今日の記事は Microsoft Intune データウェアハウスを使用したデバイス管理状況の可視化と分析を Power BI を使用して行う内容についてです。とても便利な機能なので、個人的にはぜひ多くの方にこの機能を使用していただければと思っています。

Intune データウェアハウスとは

Microsoft Intune では、これまで管理デバイスやアプリの情報を取得しようとするとき、 csv  ファイル出力や、Azure Portalの管理画面からデバイスやアプリの管理状況を確認できました。

Intuneのデバイス管理機能は日々進化しています。現在ではWindows 10PCをMDMとして管理することが可能となっており、Azure ADに参加させたWindows10 をIntuneと連携させた Auto Pilot で自動的に構成し、OMSで管理デバイスのログの管理を行うことも可能です。

Intune = iPhoneやAndroidなどのスマートフォンを管理するためのものと認識されている方もいらっしゃるかもしれませんが、Intuneには、MDM以外にMAMなどの様々な機能が備えられています。デバイスのインベントリを管理するだけではなく、アプリ間での領域を制御し高度な情報保護を行う事が可能です。 

既に Intune は 従来SCCMでしか出来なかったような管理を置き換えはじめています。今後、この動きは更に加速し、i Phone や Android以外の、Windows や MAC など様々なデバイスをIntuneが管理するシーンが多くなると私は考えています。（すでにこれらのデバイスの管理は現在でもIntuneで管理可能です。）

そこで、今回ご紹介する Intune データウェアハウスの機能を使用して、様々な種別の管理デバイスの管理状況を可視化し、分析し、適切に管理していきましょうというのが今回の記事でお伝えしたいことです。

以前、このブログでPower BI の SCCM ソリューションテンプレートを使用したデバイス管理状況の可視化についてお伝えしましたが、今回はこれのIntune版のようなものだと捉えていただければと思います。

Power BIを使用したSystemCenterConfigurationManager可視化

概要

Intuneデータウェアハウスを使用することで、エンタープライズモバイル環境の分析をするためのレポートを作成することが出来ます。たとえば、次のようなレポートがあります。

• Intuneに登録しているユーザーの動向を視覚的に把握し分析をすることで、ライセンスの購入を最適化できます。
• 管理デバイスのコンプライアンス準拠状況を把握し、非準拠デバイスに対しての適切なアクションを即座に行うことができます。
• モバイルデバイスの詳細なステータスを確認することができます。

データウェアハウスでは、Azureポータルよりもモバイル環境に関する詳細な情報にアクセスできます。Intuneデータウェアハウスでは、次のものにアクセスできます。

• 過去のIntuneデータ
• 日単位で更新されたデータ     など

※今回の記事では Intune グラフ API を使用したレポートのカスタマイズは行いません。標準の PowerBI テンプレートを使用します。

※今回の記事では、ベータ版を使用しません。ベータ版を使用する場合には、URLにクエリパラメーターを追加する必要があります。api-version=beta

※サードパーティのツールでデータウェアハウスAPIにアクセスして、レポートを作成することも出来ますが、本ブログでは PowerBI を使用して管理状況を可視化します。

注意事項

あまりないとは思いますが、もし System Center Configuration ManagerおよびMicrosoft Intuneで構成したハイブリッドモバイルデバイス管理（MDM）を使用している場合は、SCCMからデータを取得する必要があります。Intuneデータウェアハウスには、Intuneデータのみが含まれています。カスタムレポートには、SCCM Power BIダッシュボードを使用できます。詳細については、「System Center Configuration ManagerのPower BIソリューションテンプレートのアナウンス」および「Dynamics 365のPower BIコンテンツの公開」を参照してください。

SCCM  PowerBI　ソリューションテンプレートは冒頭でもご紹介しましたが、過去の記事でデプロイ方法を記載しています。

MSサイト:  Announcing the Power BI solution template for System Center Configuration Manager

過去ブログ:  Power BIを使用したSystemCenterConfigurationManager可視化

前提条件

Azure AD と Intune の資格情報の要件

認証と承認は、Azure AD の資格情報と Intune のロールベースのアクセス制御 (RBAC) に基づいています。 すべての全体管理者およびテナントの Intune サービス管理者は、既定でデータ ウェアハウスに対するアクセス権を持っています。 Intune ロールを使用して、他のユーザーにアクセス権を付与するには、Intune データ ウェアハウス リソースへのアクセス権を付与します。

Intune データ ウェアハウス (API を含む) にアクセスするための要件は次のとおりです。

• ユーザーは次のいずれかである必要があります
  • Azure AD 全体管理者
  • Intune サービス管理者
  • Intune データ ウェアハウス リソースへのロールベース アクセス権を持つユーザー
  • アプリケーションのみの認証を使用するユーザーなしの認証

