Tenant Attachを構成する(MECM/MEM連携)
昨年のMicrosoft Igniteでも話がありました、MCEMとMEMの連携(Tenant Attach)について、一部の機能ですが連携できるようになったので早速テスト。
実際の作業手順や前提条件は下記URLを参考にしてください。
重要なのは前提条件の以下の点です。
・Azure Active Directory user discoveryを構成する
・Active Directory user discoveryを構成する
・MECMをTP2002.02にアップデートする。かつ、Featuresからtenant attachを有効化する
・作業を実行するアカウントにクライアントの通知を実行する権限がある(デバイスコレクションからポリシー同期等を呼び出すメニュー)
・上記アカウントでMEMにサインインする
特に最後のMEMにサインインするアカウントには要注意。
私はこれに引っ掛かりました。(Docsに書いてない気がする)
ざっくり言うと、「MCEM上でtenant attachが有効」で「MECM上で通知を実行できるアカウントをAzureADとオンプレAD両方で検出」し、かつ、「そのアカウントでMEMにサインイン」すればOKです。
MECM側はtenant attachを有効化すれば、Co-managementの設定内容が変更されていますので、「Upload to Microsoft Endpoint Manager admin center」のチェックをONにすればOKです。
※オンボーディング後はSMS_EXECUTIVE サービスの再起動が必要とのこと。
オンボーディングして、しばらく待てばMEM側にクライアントが登録されます。
追加されたクライアントの「Managed By」欄 をご確認いただくと「ConfigMgr」になってます。
そして、このクライアントを開くと以下のような画面になります。
上記画面はすでにポリシーの同期を実施済みですが、画面上部の「Sync Machine Policy」等を実行するとクライアント側でポリシーの同期が実行されます。
超ざっくりですが、構成自体は結構簡単です。アカウントにさえ気をつければ。
最初はMEMへの同期まではサクッとできたのですが、何度同期をかけてもPendingになり、ログをみると権限関係のエラーが出力され、何が問題なのか全くわからず。。。
※フィードバックしたら「実行アカウントでMEMにサインインしてる?」って聞かれてハッとなった。。。
まだまだMEM上で実行できることはMECMのごく一部の機能ですが、今後のバージョンアップが楽しみです。
