Successfully reported this slideshow.
Your SlideShare is downloading. ×

第0回EMS勉強会登壇資料(EMS(Intune)で 色々なデバイスをセットアップしてみた)

Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Loading in …3
×

Check these out next

1 of 80 Ad
Advertisement

More Related Content

Similar to 第0回EMS勉強会登壇資料(EMS(Intune)で 色々なデバイスをセットアップしてみた) (20)

Advertisement

Recently uploaded (20)

第0回EMS勉強会登壇資料(EMS(Intune)で 色々なデバイスをセットアップしてみた)

  1. 1. #jpemsug EMS(Intune)で 色々なデバイスをセットアップしてみた hikky(@ken_hikita)
  2. 2. #jpemsug 自己紹介 hikky(@ken_hikita) 某会社の社内SEやってます(SIer経験も有) やってきたこと • オフコン・プリンタ保守、官公庁システムリプレイス、オフィス移転増床閉鎖、 NW構築、サーバ構築、ISMS、PMS、ASP SaaS認証、M&Aプロマネ、CRM/ERP導入 ヘルプデスク、コールセンター構築 今やってること • 人事労務勤怠給与経費精算システム導入、ERP導入 手動で給与計算できるようになった(笑) • Salesforce導入にも巻き込まれ中(炎上案件・・・) 好きなOffice 365サービス • OneDrive 保持免許 • 第一種大型自動車免許 • 第一種けん引自動車免許 ブログ:https://blog.intracker.net/ 3児の父(見えないって大体言われる) 2
  3. 3. #jpemsug 本題に行く前に・・・ 逸般的な誤家庭内の会話です すべて実話です。 嫁 誤家庭 3
  4. 4. #jpemsug 本題に行く前に・・・ 逸般的な誤家庭内の会話です すべて実話です。 嫁 自作PC組み立ててぇ~ えっ?この前メモリ16GB のノートPC買ったじゃん グラボ欲しい どこいく? ガジェットが並んでるところ 明日子供の卒園式だね GoPro首にかけとく 4
  5. 5. #jpemsug アジェンダ 1. Windows 10自動セットアップ(Windows Autopilot) 1. 自己展開モード 2. iPhone自動セットアップ(DEP + VPP + MDM) 3. Macデバイス管理 4. Androidアプリ配信(Android ) EMSを利用し始めてまだ2か月程度なので、おかしなところとかもあるかもしれません。 皆さんでディスカッションしながら進められたらと思いますのでよろしくです! しかも逸般的な誤家庭でしか使てません。 5
  6. 6. #jpemsug Windows編 6
  7. 7. #jpemsug Windows10自動セットアップ概要 デバイス セットアップ デバイス購入 組織と デバイス紐づけ プロファイル設定 デバイスを強制的にMDM管理下へ登録 初期化した場合でも設定されている限り強制的にMDM管理下へ登録される 自己展開モードを利用するとゼロタッチでWindows10のセットアップが完了します iPhoneのDEPと違い自身でデバイスと企業を紐づけることもできる 7
  8. 8. #jpemsug 準備するもの(Windows10 自己展開モード) 1. Windows 10 1809以上 2. TPM2.0を搭載したPC 3. Intune(MDM管理したい場合) + AzureAD(おとなしくEMSですね) 仮想環境はNGなので、検証がきつい・・・ 試してみたときの記事はこちら https://blog.intracker.net/archives/1859 8
  9. 9. #jpemsug 実際どんな感じなのか見てみよう(自己展開) 9
  10. 10. #jpemsug ユーザドリブンのとき 10
  11. 11. #jpemsug autopilotへのデバイス登録 11
  12. 12. #jpemsug autopilotへのデバイス登録 12
  13. 13. #jpemsug autopilotへのデバイス登録 13 登録用CSVの作り方 対象デバイス上で下記PowerShellコマンドを実行する Install-Script -Name Get-WindowsAutoPilotInfo Set-ExecuteionPolicy Unrestricted Get-WindowsAutopilotinfo -outputfile c:tempautopilot.csv
  14. 14. #jpemsug 展開用プロファイル作成 14
  15. 15. #jpemsug 展開用プロファイル作成 15
  16. 16. #jpemsug 展開用プロファイル割当 16
  17. 17. #jpemsug ポリシー設定 17
  18. 18. 18 失 敗 談
  19. 19. #jpemsug 失敗談1 TPM1.2マシンだった・・・ 19
  20. 20. #jpemsug 失敗談2 Microsoft Business ストア側を利用してデバイス登録をしていた 20
  21. 21. #jpemsug 失敗談2 Microsoft Business ストア側を利用してデバイス登録をしていた 21
  22. 22. #jpemsug 失敗談2 AzureADデバイスとして表示されてこないため、AutopilotからIntuneへの登録でとまる 22
  23. 23. #jpemsug 失敗談2 AzureADデバイスに表示されていないとエラーとなるみたい 23
  24. 24. #jpemsug ちょっと気になる事 別テナントにもAutopilot用のCSVが登録できるっぽい そして後勝ちのようです 24
  25. 25. #jpemsug ストアアプリ配信 ビジネス向けMicrosoft Storeと同期しアプリを配布 25 詳しくは本日主催者の関谷さんのブログに詳しくまとまってます(笑) https://techlife.tokyo/store_for_business_intune_storeapp-1572.html
