IntuneでWindows10にいろいろなものを配ってみる

11318 ワード

autopilot AzureAD EMS Windows10 Intune Windows10 テキストリンク

はじめに

最近の案件で、IntuneをiOSやAndroidだけでなく、Windows10の管理にも使うケースが増えています。
これによりActive Directoryや、SCCM、WSUSといったオンプレの資産を持たなくてもPC管理ができ、
さらにAutoPilotという機能を使えばキッティングも自動化出来、最近我々が一押しのシナリオです。

ただ実案件でこのご提案をする際に、よく問題となるのが、Intuneで、今までのキッティングやイメージ運用手順でできていたことが全部できるのか、という点です。これに関しては、コンセプトが異なることもあり、100%の互換性があるわけではないというのが回答です。

そんな時我々は、PCのクラウド管理への移行を機に、まずは今までの資産（秘伝のタレと呼んでいます）を整理しましょう。というお話をさせて頂いています。
業務の場がオンプレミスのインフラ環境からクラウドサービスに移行しつつある中、デバイスの管理は重厚長大なオンプレの仕組みでキメ細かく行うのではなく、これを機にシンプル化してでクラウドベースで実施した方が良いのではないか、ということです。

とはいえ、今までの資産を整理したとしても、Intuneの標準機能で実現できないが、業務上どうしてもこれが必要、というものがあるのも事実であり、実案件ではそんな要件を何とか実現しようと、あれこれ工夫して対応しているのが実際のところです。
本稿ではこのようなケースにおける、実案件で蓄積したノウハウをご紹介いたします。

標準機能でできること

まず、Intuneの標準機能でできることは以下の6点です。

Office365 Apps for Enterprose (旧称 Office365 ProPlus) の配布
Edge(Chromeium)の配布
Microsoftストアアプリの配布
基幹業務アプリ(MSIパッケージ)の配布
Win32アプリの配布（EXE形式のインストーラ）
Powershellスクリプトの配布

これだけ見ると大抵のことはできそうですし、十分業務要件は満たせそうなのですが、実際はそこまで甘くありません。ほとんどの案件で、これだけでは対応できない要件がいくつか出てきます。

では、どうやってこのイレギュラーなパターンを対応するかというと、Win32アプリの配布機能を本来の使い方とは少し違う形で使うことにより実現が可能です。

Win32アプリの配布機能

この機能の使い方については、公式ドキュメントや、わかりやすい記事がありますので、本稿では割愛します。

まずこの機能の本来の使い方は、以下の通りです。

インストーラーのファイル一式を、ツールを使いintunewinファイルにまとめる
Itnunewinファイルを、インストールを開始するコマンドと併せてItnuneに登録
Itnunewinファイルの中身がPCの一時フォルダに展開され、インストールコマンドが実行される

ただ、実はこの処理は以下の仕様となっており、アプリのインストール以外の用途にも利用可能となっています。
- Itnunewinファイルの中身はインストーラーでなくてもいい
- インストールコマンドはインストーラーを起動しなければいけない、というわけではない

つまり、Win32アプリの配布機能は、汎用的に以下のことが実行できます。
- 任意のファイル/フォルダをPCに移送
- 完了後、任意のコマンドを実行

これを利用するとほとんどの要件はIntuneで実現可能となります。
それでは、実際の活用例を見ていきましょう。

msiファイルを実行

まずご紹介したいのが、msiファイルの配布です。MSIなら基幹業務アプリとして配布できるんじゃないの？と思うかもしれませんが、以下の理由から、MSIファイルは基幹業務アプリではなく、Win32アプリとして配布することを推奨しています。

基幹業務アプリとして配布すると、依存関係が使えない
そもそもWin32アプリと基幹業務アプリを混在して配布することは非推奨
詳細なインストールログが取得できない

それでは実際の手順を見ていきましょう。
例として、msi形式のインストーラが提供されている、7-ZipをWindows10に配布します。

公式サイトからMSIファイルを取得し、作業フォルダに格納します。
ツールを利用してIntunewinファイルに変換
IntuneでWin32アプリを新規作成し、Intunewinファイルをアップロード
インストールコマンドの、/qを/quietに修正
必要条件を指定し、検出規則で、規則の種類＝「MSI」を指定し、製品コードを指定
（製品コードは、アンインストールコマンドに自動設定された値です。）
あとは必要であれば依存関係を指定し、デバイスに展開します。

