情シス Secret Method

【連載】はじめてのIntuneセットアップ 初心者ガイド ~第5回 デバイスの登録(Windows10 後編)~


目次[非表示]

  1. 1.はじめに
    1. 1.1.Autopilotでは何ができるか
    2. 1.2.Autopilotを利用するための条件
  2. 2.新しいパソコンをAutopilotでセットアップする
    1. 2.1.デバイス登録の事前準備
    2. 2.2.MDMとMAMの設定
    3. 2.3.Autopilotを設定する手順
      1. 2.3.1.ハードウェア情報をIntuneに登録する
      2. 2.3.2.Autopilot用のデバイスグループを作成する
      3. 2.3.3.Autopilotデプロイ プロファイルを設定する
      4. 2.3.4.OOBEの設定
    4. 2.4.ユーザー側での操作手順
      1. 2.4.1.パソコンを受け取って電源を投入する
      2. 2.4.2.OOBE中にAzure ADアカウントでサインインする
  3. 3.Autopilotで設定できるOOBEの項目
    1. 3.1.配置モード
    2. 3.2.Azure ADへの参加の種類
    3. 3.3.ユーザーアカウントの種類
    4. 3.4.White Glove OOBEの許可
  4. 4.まとめ

はじめに

連載の第5回目は、前回に引き続きWindows10のデバイス登録について解説します。

前回は、すでにユーザーが使用中のパソコンをAzure AD参加させてIntuneに登録しました。
後編の今回は、Intuneの「Autopilot(オートパイロット)」という機能を使って、新しいパソコンを自動的にIntuneへ登録する方法を紹介します。


Autopilotでは何ができるか

まず、Autopilotの機能について確認しましょう。

パソコンに初めて電源を投入すると、OOBE(Out of Box Experience)と呼ばれる画面が現れます。

OOBEでは、使用許諾契約書、使用地域や言語の設定、インターネット接続設定や、プライバシー設定など、パソコンの初期セットアップを行います。

通常はこの初期セットアップを手動で行いますが、Autopilotを利用することにより、事前に管理者が設定した内容で、ほぼ自動で進められます。

そして、Azure AD参加はこのOOBE中に完了します。

これにより、未開梱のパソコンをユーザーに配布しても、ユーザーは電源を投入して、簡単な手順でパソコンを使い始めることができます。


Autopilotを利用するための条件

Autopilotは、どんな場合でも利用できるものではありません。

新しいパソコンを未開梱状態でユーザーに配布し、Autopilotでセットアップを行うためには、前提条件として、あらかじめパソコンのハードウェア情報を取得している必要があります。

パソコンのハードウェア情報自体は、PowerShellと呼ばれるスクリプトによって取得ができるものですが、Autopilotを行うために、いったん開梱、起動してハードウェア情報を取得後、初期化して再梱包、という手順を踏むのは本末転倒でしょう。

では、どのようにして未開梱のパソコンのハードウェア情報を手に入れるのかというと、パソコンを購入したベンダーから提供してもらいます。

しかし、どこのベンダーでもよいわけではなく、Autopilotに対応しているベンダーから購入する必要があります。

現時点で対応しているベンダーについては、Microsoftの以下ページ内にある「参加しているデバイス製造元」と「参加しているデバイス リセラー」の項目で確認できます。

  ❖    Windows Autopilot - 事前構成されたデバイスのセットアップ

つまり、Autopilotは対応したベンダーから購入したパソコンでなければ、その利便性を享受することはできないと言えるでしょう。

そのため、会社としてこの条件が問題なければ、Autopilotはテレワーク下において新しいパソコンの導入工数を飛躍的に削減するものとなります。


新しいパソコンをAutopilotでセットアップする

では、さっそく具体的な手順について見ていきましょう。


デバイス登録の事前準備

前編と同じように、Autopilotでもセットアップする前に以下のような事前準備が必要です。

  1.    デバイスに紐づくユーザーアカウントをあらかじめ作成する(必須)
  2.    管理対象のユーザーにライセンスを割り当てる(必須)

ユーザーの追加やライセンスの割り当てについては第2回の記事を参考にしてください。

  ❖    はじめてのIntuneセットアップ 初心者ガイド 第2回:ユーザーの追加


MDMとMAMの設定

こちらも前編と同じように、以下の項目がすべての端末を対象とする設定になっているか確認しましょう。

  ●    MDM(Mobile Device Management)
    デバイスのOSレベルでのシステム設定やセキュリティなどを一括で管理する仕組み
  ●    MAM(Mobile Applecation Management)
    デバイスにインストールされたアプリケーションを管理する仕組み

確認および設定の方法は前編の記事を参考にしてください。

  ❖    はじめてのIntuneセットアップ 初心者ガイド 第4回:デバイスの登録(Windows10 前編)


Autopilotを設定する手順


ハードウェア情報をIntuneに登録する

ベンダーからCSVファイル形式でハードウェア情報を入手できたら、Intuneに登録します。
ベンダーによっては、登録まで代行してもらえる場合もあります。

なお、ここでいう「登録」は、Autopilotで使うためにハードウェア情報をIntuneにセッティングする、というような意味合いのため、これまで話してきたようなAzure AD参加(または登録)を伴うデバイス登録とは異なることに留意してください。

「Microsoft エンドポイント マネージャー管理センター」を開き、サイドバーから「デバイス」「デバイスの登録」の順にクリックします。

次に、「Windows 登録」から「デバイス」をクリックします。

ハードウェア情報の登録画面から「インポート」をクリックすると、CSVファイルをアップロードする画面が現れるので、ベンダーから提供されたファイルを添付して「インポート」ボタンをクリックします。

デバイス一覧でシリアル番号などの情報が表示されていれば正常にインポートが完了しています。


Autopilot用のデバイスグループを作成する

Autopilot用の設定ファイルは、グループ単位で割り当てるので、デバイスグループの作成も必須事項となります。

Autopilot用のデバイスグループは、手動でグループにデバイスを追加していくこともできますが、動的デバイスグループにして自動で追加することもできます。

動的デバイスグループの詳しい作成方法は第3回の記事を参考に、以下の構文を直接ルール構文テキストボックスに打ち込んでください。
(数字の部分は、該当するIDに置き換えてください)

  ●    すべてのAutopilot対象デバイスを含むグループ
    (device.devicePhysicalIDs -any _ -contains “[ZTDId]”)

  ●    特定の注文IDをもつすべてのAutopilot対象デバイスを含むグループ
    (device.devicePhysicalIds -any _ -eq “[OrderID]:179887111881”)

  ●    特定の発注IDをもつすべてのAutopilot対象デバイスを含むグループ
    (device.devicePhysicalIds -any _ -eq “[PurchaseOrderId]:76222342342”)

注文IDや発注IDに類する番号はベンダーから提供されるハードウェア情報に含まれています。

名称が異なる場合もあるため「OrderID」や「PurchaseOrderId」に当たる番号が不明な場合はベンダーに確認するのがよいでしょう。


  ❖    はじめてのIntuneセットアップ 初心者ガイド 第3回:ユーザーやデバイスのグループ分け


Autopilotデプロイ プロファイルを設定する

Autopilotデプロイ プロファイルで、OOBEの挙動を設定することができます。

次画像の「Windows 登録」画面から「デプロイ プロファイル」をクリックしてください。

次に「+プロファイルの作成」をクリックします。

プロファイル(設定ファイルのようなもの)作成画面になるので、まずは分かりやすいようにプロファイルの名前と説明を入力し、「すべての対象デバイスを Autopilot に変換する」については「はい」を選択します。

設定が終わったら「次へ」をクリックしてください。

次の画面で具体的なOOBEの挙動を設定していきます。
今回は、可能な限りユーザー側での操作を減らすことを目的とした設定を例として進めます。


OOBEの設定

OOBEの設定画面で、まずは次のように設定を行います。
各項目の説明については後述します。

項目名
設定内容
配置モード
ユーザードリブン
Azure ADへの参加の種類
Azure AD参加済み                   
ライセンス条項
非表示
プライバシーの設定
非表示
アカウントの変更オプション
非表示
ユーザーアカウントの種類
標準
White Glove OOBE
いいえ
言語(リージョン)
日本語(日本)
キーボードの自動構成
はい
デバイス名のテンプレート
いいえ

