1台のWindows端末を複数人で共有し、最小限のメンテナンスで管理をしたい場合はIntuneの共有PCモードが便利です。
共有PCモードを使う際は利用するアプリケーションのライセンスも考慮が必要になりますが、Microsoft 365 のWordやExcelなどのOfficeツールは共有端末のライセンス認証に対応しています。
Intuneによる共有PCモードの展開と上記Officeツールの導入について記載します。
前提条件
以下の条件を満たす必要があります。
- ライセンス
- Intuneライセンスを含むもの(DEM権限アカウントでIntune展開する場合はユーザーライセンスの他にデバイスライセンスが別途必要です)
- Office 365 E1などのライセンス(WordやExcelなどのOfficeツールを使う場合)
- 対応デバイス
- Windows10またはWindows11 Professionalエディション
- Windows10またはWindows11 Enterpriseエディション
- Windows Holographic for Business (HoloLens など)
Microsoft Intune管理センターでの作業
自動登録
Windows端末をIntuneに登録する方法は、ポータルサイトアプリなどいくつかありますが、自動登録設定が簡単かと思います。
これは、ME-ID上に登録されたタイミングで、Intune側にも登録させる機能です。
Microsoft Intune管理センターの「デバイス」-「Windows」-「Windowsの登録」-「自動登録」を開き、「MDMユーザースコープ」で「すべて」になっていることを確認します。
設定されていない場合は変更して「保存」をクリックしてください。
構成プロファイル
Microsoft Intune管理センターの「デバイス」-「Windows」-「構成プロファイル」から各ポリシーを作成します。
「作成」-「新しいポリシー」、「プラットフォーム」は「Windows10以降」を選択します。
「プロファイルの種類」は「テンプレート」とし、「共有のマルチユーザーのデバイス」テンプレートを選択し「作成」をクリックします。
「共有のマルチユーザーのデバイス」の構成設定
「共有のマルチユーザーのデバイス」テンプレートの構成設定について記載します。
- 共有PCモード
- 「有効にする」を選択します。
- Guestアカウント
- ドメインかゲスト、その両方の3択から選びます。
- ドメインは端末の状態(オンプレミスのADDSを使ったローカルドメインによるサインイン、またはME-IDのアカウントによるサインイン)によります。
- ゲストは、端末にサインインする度に認証なしでローカルアカウントが作成されることを意味します。
- ドメインかゲスト、その両方の3択から選びます。
- アカウント管理
- ドメイン(ADDSのローカルドメインアカウント、ME-IDのアカウント)またはゲストでサインインした場合、端末のローカルプロファイルにアカウントごとのフォルダーが作成されます。
- サインアウトやシステムのメンテナンス中に該当フォルダーを削除するかどうかを選択します。
- アカウントの削除
- アカウント管理で「有効」を選択した場合に表示されます。
- アカウントの削除タイミングを選択できます。
- 「ログアウトの直後」「記憶域スペースのしきい値」「記憶域スペースのしきい値と非アクティブなしきい値」から選びます。
- 記憶域スペースはディスクの使用率(0-100%)に応じて削除、非アクティブしきい値はサインインしてから何日(0-60日)経過したら削除するかを定義します。
- ローカルストレージ
- 設定を有効にした場合、エクスプローラーの使用中にローカルストレージに保存または表示ができなくなります。
- 電源ポリシー
- 設定を有効にした場合、共有PC用に最適化された電源設定がローカルグループポリシーで構成されます。
- スリープタイムアウト(秒)
- 非アクティブな状態が何秒(0-18000秒)続いたら、デバイスをスリープモードに移行するかを設定します。
- 時間を設定しない場合は60分後にスリープ状態に移行します。
- PCがスリープから復帰するときにサインインする
- 設定を有効にした場合、スリープモードから復帰するタイミングでパスワードを使ってサインインするよう要求します。
- メンテナンス開始時刻(午前0時からの経過分数)
