　　● MDM（Mobile Device Management）
　　　　デバイスのOSレベルでのシステム設定やセキュリティなどを一括で管理する仕組み
　　● MAM（Mobile Applecation Management）
　　　　デバイスにインストールされたアプリケーションを管理する仕組み

確認および設定の方法は前編の記事を参考にしてください。

　　❖ はじめてのIntuneセットアップ初心者ガイド第4回：デバイスの登録（Windows10 前編）

Autopilotを設定する手順

ハードウェア情報をIntuneに登録する

ベンダーからCSVファイル形式でハードウェア情報を入手できたら、Intuneに登録します。
ベンダーによっては、登録まで代行してもらえる場合もあります。

なお、ここでいう「登録」は、Autopilotで使うためにハードウェア情報をIntuneにセッティングする、というような意味合いのため、これまで話してきたようなAzure AD参加（または登録）を伴うデバイス登録とは異なることに留意してください。

「Microsoft エンドポイントマネージャー管理センター」を開き、サイドバーから「デバイス」「デバイスの登録」の順にクリックします。

次に、「Windows 登録」から「デバイス」をクリックします。

ハードウェア情報の登録画面から「インポート」をクリックすると、CSVファイルをアップロードする画面が現れるので、ベンダーから提供されたファイルを添付して「インポート」ボタンをクリックします。

デバイス一覧でシリアル番号などの情報が表示されていれば正常にインポートが完了しています。

Autopilot用のデバイスグループを作成する

Autopilot用の設定ファイルは、グループ単位で割り当てるので、デバイスグループの作成も必須事項となります。

Autopilot用のデバイスグループは、手動でグループにデバイスを追加していくこともできますが、動的デバイスグループにして自動で追加することもできます。

動的デバイスグループの詳しい作成方法は第3回の記事を参考に、以下の構文を直接ルール構文テキストボックスに打ち込んでください。
（数字の部分は、該当するIDに置き換えてください）

　　● すべてのAutopilot対象デバイスを含むグループ
　　　　(device.devicePhysicalIDs -any _ -contains “[ZTDId]”)

　　● 特定の注文IDをもつすべてのAutopilot対象デバイスを含むグループ
　　　　(device.devicePhysicalIds -any _ -eq “[OrderID]:179887111881”)

　　● 特定の発注IDをもつすべてのAutopilot対象デバイスを含むグループ
　　　　(device.devicePhysicalIds -any _ -eq “[PurchaseOrderId]:76222342342”)

注文IDや発注IDに類する番号はベンダーから提供されるハードウェア情報に含まれています。

名称が異なる場合もあるため「OrderID」や「PurchaseOrderId」に当たる番号が不明な場合はベンダーに確認するのがよいでしょう。

　　❖ はじめてのIntuneセットアップ初心者ガイド第3回：ユーザーやデバイスのグループ分け

Autopilotデプロイプロファイルを設定する

Autopilotデプロイプロファイルで、OOBEの挙動を設定することができます。

次画像の「Windows 登録」画面から「デプロイプロファイル」をクリックしてください。

次に「＋プロファイルの作成」をクリックします。

プロファイル（設定ファイルのようなもの）作成画面になるので、まずは分かりやすいようにプロファイルの名前と説明を入力し、「すべての対象デバイスを Autopilot に変換する」については「はい」を選択します。

設定が終わったら「次へ」をクリックしてください。

次の画面で具体的なOOBEの挙動を設定していきます。
今回は、可能な限りユーザー側での操作を減らすことを目的とした設定を例として進めます。

OOBEの設定

OOBEの設定画面で、まずは次のように設定を行います。
各項目の説明については後述します。

項目名	設定内容
配置モード	ユーザードリブン
Azure ADへの参加の種類	Azure AD参加済み
ライセンス条項	非表示
プライバシーの設定	非表示
アカウントの変更オプション	非表示
ユーザーアカウントの種類	標準
White Glove OOBE	いいえ
言語（リージョン）	日本語（日本）
キーボードの自動構成	はい
デバイス名のテンプレート	いいえ

