PowerShellで簡単！Intuneデバイス設定を一括適用する方法

PowerShellを使用してMicrosoft Intuneのデバイス設定を効率的に一括適用する方法を解説します。手動での設定変更は、特に大規模な組織においては時間と手間がかかり、一貫性を欠くことがあります。しかし、PowerShellを利用することで、設定の一括適用や自動化が可能になり、業務の効率化とミスの削減が期待できます。本記事では、PowerShellの基本的な活用方法から、Intuneとの連携、実用的なスクリプト例までを詳細に解説します。これにより、デバイス管理をより簡単かつ効果的に実現するための知識を習得できます。

IntuneとPowerShellの基本概要

Microsoft Intuneとは

Microsoft Intuneは、クラウドベースのモバイルデバイス管理（MDM）およびモバイルアプリケーション管理（MAM）サービスです。これにより、IT管理者は組織全体のデバイスやアプリケーションを一元的に管理し、ポリシーを適用できます。IntuneはMicrosoft Endpoint Managerの一部として提供されており、Windows、iOS、Androidなど、さまざまなプラットフォームをサポートしています。

PowerShellとは

PowerShellは、Microsoftが提供する強力なスクリプト言語とコマンドラインツールです。IT管理者にとって、PowerShellは日常的なタスクを自動化し、大規模な環境で効率的に作業するための重要なツールです。特にIntuneとの組み合わせにより、大量のデバイス設定をスクリプトで効率的に管理することが可能になります。

IntuneとPowerShellの連携

IntuneはMicrosoft Graph APIを通じて、PowerShellスクリプトによる操作をサポートしています。これにより、以下のような操作が可能です：

• デバイス設定の一括適用
• ポリシーの作成・適用・更新
• ユーザーとデバイスの監視とレポート作成

PowerShellとIntuneを連携させることで、手動操作を減らし、業務の効率化を図ることができます。

PowerShellを使用する準備作業

必要なモジュールのインストール

PowerShellでMicrosoft Intuneを操作するためには、Microsoft Graph PowerShell SDKをインストールする必要があります。このSDKは、Microsoft Graph APIを利用してIntuneとやり取りするためのモジュールです。以下のコマンドを使用してインストールを行います：

Install-Module -Name Microsoft.Graph -Scope CurrentUser

Azure ADアプリケーションの登録

Intuneとの連携には、Microsoft Graph APIにアクセスするためのAzure Active Directory (Azure AD) アプリケーションを作成する必要があります。手順は以下の通りです：

1. Azureポータルにサインインします。
2. Azure Active Directory > アプリ登録に移動します。
3. 新しい登録をクリックし、アプリケーション名を指定します。
4. 必要なAPIパーミッション（例: DeviceManagementConfiguration.ReadWrite.All）を追加します。

PowerShellでの認証

Microsoft Graph PowerShellを使用してIntuneに接続するには、認証が必要です。以下のコマンドを使用して認証を行います：

Connect-MgGraph

認証プロンプトが表示されるので、Azure ADでの管理者アカウント情報を入力します。接続が成功すると、Microsoft Graph APIにアクセスできるようになります。

実行ポリシーの設定

PowerShellスクリプトを実行するには、実行ポリシーを適切に設定する必要があります。以下のコマンドを使用して確認および変更が可能です：

# 現在のポリシーを確認
Get-ExecutionPolicy

# 必要に応じてポリシーを変更
Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy RemoteSigned

テスト環境の確認

スクリプトの実行に先立ち、テスト環境で動作確認を行うことが推奨されます。特に、組織全体に影響を与える可能性がある設定変更を行う場合は、慎重なテストが重要です。

これらの準備を完了することで、PowerShellを用いたIntuneデバイス設定の一括適用が可能になります。

Intuneデバイス設定を管理するPowerShellコマンド

Microsoft Graph APIを利用するPowerShellコマンド

Microsoft Graph PowerShell SDKを使用すると、Intuneデバイス設定の管理が可能になります。以下に主要なコマンドとその概要を示します。

