GroupPolicyとIntune管理テンプレートコンピュータの構成編その1
目次
はじめに
Microsoft365のEnterpriseライセンスにはAzure ADとIntuneがついてきます。ここ最近ちょこちょこ話を聞くようになったのがActive Directoryを廃止して「Azure AD + Intune」で管理できないかというお話です。Active Directoryでは認証、ユーザやグループの管理の他にPCの設定を管理するグループポリシーの機能が搭載されています。今回の記事ではこのグループポリシーにフォーカスを当てて移行の実現性を確認していきたいと思います。
前提条件
Intuneで管理可能なデバイスはPCおよびモバイルデバイス(スマートフォン、タブレット)がありますが、本記事で対象とするのはPCのみとします。どうしても数が膨大になることが予想されますので記事を分けて記載させていただきます。グループポリシーのADMXファイルは2021年12月10日時点で最新の物を利用しています。
Active Directoryのグループポリシーにある[Windowsの設定]-[セキュリティ設定]の部分はAzure ADでの対応となる箇所のため本記事では除外させていただきます。Intune側は[構成プロファイル]-[管理用テンプレート]をベースにActive Directoryのグループポリシーとの差異を確認します。
Microsoft Office2016(マシン)
[グローバルオプション]-[ユーザ設定]
項目 | グループポリシー | Intune |
---|---|---|
Officeの既定テーマ | ○ | ○ |
[セキュリティ]
項目 | グループポリシー | Intune |
---|---|---|
IEのセキュリティ(フォルダ) | ○ | ○ |
パッケージの修復を無効にする | ○ | ○ |
パスワードのキャッシュを無効にする | ○ | ○ |
OfficeアプリケーションのVBAを無効にする | ○ | ○ |
グラフィックフィルターのインポート | ○ | ○ |
[セキュリティ] -[IEのセキュリティ]
項目 | グループポリシー | Intune |
---|---|---|
アドオンの管理 | ○ | ○ |
オブジェクトにバインドする | ○ | ○ |
ポップアップをブロックする | ○ | ○ |
一貫性のあるMIME処理 | ○ | ○ |
ユーザ名とパスワードを無効にする | ○ | ○ |
情報バー | ○ | ○ |
ローカルコンピューターゾーンのロックダウンセキュリティ | ○ | ○ |
MIMEスニッフィングの安全機能 | ○ | ○ |
URLへの移動 | ○ | ○ |
オブジェクトキャッシュ保護 | ○ | ○ |
ゾーン昇格からの保護 | ○ | ○ |
ActiveXのインストールを制限する | ○ | ○ |
ファイルのダウンロードを制限する | ○ | ○ |
URLからの保存 | ○ | ○ |
スクリプト化されたウインドウのセキュリティ制限 | ○ | ○ |
[その他]
項目 | グループポリシー | Intune |
---|---|---|
n日を経過したドキュメントを削除にする | ○ | ○ |
ドキュメント検査が実行されないようにする | ○ | ○ |
ローカルにキャッシュされたサーバドキュメントのコピーバージョンのうち、n日経過したものを削除します | ○ | ○ |
ファイルプレビューアー | ○ | ○ |
Officeドキュメントキャッシュの最大サイズを設定する | ○ | ○ |
Officeクライアントアプリケーションで直接開く | ○ | ○ |
[チャネルの更新]オプションを表示して、ユーザが更新チャネルを選択できるようにします | ○ | ○ |
[ボリュームライセンス認証]
項目 | グループポリシー | Intune |
---|---|---|
トークンによるライセンス認証のダイアログが閉じないようにする | ○ | ○ |
トークンによるライセンス認証のみを使用する | ○ | ○ |
[ライセンスの設定]
項目 | グループポリシー | Intune |
---|---|---|
Microsoft365 Apps for Enterpriseのデバイスベースのライセンスを使用する | ○ | ○ ※1 |
WindowsストアからOfficeのEDU組織IDサインインを有効にする | ○ | ○ |
共有コンピュータのライセンス認証で使用されるライセンストークンを保存する場所を指定します | ○ | ○ |
共有コンピュータのライセンス認証を使用 | ○ | ○ |
閲覧者モードを使用する | ○ | ○ |
Office365 Pro Plusのオフライン仕様の延長を許可する | × | ○ |
※1 表示上Office365 ProPlusのデバイスベースのライセンスを使用する
[更新]
項目 | グループポリシー | Intune |
---|---|---|
Officeの更新プログラムのダウンロードとインストールを遅らせる | ○ | ○ |
自動更新を有効にする | ○ | ○ |
更新の有効/無効を切り替えるオプションを非表示にする | ○ | ○ |
更新通知の表示 | ○ | ○ |
Microsoft365 Apps for Enterpriseの管理 | ○ | ○ ※2 |
オンライン修復 | ○ | ○ |
BingでのMicrosft Searchのバックグランドサービスをインストールしない | ○ | ○ ※3 |
Microsoft TeamsをOfficeの新規インストール時または更新時に一緒にインストールしない | ○ | ○ |
BITSを優先する | ○ | ○ |
Officeが特定のバージョンに更新されないようにする | ○ | ○ |
チャネルの更新 | ○ | ○ ※4 |
チャネルの更新(1.0) | × | ○ |
更新期限 | ○ | ○ |
更新プログラムのパス | ○ | ○ |
ターゲットバージョン | ○ | ○ |
Office2019をMicrosoft365 Apps for Enterpriseにアップグレードする | ○ | ○ ※5 |
※2 表示上Office365クライアント管理
※3 表示上Bing を既定の検索エンジンに設定する Bing での Microsoft Search 用の拡張機能をインストールしない
※4 表示上チャネルの更新(2.0)
※5 表示上Office 2019 を Office 365 ProPlus にアップグレードする
Microsoft PowerPoint 2016(マシン)
[コンバーター]
項目 | グループポリシー | Intune |
---|---|---|
特定のファイル拡張子に対して外部コンバーターを既定としてオンにする | ○ | ○ |
Skype for Buisness 2016
[Microsoft Lync 機能のポリシー]
項目 | グループポリシー | Intune |
---|---|---|
サーバを指定する | ○ | ○ |
サポートされているその他のサーバーバージョン | ○ | ○ |
サインイン失敗ログの自動アップロードを無効にする | ○ | ○ |
SIP接続のHTTPフォールバックを無効にする | ○ | ○ |
ログイン資格情報を必要とする | ○ | ○ ※6 |
サーバのバージョンチェックを無効にする | ○ | ○ |
アドレス帳サービスファイルをダウンロードするためBITSの使用を有効にする | ○ | ○ |
セキュリティモードを構成する | ○ | ○ |
グローバルアドレス帳のダウンロード開始遅延 | ○ | ○ |
Microsoft Lyncの実行を防止する | ○ | ○ |
ユーザのパスワードの保存を許可する | ○ | ○ |
SIPの圧縮モードを構成する | ○ | ○ |
信頼されたドメインの一覧 | ○ | ○ |
※6 表示上ログオン資格情報を必要とする
まとめ
全部で何回になるのかぞっとしますが、長くなりすぎると情報取得効率が下がってしまいますので今回の記事では「Microsoft Office2016(マシン)」、「Microsoft PowerPoint2016(マシン)」、「Skype for Buisness2016」に絞ってご紹介しました。次の記事ではWindowsコンポーネントについて触れていきます。Microsoft Officeに関連するポリシーとしてはADのグループポリシーと遜色ないことがお判りいただけたと思います。
その2もあわせてご確認ください
それでは本記事が皆様のAzureAD+Intune移行の一助となりましたら幸いです。