PINでのパッケージ登録のプロビジョニング

管理者は SCCM または Ivanti Endpoint Manager によって管理されているデバイスを Ivanti Neurons for MDM に登録できます。 配布パッケージ ツールを使用すると、ダウンタイムやエンドユーザの中断なく、Ivanti Neurons for MDM Modern Management への Windows デバイスの移行を合理化できます。 シームレスな移行を実現するには、Ivanti Neurons for MDM コンソールから固有の配布パッケージをダウンロードし、既存の管理ツールまたはドメインを使用して配布します。 パッケージが実行されると、エンドポイントは Ivanti Neurons for MDM にサイレントに登録され、管理が継続されます。 このアプローチにより、管理者はまずデバイスを簡単に移行し、その後、無線でデバイスを構成するという柔軟性が得られます。 デバイスの Ivanti Neurons for MDM へのサイレント登録が完了すると、そのデバイスはMDMと結合され、2つの管理権限によって共同管理されます。 管理者が Ivanti Neurons for MDM 内で目的のWindows体験を構成したら、古い管理プラットフォームは廃止され、Ivanti Neurons for MDM がデバイスの唯一の管理機関となります。

デバイスが Microsoft Endpoint Manager (MEM) (旧称 SCCM) から移行されている場合は、このルールが適用されません。 既存のMEMクライアントは、MEMプラットフォームが廃止されるまで、(共同管理モードではなく)共存モードで機能を継続します。 共存モードを有効化すると、MEMクライアントは特定の機能を自動的に無効化し、それらのワークロードが Ivanti Neurons for MDM によって提供されるようになります。 詳細については、Microsoft の共存ドキュメントをご覧ください。

MEMおよび他のサードパーティ管理プラットフォームを使用した場合の具体的な動作に関し、Ivantiでは、まずお客様の環境で Ivanti Neurons for MDM 導入パッケージツールをテストすることをお勧めします。

前提条件

  • ユーザ アカウントは、LDAP、AD (AAD)、ローカル ユーザ アップロード、または他の ID 統合を使用して、Ivanti Neurons for MDM にインポートする必要があります。
  • すべてのデバイスには Windows Configuration Designer がインストールされている必要があります。
  • PIN に基づく登録を有効にする Ivanti Neurons for MDM
  • ユーザ名にはスペースを使用しないでください。これにより、ユーザ デバイスの移行が失敗する場合があります。
  • このツールは、AAD を利用しない環境に配布できます。
  • Ivanti Neurons for MDM Modern Windows管理スイートの主な要素はAADを必要としません。 共同管理または共存には、移行中の影響を回避するために、サイレント登録時に特定のワークロード/構成を配布する必要があります。
  • 配布パッケージは現在のところ、SCCMおよびIvanti Endpoint Managerでのみサポートされています。

手順

  1. [管理 > Windows > 配布パッケージ] をクリックします。
  2. [ユーザ] または [ユーザグループ] を選択してPINを生成し、[配布パッケージのダウンロード](.zipファイル)をクリックします。
  3. 配布パッケージは SCCM / Ivanti Endpoint Manager 管理者に提供されます。管理者はパッケージを解凍して、該当する管理対象のデバイスに転送します。 この手順を実行する方法については、構成マネージャのパッケージとプログラムをご参照ください。
  4. 転送後、管理者がリモートでデバイスの setup.ps1 スクリプトをトリガーします。 スクリプトのトリガーについては、構成マネージャからのスクリプトと配布をご参照ください。
  5. デバイスが Ivanti Neurons for MDM 上に登録されます。

  • ユーザーに対して生成されたPINは24時間のみ有効です。 PINの有効期限が切れたら、新しいPINを生成する必要があります。
  • PINを含むファイルは、登録の試みが完了した後でデバイスから削除されます。

    • SCCM デバイスを登録する Ivanti Neurons for MDM

    手順

    1. 選択したユーザの Ivanti Neurons for MDM から配布関連ファイルをすべてダウンロードします。
    2. 登録するアカウントまたはグループを選択します。
    3. SCCM を使用してクライアント デバイスにパッケージ ファイルを配布する:
      1. 必要なクライアントが SCCM に存在しているかどうかを確認します。 Windows-configuration-designer がクライアントに存在しない場合、管理者はデザイナーをプッシュし、クライアントに配布する必要があります。
      2. SCCM サーバで、フォルダを作成し、配布 zip ファイルをコピーして、ファイルの内容を展開します。
      3. ファイルがクライアント デバイスに展開されるフォルダの内容をコピーする .bat ファイルを作成します。
      4. SCCM で [ソフトウェア ライブラリ] > [アプリケーション管理] > [パッケージ] に移動し、フォルダの内容をクライアントにコピーするパッケージを作成します。 内容をコピーする保存先フォルダを入力します。
      5. パッケージをデバイスまたはデバイスの場所に配布します。
      6. [監視] セクションでは、配布ステータスを監視し、ファイルがクライアントの保存先フォルダにコピーされたことを確認できます。
    4. スクリプトを実行してデバイスを登録する:
      1. [ソフトウェア ライブラリ] > [スクリプト] に移動し、スクリプトを作成します。
      2. スクリプトの名前を入力し、解凍されたフォルダから PowerShell スクリプト setup.ps1 をインポートします。
      3. スクリプトを承認し、ターゲット デバイスでスクリプトを実行します。
      4. [今すぐ開始] を選択し、[保存] をクリックします。 スケジュールされたタスクにより、スクリプトの実行が開始します。 正常に実行されると、ステータスが緑色になります。
    5. デバイス登録を検証するには、[設定][プロビジョニング パッケージの追加と削除][詳細] に移動します。

