トップ > intune > Microsoft Intune Connector for Active Directoryの最新セキュリティ更新情報とアップデート手順

Microsoft Intune Connector for Active Directoryの最新セキュリティ更新情報とアップデート手順

intune Microsoft Entra ID Microsoft Entra Connect MicrosoftEntraID Microsoft Intune Intune Connector

本記事では「Microsoft Intune Connector for Active Directory」(以下、Intune Connector)におけるセキュリティ更新の詳細とアップデート方法について解説していきます。

※ この記事の情報は2025/4/30時点のものです。

Microsoft Intune Connector for Active Directoryのセキュリティ更新情報

2025/2/28にMicrosoftより以下の記事が投稿されました。

Microsoft Intune Connector for Active Directory security update | Microsoft Community Hub

この記事では「Intune Connectorの新しいビルド6.2504.2001.8がリリースされ、セキュリティと機能が改善されました。古いコネクタのサポートが2025年6月下旬にサポートが終了するため、新しいコネクタにアップデートしてください。」といった事が書かれています。

古いコネクタと新しいコネクタを比較した変更箇所を以下の表にまとめました。

項目

アップデート前の設定

アップデート後の設定

Intune Connectorのバージョン

6.2304.38.4

6.2501.2000.5以上(最新バージョン6.2504.2001.8)

アカウントタイプ

既存のアカウント(SYSTEM)

Managed Service Account (MSA)

ウィザードのサインイン ページ

WebBrowser

WebView2

前提条件

前提条件を以下にまとめました。

Intune Connectorのバージョン

現在のバージョンが古い場合(例: 6.2304.38.4)にのみ最新バージョン(例: 6.2501.2000.5)にアップデートが必要です。

サーバー最小要件

  • Windows Server with 2008 R2 機能レベル以上
  • .NET Framework 4.7.2ランタイムがインストールされていること

アカウントと権限

Intune管理者ロールと、Active Directoryドメインサービス(以下、AD)でmsDs-ManagedServiceAccountオブジェクトを作成する権限が必要です。

事前に用意するアカウントと権限は以下です。

  • Intune管理者ロールとMicrosoft Intuneライセンスを持つEntra IDアカウント
  • 以下のいずれかの権限
    • ADアカウントの場合
      • Domain Adminsに所属するアカウント
      • または、msDs-ManagedServiceAccountオブジェクト作成権限を持つアカウント
    • ローカルアカウントの場合
      • ローカルのAdministrators権限を持つアカウント

Managed Service Accountsコンテナの確認

ドメインコントローラーの「Active Directoryユーザーとコンピューター」で「Managed Service Accounts」コンテナが存在するかどうかを確認し、必要に応じて「詳細な機能」を有効にします。

※Managed Service Accounts(以下、MSA)を作成するための専用コンテナが必要であり、存在しない場合はエラーが発生する事例が報告されています。

Edge WebView2ランタイムの新規導入

新規Intune Connectorウィザードのサインイン ページでは、Edge WebView2ランタイムが別途必要になります。1-5の手順で導入してください。

アップデート手順

1. 事前準備

1-1. 導入サーバー上で「コントロールパネル」>「プログラムと機能」>「インストールされた更新プログラムを表示」よりコネクタのバージョンを確認します。コネクタが古いバージョン(6.2304.38.4など)であることを確認します。

1-2. 以下サイトより古いIntune Connectorのインストーラーをダウンロードします。このインストーラーはアンインストールする際に必要になります。

Download Intune Connector for Active Directory from Official Microsoft Download Center

インストーラーのバージョン確認は、インストーラーの「プロパティ」>「詳細」から確認できます。


1-3. Intune管理センターにログインし、「デバイス」>「登録」>「Active DirectoryのIntuneコネクタ」より導入サーバーのコネクタバージョンを確認します。コネクタが古いバージョン(6.2304.38.4など)であることを確認します。

1-4. Intune管理センターの「デバイス」>「登録」>「Active DirectoryのIntuneコネクタ」>「追加」>「オンプレミスのActive DirectoryのIntuneコネクタをダウンロード」より、新しいIntune Connectorのインストーラーをダウンロードします。

1-5. 以下のサイトの赤枠より対象のEdge WebView2ランタイムインストーラーをダウンロードし、サーバーに導入します。

Microsoft Edge WebView2 | Microsoft Edge Developer

2. アンインストール

まずは、現在インストールされている、古いIntune Connectorのアンインストールを行います。

2-1. Windowsの設定アプリの「アプリと機能」から「Intune Connector」を探し、「アンインストール」をクリックします。

2-2. 別途、1-2の手順でインストールした古いIntune Connectorのインストーラー(ODJConnectorBootstrapper.exe)を使用してアンインストールします。「アンインストール」をクリックします。