レジストリキーの配布

次にご紹介するのはレジストリキーをデバイスに配布する方法です。
こちらは.regファイルを配布し、直接実行するという手法で展開が可能です。

例として、デスクトツプにコントロールパネルのアイコンを表示し、登録済みの拡張子を表示するよう設定を変更してみます。

まずは登録するRegファイルを用意し、作業フォルダに格納します。

RegistryDistributionTest.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]
"{5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0}"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt"=dword:00000000

regファイルをツールを利用してIntunewinファイルに変換
IntuneでWin32アプリを新規作成し、Intunewinファイルをアップロード
インストールコマンドに、regedit.exe /s (regファイル名).regを指定

アンインストールコマンドは利用しないので、インストールコマンドと同じ内容でOKです。
ちなみにregedit.exeはintunewinファイルに含めていませんが、配布するPCでパスが通っている実行ファイルについては、intunewinファイルに含めなくても問題ありません。
必要条件を指定し、検出規則で、規則の種類＝「レジストリ」を指定し、配布するレジストリの内容を指定
あとは必要であれば依存関係を指定し、デバイスに展開します。

スクリプトを実行

次にご紹介するのはスクリプトファイル（.bat、.cmdなど）をデバイス上で実行させる方法です。
これは以下の手順で実現できます。

・スクリプトファイルを単独でIntunewin形式に変換する
・インストールコマンドにスクリプトのファイル名を直接指定

また、バッチファイル以外のものをIntunewinファイルに含めても構いません。
デバイス上でスクリプトが実行される前に、これらも同じ作業ディレクトリに展開されます。

同様にPowershellも実行可能です。この場合は以下のような形になります。
powershell.exe -executionpolicy remotesigned -file "<スクリプトファイル名>.ps1"

Powershellも標準機能で配布できますが、この方法で配布することにより、依存関係や検出規則を利用できるほか、スクリプト以外のファイルを同時に配信できるメリットがあります。

ファイルやフォルダをPCの任意の場所に配置

デスクトップにショートカットを置きたい、インストーラのないソフトを配布したい等の理由で、
用意したファイル・フォルダをPCのこのパスに配置したい、という要望もよくあります。

これはひとつ前の、「スクリプトを実行」をつかって少し工夫すれば実現可能です。
手順は以下の通りとなります。

配布したいファイル・フォルダをPC上にコピーするバッチファイルを作成

FileCopy.bat

xcopy "Folder to transfer" "C:\temp\Folder to transfer" /E /I /H /R /Y
copy "File to transfer.txt" "C:\temp\File to transfer.txt" /Y

作成したバッチファイルと配布したいファイル/フォルダを作業フォルダに格納
作業フォルダをツールを利用してIntunewinファイルに変換
IntuneでWin32アプリを新規作成し、インストールコマンドにBatファイルの名前を指定・検出規則で、規則の種類＝「ファイル」を指定し、配布するファイル・フォルダを指定
あとは必要であれば依存関係を指定し、デバイスに展開します。

フォントの配布

こちらはあまり需要がないかもしれないですが、実案件で要件がありましたのでご紹介します。
ひとつ前の、ファイルをPCの任意の場所に配置の応用編となります。

実はフォントの配布はフォントファイル（.ttfファイル）を格納フォルダ（C:\Windows\Fonts）にコピーすればよい、
というわけではなく、コピーした後にフォントの情報をレジストリに登録してあげる必要があります。
そのため、手順は以下の通りとなります。

配布したいフォントのファイル(.ttf)をC:\Windows\Fontsにコピーし、レジストリ登録するPowershellを作成

installfont.ps1

Copy-Item -Path "$PSScriptRoot\outlook.ttf" -Destination "$env:windir\Fonts" -Force -PassThru -ErrorAction Stop
New-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts" -Name "MS Outlook (TrueType)" -PropertyType String -Value "outlook.ttf" -Force

作成したPowershellとフォントファイルをIntunewin形式に変換する
インストールコマンドに、powershell.exe -executionpolicy remotesigned -file "installfont.ps1" を指定
検出規則を以下の通り指定
あとは必要であれば依存関係を指定し、デバイスに展開します。

Author And Source

この問題について(IntuneでWindows10にいろいろなものを配ってみる), 我々は、より多くの情報をここで見つけました https://qiita.com/ShinichiroKosugi/items/c69764daa18d212eeee2

著者帰属：元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。

Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .