Android Enterprise
- Android Enterprise の会社所有の仕事用プロファイル
- Android Enterprise 専用
ロールの要件
必要なアクセス許可は、構成するプラットフォームによって異なります。
- Windows Autopilot: Windows Autopilot デバイス準備ポリシーを作成および変更するためのアクセス許可と、 登録時間デバイス メンバーシップの割り当て アクセス許可 ( [登録プログラム] の下のカスタム ロールで使用できます)。
- tvOS と visionOS: tvOS および visionOS 登録ポリシーを作成および変更するためのアクセス許可、および 登録時間デバイス メンバーシップの割り当て アクセス許可 ( [登録プログラム] のカスタム ロールで使用できます)。
- Android Enterprise: Android Enterprise 登録ポリシーを作成および変更するためのアクセス許可と、 Android Enterprise の登録時間デバイス メンバーシップの割り当て ( Android Enterprise のカスタム ロールで使用できます)。
Intuneファースト パーティ アプリをセキュリティ グループの所有者として追加するには、Microsoft Entra グループ管理者 (または microsoft.directory/groups/owners/update アクセス許可を保持する) か、セキュリティ グループの既存の所有者である必要があります。
指定されたグループは、管理者が登録時間のグループ化構成で使用するためのスコープ グループとして構成する必要があります。
ヒント
カスタム ロールの作成の詳細については、「 ロールベースのアクセス制御」を参照してください。
手順 1: セキュリティ グループMicrosoft Entra作成する
登録ポリシーで使用する静的Microsoft Entraセキュリティ グループを作成します。 登録時間のグループ化を構成するには、Intuneプロビジョニング クライアントをセキュリティ グループの所有者として追加する必要があります。 現在、このグループにデバイスやユーザーを追加する必要はありません。
次の手順では、Microsoft Intune管理センターでセキュリティ グループを作成する方法について説明します。 Windows 11に固有の詳細と手順については、「Windows Autopilot - デバイス グループの作成」を参照してください。
登録ポリシーで登録時間のグループ化を構成した後、このセキュリティ グループに戻ってデバイスを追加および削除できます。 適切なセキュリティ グループのアクセス許可を持つIntune管理者は、セキュリティ グループを編集できます。
Microsoft Intune 管理センターにサインインします。
[グループ] に移動します。
[ すべてのグループ] を選択し、[ 新しいグループ] を選択します。
開いた [新しいグループ ] 画面で、次の情報を入力します。
グループの種類: [セキュリティ] を選択します。
[グループ名]: デバイス グループの名前を入力します。 例: 共有インベントリ デバイス
グループの説明: デバイス グループの説明を入力します。
Microsoft Entraロールをグループに割り当てることができます。[いいえ] を選択します。
メンバーシップの種類: [ 割り当て済み] を選択します。
所有者: [ 所有者が選択されていない ] リンクを選択します。
開いた [所有者の追加] 画面で、Intuneプロビジョニング クライアントを所有者として追加します。
オブジェクトの一覧をスクロールし、f1346770-5b25-470b-88bd-d5744ab7952c の AppId を使用してプロビジョニング クライアントIntuneサービス プリンシパルを選択します。 または、検索バーを使用して、プロビジョニング クライアントIntune検索して選択します。
注:
一部のテナントでは、サービス プリンシパルの名前は、プロビジョニング クライアントではなく Autopilot ConfidentialClientIntune Intune場合があります。 サービス プリンシパルの AppID が f1346770-5b25-470b-88bd-d5744ab7952c である限り、正しいサービス プリンシパルです。
appId が f1346770-5b25-470b-88bd-d5744ab7952c の Autopilot ConfidentialClient サービス プリンシパルをIntune Intuneする場合は、オブジェクトの一覧または検索時に、「Intune プロビジョニング クライアント サービス プリンシパルの追加」を参照してください。
[選択] を選択します。
[ 作成] を 選択して、割り当てられたデバイス グループの作成を完了します。