2-3. ウィザードに沿ってアンインストールを完了させて閉じます。

3. インストール

3-1. 新しいIntune Connectorのインストーラーを管理者権限で実行します。

ウィザードで「ライセンス条項および使用条件に同意する」にチェックを入れて、「インストール」をクリックします。

3-2. ウィザードに沿ってインストールを完了させて、「閉じる」をクリックします。

※ 次の3-4の手順を踏まずに「今すぐ構成する」を進めるとエラーが起きる可能性があるため、一度閉じます。

3-3. Windowsの設定アプリの「アプリと機能」より、Intune Connectorのバージョンが新しくなっていることを確認します。

3-4. 構成時に次のエラー表記が出る場合があるので、エラーで表記されている*1ディレクトリをエクスプローラーで開き、プロパティを表示します。

3-5.「セキュリティ」タブを開き、サーバーにログオンしている作業アカウントに対して、フルコントロール権限もしくは読み取りと書き込み権限を与えてください。 

※ 対象のディレクトリの「セキュリティ」設定で既に作業アカウントの読み取りと書き込み権限が確認できた場合は、本手順はスキップしてください。

4. Intune Connectorの構成

4-1. スタートメニューよりIntuneコネクタのウィザードを開き、「サインイン」をクリックします。

4-2. 管理者権限を持つMicrosoft 365アカウントでサインインします。

4-3. 「Intuneコネクタが正常に登録されました」のポップアップが出ることを確認して「OK」で閉じます。

※アカウントに権限やライセンスがない場合はエラーとなります。

5. ドメイン参加OUの指定(XMLファイルの編集)

既定では、MSA はどの OU に対しても、コンピューター オブジェクトを作成するためのアクセス権がありません。

ドメイン参加にカスタム OU を使用する場合は、ODJConnectorEnrollmentWiazard.exe.config ファイルを更新する必要があります。

5-1. エクスプローラーを開き、"C:\Program Files\Microsoft Intune\ODJConnector\ODJConnectorEnrollmentWizard" にある"ODJConnectorEnrollmentWiazard.exe.config"ファイルをメモ帳などで開いてください。

5-2. XMLファイルの以下黄色のValue部分に、Autopilotでデバイスオブジェクトを追加するOUの識別名(DN:Distinguished Name)を入力して上書き保存してください。

※ OUのDNはADサーバーの「ユーザーとコンピュータ」で対象のOUを右クリックし、「プロパティ」>「属性エディター」より確認できます。
※OU名にスペースがある場合は「\20」でエスケープしてください。

例:value=”OU=Asia,OU=Physical,OU=MDM\20Managed\20computers,OU=Workstations,OU=ComputersDC=intranet,DC=eskonr"

6. MSAの構成

6-1. XMLファイルを更新することが完了出来たら、ウィザードを再度開きなおして、「管理されたサービスアカウントを構成する」をクリックします。

6-2. MSAが設定されたというポップアップが出ることを確認します。作成された以下黄色のMSAの名前をメモしておき、「OK」で閉じます。

6-3. Windows管理ツールより「サービス」>「Intune Connector for Active Directory Service」を右クリックし、「プロパティ」をクリックします。


6-4. 「ログオン」タブを開いて、「アカウント」に先ほどメモしたMSA名が記載されていることを確認します。

これは、Intune Connectorのサービスが設定したMSAで実行されていることを意味します。

7. 最終確認

7-1. ADサーバーにログインし、 Windows管理ツールより「ユーザーとコンピュータ」>「Managed Service Accounts」に設定したMSAが存在することを確認します。

7-2. 「ユーザーとコンピュータ」より、XMLファイルで指定したAutopilotでデバイスオブジェクトを追加するOUを右クリックし、「プロパティ」>「セキュリティ」をクリックします。

設定したMSAをクリックし、アクセス許可欄に"特殊なアクセス許可"にチェックが入っていることを確認します。

※ここでアカウントが表記されなかったり、許可がなかったりする場合は、XMLファイルの編集からやり直してください。

7-3.  Intune管理センターにログインし、「デバイス」>「登録」>「Active DirectoryのIntuneコネクタ」より、導入サーバーのコネクタバージョンを確認します。

新しいバージョンのコネクタがアクティブになっていることを確認します。

※エラーのコネクタ(古いコネクタ)は一定期間経過後に管理センターから消えます。

以上でIntune Connector for Active Directoryのアップデート作業は完了です。

最後に

アップデート情報については、本記事だけでなく、Microsoftの公式ドキュメントやリリースノートも随時確認することをお勧めします。最新の情報を把握することで、最適な運用とトラブルシューティングが可能になります。

本記事がお役に立てば幸いです。

*1:例えばC:\Program Files\Microsoft Intuneなど

執筆担当者プロフィール
岩永 岳浩

岩永 岳浩(日本ビジネスシステムズ株式会社)

金融保険本部に所属しています。 主に認証基盤(Microsoft Entra ID、Active Directory)に強く、AWS、Jiraも少し経験あります。

担当記事一覧