今回は、Windows Autopilotの設定やデバイスの登録、そしてユーザー側の作業の流れを見ていきます。本来であれば、PCメーカーが出荷時にハードウェアハッシュ(HWハッシュ)を発行してくれることで、ゼロタッチでPCを配備する仕組みが整います。しかし今回は、HWハッシュが提供されていない前提で検証を行いました。新しいデバイスを購入する場合や、既存デバイスを再利用するシナリオを想定しています。
なお、新機能として「Windows Autopilot デバイスの準備」があり、HWの事前登録が不要になる仕組みも提供されていますが、現時点では多くのバグがあるため、実用的ではありません。そのため、今回は従来のWindows Autopilotを使用しました。
Windows Autopilotとは
Windows Autopilotは、企業や組織が新しいWindowsデバイスを展開、設定、管理するためのクラウドベースのソリューションです。このツールは、IT部門が従来必要としていた複雑なインフラを最小限に抑え、Windowsデバイスのセットアップを自動化してくれます。主な特徴としては、ユーザーの手元にあるデバイスを工場出荷時の状態からビジネス用にカスタマイズされた状態へとスムーズに移行させることができます。
- 自動化されたセットアップ: 従業員が新しいデバイスを開封してログインすると、デバイスが自動的に組織の設定やポリシーに基づいて構成されます。
- ゼロタッチプロビジョニング: IT担当者がデバイスに物理的に触れることなく、クラウドを介してセットアップできます。
- エンドユーザーエクスペリエンス向上: 初回ログイン時にすべての設定が完了し、すぐに作業を開始できます。
https://learn.microsoft.com/en-us/autopilot/manual-registration
Windows Autopilotの前提条件
Windows Autopilotを使用するためには、いくつかの前提条件を満たす必要があります。以下に、主な前提条件をまとめます。
- Windows 10またはWindows 11のライセンス
- デバイスはWindows 10 Pro、Enterprise、またはEducation、またはWindows 11の同等バージョンを実行している必要があります。
- Azure Active Directory (Azure AD)
- デバイスをAzure Active Directoryに登録するため、Azure ADアカウントが必要です。特に、Azure AD Premiumライセンスが推奨されます。
- Microsoft Intune (または他のMDMソリューション)
- デバイスをリモートで管理および設定するには、Microsoft Intuneなどの**モバイルデバイス管理(MDM)**ソリューションが必要です。
- ネットワーク接続
- Autopilotによるセットアッププロセスには、デバイスがインターネットに接続されていることが前提となります。特に初期設定時には、Azure ADやIntuneに接続するためのインターネットアクセスが不可欠です。
- デバイス登録
- Autopilotで使用するデバイスは、事前にAutopilotプロファイルに登録されている必要があります。この登録は、デバイスベンダーまたはIT管理者が行います。
- ハードウェア要件
- デバイスのハードウェアがWindows Autopilotの要件を満たしていることが必要です。特に、TPM(Trusted Platform Module)チップのバージョンやファームウェアの互換性が確認されます。
これらの前提条件を満たすことで、Windows Autopilotの機能をスムーズに利用することができます。繰り返しになりますが、今回はデバイス登録を管理者が実施する前提です。
Windows Autopilotの設定方法
設定手順はこの手順で行っていきます。
①Autopilotデバイスが所属する動的グループの作成
②デバイスプロファイルの作成
③登録状態ページの設定
①Autopilotデバイスが所属する動的グループの作成
これから設定するAutopilotの構成を適用するために、まずはEntra IDで動的デバイスグループを作成します。このグループは、Autopilot対象のデバイスに対して設定を適用する役割を持ちます。
Autopilot対象デバイスは、初期状態ではEntra IDに結合(Join)されていないため、デバイスフィルターを活用することで、自動的にこのグループに所属させることが可能です。これにより、デバイスがグループに加わった時点で、事前に定めたAutopilotの設定を適用できるようになります。
新しいグループ – Microsoft Intune 管理センターからグループを追加します。
適切な名前をつけて、メンバーシップ種類を「動的デバイス」に変更します。
動的クエリの追加でdevice.devicePhysicalIdsが [ZTDid]で始まる、もしくは含むデバイスを自動登録するようにします。ここでは下記のクエリを入力します。
(device.devicePhysicalIDs -any (_ -startsWith “[ZTDid]”))
ちなみに、実際にデバイスが登録されると下記のようになります。
Autopilotが実施されたデバイスはコンピュータ名が更新され、Autopilot前のデバイスはシリアル番号が表示されます。
②デバイスプロファイルの作成
Windows – Microsoft Intune 管理センターのWindows autopilotから設定をしていきます。
デバイスプロファイルで「プロファイルの作成」を選択。
プロファイルを作成する際、まずはプロファイルに適切な名前を付けます。次に、「すべての対象デバイスをAutopilotに変換する」のオプションを「はい」に設定すると、Intuneに登録されているすべてのデバイスがAutopilotの対象となります。この設定により、次回デバイスがリセットされる際に、自動的にAutopilotが起動し、事前に構成した設定が適用されるようになります。
OOBE(Out of Box Experience)では、Windowsのインストールに関する設定を行います。基本的には、お好みに合わせた設定で問題ありませんが、「デバイス名のテンプレートを適用する」の設定は、デバイスのコンピュータ名を自動生成するルールを決めるため、設定しておくことをお勧めします。
例えば、「SATORI-%RAND:4%」と設定すると、SATORI-1234のように、末尾の数字部分が4桁の乱数で生成されたコンピュータ名が作成されます。
割当では先ほど作成したAutopilotのデバイスグループを指定します。
③登録状態ページの設定
Windows autopilotの「登録状態ページ」から設定します。
登録ステータス ページ – Microsoft Intune 管理センター
既定のみが作成されていますが、作成ボタンから新しいステータスページを作成します。
登録ステータスページの設定は、初期デバイスのセットアップ中やユーザーの初回サインイン時に表示される画面です。この設定を有効にすることで、セットアップの進行状況を視覚的に確認できるようになります。デバイスのスムーズなセットアップを確保するためにも、この設定を必ず行いましょう。
割当先はAuopilotのデバイスグループです。
以上でセットアップは完了です。この後、Intuneを使用してアプリケーションの配信やデバイスの設定などを行います。設定やポリシーの割り当て先としては、ユーザーまたはAutopilotデバイスグループを指定することが可能です。
次回は、Autopilotデバイスの登録方法についてご紹介します。
コメント