1. デバイス設定ポリシーの一覧を取得する

現在のデバイス構成ポリシーを確認するには、以下のコマンドを使用します：

Get-MgDeviceManagementDeviceConfiguration

これにより、すべての構成ポリシーのリストが取得できます。結果には、ポリシーの名前、ID、状態などが含まれます。

2. 特定のポリシーの詳細を取得する

特定のポリシーについて詳しく確認する場合は、そのポリシーのIDを指定します：

Get-MgDeviceManagementDeviceConfiguration -DeviceConfigurationId <ポリシーID>

このコマンドは、指定したポリシーの詳細設定を出力します。

3. 新しいデバイス構成ポリシーを作成する

新しいポリシーを作成するには、以下のコマンドを使用します：

New-MgDeviceManagementDeviceConfiguration -OdataType "#microsoft.graph.windows10CustomConfiguration" -DisplayName "新しいポリシー名"

このコマンドでは、OdataTypeパラメータでポリシーの種類を指定します。たとえば、Windows 10のカスタム構成ポリシーを作成する場合は、#microsoft.graph.windows10CustomConfigurationを使用します。

4. 既存のポリシーを更新する

既存のデバイス構成ポリシーを変更する場合は、以下のようにコマンドを実行します：

Update-MgDeviceManagementDeviceConfiguration -DeviceConfigurationId <ポリシーID> -DisplayName "更新後のポリシー名"

これにより、ポリシー名などの属性を更新できます。

5. ポリシーをデバイスグループに割り当てる

ポリシーを適用するデバイスグループを指定するには、以下のコマンドを使用します：

New-MgDeviceManagementDeviceConfigurationGroupAssignment -DeviceConfigurationId <ポリシーID> -TargetGroupId <グループID>

このコマンドにより、特定のポリシーを指定したグループに適用できます。

コマンドの実行例

以下は、IntuneでWindows 10ポリシーを作成し、特定のデバイスグループに割り当てる一連の操作例です：

# 新しいWindows 10ポリシーを作成
$policy = New-MgDeviceManagementDeviceConfiguration -OdataType "#microsoft.graph.windows10CustomConfiguration" -DisplayName "Windows 10 Security Policy"

# 作成したポリシーIDを確認
$policyId = $policy.Id

# ポリシーをデバイスグループに割り当て
New-MgDeviceManagementDeviceConfigurationGroupAssignment -DeviceConfigurationId $policyId -TargetGroupId <グループID>

PowerShellコマンドの活用メリット

• 一括適用で効率的なデバイス管理が可能。
• 設定の一貫性を確保。
• 手動操作のエラーを防ぎ、再現性を高める。

これらのコマンドを活用することで、Intuneのデバイス設定を迅速かつ効率的に管理できます。

サンプルスクリプトで学ぶ一括設定の方法

スクリプトの概要

以下のサンプルスクリプトでは、Microsoft Intuneにおけるデバイス構成ポリシーを作成し、特定のデバイスグループに一括適用する手順を示します。このスクリプトは、PowerShellを利用して効率的に設定を適用する方法を学ぶための実例です。

サンプルスクリプト

# Microsoft Graph PowerShell SDKをインポート
Import-Module Microsoft.Graph

# Microsoft Graphに接続
Connect-MgGraph -Scopes "DeviceManagementConfiguration.ReadWrite.All"

# 新しいデバイス構成ポリシーを作成
$policy = New-MgDeviceManagementDeviceConfiguration `
    -OdataType "#microsoft.graph.windows10CustomConfiguration" `
    -DisplayName "Sample Device Configuration Policy"

# 作成したポリシーのIDを取得
$policyId = $policy.Id
Write-Host "ポリシー作成成功: $policyId"

# デバイスグループIDを指定（Azure ADで確認したグループID）
$groupId = "example-group-id"

# ポリシーをデバイスグループに割り当て
New-MgDeviceManagementDeviceConfigurationGroupAssignment `
    -DeviceConfigurationId $policyId `
    -TargetGroupId $groupId

Write-Host "ポリシーをデバイスグループに割り当てました。"

スクリプトの詳細解説

1. Microsoft Graph SDKの接続

Connect-MgGraphコマンドでMicrosoft Graphに認証します。-Scopesパラメータを指定することで、必要な権限を確保します。

2. ポリシーの作成

New-MgDeviceManagementDeviceConfigurationコマンドを使用して、Windows 10向けのカスタム構成ポリシーを作成します。作成されたポリシーのIDは後続の処理で利用します。

3. ポリシーのグループ割り当て

New-MgDeviceManagementDeviceConfigurationGroupAssignmentコマンドを使用して、特定のAzure ADグループにポリシーを適用します。$groupIdはAzureポータルで確認したデバイスグループのIDです。