設定ができたら「次へ」ボタンをクリックし、このプロファイルを割り当てるAutopilot用のデバイスグループを指定します。

「グループを追加」から追加したいグループを選び「選択」ボタンをクリック、「組み込まれたグループ」欄に該当のグループが表示されていることを確認して「次へ」をクリックします。

次の画面で、プロファイルの構成内容について確認できるので、問題なければ「作成」ボタンをクリックして完了します。

さて、これでAutopilotに関する管理者側での設定は終わりです。

このあとはパソコンをユーザーに配布するだけであり、ベンダーから直接ユーザーの自宅に配送すれば、パソコンの受け渡しをするために出社する必要もありません。


ユーザー側での操作手順


パソコンを受け取って電源を投入する

ユーザーは、任意の場所で新しいパソコンを受け取り、電源を入れます。


OOBE中にAzure ADアカウントでサインインする

OOBEが始まります。

通常はここでいくつかの画面が現れて操作する場面がありますが、事前に可能な限りスキップするように設定しているため、しばらくの待機時間のあと、Wi-Fiを接続する画面になります。

以降はインターネットに接続された状態で進める必要があります。
(すでにLANケーブルでインターネットに接続済みの場合はWi-Fi接続画面が現れません)

その後、Azure ADアカウントでのサインイン画面になります。
ここで、Windows Hello for Businessが有効になっている場合、サインインのあと本人認証があります(今回は事前に無効にしました)

Windows Hello for Businessでの本人認証手順は前回の記事と同様なため、割愛します。

  ❖    はじめてのIntuneセットアップ 初心者ガイド 第4回:デバイスの登録(Windows10 前編)

サインインが完了すると、自動的に処理が行われるので、少し待ちます。
また、この時点でAzure AD参加が完了しています。

そして待機時間が終われば、もうデスクトップ画面になり、ユーザーがパソコンを使用できる状態になっています。

なお、今回はOOBEの簡略化だけを行っているので、全体の処理時間は5~10分程度で済んでいますが、これにIntuneから配信されるポリシーの適用や、アプリケーションのインストールなどが加わると待機時間はその分だけ長くなります。

さて、限りなくユーザー側での操作を排除したOOBEで、実際に操作が必要な箇所についてまとめると、以下の3点になります。

  1.    Wi-Fiに繋ぐ(LANケーブル接続済みの場合は不要)
  2.    Azure ADのアカウントとパスワードを入力してサインインする
  3.    Windows Hello for Businessの本人認証を行う(無効の場合は不要)

これならば、管理者がつきっきりでサポートしなくても、ユーザーはほとんど迷うことなくセットアップを進められるのではないでしょうか。


Autopilotで設定できるOOBEの項目

AutopilotでコントロールできるOOBEの項目で、補足が必要なものについて説明します。


配置モード

「ユーザードリブン」と「自己展開(プレビュー)」が選択できます。

OOBEを展開する手法となり、ユーザードリブンはユーザー自身の操作によって展開されます。
そして、自己展開はユーザーの操作を必要としない展開方法となります。

したがって自己展開モードでは、デバイスとユーザーアカウントの紐付けがされません。
そのため、特定のユーザーと関連付けないキオスクデバイス(※1)や、共有デバイスなどで使用するのが最適なモードです。


Azure ADへの参加の種類

「Azure ADへの参加」または、Active Directoryと連携した「ハイブリッドAzure ADへの参加」が選択できます。
Active Directoryを利用していない場合は、Azure ADへの参加を選びます。


ユーザーアカウントの種類

「管理者」か、管理者権限をもたない「標準」から選択できます。
パソコンの重要な設定をユーザーに変更されたくない場合は「標準」を選んでください。

なお、Autopilotではローカルアカウントを作成するプロセスがないため、標準ユーザーで進めた場合、管理者権限を持ったアカウントがそのパソコンに存在しないことになります。

そこで、不具合対応などで管理者がパソコン本体を直接操作したい場合などに備えて、そのパソコンに管理者権限を持った状態で、サインインできるユーザーをあらかじめ設定ができます。

