HONDA LABO

本田研究室

Intuneにグループポリシー管理テンプレートをインポートしてみる

f:id:suguruosako:20211209165923p:plain

Intuneにグループポリシー管理テンプレートをインポートできると聞きました。これができれば、オンプレADのGPO不要になる・・・と思い、挑戦してみました。

Win32 and Desktop Bridge app ADMX policy Ingestion - Windows Client Management | Microsoft Docs

 

ZoomのADMXをインポートしてみる

ZoomのADMXをインポートしてみます。ADMXのダウンロードはこちらから行います。

Using Group Policy options – Zoom Support

f:id:suguruosako:20211207213918p:plain

次にこのADMXをインポートしてみます。

Microsoft Endpoint Manager管理センターにログインして、[デバイス]、[構成プロファイル]、[プロファイルの作成]、プラットフォームは[Windows10以降]を選択、プロファイルの種類から[テンプレート]を選択、さらに[カスタム]を選択して[作成]ボタンをクリックします。

f:id:suguruosako:20211207213936p:plain

名前は以下としました。次へをクリックします。

  • 名前:Zoom Configuration

f:id:suguruosako:20211207213946p:plain

OMA-URIの設定のところにある[追加]ボタンをクリック。

f:id:suguruosako:20211207213956p:plain

表示されたブレードで以下を入力して、保存をクリック。

  • 名前:ZoomMeetings_HKLM.admx
  • OMA-URI:./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/Zoom/Policy/ZoomMeetings_HKLM_admx
  • データ型:文字列
  • 値:<ダウンロードしたadmx(ZoomMeetings_HKLM.admx)の内容をコピペ>

f:id:suguruosako:20211207214007p:plain

次へをクリック。

f:id:suguruosako:20211207214403p:plain

割り当てはすべてのデバイスとしました。次へをクリック。

f:id:suguruosako:20211207214412p:plain

簡単のために適用性ルールは今回は指定しません。次へをクリック。

f:id:suguruosako:20211207214426p:plain

設定した値に問題ないことを確認して、作成ボタンをクリック。

f:id:suguruosako:20211207214443p:plain

以上でADMXのインポートは完了です。

 

インポートしたADMXを確認してみる

インポートしたADMXが端末側でどのように配布されているか確認してみます。レジストリエディタを開きます。

f:id:suguruosako:20211207214459p:plain

レジストリエディタにて以下レジストリを開きます。

  • \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\AdmxDefault\{GUID}

ここを見ると、「Zoom~Policy~ZoomUsCommunication~***」という一覧が表示されていることが確認できます。

f:id:suguruosako:20211207214508p:plain

これが先ほどの手順で配布されたADMXです。レジストリとして配布されていることが分かりました。

 

配布したADMXを利用してポリシーを設定してみる

いよいよポリシーを配布してみます。今回はポリシーを配布することで、サインイン時の

  • Googleでのログインを非表示
  • Facebookでのログインを非表示
  • Emailでのログインボタンを非表示

としたいと思います。

f:id:suguruosako:20211207214523p:plain

ポリシーの配布手順としては、最初の手順で作成した構成プロファイルにOMA-URI の設定を追加することでポリシーを配布することになります。

 

上記3つに該当するポリシーはそれぞれ、以下の通りです。

やりたいこと

ポリシー

Googleでのログインを非表示

DisableGoogleLogin_Policy

Facebookでのログインを非表示

DisableFacebookLogin_Policy

Emailでのログインボタンを非表示

DisableLoginWithEmail_Policy

先ほどのレジストリエディタでは以下の表示にあたります。

\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\AdmxDefault{GUID}\Zoom~Policy~ZoomUsCommunication~zoomgeneral

f:id:suguruosako:20211207214542p:plain

これらのポリシーをOMA-URI形式では、

./Device/Vendor/MSFT/Policy/Config/<ポリシー名>

と指定します。具体的には、それぞれ

  • ./Device/Vendor/MSFT/Policy/Config/Zoom~Policy~ZoomUsCommunication~zoomgeneral/DisableGoogleLogin_Policy
  • ./Device/Vendor/MSFT/Policy/Config/Zoom~Policy~ZoomUsCommunication~zoomgeneral/DisableFacebookLogin_Policy
  • ./Device/Vendor/MSFT/Policy/Config/Zoom~Policy~ZoomUsCommunication~zoomgeneral/DisableLoginWithEmail_Policy

となります。有効化する際の値は、文字列として、

<enabled/>

とします。

以下、具体例として、Googleでのログインを非表示をやってみます。

 

Googleでのログインを非表示

先ほど作成した、構成プロファイルをクリックします。

f:id:suguruosako:20211207214554p:plain

プロパティをクリックし、構成設定で編集をクリックします。

f:id:suguruosako:20211207214608p:plain

OMA-URIの設定で追加ボタンをクリックします。

f:id:suguruosako:20211207214621p:plain

以下のようにポリシーを設定して、保存をクリックします。

  • 名前:DisableGoogleLogin
  • OMA-URI:./Device/Vendor/MSFT/Policy/Config/Zoom~Policy~ZoomUsCommunication~zoomgeneral/DisableGoogleLogin_Policy
  • データ型:文字列
  • 値:<enabled/>

f:id:suguruosako:20211207214630p:plain

レビューと保存をクリックします。

f:id:suguruosako:20211207214640p:plain

保存をクリックします。

f:id:suguruosako:20211207214647p:plain

手順は以上で終了です。

同様の手順で、Facebookでのログインを非表示(DisableFacebookLogin_Policy)とEmailでのログインボタンを非表示(DisableLoginWithEmail_Policy)を追加してみましょう。

 

動作確認

Zoomのサインインボタンをクリックすると、SSOでサインイン以外のボタンが非表示となっていることが確認できます。

f:id:suguruosako:20211207214657p:plain

管理者が想定していない操作をユーザーに実施させないために、不要なボタンはつぶしておくというのは非常に有効な手段だと思います。これにより問い合わせ対応などの手間の削減にもつながります。

 

まとめ

さて、以上の手順で、たしかにADMXをIntuneにインポートして、ポリシーを配布することはできました。ただ、Active Directoryのようにグループポリシー管理エディタを利用して、グラフィカルに設定ができるわけではないので、使い勝手としては微妙なところだなというのが感想です。PowerShellスクリプトをIntuneから配布してレジストリ追加するほうがラクな気もします。

もう少し使ってみて、使いどころのあたりをつけたいと思っています。

 

参考ドキュメント

Win32 and Desktop Bridge app ADMX policy Ingestion - Windows Client Management | Microsoft Docs

Microsoft Intune で Chrome ブラウザを管理する - Google Chrome Enterprise ヘルプ

Manage Chrome ADMX Policies Using Intune | ADMX Injection Process On Windows 10 - HTMD Blog #2 (howtomanagedevices.com)

gpo - Intune ingest ADMX and enable client auto update for Zoom on Windows 10 Azure AD connected devices - Stack Overflow

ひと目でわかるIntune 改訂新版