実行手順

1. PowerShellを管理者として実行します。
2. サンプルスクリプトを保存し、適切なパラメータ（グループIDなど）を指定して実行します。
3. 成功メッセージを確認し、ポリシーが正しく割り当てられているかをIntune管理ポータルで確認します。

結果の確認

作成されたポリシーとその割り当てを確認するには、以下のコマンドを使用します：

Get-MgDeviceManagementDeviceConfiguration -DeviceConfigurationId $policyId

注意点

• 誤った設定を適用しないよう、テスト環境で十分な確認を行ってください。
• Connect-MgGraphコマンド実行時に必要な権限が不足している場合は、適切な権限をAzureポータルで付与してください。

このスクリプトを活用すれば、デバイス構成ポリシーを迅速かつ正確に適用でき、管理作業の効率化が図れます。

カスタムスクリプトで柔軟に対応する方法

カスタムスクリプトの必要性

Intuneデバイス設定を管理する際には、標準的なポリシー作成コマンドだけでなく、特定の要件に応じてカスタムスクリプトを作成することが求められる場合があります。例えば、次のようなシナリオでカスタムスクリプトが役立ちます：

• 一部のデバイスにのみ適用する特定の設定。
• デバイスのステータスを動的に取得し、条件に応じた設定の変更。
• 特定のポリシーのスケジュール適用。

カスタムスクリプトの例：条件付きポリシー適用

以下は、デバイス名に特定の文字列が含まれる場合にのみポリシーを適用するカスタムスクリプトの例です。

# Microsoft Graph PowerShell SDKをインポート
Import-Module Microsoft.Graph

# Microsoft Graphに接続
Connect-MgGraph -Scopes "DeviceManagementConfiguration.ReadWrite.All"

# デバイス構成ポリシーの作成
$policy = New-MgDeviceManagementDeviceConfiguration `
    -OdataType "#microsoft.graph.windows10CustomConfiguration" `
    -DisplayName "Conditional Policy"

# 作成したポリシーIDを取得
$policyId = $policy.Id
Write-Host "ポリシー作成成功: $policyId"

# デバイスの一覧を取得
$devices = Get-MgDeviceManagementManagedDevice

# 条件に一致するデバイスに対してポリシーを割り当て
foreach ($device in $devices) {
    if ($device.DeviceName -like "*TargetDevice*") {
        Write-Host "対象デバイス: $($device.DeviceName)"

        # 対象デバイスが含まれるグループを取得（仮想グループIDを例示）
        $groupId = "example-group-id-for-$($device.DeviceName)"

        # ポリシーをデバイスグループに割り当て
        New-MgDeviceManagementDeviceConfigurationGroupAssignment `
            -DeviceConfigurationId $policyId `
            -TargetGroupId $groupId

        Write-Host "ポリシーが適用されました: $($device.DeviceName)"
    }
}

カスタマイズポイント

このスクリプトは柔軟にカスタマイズ可能です：

1. 条件の変更: $device.DeviceNameの代わりに他の属性（例：OS、ステータス）を利用して条件を変更できます。
2. 割り当てロジック: デバイスごとに異なるポリシーを適用するようなロジックを組み込むことも可能です。
3. ログの記録: 割り当て結果をログファイルに記録する機能を追加して、監査の要件に対応できます。

スクリプトのメリット

• 条件に応じた柔軟なポリシー管理が可能。
• 不要なポリシー適用を防ぎ、効率的な管理を実現。
• 大規模環境でも一括管理を維持しながら細かい調整が可能。

実行時の注意点

• スクリプトの条件設定は慎重に行い、対象外のデバイスに適用しないよう確認してください。
• 実行前にサンドボックス環境でテストを行い、スクリプトの正確性を確認してください。

このようにカスタムスクリプトを活用すれば、標準機能では対応しきれない細かな要件に応じたデバイス管理を実現できます。

エラーとトラブルシューティング

よくあるエラーとその原因

PowerShellでIntuneデバイス設定を一括適用する際には、さまざまなエラーが発生する可能性があります。以下は一般的なエラーとその原因です。

1. 認証エラー

エラー例：

Connect-MgGraph : Authorization failed

原因：

• 不適切なAzure AD認証情報を使用している。
• 必要なAPI権限が付与されていない。

解決策：

• Azureポータルでアカウントの権限を確認し、適切なAPI権限を追加します（例：DeviceManagementConfiguration.ReadWrite.All）。
• 正しいアカウント情報を使用して再度認証します。

2. コマンド実行エラー

エラー例：

The specified resource does not exist.

