見出し画像

Intune - Windows10のntpサーバを変更する設定

はい、みなさん、こんにちは12banです。
2020年も1ヶ月が経ち、2月に入りました。月日が経つのは早いものですね。今年もエンジニアイベントを何回かやっていけたらと思っています。

ちょうど先週、EMS勉強会でIntuneイライラ話をお話させていただきました。これからIntuneを触る人が僕のようにイライラしないように、課題解決のための情報を出していければと思います。

さて、今回は、
"Windows10のntpサーバを変更する"
という構成プロファイル(実際にはPowerShellスクリプト)をIntuneで作成して、全台に適用します。

みなさんのセキュリティポリシー、セキュリティ関連規定でntpサーバの変更が規定されていませんか?

うちはPCI DSSの絡みでWindows10のntpサーバの変更が規定されています。

Windows10での設定

規定に書かれていますので、この設定を、

ntp設定

Windows10デバイスすべてに設定する必要がある、ということです。

Intuneで表現するには?

EMS勉強会でもお話させていただいのですが、Windows10の設定とIntune上の設定の対応表みたいなものが存在しないので、ガチャガチャとトライアンドエラーをする必要があります。

話は少しそれますが、IntuneではWindowsを設定する方法として、5つあります。

1. 構成プロファイル(規定のプロファイル)を使う
2. 構成プロファイル(管理用テンプレート)を使う
3. 構成プロファイル(OMA-URI)を使う
4. セキュリティベースラインを使う
5. PowerShellスクリプトを使う

そして上記設定をした2019年10月時点において、
PowerShellスクリプトを使って変更する以外の方法
はありませんでした。

よって今回はPowerShellスクリプトを使うことでIntuneで実現していきます。

PowerShellを使った設定の仕組み

Intuneにはいくつかの方法でWindows10の設定を行うことができます。
今回はその中のPowerShellを使った方法になります。

これは設定変更を行うPowerShellスクリプトを書いて、そのスクリプトファイルをWindows10デバイスに配信し自動実行することで設定を行うものになります。

今回のPowerShellスクリプト

PowerShellを使ってレジストリを書き換えてます。
詳細は上記のコードを読んでくださいw

Intuneの設定

Intuneの設定はこれ

画像2

スクリプト設定の中の「スクリプト署名チェックを強制」はいまいちわかってないです。誰か偉い人教えて下さいw

上記はそのままなのですが、
- ntp_change.ps1というファイルを
- dg_pc_windowsというグループに
- 64bit上のPCで実行する & 管理者権限で実行する(?)
という設定です。

おわりに

結局の所、デバイスマネジメントにおいて、共通するセキュリティポリシーってあると思います。ファイアウォール設定を無効にできないようにしたり、スリープ解除時に認証を求めるようにしたり、などなど。

現状ではこのようなIntuneプロファイルの設定方法は、あまり情報共有されいません。各社、共通するセキュリティポリシーがあるはずなのに...

みなさんもIntuneのプロファイル設定方法について、ガンガン情報共有してみてください。きっと貴方の助けを待ってる人がいるはずです。

この記事が気に入ったら、サポートをしてみませんか?気軽にクリエイターを支援できます。

6
SIerでプリセールス、PM、エンジニア→Web系インフラエンジニア→メガベンチャーIT部門立ち上げ・責任者→FinTechベンチャー(仮想通貨)IT部門立ち上げ・責任者→FinTechベンチャー(決済)