  26. 26. #jpemsug アプリ配信 MSIを利用した場合は基幹業務アプリを選択し追加 26
  27. 27. #jpemsug iPhone編 27
  28. 28. #jpemsug iPhone自動セットアップ概要 デバイス セットアップ デバイス購入 企業と デバイス紐づけ MDM設定 デバイスを強制的にMDM管理下へ登録 初期化した場合でも設定されている限り強制的にMDM管理下へ登録される 28
  29. 29. #jpemsug 準備するもの(iPhone編 DEP + VPP有) 1. D-U-N-S番号(日本の場合は東京商工リサーチで検索・取得) 2. Apple Business Manager用アカウント このアカウントを取得するのがとてもめんどくさい 担当者確認と上長確認が入る DEP利用もキャリアに申込書提出が必要 3. Intune + AzureAD(おとなしく(ry ) 4. iPhone(当たり前) 29
  30. 30. #jpemsug 実際どんな感じなのか見てみよう 30
  31. 31. #jpemsug DEPの場合のちょっと注意 31 DEP利用でセットアップした場合社名が表示されてしまいます 先ほどの動画内にもありましたが、紛失しiTunes接続で初期化されてし まった場合、リモートマネージメントの設定の画面で社名が表示されて しまうため、どこの会社の端末かを特定されてしまいます。 気にする人は気にすると思うので注意しましょう
  32. 32. #jpemsug D-U-N-S番号検索・取得 32 東京商工リサーチのページで検索して申請する(EMS関係ない(笑)) https://duns-number-jp.dnb.com/search/jpn/login.asp
  33. 33. #jpemsug DEPって何?(iPhone自動セットアップ) Device Enrollment Programの略 Device Enrollment を利用すれば、モバイルデバイス管理 (MDM) への登録を自動化し、 デバイスの初期設定を簡単に済ませることができます。 デバイスのアクティベーション中に本体に触れることなく監視し、継続管理のため MDM への登録を強制することができます。 D E P な し D E P あ り 管理者 管理者 利用者 利用者 開封から設定まで完了し後にユーザに配布する必要がある DEPに紐づけた後すぐ利用者に配布も可能 33
  34. 34. #jpemsug VPPって何?(iPhone自動セットアップ) VPPを利用するにはオプションが必要なことが多いですがIntuneは標準で対応しています 大体月額+100円/台が多い印象 Volume Purchase Programの略 App やブックを一括購入後、MDM ソリューション経由で iOS 7 以降または OS X 10.9 以降を利用する各ユーザに割り当て ることができます。ユーザは、割り当てられた App を所有するすべてのデバイス上で利用できます。 ユーザが App を必要としなくなった場合、またはユーザが所属する組織を離れた場合は、同じ App を他のユーザに再割り 当てすることが可能です。 • 組織でライセンスを一括管理できるよ • 有料アプリも組織に紐づけられるよ(立替購入とかいらなくなる) • Apple IDを端末に入力しなくてもアプリインストールができるよ (監視モードの場合) 34
  35. 35. #jpemsug Intuneとの紐づけ 35
  36. 36. #jpemsug Intuneとの紐づけ 36
  37. 37. #jpemsug Intuneとの紐づけ 37 公開キーをダウンロードし保存しておきます
  38. 38. #jpemsug Apple Business Manager 38
  39. 39. #jpemsug Intuneとの紐づけ 39
  40. 40. #jpemsug Intuneとの紐づけ 40 保存した公開キーをアップロードしMDMサーバを追加します 登録が完了したらトークンをダウンロードします
  41. 41. #jpemsug Intuneとの紐づけ 41 ダウンロードしたトークンをIntuneへアップロードし登録完了
  42. 42. #jpemsug Intuneとの紐づけ 42 Apple DEPサーバと同期しデバイス情報を取得します 少し時間がかかります
  43. 43. #jpemsug Intuneとの紐づけ 43 ようやくiOSセットアッププロファイルが作成できる画面へいけます 人によってはこのあたりからお馴染みの画面になっていきます パスコードと位置情報のみセットアップ時に表示させる ようにしています デバイス名も自動的に設定するようにすることができますが、 変数が少ないのでちょっと微妙・・・ 会社略称+SERIAL とかはいいかもしれない 命名規則って迷いますよね。
  44. 44. #jpemsug デバイスグループの作成 Intuneからアプリ配布をするためにデバイスグループを作成する必要があります。 Intune管理画面から作成できます。 グループの種類はセキュリティを選択します。 動的デバイスにしない場合であればO365でも可 動的グループメンバーシップルール https://docs.microsoft.com/ja-jp/azure/active- directory/users-groups-roles/groups-dynamic-membership 44
  45. 45. #jpemsug デバイスグループの作成 条件にあったデバイスが表示される 少し表示されるまで時間かかります 45
  46. 46. #jpemsug VPPアプリ購入 46 組織として利用したアプリをApple Business Manger上から購入します 無料のアプリも入手しておきます 有料版も会社資産として管理できるので、VPPで管理するほうが管理しやすいです
  47. 47. #jpemsug アプリケーション配信 先ほど作成したグループに対して配信設定を実施していくことになりますが、 設定はアプリ一覧から行いますが、VPPを利用して配布したいためVPPトークンをIntuneへ登録し ます 47
  48. 48. #jpemsug アプリケーション配信 ダウンロードしたトークンをIntuneへ登録 48
  49. 49. #jpemsug アプリケーション配信 同期ボタンを押してしばらくするとアプリ一覧にVPPアプリが表示されます 49
  50. 50. #jpemsug アプリケーション配信 配信したいアプリ名をクリックし、割り当てからグループの追加をクリックします ここからはどのプラットフォームでも同様です 50 割り当ての種類を必須にしておくと自動でインストールされます ゼロタッチが近づいてきましたね!
  51. 51. #jpemsug アプリケーション配信 デバイスのインストール状態等でインストールされたかの結果がわかります 51
  52. 52. #jpemsug アプリケーション配信 概要画面で配信状況が確認できます 52
  53. 53. #jpemsug アプリケーション配信 アンインストールも同様 53
  54. 54. #jpemsug アプリケーションアンインストール 54 端末には何も表示されずにアンインストールされるため、 いきなりアプリとアプリ内のデータが削除されます
  55. 55. #jpemsug ポリシー定義 種類毎にポリシーを作成していかないといけ ないためちょっと面倒 Macで作成したconfigファイルインポート機 能はなさそう(あるようです) 55
  56. 56. #jpemsug 紛失モードへ移行させる 監視モードでセットアップした場合のみ紛失モードが利用できます 56
  57. 57. #jpemsug 位置情報 あれ?ここまでしかズームできない・・・ 57 注意 プライバシー上の理由から、マップでズームインできる 距離は、半径 300 メートルに制限されています。 https://docs.microsoft.com/ja-jp/intune/device-locate
  58. 58. #jpemsug Mac編 58
  59. 59. #jpemsug macOSの自動セットアップ 59 1. macのDEP登録マシンがなかった そのためアプリ配信と機能制限をテストしてみた。だけになっています。
  60. 60. #jpemsug macOSデバイスの登録 60 1. https://portal.manage.microsoft.com/ へアクセス 2. デバイスページから「新しいデバイスを追加します」をクリック 3. パッケージをダウンロードしてインストール
  61. 61. #jpemsug macOSデバイスの登録 61 1. ポータルサイトアプリを起動 2. サインインする
  62. 62. #jpemsug macOSデバイスの登録 62 なんかでてる
  63. 63. #jpemsug macOSデバイスの登録 63 システム環境設定からプロファイルを承認する必要がある
  64. 64. #jpemsug macOSデバイスの登録 64 プロファイルアイコンが増えてる
  65. 65. #jpemsug macOSデバイスの登録 65 承認ボタンをクリックする
  66. 66. #jpemsug macOSデバイスの登録 66 承認ボタンをクリックする
  67. 67. #jpemsug macOSデバイスの登録 67 intune側に表示される
  68. 68. #jpemsug macOSデバイス管理 68 シリアルやアプリ一覧も取得できる
  69. 69. #jpemsug macOSデバイス管理 69 さぁリモートロックと初期化を試してみよう! インターネット接続がある場合はほとんどタイムラグ なくロック画面に強制的に切り替わります (試してたのが休日というのもあったかも・・・)
  70. 70. #jpemsug macOSデバイス管理 70 初期化してみよう! PIN番号を一度しか入力しないので、打ち間違いを気づかないと悲惨・・・ 実際に一度やばかったことがあります・・・ 必ずスクリーンショットをとりましょう!
  71. 71. #jpemsug macOSデバイス管理 71 ほんとに何もない・・・ネットワークリカバリのみ可能状態
  72. 72. #jpemsug macOSデバイス管理 72 アプリ配信 Office 365配信(?)のみのようです
  73. 73. #jpemsug Andorid編 73
  74. 74. #jpemsug Android Enterpriseでゼロタッチを設定したかったけど・・・ 74 1. iPhoneのDEP同様にキャリア側で登録が必要 2. G Suiteアカウントは一般家庭なのである 3. EMMトークンの確認まではいけた 4. マネージドGoogle PlayアプリをIntune管理画面へ表示はできた 誤家庭テナントなので1が無理。そのため アプリ配信と機能制限をテストしてみた。だけになっています。
  75. 75. #jpemsug ポリシー設定 75 カメラ制限してみた。 iPhoneと同様プロファイル種類ごとに設定が必要
  76. 76. #jpemsug Androidにアプリを配信設定してみたけれど・・・ Android 7と9で検証 アプリ一覧にでてくれない・・・ アプリインストールに失敗する 76 配信手順はiPhoneと同様
  77. 77. #jpemsug Androidへアプリを配信設定してみたけれど・・・ 同期押してみた あっなんか通知きた! Playストア開く インストールはできた インストールしようとしました しました? 77
  78. 78. #jpemsug 失敗したこと(Android編) 78
  79. 79. #jpemsug Intuneでこんなことできるようになったらいいな 1. TeamViewer連携必要なくリモートセッション制御(Meraki MDMみたいに) 2. Jamf以外とも連携できるといいな(国産MDMとか) 3. 位置情報はもっとズームできるといいな 4. 指定アプリがインストールされている端末検索クエリとかが書けるといい 5. 端末直指定でインストールとかアンインストールできるようにしてほしい 79
  80. 80. #jpemsug https://blog.intracker.net/ @ken_hikita hank ou! 80

