To enable IT Admins to take any critical tenant health actions directly within the Microsoft Managed Desktop portal, Microsoft Managed Desktop has created an enterprise application, Modern Workplace Management, to replace the MsAdmin service account currently used to manage your tenant.

Modern Workplace Management is a Microsoft application used to run the Microsoft Managed Desktop service. This is the first action that will become available to IT Admins within the Tenant management blade and will go live at the end of March.

This change is part of our efforts to improve how the Microsoft Managed Desktop service is managed. Modern Workplace Management helps minimize the need to exclude accounts from conditional access and multi-factor authentication. Additionally, it improves the ability to manage configuration updates and maintain overall service health.

[When will this happen:]

Modern Workplace Management will go live at the end of March 2023.

[How this will affect your organization:]

Depending on when you enrolled to the service, we will have different actions that will be necessary to take.

You can visit the Tenant Management pane via:

• Tenant Administration > Microsoft Managed Desktop > Tenant Management
• Select the banner displayed within the Microsoft Managed Desktop Devices pane that alerts you to take action.

If your organization enrolled into Microsoft Managed Desktop prior to July 11, 2022, the following actions apply:

In the Tenant management blade, Global Admins will need to consent and approve the following changes:

• Create the Modern Workplace Management enterprise application.
  • This is a limited enterprise application with the specified permissions listed below. We use this account to manage the service, publish baseline configuration updates, and maintain overall service health.
• Remove MSAdmin from Service accounts.
  

If your organization enrolled into Microsoft Managed Desktop after July 11, 2022, the following actions apply:

In the Tenant management blade, Global Admins must consent and approve the following changes:

• Remove MSAdmin from Service accounts.
  

The Modern Workplace Management enterprise application will be used for all non-interactive operations with your tenant. Other service accounts will not be removed and will continue to be utilized for their appropriate functions.

Modern Workplace Management will have the following permissions in your tenant:

• DeviceManagementApps.ReadWrite.All
• DeviceManagementConfiguration.ReadWrite.All
• DeviceManagementManagedDevices.PriviligedOperation.All
• DeviceManagementManagedDevices.ReadWrite.All
• DeviceManagementRBAC.ReadWrite.All
• DeviceManagementServiceConfig.ReadWrite.All
• Directory.Read.All
• Group.Create
• Policy.Read.All
• WindowsUpdates.ReadWrite.All

[What you need to do to prepare:]

A Global Administrator will need to visit the Tenant Management blade to approve the Microsoft Managed Desktop service for your tenant. If you have any questions on this planned change or need assistance, submit a support request in your Microsoft Intune admin center.

Additional Information

IT 管理者が Microsoft マネージド デスクトップ ポータル内で直接重要なテナントの正常性アクションを実行できるようにするために、Microsoft マネージド デスクトップは、テナントの管理に現在使用されている MsAdmin サービス アカウントを置き換えるエンタープライズ アプリケーション モダン ワークプレース管理を作成しました。

モダン ワークプレース管理 は、Microsoft マネージド デスクトップ サービスを実行するために使用されるマイクロソフト アプリケーションです。これは、テナント管理ブレード内で IT 管理者が使用できる最初のアクションであり、3 月末に有効になります。

この変更は、Microsoft マネージド デスクトップ サービスの管理方法を改善するための取り組みの一環です。モダン ワークプレース管理は、条件付きアクセスと多要素認証からアカウントを除外する必要性を最小限に抑えるのに役立ちます。さらに、構成の更新を管理し、サービス全体の正常性を維持する機能が向上します。

[これはいつ起こりますか:]

モダン ワークプレース管理は、2023 年 3 月末に稼働します。

[これが組織に与える影響:]

サービスに登録した時期に応じて、実行する必要があるアクションは異なります。

テナント管理ペインには、次の方法でアクセスできます。

• テナント管理 > Microsoft マネージド デスクトップ > テナント管理
• [Microsoft マネージド デスクトップ デバイス] ウィンドウ内に表示される、アクションを実行するように警告するバナーを選択します。

組織が 2022 年 7 月 11 日より前に Microsoft マネージド デスクトップに登録した場合は、次のアクションが適用されます。

[テナント管理] ブレードで、グローバル管理者は次の変更に同意して承認する必要があります。

• モダン ワークプレース管理エンタープライズ アプリケーションを作成します。
  • これは、以下に示す指定されたアクセス許可を持つ制限付きエンタープライズ アプリケーションです。このアカウントを使用して、サービスの管理、ベースライン構成の更新の発行、およびサービス全体の正常性の維持を行います。
• サービス アカウントから MSAdmin を削除します。
  

組織が 2022 年 7 月 11 日以降に Microsoft マネージド デスクトップに登録した場合は、次のアクションが適用されます。

[テナント管理] ブレードで、グローバル管理者は次の変更に同意して承認する必要があります。

• サービス アカウントから MSAdmin を削除します。
  

モダン ワークプレース管理エンタープライズ アプリケーションは、テナントとのすべての非対話型操作に使用されます。その他のサービス アカウントは削除されず、適切な機能のために引き続き使用されます。

モダン ワークプレース管理 には、テナントで次のアクセス許可が付与されます。

• DeviceManagementApps.ReadWrite.All
• DeviceManagementConfiguration.ReadWrite.All
• DeviceManagementManagedDevices.PriviligedOperation.All
• DeviceManagementManagedDevices.ReadWrite.All
• DeviceManagementRBAC.ReadWrite.All
• DeviceManagementServiceConfig.ReadWrite.All
• ディレクトリ.読み取り.すべて
• グループ.作成
• Policy.Read.All
• WindowsUpdates.ReadWrite.All

[準備するために必要なこと:]

グローバル管理者は、[ テナント管理 ] ブレードにアクセスして、テナントの Microsoft マネージド デスクトップ サービスを承認する必要があります。この計画された変更について質問がある場合、またはサポートが必要な場合は、Microsoft Intune 管理センターでサポート リクエストを送信してください。

追加情報