みなさま、初めまして。SB テクノロジー 21 年度入社の柴田です。
2021 年 7 月に Microsoft Enterprise Mobility + Security (EMS) を扱う部署へ配属されて約半年、Intune の学習、検証を行ってきました。
今回は Windows Autopilot の検証として Windows 10 の展開を実施しましたので、その内容についてご紹介します。
Windows Autopilot (以下、Autopilot) とは、新規 PC、デバイスに展開する設定をクラウド上で管理し、初期セットアップフローを自動化するクラウドサービスです。
Autopilot を利用することで、管理者目線では「ブラウザからいくつかの項目を設定する」、エンドユーザー目線では「ネットワークに接続し、資格情報を入力する」ことによって、初期セットアップを完了させることができるようになります。また、Azure AD (あるいは Active Directory) や Intune と連携することが可能なため、セキュリティポリシーの適用や、業務アプリのインストールなど、業務デバイスに必要な初期セットアップを自動化することが可能です。
本記事で試したい Autopilot の動作は以下の 5 つです。
上記動作を確認するための操作を、以下の表にまとめました。
| No. | 設定項目 | 設定理由 |
|---|---|---|
| 1 | Intune 自動登録がされるように設定 | Azure AD 参加時に Intune 登録も自動的に行うため。 |
| 2 | ハードウェアハッシュの取得・インポート | Autopilot を利用する端末を特定するため。 |
| 3 | Autopilot 用デバイスグループの作成 | Autopilot プロファイルの適用対象を指定するため。 |
| 4 | Autopilot プロファイルの作成 | Autopilot で自動化する設定の内容を定義するため。今回はデバイス名の定義を設定する。 |
| 5 | 会社ブランドの設定 | OOBE 画面にて「<会社名>へようこそ!」と表示させるため。 |
また、本検証の前提条件は以下のとおりです。
Autopilot を実施することで、デバイスが自動的に Intune 登録されるように設定を行います。
Azure Active Directory 管理センター> Azure Active Directory >モビリティ (MDM および MAM)
ページの一覧から「Microsoft Intune」をクリックします。
「構成」画面にて「MDM ユーザースコープ」の設定値を「すべて」に設定し、保存します。
※ここでは、検証用デバイス以外はAzure AD登録されていないため、「MDM ユーザースコープ」を「すべて」に設定しています。「MDMユーザースコープ」の設定値を「一部」とした場合、Intune管理を適用するグループを選択する事ができます。その場合、「検証用デバイスを含むグループ」を別途作成し、MDMユーザースコープに割り当てるようにしてください。
Autopilot 端末を特定する情報として、ハードウェアハッシュ (ハードウェア ID) を利用します。
ここでは、ハードウェアハッシュの取得と、クラウドへのインポート操作を説明します。
Windows 10 (以下 Win10 と表記) 端末にて、管理者権限でコマンドプロンプトを起動し、以下のコマンドを実行します。
New-Item -Type Directory -Path “C:HWID” //"HWID"ディレクトリをCドライブ直下に作成しています。
Set-Location -Path “C:HWID” //作業ディレクトリを"HWID"に移動しています。
Set-ExecutionPolicy -Scope Process -ExecutionPolicy Unrestricted//実行ポリシーを変更しています。
Install-Script -Name Get-WindowsAutopilotInfo//"Get-WindowsAutoPilotInfo"スクリプトをインストールしています。
Get-WindowsAutopilotInfo.psl -OutputFile AutopilotHWID.csv//ハードウェアハッシュを"AutopilotHWID.csv"として出力しています。
※1,2行目で作業ディレクトリの作成・移動を行い、3行目で PowerShell の実行ポリシーを変更しています。
3,4行目でハードウェアハッシュを CSV 形式で保存するコマンドをダウンロードしています。
作業ディレクトリ (C:HWID) に、ハードウェア ハッシュ を記した “AutopilotHWID.csv” が出力されていることを確認します。
“AutopilotHWID.csv”を開くと、シリアル番号とハードウェア ハッシュが確認できます。
Win10 端末から取得したハードウェアハッシュを、ブラウザ上にインポートします。
Microsoft Endpoint Manager admin Center >ホーム>デバイス>デバイスの登録
を開き「Windows Autopilot Deployment プログラム」項目中の「デバイス」をクリックします。
「Windows AutoPilot デバイス」画面にて、「インポート」をクリックします。
Win10 端末で出力した “AutopilotHWID.csv” を選択します。
ハードウェアハッシュが一覧に追加されました。
※以下の画像のような「ヘッダーが正しくありません」というエラー表示が出る場合、“AutopilotHWID.csv” ファイルに不要な記述があると考えられます。
“AutopilotHWID.csv” をメモ帳から開くと、ハードウェア ID の前後にダブルクォーテーションが挿入されています。
ダブルクォーテーションを削除して、保存します。この操作でエラーが解消され、“AutopilotHWID.csv” をインポートできるようになります。
Autopilot の設定プロファイルの適用先を指定するため、デバイスグループの作成を行います。
Microsoft Endpoint Manager admin center >ホーム>グループを開き「新しいグループ」
をクリックします。
「新しいグループ」画面にて、「グループ名」に適当なグループ名を入力し、「メンバーシップの種類」は「割り当て済み」を選択します。
画面下方にある「メンバーが選択されていません」をクリックすると、画面右に「メンバーの追加」タブが表示されます。Win10 端末のハードウェア ID と一致するデバイスを選び「選択」をクリックします。
設定値を確認してから「作成」をクリックします。
一覧画面に戻り、作成したグループが正常に反映された通知を確認したら「更新」をクリックします。一覧に作成したグループが追加されています。
一覧に追加されたグループ名をクリックして、グループの詳細を確認できます。「メンバー」をクリックすると、Win10 端末がグループに登録されていることを確認できます。
Autopilot 実施時の挙動を、Autopilot プロファイルとして設定していきます。
Microsoft Endpoint Manager admin center のデバイス>デバイスの登録
へアクセスし「 Windows Autopilot Deployment プログラム」項目中の「デプロイ プロファイル」をクリックします。
「Windows Autopilot Deployment プロファイル」画面にて、「プロファイルの作成」をクリックします。
「Windows PC」をクリックします。
「プロファイルの作成」画面にて、「名前」項目に適当なプロファイル名を設定して「次へ」をクリックします。
「デバイス名のテンプレートを運用する」を「はい」と設定し、「名前の入力」に「
<会社名>-%RAND:6」と入力してから、「次へ」をクリックします。
※「%RAND:6%」は「ランダムな 6 桁数字を追加する」というマクロです。
※「Autopilotでのデバイス名の命名」については、
こちらの記事
にて詳しく検証されています。デバイスの命名についてより詳しく知りたい方は、合わせて御覧ください。
「組み込まれたグループ」項目中の「グループを追加」をクリックします。
「含めるグループを選択」タブが表示されます。先程作成した Autopilot 用デバイスグループを選択し、「選択」をクリックします。
グループが追加されていることを確認し「次へ」をクリックします。
プロファイルの設定内容を確認し「作成」をクリックします。
一覧に作成したプロファイルが追加されていることが確認できます。
デバイス>デバイスの登録>Windwos Autopilot デバイス
に表示されているデバイス一覧画面にて「最新の情報に更新」をクリックすると、Win10 端末の「プロファイルの状態」が「更新中」あるいは「割り当て済み」へと変わっていることが確認できます。
一覧中の Win10 端末の名前をクリックし、詳細を確認します。「割り当てられたプロファイル」と「割り当て日」項目に、作成したプロファイルの設定値が表示されていることを確認します。以上で、Autopilot に必要な最低限の設定は完了です。
ここまでの設定で Autopilot の実施自体は可能となりました。ここからは、OOBE 画面にて会社名を表示させるための設定をしていきます。