設定方法はIntuneからではなく、Azure ADの管理センターから行います。

  ❖    Azure Active Directory admin center

Azure ADの管理センターを開き、サイドバーから「Azure active Directrory」クリックし、次に「デバイス」をクリックします。

そして「デバイスの設定」から「管理 すべての Azure AD 参加済みデバイスに対する追加のローカル管理者」というリンクをクリックしてください。

「Device Administrators(デバイス管理者)」割り当て画面になるので、管理者権限を持たせるユーザーを「+割り当ての追加」から追加します。

ここに追加されたユーザーアカウントでAzure AD参加済みのパソコンにサインインすると、管理者権限が付与された状態で操作ができるようになります。


White Glove OOBEの許可

通常のAutopilotでは、事前に割り当てたポリシーの適用やアプリケーションのインストールなどにより、ユーザーの待機時間が発生します。

この待機時間は、割り当てられた各種プロファイルのボリュームが大きければ、数十分単位で待つ必要が出てくるという難点がありました。

そこでその対策として、White Glove(ホワイトグローブ)というものが用意されています。

簡単にいうと、デバイスの構成やアプリケーションのインストールなど時間のかかる部分や、インターネット帯域を消耗する部分を、ユーザーにパソコンを配布する前にあらかじめ管理者側で進めておくことで、ユーザー側の待機時間を短縮することができます。

イメージとしてはAutopilotによるOOBEを途中で分割して、ボリュームの大きい部分を管理者側で担当し、残りの少ない部分をユーザーで対応するというイメージに近いでしょう。

そのため、いったんパソコンを開梱して管理者の手が入るので、通常のAutopilotよりはひと手間かかりますが、それでも従来のキッティング作業を行うよりは少ない工数で済みます。

White Gloveは「必ず利用するべき」というわけではないので、割り当てるプロファイルの量やユーザー数などで、利用するかどうか判断するのがよいでしょう。


まとめ

Autopilot単体の機能としては、あくまでOOBEを簡略化することと、自動でAzure AD参加を行うだけのシンプルなものです。

そこでWindowsの構成変更や、アプリケーションのインストール、コンプライアンスポリシーなどをユーザーのパソコンに設定するには、それぞれIntuneで別のプロファイルを作成して割り当てる必要があります。

ユーザーにパソコンを配布する前に割り当てが完了していれば、クラウドを介して自動的にユーザーのパソコンが設定されていきます。

つまり、管理者は一度も配布するパソコンに触れることなく、キッティングを行える、ということです。これを「ゼロタッチキッティング」と言います。

またユーザーのほうでも、新しいパソコンの初期セットアップは簡単な操作で完了でき、その後もとくに意識することなく、会社向けのWindows構成やアプリケーションのインストールがバックグラウンドで設定されていきます。
こちらは「ゼロタッチプロビジョニング」と言います。

さて、今回はAutopilotによるデバイスの登録について紹介しました。
次回はデバイスポリシーについて取り上げていく予定です。


なお、クラウドによるデバイス管理について、面倒な手続きの委託先をお探しの場合は弊社のシンプルデバイス管理サービスをご検討ください。

Intuneの新規導入だけでなく、デバイスのキッティングおよびユーザーへの配送、その後の運用設計を一括してサポートします。

  ❖    在宅・テレワーク勤務のパソコン管理をサポート|アイエスエフネット


■注釈
※1:本来、多用途に利用できるパソコンを、ひとつの用途でのみ利用できるようにした専用デバイスのこと。


■関連記事

【連載】はじめてのIntuneセットアップ 初心者ガイド ~第1回 アカウントとテナント作成、独自ドメイン名の追加~

【連載】はじめてのIntuneセットアップ 初心者ガイド ~第2回 ユーザーの追加~

【連載】はじめてのIntuneセットアップ 初心者ガイド ~第3回 ユーザーやデバイスのグループ分け~


※この記事は、公開時点の情報をもとに作成しています。

川上 冬子
川上 冬子

技術本部の駆け出しエンジニア(自称) これまでバックオフィスを中心に、リソースのアサインメントや、社内の業務改善、マネジメントに携わりました。 自分も勉強しながら、初心者向けにわかりやすく丁寧な解説記事を心がけています。

サービスについてのお問い合わせはこちら

お電話でのお問い合わせはこちら
平日9:00-18:00
ご不明な点はお気軽に
お問い合わせください。
ITソリューションによる
経営課題の解決法がわかるを
こちらからダウンロードできます。