SEくぼたの事件簿

インフラSEとしての活動を記録していきます

Intuneのグループポリシー分析でADのGPOをどのくらいIntuneに移行できるか確認してみた

こんにちは

少しずつブログの書き方を覚え始めました!とともに継続して書くのって結構大変なんだなあと実感しています。

僕も頑張って書いていきたいなあって漠然と思っています。

 

WindowsのActiveDirectory(AD)でグループポリシー(GPO)を利用し、クライアント端末の設定している方って結構多いんじゃないかと思うんですよね!

結構いろいろな設定ができる上にスクリプトも実行させられるのでいっぱい設定してます!なんてパターンもあると思うんです。

先日AzureADのウェビナーに参加したところ、オンプレのADからの脱却を検討していく必要があるよ!と聞きました。

そんな時に検討する項目の一つとしてGPOをどのように移行していくの?というのがあるのではないかと思います。

実際オンプレのADから脱却するとなるとAzureADにデバイスを参加させる必要があるかと思います。

※このあたりのデバイスの管理形態のお話はぜひAzureADのウェビナーをご覧いただきたいです!分かりやすいのと時間も短め!最高だな・・・・

https://github.com/yusukekodama/PMActivities/blob/master/Webinar/Schedule.md

 

その上でクライアント端末の設定を制御するのはIntuneのプロファイル設定を利用することになるかと思います。

ただし!!!!ウェビナーでMicrosoftの方もおっしゃられてました

オンプレのGPOをそのまま全部移行しようと思っても難しい!

と!

バイスを管理していくにあたり考え方を変えていく必要があるよ

とのことでした。

 

まあ。。。。とはいえ実際今使っているGPOをどうやって見直すんや・・・・

ってなりますよね!笑

2020/9時点にてIntune内にプレビュー機能として「グループポリシー分析」っていうものがあります。

これを利用するとオンプレのADのGPOをIntuneに移行できるかどうかを比較してくれるらしい!!!神か!

ってことで今回は

Intuneのグループポリシー分析を利用してADのGPOを移行できるかどうか

について書いてみたいと思います。

 

  • 用意するもの
  1. Intuneを操作可能なライセンス←今回はMicrosoft365E3を利用
  2. 分析したいGPOを設定しているADサーバー
  • 実施方法

まずADサーバ-にログオンします。

f:id:KKubo19:20200915192728p:plain

グループポリシーの管理をクリックして起動します。

f:id:KKubo19:20200915192802p:plain

今回はClientPolicyっていうGPOを分析してみます。

ちなみに設定しているGPOはこんな感じです。

WSUS系の設定やコントロールパネル系の設定を適当にいれてます。

f:id:KKubo19:20200915192859p:plain

f:id:KKubo19:20200915193004p:plain

f:id:KKubo19:20200915193024p:plain

まずこのGPOをバックアップします。

対象のGPOを右クリックして、「バックアップ」をクリックします。

f:id:KKubo19:20200915193112p:plain

今回はデスクトップ上のGPOというフォルダにバックアップを取得するのでそのフォルダを指定して、「バックアップ」をクリックします。

f:id:KKubo19:20200915193149p:plain

「成功しました」と表示されたらOKをクリックします。

f:id:KKubo19:20200915193238p:plain

するとバックアップしたフォルダに以下のファイルが作成されています。

「gpreport.xml

f:id:KKubo19:20200915193357p:plain

f:id:KKubo19:20200915193418p:plain

このファイルをIntuneの管理センターからアップロードして分析していきます。

Microosft365管理センターより「エンドポイントマネージャー」をクリックします。

f:id:KKubo19:20200915193821p:plain

 

バイスをクリックします。

f:id:KKubo19:20200915194742p:plain

「グループポリシー分析」をクリックします。

f:id:KKubo19:20200915194814p:plain

「インポート」をクリックします。

f:id:KKubo19:20200915194843p:plain

赤枠のボタンをクリックして、先ほど取得した「gpreport.xml」を選択します。

しばらくすると上部に「インポートが完了しました」と表示されます。

f:id:KKubo19:20200915194912p:plain

結果が表示されます。

え。。。。。MDMサポートは2%??

ほぼ移行できへんやないか~い!ってなりました!笑

f:id:KKubo19:20200915194940p:plain

一応どんな内容なのかを確認します。

2%の部分をクリックします。

f:id:KKubo19:20200915195005p:plain

一覧で設定内容が見られました!

設定可能なのはまさかの1つ!!笑

いや1つでもあってよかった・・・・・

f:id:KKubo19:20200915195029p:plain

f:id:KKubo19:20200915195112p:plain

赤字あたりをクリックして横にスライドさせて、枠をひろげてみました。

リモートデスクトップ系の設定はできるようですね!!

f:id:KKubo19:20200915195228p:plain

ということで、Intuneのプロファイルを作成して設定してみます。

  • Intuneのプロファイル作成

管理センターよりデバイスをクリックした後、「構成プロファイル」をクリックします。

f:id:KKubo19:20200915195524p:plain

プロファイルの作成をクリックし、プラットフォームで「Windows10以降」をクリックします。

f:id:KKubo19:20200915195612p:plain

プロファイルは「管理テンプレート」をクリックし、作成をクリックします。

f:id:KKubo19:20200915195733p:plain

名前を入力し、次へをクリックします。

今回はtestというプロファイル名です。

f:id:KKubo19:20200915195825p:plain

赤字①の方でGPOの設定時と同様に対象の設定箇所まで選択していきます。

今回は「コンピューターの構成」-「Windowsコンポーネント」-「リモートデスクトップサービス」-「リモートデスクトップセッションホスト」-「接続」なので

そこを表示しています。

赤字②に設定箇所が表示されるのでダブルクリックします。

f:id:KKubo19:20200915200020p:plain

赤枠内で「有効」を選択し、OKをクリックします。

f:id:KKubo19:20200915200241p:plain

そのまま次へをクリックします。

f:id:KKubo19:20200915200332p:plain

今回割り当て先はすべてのユーザーにしました。

選択して次へをクリックします。

f:id:KKubo19:20200915200405p:plain

作成をクリックします。

f:id:KKubo19:20200915200452p:plain

以上でプロファイルの作成は完了です。

 

  • まとめ

グループポリシー分析は気になっていたので試してみれてよかったなあ!と思う一方で2%しか移行できないことにびっくりしました!笑

まあ上記紹介ウェビナー内でもそのままは移行できないよって言ってたのでその通りではありましたが。。。。笑

考え方を変えて移行していかないといけないんだなって理解できました!

  • 最後に!

Twitterでも情報発信したいと思いますので、興味があったらフォローしてください!