InTuneのMAM(モバイルアプリ管理機能)を理解する
- TuvianNavy
- 500
- 0
- 0
- 0
intuneのMAM機能っていくつかの要素技術の組み合わせで機能しててlearn読んでもいまいちその根本原理がわからんのよな
2022-10-05 11:19:32(MAMの前提条件としてまずAutomatic Enrollmentの説明をする。InTuneに登録する、は英語ではEnrollする、となっていて、Azure ADへのregisterやjoinとはしばしば連携するが独立の事柄)
2022-10-05 16:36:06InTuneのAutomatic Enrollment、あまりにも応用パターンが多すぎて理解困難だが、店から吊るし(COTS)で買ってきたPCを、初回起動(OOBE)で職場や学校の管理下に入れる場合、「AzureADユーザー名 @ AzureADテナント名」のE-Mailアドレス形式を入力すると、
2022-10-05 16:27:41InTuneと連携したエンドポイントenrollment\.manage\.microsoft\.comに当該アカウントでのデバイス登録を試み、これがAzureADでの当該アカウントのOAuth2認証シーケンスを誘発する、という仕掛けのようだ
2022-10-05 16:31:57OOBEの裏で組織固有の初期化処理を行うためAutopilotを使う場合にはすでにこの時点でMAM機能が一部動作しているはずだが、使っていないので詳しいことは知らないし、この段階のMAMの挙動はjoin/enroll後と違うらしい
2022-10-05 16:57:15(1) MAMの配布機構、コーポレートポータルはautomatic enrollmentの機構に相乗りしてるので、automatic enrollmentが無効だと機能しない (2) autopilotによるキッティング中に使われるtrusted installerはWindows updateの配布機構に相乗り
2022-10-05 11:22:29(3) autopilot管理下から抜ける(コンプライアンス準拠猶予がなくなる?)タイミングでMAM機能はtrusted installerではなく新規にインストールされたintune management extensionというエージェントを使うようになる
2022-10-05 11:26:38(4) reqired for enrolled devicesな任意導入アプリを入れられる(コーポレートポータルに現れ、選べる)前提は恐らく対象デバイスのコンプライアンス準拠なので、コーポレートポータルを必要とせずコンプライアンス準拠状態にするためのrequiredなアプリよりクリアすべきハードルが高い
2022-10-05 11:31:23