OOBE 画面にて会社名を表示させるためには、Azure の仕様上、Azure Portal サイトの「会社のブランド」のいずれかの項目が設定されている必要があります。
ここでは、設定後の確認がしやすい「ログイン画面の背景画像」を設定します。(他の項目を設定しても構いません。)
Azure Portal サイト> Azure Active Directory >会社のブランド
へアクセスし、「構成」をクリックします。
「会社のブランドを構成する」タブが表示されます。タブ中のいずれかの項目を設定します。本記事では、「サインインページの背景画像」に適当なイメージファイルをアップロードします。ファイルアイコンをクリックして該当ファイルを選択します。アップロードが完了したら「保存」をクリックします。
一覧に default という項目が追加されています。
テナント内アカウントでサインインすると、サインインページの背景画像が変化していることが確認できます。
ちなみに、テナント名を変更したい場合は
Microsoft 365 管理センター>ホーム>組織の設定
から設定できます。
(※サインイン後の画面の左上にあるテナント名 (画像の「SB テクノロジー」) をクリックすると、該当画面へ遷移します。)
「組織の情報」タブ中「名前」の設定値が、テナント名として表示されます。該当箇所を変更することで、任意のテナント名を設定できます。
本項目では、ここまでで設定してきた条件で Autopilot を実施した様子を示していきます。まず、Win10 端末の初期化します。
(Windows の初期化にはまとまった時間が必要になる場合があるため、注意してください。参考までに、筆者は初期化に約 1.5 時間 を要しました。)
Win10 端末の初期化・再起動が完了したら、OOBE の画面が表示されます。
(※ここで、インターネット接続に手動の IP アドレス設定などを要する環境をご利用の場合は、インターネット接続に必要な設定を完了させる必要があります。
本検証では、OOBE 画面上でも「Shift + F10キー」のショートカットからコマンドプロンプトを起動し、IP アドレスや DNS サーバーなどを設定しました。)
セットアップ処理が完了した後、以下のような画面が表示されていれば、Autopilot の実施は成功です。
ここで、ブランドの設定を行ったため、「SB テクノロジー へようこそ!」と表示されています。
テナント内の検証用ユーザーでサインインし、OOBE を完了させます。
「すべての設定が完了しました!」画面が表示され、「OK」ボタンを押すと、デスクトップ画面へ遷移します。
以上で、Autopilot の実施は完了です。
最後に、今回の検証内容で試したかった「5 つの Autopilot の動作」が、意図した通りに実施できていることを確認していきます。
まず、Win10 端末側の画面を確認します。「設定>アカウント>職場または学校にアクセスする」を開きます。「接続」項目中の「<テナント名>の Azure AD に接続済み」という表示から、Azure AD にデバイスが登録されていることが確認できます。
次に、Azure AD 管理センター側の画面を確認します。
Azure AD 管理センターのダッシュボード>デバイス>すべてのデバイス
画面中の一覧を確認すると、Win10 端末が表示されています。「結合の種類」項目が「 Azure AD joined 」であることから、Azure AD 参加が正常に行われたことが確認できました。
Microsoft Endpoint Manager admin centerのデバイス>Windows
にアクセスし、デバイス一覧を確認します。
Win10 端末が追加されているため、正常に Intune 登録が行われていることが確認できました。
「システム>詳細情報」画面から、デバイス名を確認します。
<会社名>-<6桁数字列>となっており、Autopilot プロファイルが正常に適用されていることが確認できました。
以上で、意図した動作が成功していることを確認しました。
本記事では、検証用テナントと仮想環境を用いた Autopilot の検証を行いました。検証時の操作や、詰まってしまったポイントなどについて具体的に説明するように心がけましたので、Autopilot の導入を検討されているお客様のお役に立てば幸いです。ブログに書き起こすに当たり、検証中にわからなかったこと、理解が曖昧だったことなどをなくすことができ、勉強になりました。
今後も検証・学習を継続して知識を身に着けていき、記事としてまとめてみたいと思います。最後までお読みいただき、ありがとうございました。
関連ページ
「Enterprise Mobility + Security 導入支援サービス」はこちら
|