- Windows Update などの自動メンテナンス タスクを実行する時刻(0-1440分)です。
- 午前0時からのカウントなため、午前2時に開始する場合は120と入力します。
- 教育ポリシー
- 設定を有効にした場合、教育機関向けに設定されたローカルグループポリシーで構成(広告IDをオフ、Windowsヒントを表示しない、Microsoftコンシューマーエクスペリエンスをオフ)されます。
今回の検証環境では以下のように設定をしました。
「共有のマルチユーザーのデバイス」の割り当て
構成プロファイルの割り当ては、すべてのデバイスまたはデバイスグループを指定してください。
私の環境では共有PC用のデバイスグループを作成し割り当てをしています。
その他の構成プロファイル
共有PCでもWindows Update関連のポリシーを適用可能です。
「ソフトウェア更新プログラム」や「配信の最適化」ポリシーなどが該当します。
上記ポリシーの詳細については本記事の対象外のため割愛させていただきます。
Windowsアプリの配信
Microsoft 365 Apps(WordやExcelなどのOfficeツール)をIntune経由で配信したい場合は設定を行います。
Microsoft Intune管理センターの「アプリ」-「Windows」-「追加」を開き、「アプリの種類」、「Microsoft 365 アプリ」-「Windows10 以降」を選び、「選択」をクリックします。
あとはウィザードに従い設定をします。
「アプリスイートの構成」ウィザードのプロパティ設定で「共有コンピューターのライセンス認証を使用」を「はい」に設定してください。
正しく割り当てされていれば、共有PCにMicrosoft 365 Appsをインストールすることができます。
共有PCデバイスのIntune登録
過去記事で書いたことがあるので紹介に留めます。
今回の検証デバイスでは、旧名で言うAAD参加(AAD Join / AADJ)で対応しました。
2023年10月から名称変更されたので、今はMicrosoft Entra Joinと呼ばれていますね。
構成プロファイルの適用状況確認
デバイスのIntune登録後は、作成した構成プロファイルを開き、「レポートの表示」から進捗状況を確認することができます。
成功としてカウントされていることを確認します。
共有PCの動作確認
ゲストでサインイン
「ゲスト」を選択し「サインイン」をクリックすれば資格情報なしでサインインができます。
Microsoft 365 Appsは導入済みなので、ライセンスを所有しているユーザーアカウントでサインインします。
バージョン情報を確認すると「共有コンピューターのライセンス認証」の文字列を確認できます。
ME-IDのアカウントでサインイン
今回は、Microsoft Entra Join 構成のデバイスなのでME-IDのアカウントでサインインできます。
初回のサインインでは、Officeツールのライセンス認証を求められました。
バージョン情報を確認すると「共有コンピューターのライセンス認証」の文字列を確認できます。(画像は「ゲストでサインイン」と同様のため割愛)
利便性が落ちるので、運用で使用する場合は「共有のマルチユーザーのデバイス」テンプレートの「アカウントの削除」設定で、一定期間ユーザーアカウントプロファイルの削除を待つ構成にした方が無難かと思います。
検証環境の構成では、ログアウト後にユーザーアカウントプロファイルを削除する構成にしています。
例えばbkupアカウントでサインインしている場合、サインアウト後はC:¥Users¥bkupフォルダーは削除されます。
共有PC用のポリシーを適用する前に作成したアカウント(画像でいうymiyaのローカルアカウント)はポリシーの適用対象外となるため削除されることはありません。
共有PCのWindows Update
通常のデバイスと同様に、Windows Updateによる品質更新プログラムの適用が行えます。
画像では手動で更新プログラムのチェックをし適用していますが、メンテナンス開始時間以降で非アクティブな状態のときに自動更新させることが可能です。
おわりに
作りこみをする必要もなく、ユーザーアカウントプロファイルフォルダーの自動削除やローカルストレージの保存禁止など簡単に導入ができます。
1人1台デバイスを持つ必要がない職場(シフト勤務制など)や、必要に応じて拠点ごとにデバイスのサインインが必要な職場(工場など)で活躍できそうな技術ですね。
導入検討時の参考になれば幸いです。