オンプレミス環境からAzureADへの移行してIntune管理をする方法

2022.09.05

AzureADへの移行のパターン

A オンプレミスAD参加からAzureAD参加へ移行
例)オンプレミスADを撤廃して完全にAzureADへ移行したいケース

B オンプレミスAD参加からHybridAzure参加へ移行
例)将来的にはオンプレミスADを撤廃したいが社内にオンプレミスADが必要なシステムがある為、時間をかけて完全にAzureADへ移行したいケース
例)社内にオンプレミスADが必要なシステムがある為、オンプレミスADは撤去できないがAzureADのメリットを利用したいケース

C ローカル管理からAzureAD参加へ移行
例)ユーザそれぞれが管理しているが一元管理する為にAzureADへ移行したいケース

現在の環境

今回は上記Cのパターンです。現在PCはオンプレミスAD管理ではなくローカル管理、メールはグーグル(GoogleWorkSpace)を利用している環境からPCはAzureADで認証し、Intune管理、メールはマイクロソフト(ExchangeOnline)の環境へ移行する方法を記載します。

ポイント

・AzureAD参加をするとデスクトップが新しくなるのでデータの移行
・今まで使っていたメールデータの移行
・業務に支障が出ない様にする

手順

手順1 AzureAD側での初期設定を行います。

・ユーザ情報のインポート

・各種プロファイルの作成

 *MDE(Defender for Endpoint)を利用している場合オンボード設定もします。

ユーザー情報のインポートをします。ユーザ数が多い場合はPowerShellを使いCSVをアップロードします。

1-2.

Connect-MsolService
Connect-AzureAD

Import-csc path 「csvpath」 | FortEach-Object {Set-MsolUserPassword -UserPrincipalName $_.UserPrincipalName -NewPassword $_.NewPassword -ForceChangePassword $False}
*初回ログイン時にパスワード変更を強制させる場合はTrue

1-3.デバイス制限プロファイルの作成と割り当てを実施します。
デバイス制限プロファイルの作成方法 

1-4.エンドポイントプロテクションのプロファイルの作成と割り当てを実施します。
エンドポイントプロテクションプロファイルを作成する方法

1-5.アプリのインストールを制限する

自由にアプリをインストールさせない方法 

1-6.ユーザがアプリをインストールしようとすると管理者の資格情報を求められます。
*パスワードではなく「確認」だけにすることも可能です。

手順2 自社ドメインでサインインできるようにします。 

PCをAzure参加させる事前準備として自社で管理しているDNSサーバにレコードを登録しaaaaa.co.jpの様な自社ドメインでサインインできるようにします。

Microsoft365管理センターで「ドメインの追加」を実施する中で下記の「IntuneとMicrosoft365のモバイルデバイス管理」のCNAMEレコードをDNSサーバへ追加します。

ホスト名 参照先のアドレスまたは値 TTL
enterpriseregistration enterpriseregistration.windows.net/ 3600
enterpriseenrollment enterpriseenrollment.manage.microsoft.com/ 3600


 

手順3 デスクトップ移行の事前準備をします。

 ・資格情報マネージャのエクスポート

 ・PC内にデータがある場合はNASやSharePointへ移動

 *ブラウザはサインインして利用しているので移行なし

 *証明書等の移行できないものやショートカット等は別途移行

資格情報マネージャをエクスポートします。

資格情報のエクスポート、インポートの方法 

手順4 社内PCでAzure参加をします。

4-1.

 ・ローカル管理者としてサインイン

 ・PC内にデータがある場合はNASやSharePointへ移動

 *あらかじめ多要素認証の登録、PIN、指紋認証等の認証方法は決めておくとスムーズに進みます。

4-2.AzureADに参加をします。

AzureADに参加させる方法

4-3.サインインをする際にMicrosoftAuthenticationアプリを利用します。
アプリでMFAを利用する

4-4.以前のデスクトップに簡単に切り替えたい場合はユーザーを表示させることも可能です。
サインイン可能なユーザの表示

手順5 GoogleworkspaceでExchangeとの同期の準備をします。

 ・管理センターでプロジェクト作成をします。

 ・管理センターでサブドメインを作成しDNSにレコード追加をします。

5-1.サービスアカウントから「プロジェクトを作成」をクリックします。

5-2.プロジェクト名を入力して「作成」をクリックします。

5-3.「プロジェクトを選択」をクリックします。

5-4.「サービスアカウントを作成」をクリックします。

5-5.サービスアカウント名、サービスアカウントの説明を入力して「作成して続行」をクリックします。

5-6.ロールを「オーナー」にして「完了」をクリックします。

5-7.三点リーダーをクリックします。

5-8.「鍵を管理」をクリックします。

5-9.「鍵を追加」を展開して「新しい鍵を作成」をクリックします。

 