原因：

• 指定したリソース（デバイスやポリシー）が存在しない、またはIDが間違っている。
• ポリシーの作成が正しく完了していない。

解決策：

• Get-MgDeviceManagementDeviceConfigurationでポリシーの一覧を取得し、正しいIDを確認します。
• リソースの存在をMicrosoft Graph APIで確認します。

3. 実行ポリシーの制限

エラー例：

File cannot be loaded because running scripts is disabled on this system.

原因：

• スクリプトの実行がシステムポリシーで制限されている。

解決策：

• 実行ポリシーを変更します：

  Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy RemoteSigned

トラブルシューティングの手順

1. ログの活用

エラーの詳細を調べるために、PowerShellスクリプトにエラーハンドリングを追加します：

try {
    # コマンド実行
    New-MgDeviceManagementDeviceConfigurationGroupAssignment `
        -DeviceConfigurationId $policyId `
        -TargetGroupId $groupId
} catch {
    Write-Error "エラーが発生しました: $_"
}

2. 接続状態の確認

Microsoft Graph APIとの接続が正しいかを確認します：

Get-MgContext

3. サンプルAPIコールでのテスト

接続の有効性を確認するために、基本的なAPIコールを実行して動作確認を行います：

Get-MgDeviceManagementManagedDevice

エラーの回避方法

• 事前確認：ポリシーやデバイスIDなどの情報が正しいことを確認します。
• 権限の適切な設定：Azureポータルでアカウントに必要な権限が設定されていることを確認します。
• スクリプトのテスト：実行前に小規模なテスト環境でスクリプトを試すことで予期しないエラーを防ぎます。

サポートリソース

• Microsoft Graph APIドキュメント: https://docs.microsoft.com/
• PowerShellエラーハンドリング: https://learn.microsoft.com/powershell

これらのトラブルシューティングを実践することで、エラーの特定と解決を効率的に行い、スクリプトの成功率を向上させることができます。

セキュリティとベストプラクティス

PowerShellとIntuneを使用する際のセキュリティリスク

PowerShellを用いたスクリプトや自動化には、セキュリティリスクが伴います。以下のリスクを理解し、対策を講じることが重要です。

1. 認証情報の漏洩

スクリプト内に認証情報（例：ユーザー名やパスワード）をハードコーディングすることは、重大なセキュリティリスクです。悪意のある第三者にアクセスされる可能性があります。

2. 過剰な権限の付与

スクリプトの実行に必要以上の権限を付与することで、不正な操作やデータ漏洩のリスクが高まります。

3. 改ざんされたスクリプトの実行

スクリプトの信頼性が確認されないまま実行すると、意図しない操作が実行される可能性があります。

セキュリティ対策

1. 認証情報の安全な管理

• セキュリティモジュールの利用: Microsoft.Graph.Authenticationモジュールを利用して、認証を安全に管理します。
• Azure Key Vaultの使用: 機密情報をAzure Key Vaultに保存し、スクリプトから安全に取得します。

  # Key Vaultからクレデンシャルを取得
  $credential = Get-AzKeyVaultSecret -VaultName "MyKeyVault" -Name "GraphAPI-Secret"
  Connect-MgGraph -ClientId "<アプリID>" -TenantId "<テナントID>" -ClientSecret $credential.SecretValueText

2. 最小権限の原則

• スクリプトに必要な最小限の権限のみを付与します。たとえば、デバイス構成の変更には、DeviceManagementConfiguration.ReadWrite.Allのスコープを指定します。
• Azureポータルでサービスプリンシパルやユーザーアカウントの権限を定期的に見直します。

3. スクリプトの署名

改ざんを防止するために、スクリプトに署名を追加します。署名されたスクリプトのみを実行するようにポリシーを設定します：

Set-ExecutionPolicy -ExecutionPolicy AllSigned

4. ログと監査の活用

すべてのスクリプト実行を記録し、監査ログを定期的に確認します。Azure MonitorやIntuneポータルを活用して、不審なアクティビティを検出します。

ベストプラクティス

1. スクリプトの管理

• バージョン管理システム（例：Git）を使用してスクリプトの履歴を管理します。
• スクリプトの実行前にレビューを行い、潜在的な問題を排除します。

2. スクリプトのテスト

• 実行前にテスト環境でスクリプトを検証し、本番環境への影響を最小化します。
• テスト用のダミーデータやサンプルデバイスを利用して挙動を確認します。

3. 定期的なメンテナンス

• スクリプトや権限を定期的に見直し、不要な設定やコードを削除します。
• Microsoft Graph APIやPowerShellモジュールのアップデート情報を確認し、最新バージョンを適用します。