    Ivanti Endpoint Manager デバイスを登録する Ivanti Neurons for MDM

    手順

    1. 選択したユーザの Ivanti Neurons for MDM から配布関連ファイルをすべてダウンロードします。
    2. 登録するアカウントまたはグループを選択します。

      3. ケース1: 同じユーザ名でデバイスを登録するには、デバイス名が考慮されます。この場合、電子メールアドレスは有効なユーザ電子メールアドレスではありません。 AD ドメインが付いたデバイス名の電子メールアドレスは登録電子メールアドレスと見なされます。 管理者はアカウントを LocalSystemAccount に設定し、setup.ps1 を主ファイルとして使用して、PowerShell 実行を開始する必要があります。

      ケース2: デバイスの場所のファイルの修正に関する制限がない場合、デバイスを登録するには、有効なユーザ電子メールアドレスが考慮されます。登録ではログイン ユーザの電子メールアドレスを使用します。 この登録を有効にするには、管理者はアカウントを現在のユーザ アカウントに設定し、setup.ps1 を主ファイルとして使用して、PowerShell 実行を開始する必要があります。

      ケース3:デバイスの場所のファイルの修正に関する制限がある場合、デバイスを登録するには、有効な電子メールアドレスが考慮されます。登録ではログインユーザーの電子メールアドレスを使用します。 このケースには、次の2つのサブケースがあります。 

      • 登録では2つのスクリプトを使用します。setupEPMCopyContentsToTempFolderStep2.ps1 で別の配布パッケージを作成し、現在のユーザ アカウントで実行します。 ファイルは一時的な場所にコピーされます。 setupEPMCopyContentsToTempFolderStep2.ps1 で別の配布パッケージを作成し、Local System Account で実行します。

        • パッケージファイルが含まれているフォルダの修正に関して、デバイスユーザーに制限がある場合。ファイルを一時フォルダにコピーし、ユーザーIDを確認して、PowerShellパッケージを作成します。 PowerShell packageはsetupEPMCopyContentsToTempFolderStep2.ps1スクリプトで実行されます。 インストール後、一時フォルダは削除されます。

      • UAC を有効/無効にする
        1. レジストリ エントリを更新して、UAC 制御を無効にし、コンピュータを再起動する
        2. 現在のユーザのアカウントで setup.ps1を使用して、PowerShell パッケージを実行する
        3. レジストリ エントリを更新して、UAC 制御を有効にし、コンピュータを再起動する

    3. PowerShell パッケージを作成する:
      1. 必要なクライアントが Endpoint Manager に存在しているかどうかを確認します。
      2. ファイルを C:\Program Files\LANDesk\ManagementSuite\LANDesk\files\ にコピーします。 このフォルダ内でサブフォルダを作成し、ファイルを展開します。
      3. パッケージの作成:[配布 > 配布パッケージ > 新規 > Windows > PowerShell]

        管理者は、デバイスで設定された制限レベルに基づいて、さまざまなデバイスにパッケージを配布できます。

      4. [主ファイル] セクションで、パッケージ名を入力し、ファイルがコピーされたフォルダから setup.ps1 をアップロードします。
      5. [追加のファイル] セクションで、[追加] を使用して残りのファイル (setup.ps1 スクリプト以外) をコピーします。
      6. [アカウント] セクションで現在のユーザーのアカウントを選択します。
      7. [保存] をクリックします。
    4. スケジュールされたタスクを作成する:
      1. 作成したパッケージを選択し、右クリックして、[スケジュールされたタスクの作成] を選択します。 スケジュールされたタスクが作成されている。
      2. デバイスをドラッグし、スケジュールされたパッケージ セクションに追加します。
      3. スケジュールされたパッケージを右クリックし、[プロパティ] を選択します。
      4. パッケージを検証します。
      5. [タスク タイプ] の下で [プッシュ] を選択します。
      6. [今すぐ開始] を選択し、[保存] をクリックします。 スケジュールされたタスクにより、スクリプトの実行が開始します。 正常に実行されると、ステータスが緑色になります。
    5. デバイス登録を検証するには、[設定][プロビジョニング パッケージの追加と削除][詳細] に移動します。 あるいは、管理者がデバイスの診断ログの下でデバイス登録を検証できます。