設定ができたら「次へ」ボタンをクリックし、このプロファイルを割り当てるAutopilot用のデバイスグループを指定します。

「グループを追加」から追加したいグループを選び「選択」ボタンをクリック、「組み込まれたグループ」欄に該当のグループが表示されていることを確認して「次へ」をクリックします。

次の画面で、プロファイルの構成内容について確認できるので、問題なければ「作成」ボタンをクリックして完了します。

さて、これでAutopilotに関する管理者側での設定は終わりです。

このあとはパソコンをユーザーに配布するだけであり、ベンダーから直接ユーザーの自宅に配送すれば、パソコンの受け渡しをするために出社する必要もありません。

ユーザー側での操作手順

パソコンを受け取って電源を投入する

ユーザーは、任意の場所で新しいパソコンを受け取り、電源を入れます。

OOBE中にAzure ADアカウントでサインインする

OOBEが始まります。

通常はここでいくつかの画面が現れて操作する場面がありますが、事前に可能な限りスキップするように設定しているため、しばらくの待機時間のあと、Wi-Fiを接続する画面になります。

以降はインターネットに接続された状態で進める必要があります。
（すでにLANケーブルでインターネットに接続済みの場合はWi-Fi接続画面が現れません）

その後、Azure ADアカウントでのサインイン画面になります。
ここで、Windows Hello for Businessが有効になっている場合、サインインのあと本人認証があります（今回は事前に無効にしました）

Windows Hello for Businessでの本人認証手順は前回の記事と同様なため、割愛します。

　　❖ はじめてのIntuneセットアップ初心者ガイド第4回：デバイスの登録（Windows10 前編）

サインインが完了すると、自動的に処理が行われるので、少し待ちます。
また、この時点でAzure AD参加が完了しています。

そして待機時間が終われば、もうデスクトップ画面になり、ユーザーがパソコンを使用できる状態になっています。

なお、今回はOOBEの簡略化だけを行っているので、全体の処理時間は5～10分程度で済んでいますが、これにIntuneから配信されるポリシーの適用や、アプリケーションのインストールなどが加わると待機時間はその分だけ長くなります。

さて、限りなくユーザー側での操作を排除したOOBEで、実際に操作が必要な箇所についてまとめると、以下の3点になります。

　　1.   Wi-Fiに繋ぐ（LANケーブル接続済みの場合は不要）
　　2.   Azure ADのアカウントとパスワードを入力してサインインする
　　3.   Windows Hello for Businessの本人認証を行う（無効の場合は不要）

これならば、管理者がつきっきりでサポートしなくても、ユーザーはほとんど迷うことなくセットアップを進められるのではないでしょうか。

Autopilotで設定できるOOBEの項目

AutopilotでコントロールできるOOBEの項目で、補足が必要なものについて説明します。

配置モード

「ユーザードリブン」と「自己展開（プレビュー）」が選択できます。

OOBEを展開する手法となり、ユーザードリブンはユーザー自身の操作によって展開されます。
そして、自己展開はユーザーの操作を必要としない展開方法となります。

したがって自己展開モードでは、デバイスとユーザーアカウントの紐付けがされません。
そのため、特定のユーザーと関連付けないキオスクデバイス（※1）や、共有デバイスなどで使用するのが最適なモードです。

Azure ADへの参加の種類

「Azure ADへの参加」または、Active Directoryと連携した「ハイブリッドAzure ADへの参加」が選択できます。
Active Directoryを利用していない場合は、Azure ADへの参加を選びます。

ユーザーアカウントの種類

「管理者」か、管理者権限をもたない「標準」から選択できます。
パソコンの重要な設定をユーザーに変更されたくない場合は「標準」を選んでください。

なお、Autopilotではローカルアカウントを作成するプロセスがないため、標準ユーザーで進めた場合、管理者権限を持ったアカウントがそのパソコンに存在しないことになります。

そこで、不具合対応などで管理者がパソコン本体を直接操作したい場合などに備えて、そのパソコンに管理者権限を持った状態で、サインインできるユーザーをあらかじめ設定ができます。