5-10.「作成」をクリックします。

5-11.「閉じる」をクリックします。

 

5-12.一意のIDをコピーします。

 

5-13.管理コンソールを開いて「セキュリティ」をクリックします。

5-14.「APIの制御」をクリックします。

5-15.「ドメイン全体の委任を管理」をクリックします。

  

 

5-16.「新しく追加」をクリックします。

5-17.先程コピーしたクライアントIDと下記をOAuthスコープに入力します。

https://mail.google.com/,https://www.googleapis.com/auth/calendar
,https://www.google.com/m8/feeds/
,https://www.googleapis.com/auth/gmail.settings.sharin

「承認」をクリックします。

5-18.Google Cloudに戻って「APIとサービス」をクリックします。

 

5-19 .「APIとサービスの有効化」をクリックします。

 

 

5-20.検索欄に「Gmail」と入力し「Gmail api」を選択します。

5-21.「Gmail API」をクリックします。

5-22.「有効にする」をクリックしてこのAPIを有効にします。

5-23.同様に「Google calendar AIP」を表示します。

5-24.「有効にする」をクリックします。

5-25.「Google people AIP」を表示します。

5-26.  「有効にする」をクリックします。

5-27.「Google contacts AIP」を表示します。

5-28.「有効にする」をクリックします。

5-29.

5-30.

5-31.

 

5-32.

 

5-33.

 

手順6 GoogleworkspaceからExchangeOnlineへの移行バッチ作成をします

 ・同期バッチを使用しGoogleWorkSpaceとExchangeを同期します。

 ・Outlookの中に過去メール、連絡先等が同期されていることを確認します。

 ・DNSサーバにMXレコードを追加します。

 

同期バッチを使用しGoogleWorkSpaceとExchangeを同期します。

6-1.Microsoft365管理センターからドメインの追加をしていきます。
ドメイン名を入力して「このドメインを使用する」をクリックします。

6-2.「続行」をクリックします。

6-3.MXレコードを展開して、「ホスト名」「参照先のアドレスまたは値」「優先度」「TTL」をそれぞれ「コピーします。

6-4.CNAMEレコードを展開して「ホスト名」「参照先のアドレスまたは値」「TTL」をそれぞれコピーします。

6-5.TXTレコードを展開して「TXT名」「TXT値」「TTL」をそれぞれコピーします。

 

6-6.ドメインのセットアップが完了しました。

6-7.サブドメインが追加されたことを確認します。

6-8.「アクティブなユーザー」を開いてメールエイリアスを作成するユーザーを選択します。

6-9.「ユーザー名とメールアドレスの管理」をクリックします。

6-10.メールエイリアスを追加します。「変更の保存」をクリックします。

6-11.変更が保存されました。

6-12.Exchange管理センターに移動し移行バッチの作成をします。
「従来のExchange管理センター」をクリックしてください。

6-13.「移行」をクリックします。

6-14.+マークを展開して「ExchangeOnlineに移行」をクリックします。

6-15.「GoogleWorkspaceの移行」を選択して「次へ」をクリックします。

6-16.「ファイルを選択」をクリックします。

6-17.移行するメールボックスの一覧を含む CSV ファイルを作成し、選択をします。ファイルは次の形式に従う必要があります。

EmailAddress

takahashi@×××.co.jp

noguchi@×××.co.jp

6-18.メールアドレスを入力して「ファイルを選択」をクリックします。

6-19.ファイルを選択して「次へ」をクリックします。

6-20.ターゲットの配信ドメインを入力して「次へ」をクリックします。

6-21.推奨オプションを選択します。「後でバッチを手動で開始する」を選択します。
「新規作成」をクリックします。

6-22.「OK」をクリックします。

6-23.開始をクリックします。

6-24.「はい」をクリックします。

6-25.同期済みが11になりました。

6-26.同期済みが58になりました。

6-27.同期済みが120になりました。

6-28.Outlookに過去メール、連絡先等が同期されていることを確認します。
同期テストでメールをするとGoogleで受信したメールが24時間後にExchangeへ同期されるので同じメールがOutlookで確認できます。

 

6-29.DNSサーバにMXレコードを追加します。

レコード名ホスト名参照先のアドレスまたは値TTL
MXレコード@—————.mail.protection.outlook.com3600
CNAMEレコードautodiscoverautodiscover.outlook.com3600
TXTレコード@v=spf1 include:spf.protection.outlook.com -all3600