Editor's Notes

  • 自己紹介さらっとしゃべる
    1分
    コーポレートエンジニアと名乗ろうかと思ってます
  • 4分経過くらい

    明日は母の日なんですが、帰りに秋葉によって何か買おうかと思うのですが何がいいですかね?
  • EMS関係なくね?ってスライドが続きますが、ご勘弁を

    ページ数が80ページ近くになってしまったため皆さんが興味あるところをやっていきたいと思います。
    どこに興味がありますか?
  • WindowsとMacはデザインアイディアでちゃんとこうなる
  • ブログにすべて書いてありますので、今すぐアクセス!
  • ここが終わって20分程度経過
    YouTubeなのは2倍速再生が可能だからw

    家庭でしか利用していないので、背景が一般的なご家庭ですね
    子供の服が写ってます(笑)
  • グループ作成方法はiPhone編の最後で!
  • GPO並とはいかないが色々設定できる

    まだ枠が四角い時代の管理画面のときにスクリーンショットを取得していますね
  • 自動展開を利用するにはTPM2.0が必要だった
    ユーザードリブンではTPM1.2でも問題ないので、しばらく気づかなかったという・・・
  • Intuneを利用していなくても、OOBEのスキップ等には利用できる
  • ここには普通に登録されるので、これでいけると思っていた
    どこかの参考サイトにこっちのやり方がのってたのかな

    せきやさんの説明にもありましたがAzureADに登録されていないと失敗します
  • 人のブログに丸投げするスタイルもいいんじゃないかと思いまして・・・
  • このあたりはGPOと大差ないのでわかりやすいですね
  • iPhone編が一番使われるだろうということで、資料多めです(笑)
    ハンズオンっぽくなってしまったので、すでにご存じの方は暇つぶししててください

    デザインアイディアさんWindowsのときだけあのアイコンを勝手に提案してきます
  • asp・・・
  • Apple Configurator等を利用してやっていったりする必要がある
    機能制限でないとできない項目もあるので、弊社は初期セットアップ完了後に配布しています
  • 先ほどの動画では位置情報しか聞かれませんでしたが、どこまでをセットアップ時に表示させるのかを
    セットアッププロファイルで指定していきます。
  • LanScopeAnよりかははるかにマシ
  • これじゃわからなくね?と思って調べてみたら、プライバシー上の理由から詳細ズームは制限されているようです。
    盗難の場合はどうなのこれってなりそうです・・・
  • iOSのプロファイルインストール時とやることは同じ感じですね
  • ご家庭なので端末少ないですね
  • IntuneのみだとMacOS管理機能は弱いのでJamfProとの連携をさせるといいと思います。
    JamfProを私は使ったことがありませんが、MacFanにもでてくるツールなので、
    きっとすごいんでしょうと思ってます(笑)
  • マネージドGooglePlay設定をするのにG Suiteアカウントを利用しようとしたら怒られた

×