設定方法はIntuneからではなく、Azure ADの管理センターから行います。

　　❖ Azure Active Directory admin center

Azure ADの管理センターを開き、サイドバーから「Azure active Directrory」クリックし、次に「デバイス」をクリックします。

そして「デバイスの設定」から「管理すべての Azure AD 参加済みデバイスに対する追加のローカル管理者」というリンクをクリックしてください。

「Device Administrators（デバイス管理者）」割り当て画面になるので、管理者権限を持たせるユーザーを「＋割り当ての追加」から追加します。

ここに追加されたユーザーアカウントでAzure AD参加済みのパソコンにサインインすると、管理者権限が付与された状態で操作ができるようになります。

White Glove OOBEの許可

通常のAutopilotでは、事前に割り当てたポリシーの適用やアプリケーションのインストールなどにより、ユーザーの待機時間が発生します。

この待機時間は、割り当てられた各種プロファイルのボリュームが大きければ、数十分単位で待つ必要が出てくるという難点がありました。

そこでその対策として、White Glove（ホワイトグローブ）というものが用意されています。

簡単にいうと、デバイスの構成やアプリケーションのインストールなど時間のかかる部分や、インターネット帯域を消耗する部分を、ユーザーにパソコンを配布する前にあらかじめ管理者側で進めておくことで、ユーザー側の待機時間を短縮することができます。

イメージとしてはAutopilotによるOOBEを途中で分割して、ボリュームの大きい部分を管理者側で担当し、残りの少ない部分をユーザーで対応するというイメージに近いでしょう。

そのため、いったんパソコンを開梱して管理者の手が入るので、通常のAutopilotよりはひと手間かかりますが、それでも従来のキッティング作業を行うよりは少ない工数で済みます。

White Gloveは「必ず利用するべき」というわけではないので、割り当てるプロファイルの量やユーザー数などで、利用するかどうか判断するのがよいでしょう。

まとめ

Autopilot単体の機能としては、あくまでOOBEを簡略化することと、自動でAzure AD参加を行うだけのシンプルなものです。

そこでWindowsの構成変更や、アプリケーションのインストール、コンプライアンスポリシーなどをユーザーのパソコンに設定するには、それぞれIntuneで別のプロファイルを作成して割り当てる必要があります。

ユーザーにパソコンを配布する前に割り当てが完了していれば、クラウドを介して自動的にユーザーのパソコンが設定されていきます。

つまり、管理者は一度も配布するパソコンに触れることなく、キッティングを行える、ということです。これを「ゼロタッチキッティング」と言います。

またユーザーのほうでも、新しいパソコンの初期セットアップは簡単な操作で完了でき、その後もとくに意識することなく、会社向けのWindows構成やアプリケーションのインストールがバックグラウンドで設定されていきます。
こちらは「ゼロタッチプロビジョニング」と言います。

さて、今回はAutopilotによるデバイスの登録について紹介しました。
次回はデバイスポリシーについて取り上げていく予定です。

なお、クラウドによるデバイス管理について、面倒な手続きの委託先をお探しの場合は弊社のシンプルデバイス管理サービスをご検討ください。

Intuneの新規導入だけでなく、デバイスのキッティングおよびユーザーへの配送、その後の運用設計を一括してサポートします。

　　❖ 在宅・テレワーク勤務のパソコン管理をサポート｜アイエスエフネット

■注釈
※1：本来、多用途に利用できるパソコンを、ひとつの用途でのみ利用できるようにした専用デバイスのこと。

・【連載】はじめてのIntuneセットアップ初心者ガイド～第2回ユーザーの追加～

・【連載】はじめてのIntuneセットアップ初心者ガイド～第3回ユーザーやデバイスのグループ分け～

※この記事は、公開時点の情報をもとに作成しています。

川上冬子

バックオフィス業務やマネジメントを経て、情シスとして業務改善と自動化に携わりました。2年間で8種の業務を自動化。現在はマーケターに転身し、お客様の課題解決に役立つ情報をお届けします。プライベートでは1児の母、リモートワークかつ時短勤務をしながら、育児と仕事を両立させています。

情シス Secret Method

【連載】はじめてのIntuneセットアップ初心者ガイド～第5回デバイスの登録（Windows10 後編）～