ライセンス要件

Power BI Pro (Office365 E5  または 単体のライセンス）

PowerBI Proを使用して、WEBブラウザ上でレポートを共有し管理します。PowerBI デスクトップのみでもレポート 作成は可能ですが、現実的に企業がデバイスデータの管理をするためには圧倒的にレポートをオンラインで可視化したほうが効率が良いと思いますので、今回はPower BIレポートの発行と共有までお伝えいたします。PowerBI Desktopを使用して、ローカルでレポートを作成するだけなら、PowerBIの　Free版ライセンスでレポートの作成が可能です。

それでは、実際のデプロイと設定についてお伝えします。

Intune Dataware House – レポートの作成 –

1.Azure Portalにサインインし、Intuneのメインメニューを開きます。画面右下にある  [Intuneデータウェアハウスの設定] を選択します。

2.表示されたIntuneデータウェアハウスの画面で、 [Microsoft Power BIを使用する] 欄の、 [Power BI Desktop] のリンクを選択します。 表示された画面で、Power BI デスクトップを選択し、PCにインストールします。( 既にPower BIがインストールされている方はこの工程は不要です。)

3. [Power BIファイルのダウンロード] を選択します。ファイルのダウンロードが完了したら、ダウンロードしたファイルを実行します。

4. Power BIが起動するのでしばらく待機します。

5. Power BIが起動し、サインイン画面が表示されたら、Power BIライセンスを保有するユーザーアカウントでサインインします。

6. 下図の画面が表示されたら、上部に表示されている　[変更の適用] を選択します。

7.  ODataフィールドの画面が表示されたら、下図の [組織アカウント] を選択し、表示された画面で Intune Dataware House データを取得可能な権限を持つ組織アカウントの情報を入力し、サインインします。

8.  正常に接続が出来ると、クエリの取得が開始されます。クエリの取得が完了するまでの間、しばらく待機します。

9. 正常にクエリの取得が完了すると、Intune レポートがPower BI上に表示されます。各タブにて、Intune の稼働状況の確認をすることができます。

※私の検証環境はデバイス数が少ない為、全然グラフィカルじゃないのですが、これは一例だと思ってください。コンプライアンスポリシーの準拠状態や、デバイス構成ポリシーの適用状態、Intuneの展開トレンドなどを視覚的に把握できます。(アプリ保護ポリシーシートもありますが、今回私の環境ではアプリ保護を構成していない為、アプリ保護ポリシーシートについては割愛させていただきます。）

Device Summaryシート

Enrollmentシート

Compliance Policyシート

Device Configuration Profileシート

Device Inventory Logsシート

Intune Dataware House – レポートの共有 –

1. 作成したIntune レポートをオンラインで共有可能なように、Power BIレポートを発行します。[ホームタブ] の [発行] を選択します。

2.下図の画面が表示され、Power BIへ発行が完了したら、　[Power BIで “Intune Data Warehouse Report”を開く]　を選択し、Power BIにサインインしているアカウントで、Office365にサインします。

3. Office365へのサインインが完了したら、Power BIを開き、オンラインレポートが自動的に最新の情報を取得するように設定をしていきます。レポートを発行したワークスペースを開き、上部のメニューバーから [歯車]アイコンを選択します。

4. 表示されたメニューから [設定] を選択します。

5.   [データセット]タブを選択します。

6.  [データソースの資格情報] – [OData] – [資格情報を編集]を選択します。

7. 認証方法に [Oath2]を選択し、サインインを選択します。

8. サインイン画面が表示されるので、Intune Dataware Houseレポートへの接続権限を持つ組織アカウントでサインインします。

9.  正常にサインインが完了したら、[スケジュールされている更新]を開き、[データを最新の状態に保つ]を有効にします。更新の頻度やタイムゾーンなどを設定し、[適用]を選択します。

10. 以上の操作で、WEB ブラウザ上で最新のIntune レポートを閲覧・編集できるようになりました。画面上部の [最新の状態に更新] を選択することで、いつでも最新の Intuneレポートを表示することができます。

11. 最後に、発行したオンラインレポートを管理者間で共有する為、レポートの共有を行います。画面の右上にある　[共有] を選択します。

12. レポートの共有画面で、[アクセス権を付与する相手]に共有したいユーザーのメールアドレスを入力します。[受信者に電子メールの通知を送信する]の ☑ を有効にし、電子メールを自動的に送信するか、もしくは画面下部の レポートリンク をコピーし、共有相手に個別に連絡しレポートを共有します。 [共有] を選択することでレポートの共有は完了です。

※レポートを共有する相手にもPower BI Proライセンスが必要です。