Intuneにグループポリシー管理テンプレートをインポートできると聞きました。これができれば、オンプレADのGPO不要になる・・・と思い、挑戦してみました。
Win32 and Desktop Bridge app ADMX policy Ingestion - Windows Client Management | Microsoft Docs
ZoomのADMXをインポートしてみる
ZoomのADMXをインポートしてみます。ADMXのダウンロードはこちらから行います。
Using Group Policy options – Zoom Support
次にこのADMXをインポートしてみます。
Microsoft Endpoint Manager管理センターにログインして、[デバイス]、[構成プロファイル]、[プロファイルの作成]、プラットフォームは[Windows10以降]を選択、プロファイルの種類から[テンプレート]を選択、さらに[カスタム]を選択して[作成]ボタンをクリックします。
名前は以下としました。次へをクリックします。
- 名前:Zoom Configuration
OMA-URIの設定のところにある[追加]ボタンをクリック。
表示されたブレードで以下を入力して、保存をクリック。
- 名前:ZoomMeetings_HKLM.admx
- OMA-URI:./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/Zoom/Policy/ZoomMeetings_HKLM_admx
- データ型:文字列
- 値:<ダウンロードしたadmx(ZoomMeetings_HKLM.admx)の内容をコピペ>
次へをクリック。
割り当てはすべてのデバイスとしました。次へをクリック。
簡単のために適用性ルールは今回は指定しません。次へをクリック。
設定した値に問題ないことを確認して、作成ボタンをクリック。
以上でADMXのインポートは完了です。
インポートしたADMXを確認してみる
インポートしたADMXが端末側でどのように配布されているか確認してみます。レジストリエディタを開きます。
レジストリエディタにて以下レジストリを開きます。
- \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\AdmxDefault\{GUID}
ここを見ると、「Zoom~Policy~ZoomUsCommunication~***」という一覧が表示されていることが確認できます。
これが先ほどの手順で配布されたADMXです。レジストリとして配布されていることが分かりました。
配布したADMXを利用してポリシーを設定してみる
いよいよポリシーを配布してみます。今回はポリシーを配布することで、サインイン時の
- Googleでのログインを非表示
- Facebookでのログインを非表示
- Emailでのログインボタンを非表示
としたいと思います。
ポリシーの配布手順としては、最初の手順で作成した構成プロファイルにOMA-URI の設定を追加することでポリシーを配布することになります。
上記3つに該当するポリシーはそれぞれ、以下の通りです。
やりたいこと |
ポリシー |
Googleでのログインを非表示 |
DisableGoogleLogin_Policy |
Facebookでのログインを非表示 |
DisableFacebookLogin_Policy |
Emailでのログインボタンを非表示 |
DisableLoginWithEmail_Policy |
先ほどのレジストリエディタでは以下の表示にあたります。
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\AdmxDefault{GUID}\Zoom~Policy~ZoomUsCommunication~zoomgeneral
これらのポリシーをOMA-URI形式では、
./Device/Vendor/MSFT/Policy/Config/<ポリシー名>
と指定します。具体的には、それぞれ
- ./Device/Vendor/MSFT/Policy/Config/Zoom~Policy~ZoomUsCommunication~zoomgeneral/DisableGoogleLogin_Policy
- ./Device/Vendor/MSFT/Policy/Config/Zoom~Policy~ZoomUsCommunication~zoomgeneral/DisableFacebookLogin_Policy
- ./Device/Vendor/MSFT/Policy/Config/Zoom~Policy~ZoomUsCommunication~zoomgeneral/DisableLoginWithEmail_Policy
となります。有効化する際の値は、文字列として、
<enabled/>
とします。
以下、具体例として、Googleでのログインを非表示をやってみます。
Googleでのログインを非表示
先ほど作成した、構成プロファイルをクリックします。
プロパティをクリックし、構成設定で編集をクリックします。
OMA-URIの設定で追加ボタンをクリックします。
以下のようにポリシーを設定して、保存をクリックします。
- 名前:DisableGoogleLogin
- OMA-URI:./Device/Vendor/MSFT/Policy/Config/Zoom~Policy~ZoomUsCommunication~zoomgeneral/DisableGoogleLogin_Policy
- データ型:文字列
- 値:<enabled/>
レビューと保存をクリックします。
保存をクリックします。
手順は以上で終了です。
同様の手順で、Facebookでのログインを非表示(DisableFacebookLogin_Policy)とEmailでのログインボタンを非表示(DisableLoginWithEmail_Policy)を追加してみましょう。
動作確認
Zoomのサインインボタンをクリックすると、SSOでサインイン以外のボタンが非表示となっていることが確認できます。
管理者が想定していない操作をユーザーに実施させないために、不要なボタンはつぶしておくというのは非常に有効な手段だと思います。これにより問い合わせ対応などの手間の削減にもつながります。
まとめ
さて、以上の手順で、たしかにADMXをIntuneにインポートして、ポリシーを配布することはできました。ただ、Active Directoryのようにグループポリシー管理エディタを利用して、グラフィカルに設定ができるわけではないので、使い勝手としては微妙なところだなというのが感想です。PowerShellスクリプトをIntuneから配布してレジストリ追加するほうがラクな気もします。
もう少し使ってみて、使いどころのあたりをつけたいと思っています。
参考ドキュメント
Win32 and Desktop Bridge app ADMX policy Ingestion - Windows Client Management | Microsoft Docs
Microsoft Intune で Chrome ブラウザを管理する - Google Chrome Enterprise ヘルプ