安全なスクリプト運用のまとめ

PowerShellとIntuneの組み合わせは非常に強力ですが、セキュリティ対策を怠ると重大なリスクを招く可能性があります。認証情報の管理、最小権限の付与、スクリプトの署名などを実践し、安全かつ効率的な運用を目指しましょう。

実際の導入事例と応用例

企業でのPowerShellとIntuneの活用事例

PowerShellとMicrosoft Intuneを組み合わせた実際の導入事例を紹介します。これらの事例は、IT部門が直面する課題を解決し、運用を効率化するために役立つ具体的なヒントを提供します。

1. 新入社員用デバイスの迅速なセットアップ

課題: 新入社員用のデバイスを手作業でセットアップするには多くの時間がかかる。
解決方法:
PowerShellを利用して、新入社員用デバイスに必要なアプリケーション、セキュリティポリシー、ネットワーク設定を一括で適用するスクリプトを作成。以下のようなスクリプトを活用しました：

# 新入社員用デバイスグループに設定を適用
$groupId = "new-employee-group-id"
New-MgDeviceManagementDeviceConfigurationGroupAssignment `
    -DeviceConfigurationId $policyId `
    -TargetGroupId $groupId

効果: 設定時間が大幅に短縮され、IT部門の負担軽減と業務効率化が実現しました。

2. リモートワークのセキュリティ強化

課題: リモートワーク中のデバイスがセキュリティリスクにさらされる可能性が高い。
解決方法:
IntuneとPowerShellを活用して、VPN設定や多要素認証ポリシーをすべてのリモートデバイスに一括適用。スクリプトでリモートデバイスのセキュリティ状態を定期的に監視する機能を実装しました。

効果: すべてのリモートデバイスが一貫したセキュリティポリシーを適用され、リスクが低減しました。

3. ソフトウェアアップデートの自動化

課題: 組織全体のデバイスに最新のソフトウェアを手動で適用するのは非効率。
解決方法:
PowerShellスクリプトを作成し、指定したスケジュールでデバイスに最新ソフトウェアアップデートを一括適用。次のようなスクリプトを使用しました：

# デバイスにソフトウェア更新を適用
Invoke-MgDeviceManagementManagedDeviceWindowsUpdateInstall `
    -ManagedDeviceId $device.Id

効果: アップデート作業が自動化され、時間の節約とセキュリティの向上が達成されました。

応用例：高度な自動化の実装

1. デバイスの状態に応じた動的ポリシー適用

特定の条件（例：Windowsバージョンや地理的な場所）に応じて異なるポリシーを適用するスクリプトを作成。これにより、グローバルな企業環境でも柔軟な運用が可能になりました。

2. 定期レポートの自動生成

PowerShellを使用して、デバイスの準拠状況やエラーの統計情報を収集し、Intuneのデータを基に自動的にレポートを生成。ITマネージャーが状況を迅速に把握できるようになりました。

活用のメリット

• IT管理者の作業負担を軽減。
• セキュリティと管理の一貫性を確保。
• 特定の業務要件に応じた柔軟な運用を実現。

まとめ

これらの実例と応用例は、PowerShellとIntuneを効果的に利用することで、組織全体の運用効率を向上させる可能性を示しています。スクリプトを活用することで、柔軟性と効率性を最大限に引き出すことができます。

まとめ

本記事では、PowerShellを活用してMicrosoft Intuneのデバイス設定を効率的に一括適用する方法を解説しました。PowerShellの基本概要から準備手順、主要コマンドの使用方法、サンプルスクリプトの紹介、セキュリティ対策、エラー対応、さらには実際の導入事例や応用例までを詳しく説明しました。

PowerShellとIntuneの組み合わせにより、手作業では困難なタスクの自動化が可能となり、業務効率の向上や管理の一貫性を確保できます。また、セキュリティを重視した運用やトラブルシューティングの知識を活用することで、安定したデバイス管理が実現します。

これらを実践することで、IT管理者が直面する課題を解決し、組織全体の運用を効率化するための強力なツールとしてPowerShellを活用できるようになります。