こんにちは
少しずつブログの書き方を覚え始めました!とともに継続して書くのって結構大変なんだなあと実感しています。
僕も頑張って書いていきたいなあって漠然と思っています。
WindowsのActiveDirectory(AD)でグループポリシー(GPO)を利用し、クライアント端末の設定している方って結構多いんじゃないかと思うんですよね!
結構いろいろな設定ができる上にスクリプトも実行させられるのでいっぱい設定してます!なんてパターンもあると思うんです。
先日AzureADのウェビナーに参加したところ、オンプレのADからの脱却を検討していく必要があるよ!と聞きました。
そんな時に検討する項目の一つとしてGPOをどのように移行していくの?というのがあるのではないかと思います。
実際オンプレのADから脱却するとなるとAzureADにデバイスを参加させる必要があるかと思います。
※このあたりのデバイスの管理形態のお話はぜひAzureADのウェビナーをご覧いただきたいです!分かりやすいのと時間も短め!最高だな・・・・
https://github.com/yusukekodama/PMActivities/blob/master/Webinar/Schedule.md
その上でクライアント端末の設定を制御するのはIntuneのプロファイル設定を利用することになるかと思います。
ただし!!!!ウェビナーでMicrosoftの方もおっしゃられてました
「オンプレのGPOをそのまま全部移行しようと思っても難しい!」
と!
デバイスを管理していくにあたり考え方を変えていく必要があるよ
とのことでした。
まあ。。。。とはいえ実際今使っているGPOをどうやって見直すんや・・・・
ってなりますよね!笑
2020/9時点にてIntune内にプレビュー機能として「グループポリシー分析」っていうものがあります。
これを利用するとオンプレのADのGPOをIntuneに移行できるかどうかを比較してくれるらしい!!!神か!
ってことで今回は
「Intuneのグループポリシー分析を利用してADのGPOを移行できるかどうか」
について書いてみたいと思います。
- 用意するもの
- Intuneを操作可能なライセンス←今回はMicrosoft365E3を利用
- 分析したいGPOを設定しているADサーバー
- 実施方法
まずADサーバ-にログオンします。
グループポリシーの管理をクリックして起動します。
今回はClientPolicyっていうGPOを分析してみます。
ちなみに設定しているGPOはこんな感じです。
WSUS系の設定やコントロールパネル系の設定を適当にいれてます。
まずこのGPOをバックアップします。
対象のGPOを右クリックして、「バックアップ」をクリックします。
今回はデスクトップ上のGPOというフォルダにバックアップを取得するのでそのフォルダを指定して、「バックアップ」をクリックします。
「成功しました」と表示されたらOKをクリックします。
するとバックアップしたフォルダに以下のファイルが作成されています。
「gpreport.xml」
このファイルをIntuneの管理センターからアップロードして分析していきます。
Microosft365管理センターより「エンドポイントマネージャー」をクリックします。
デバイスをクリックします。
「グループポリシー分析」をクリックします。
「インポート」をクリックします。
赤枠のボタンをクリックして、先ほど取得した「gpreport.xml」を選択します。
しばらくすると上部に「インポートが完了しました」と表示されます。
結果が表示されます。
え。。。。。MDMサポートは2%??
ほぼ移行できへんやないか~い!ってなりました!笑
一応どんな内容なのかを確認します。
2%の部分をクリックします。
一覧で設定内容が見られました!
設定可能なのはまさかの1つ!!笑
いや1つでもあってよかった・・・・・
赤字あたりをクリックして横にスライドさせて、枠をひろげてみました。
リモートデスクトップ系の設定はできるようですね!!
ということで、Intuneのプロファイルを作成して設定してみます。
- Intuneのプロファイル作成
管理センターよりデバイスをクリックした後、「構成プロファイル」をクリックします。
プロファイルの作成をクリックし、プラットフォームで「Windows10以降」をクリックします。
プロファイルは「管理テンプレート」をクリックし、作成をクリックします。
名前を入力し、次へをクリックします。
今回はtestというプロファイル名です。
赤字①の方でGPOの設定時と同様に対象の設定箇所まで選択していきます。
今回は「コンピューターの構成」-「Windowsコンポーネント」-「リモートデスクトップサービス」-「リモートデスクトップセッションホスト」-「接続」なので
そこを表示しています。
赤字②に設定箇所が表示されるのでダブルクリックします。
赤枠内で「有効」を選択し、OKをクリックします。
そのまま次へをクリックします。
今回割り当て先はすべてのユーザーにしました。
選択して次へをクリックします。
作成をクリックします。
以上でプロファイルの作成は完了です。
- まとめ
グループポリシー分析は気になっていたので試してみれてよかったなあ!と思う一方で2%しか移行できないことにびっくりしました!笑
まあ上記紹介ウェビナー内でもそのままは移行できないよって言ってたのでその通りではありましたが。。。。笑
考え方を変えて移行していかないといけないんだなって理解できました!
- 最後に!
Twitterでも情報発信したいと思いますので、興味があったらフォローしてください!