手順 2: 登録ポリシーで登録時間のグループ化を構成する
登録時間のグループ化機能は、新しいデバイス登録にのみ適用されます。 既に登録されているデバイスには影響しません。
登録ポリシーごとに 1 つの静的Microsoft Entra セキュリティ グループを追加できます。 Intune管理者は、Intune ロールのスコープ グループで承認されているMicrosoft Entra グループのみを追加できます。 ポリシーの作成時に管理者がセキュリティ グループを表示できるように、 スコープ グループ とグループ タグが適切なロールに割り当てられていることを確認します。
Microsoft Intune管理センターで、[デバイス] に移動します。
[ デバイス オンボード] を展開し、[ 登録] を選択します。
構成する登録の種類を選択し、ポリシーを作成します。
Windows: Windows Autopilot デバイス準備ポリシーを作成する
仕事用プロファイルを使用した Android Enterprise: 仕事用プロファイルを使用して Android Enterprise 企業所有デバイスのIntune登録を設定する
Android Enterprise 専用: Android Enterprise 専用デバイスのIntune登録を設定する
Android Enterprise フル マネージド: Android Enterprise フル マネージド デバイスの登録を設定する
tvOS: tvOS の登録ポリシーを設定する
visionOS: 登録ポリシー visionOS を設定する
ヒント
登録時間のグループ化は、ステージング トークンではサポートされていません。 登録時間のグループ化で使用するポリシーを構成する場合は、企業所有のフル マネージド (既定) トークンまたは企業所有の仕事用プロファイル (既定) トークンを使用します。
ポリシーを保存したら、いつでもポリシーに戻ってグループ設定を編集できます。 グループ設定に対して行うUpdatesは、ポリシーに既に登録されているデバイスには適用されません。 グループからデバイスを削除する場合、Microsoft Intuneポリシー構成を再評価し、新しい構成を取得するためにデバイスを強制的にチェックします。
手順 3: デバイスを登録する
登録ポリシーが割り当てられたデバイスは、登録時にMicrosoft Entra セキュリティ グループのメンバーになり、アプリとポリシーの受信を開始します。 管理者またはエンド ユーザーがデバイスの初期セットアップを完了すると、デバイスのホーム画面に移動します。 この時点で、対象となるすべてのアプリとポリシーが既にデバイス上にあるか、インストール中である必要があります。
グループからデバイスを削除する場合、Microsoft Intuneポリシー構成を再評価し、新しい構成を取得するためにデバイスを強制的にチェックします。
Reporting
登録時間のグループ化のレポートにアクセスするには、 デバイス>Monitor>登録時間のグループ化の失敗に関するページを参照してください。 使用可能なレポートには、エラーのみが表示されます。 具体的には、これらのセットアップ プロセス中に特定の静的デバイス グループのメンバーになれなかったデバイスに関する情報を次に示します。
- Windows Autopilot の準備プロビジョニング
- 完全に管理されている Android Enterprise
- Android Enterprise 企業所有の仕事用プロファイルの登録
- Android Enterprise 専用登録
- Apple モバイル自動デバイス登録
最近更新された情報がレポートに表示されるまでに最大 20 分かかることがあります。 Microsoft.Intuneが必要です/ManagedDevices/レポートを表示するための RBAC の読み取りアクセス許可。
重要
このレポートは、登録ポリシーで構成されたセキュリティ グループに追加できないデバイスに関する認識を提供します。 登録中にグループに参加できないと、登録後に構成が変更されたり、デバイスから削除されたりする可能性があるため、必要な軽減アクションをすぐに実行できるようにレポートを継続的に監視することをお勧めします。 たとえば、通常のスケジュールでレポート データをスキャンするカスタム アプリを使用できます。 その後、レポートで新しいデバイスが見つかると、アプリによって通知が生成されます。
既知の問題と制限事項
登録時間のグループ化に関する既知の問題や制限はありません。
トラブルシューティング
予期しない動作が発生した場合は、次の情報をMicrosoft サポートに問い合わせてください。
- デバイスのシリアル番号。
- アプリ ログポータル サイト(該当する場合)、ログ ID。
- 発生したイベントとタイム ゾーンのおおよそのタイム スタンプ。
- Microsoft Intune管理センターまたはデバイスのスクリーンショット。
- デバイスでの動作の詳細な説明。