はじめに
Microsoft Intune (以下「Intune」) は、主に Microsoft Entra に接続されたデバイスを管理するためのクラウドベースのエンドポイント管理ツールです。
オンプレミス環境の Active Directory (以下「AD」) で使用されていた Group Policy Objects (以下「GPO」)を Intune に移行する方法について説明します。
本記事の対象読者
この記事は、以下の読者を対象にしています。
- クラウドの利用を検討している Active Directory の管理者
- Microsoft Entra ハイブリッド環境の管理者
AD で GPO の管理をしている方がクラウドネイティブな環境を構築するために Intune に GPO を移行するための考え方を記載しています。GPOを利用することがない Intune 利用者の方はあまり関係のない内容となります。
Microsoft Intune の概要
- Intune の主な役割: Intune では Microsoft Entra に接続されたデバイスの設定やセキュリティを管理することができます。MDM (Mobile Device Management) CSPポリシーを使用して、デバイスの設定を制御します。
- 設定カタログ: Intuneでは、デバイス構成プロファイルの設定カタログを使用して、デバイスやユーザーに適用する設定を簡単に管理できます。 ※GPO を移行すると設定カタログになるためここで紹介しています。
Group Policy の概要
- GPOの役割: GPO は AD環境でデバイスやユーザーの設定を管理するために使用されます。GPOは、ADMXファイルを使用して設定項目を定義します。主にセキュリティポリシーの一元管理/システム設定の標準化/アプリケーションソフトの自動インストールなどに利用されます。
- GPO と Intune の関係: GPO と Intuneの両方で同一の設定を定義する場合、デフォルトではGPOが優先されます。一部のポリシーは Intune が優先されるようにすることも可能です。
Intuneのプロファイルが優先させるための設定
参考:ポリシー CSP - ControlPolicyConflict
参考:ポリシー CSP - ControlPolicyConflict
Intune での Group Policy の適用方法
GPO のインポートと分析
※Windows Server 2026 Detacenterでの例になります
- GPO のエクスポート: オンプレミスの GPO を XMLファイルとしてエクスポートします。
- AD サーバーにて GPMC.msc を起動する
- (ドメインを展開して)グループポリシーオブジェクトの中にある各GPOを右クリックして「レポートの保存」をする
- 保存をする際にファイルの種類を「HTMLファイル」から「XMLファイル」に変更する。※HTMLだと次のSTEPでデータの取り込みが出来ません。
.png?q=50&w=720)
- GPOのインポート: Microsoft Intune のグループポリシー分析で GPO をインポートします。 (デバイス > デバイスの管理 > グループ ポリシー分析)
- 分析: インポートしたGPOを分析し、Intuneでサポートされている設定を確認します。
.png?q=50&w=720)
- 移行: インポートした GPO を分析し、Intune でサポートされている設定を確認します。 設定の一覧で「MDM サポート」が「はい」と表示されている項目から、移行する項目を選択することができます。移行すると、対象のポリシーが Intune 上で構成プロファイルの設定カタログとして作成されます。
.png?q=50&w=720)
.png?fm=avif&q=50&w=1440)
.png?fm=avif&q=50&w=1440)
.png?fm=avif&q=50&w=1440)
ADMXファイルのインポート(他の方法の例)
- ADMXファイルの使用: IntuneではADMXファイルを使用してカスタム設定をインポートすることも可能です。(※執筆時点ではパブリックプレビュー段階の機能であるため詳細は割愛します)
ベストプラクティスと注意点
すべての構成を単一のポリシーに展開しないようにする
セキュリティ、コンプライアンスなどの関連の深い項目ごとに個別の構成プロファイルに分割し、モジュール型のポリシーを作成することをお勧めします。これにより、必要に応じてユーザーやデバイスをポリシーから除外できるようになります。
ユーザーの役割とデバイスの種類に基づいてグループポリシーを実装する
役割に応じてポリシーを適用します。この対応により職務に応じて異なるユーザー グループに異なる構成を実装したり、デバイスの用途ごとに異なる構成を実装ができるようになります。なお、重複する項目を同時に適用すると競合を起こしてしまうため、(少なくともポリシー種別の単位では)割り当てのスコープをユーザーまたはグループに統一することをおすすめします。
重要な設定はわかりやすく分ける
暗号化、ネットワーク構成、データ保護ポリシーなどの重要な設定個別に設定して、誤った変更の実装などといったリスクを軽減します。
GPO を PowerShell に置き換える
PowerShell スクリプトを活用して、アプリケーションの展開、Windows デバイスでのカスタム ポリシーの構成、一般的なデバイス エラーの修復などのタスクを自動化します。
まとめ
Intune によるクラウドベースの管理へGPOで構成していた設定を移行することで、より柔軟なデバイス管理が可能になります。GPO と Intune の両方を使用する場合には、設定の優先順位やコンフリクトを考慮する必要がありますので注意が必要となります。
クラウド環境とする際には、 GPO も「必要なものは移行をして不必要なものは移行しない」といった判断を入れることが必要となります。可能であれば GPO を事前に分析し、必要なものだけ Intune で構築ないしは移行するといった対応を取られることを推奨します。
そのまますべてを移行しようと考えて相談されるケースもありますが、オンプレミスとクラウドではそもそもの考え方が違うため、現行踏襲という考え方は基本的にできない点はご注意ください。
ZUNDA は、Microsoft 365 の導入支援・運用サポートに豊富な経験を持つ、Microsoft ソリューションパートナーです。Microsoft Entra を使ったデバイス管理や Intune の導入を検討されているお客様は、ぜひ当社までご相談ください。お客様のセキュリティ要件を詳しくヒアリングし、おすすめの導入プランをご提案します。
情報セキュリティ対策は、企業の信頼を守るための重要な投資です。Intune を活用して、安心で安全な情報活用環境を構築しましょう。
まずはお気軽にお問い合わせください。 お客様のセキュリティ強化を全力でサポートいたします。
