Windows Autopilot

Endpoint Manager 2021.1 SU1では、新しい合理化されたより強力な Windows Autopilot エクスペリエンスが導入されます。Windows Autopilot により、新しいデバイスの設定や既存のデバイスの再割り当てができます。Autopilot は完全なプロビジョニング ツールではありません。Windows 10/11が既にインストールされ、次回のデバイス起動時に、Windows アウトオブボックス エクスペリエンス (OOBE) 設定を実行できることが前提です。

Windows Autopilot でデバイスをプロビジョニングするときには、次の2つの主なフェーズがあります。

  1. リージョンまたはキーボード レイアウト選択など、通常ユーザに表示される選択した設定項目を自動的に適用します。

  2. デバイスを Windows MDM に登録し、構成されたアプリケーションをインストールし、ポリシーを適用し、デバイスを Active Directory に参加させます。

前提条件とインストールの手順を完了した後は、Endpoint Manager の Autopilot サポートを使用できます。仕組みは次のとおりです。

  1. Autopilot 配布の対象となるデバイスを含む Azure AD グループを作成します。すべてのデバイスを Autopilot の対象にする場合は、この手順を省略できます。

  2. ドメイン参加タイプの設定、デバイスのプロビジョニング方法、エンドユーザ エクスペリエンス、および AD グループ割り当てを定義する配布プロファイルを作成します。

  3. アプリケーションを配布プロファイルの一部として配布しない場合は、アプリケーション定義を作成します。

  4. デバイス ハードウェア ハッシュが入力された .CSV ファイルを入手するか、OEM パートナーにデバイス ハッシュを直接組織の Azure AD テナントに入力してもらい、デバイスをインポートします。配布プロファイルがある Azure AD デバイス グループにインポートされたデバイスを追加します。

  5. 変更を Azure AD と同期します。デバイスが AD と同期すると、配布できます。

Endpoint Manager の Autopilot サポートを使用する前に、組織として Azure Active Directory P1以上のライセンスが必要です。また、Windows デバイス管理の基本操作で示されている構成手順を完了する必要があります。

Azure で、Intune MDM が無効であることを確認してください。これを検証するには、[モビリティ (MDM および MAM)] の下で Azure Active Directory を確認し、[Microsoft Intune] をクリックします。 [MDM ユーザ スコープ][MAM ユーザ スコープ][なし] に設定してください。

Endpoint Manager の Autopilot 実装では、アプリケーション配布用の Microsoft Intune ライセンスは不要です。Endpoint Manager Autopilot と Microsoft の統合方法では、Intune ユーザ インターフェイスを使用して Endpoint Manager Autopilot 構成を変更しないでください。

Azure AD の設定が完了した後に、Microsoft Azure テナント認証資格情報を入力する必要があります。この認証資格情報には、ディレクトリ (テナント) IDアプリケーション (クライアント) IDクライアント シークレットから構成されています。

組織に代わって新規デバイスの事前プロビジョニング (ホワイト グローブ) を行ってくれる OEM を扱う予定である場合は、MDM アプリケーション ID の入力も必要です。Azure では、[アプリケーション ID の URI] には検証済みのドメインを使用する必要があり、かつこのドメインは1つの Azure テナントにしか属することができません。

MDM アプリケーション ID を見つけるには
  1. ブラウザで、Azure AD ポータルにログインします。
  2. 画面左側にある展開可能なメニューを使用して、[Azure Active Directory] に移動します。
  3. 左側のメニューで [モビリティ (MDM および MAM)] を選択します。
  4. お使いの Ivanti MDM アプリケーションをクリックします。
  5. [オンプレミスの MDM アプリケーション設定] をクリックします。
  6. [アプリケーション (クライアント) ID] フィールドに MDM アプリケーション ID が記載されています。

オンプレミス Active Directory と Azure Active Directory の両方に接続する必要があるデバイスには、ハイブリッド参加構成が必要です。この場合、配布プロファイルで指定された OU (組織単位) でコンピュータ アカウントを作成する権限が割り当てられたオンプレミス Active Directory の認証資格情報も指定する必要があります。

Azure AD 構成情報を入力するには

  1. [ツール] > [最新デバイス管理] > [Windows Autopilot] をクリックします。

  2. [認証資格情報設定] をクリックします。

  3. [認証資格情報設定] ページで認証資格情報を入力します。[認証資格情報の確認] ボタンを使用して、認証資格情報が動作し、アクセス権が正しいことを確認します。

Autopilot プロビジョニング プロファイルは Azure AD グループに割り当てられています。あるいは、すべてのデバイスに対して1つのプロビジョニング プロファイルを用意する場合は、ターゲットとして [すべてのデバイス] を選択できます。グループを構成する必要はありません。

[グループ] ページには、Azure で使用可能なグループが表示されます。このページではグループの追加と削除ができます。

配布プロファイルで使用するグループを作成している場合は、セキュリティ グループ タイプを使用する必要があります。グループ メンバーが配布プロファイルを受信するには、Azure でデバイス ハードウェア ハッシュが必要です。

1つの配布プロファイルを使用する場合、グループの作成または構成は必要ありません。代わりに、[配布プロファイルの作成] > [グループ割り当て][すべてのデバイス] オプションを選択できます。

グループ リストには最大100個のグループが表示されます。表示するグループが101以上ある場合は、下部の [その他のグループの読み込み] をクリックします。次の100個のグループがリストに追加されます。[検索] ボックスを使用して、表示されているグループをフィルタリングします。特定のグループを検索する場合は、グループ名を入力し、[すべて検索] をクリックします。

Azure AD グループを作成するには

  1. [Autopilot] ウィンドウで [グループ] をクリックします。

  2. [Create] をクリックします。オプションの詳細については、[Azure AD グループの作成] ページについてをご参照ください。

  3. Azure AD グループの作成ページで任意の AD グループの名前を入力します。これは必須です。

  4. グループの説明を入力します。

  5. メール ニックネームを入力します。

  6. グループ メンバーシップを選択します。

  • 各ユーザに個別にメンバーシップとアクセス権を割り当てるときには、[割り当て済み] を使用します。

  • デバイス ルールに基づいて自動的にメンバーシップを割り当てる場合は、[動的デバイス] を使用します。動的メンバーシップ ルール ビルダーが開きます。

  • ユーザ ルールに基づいて自動的にメンバーシップを割り当てる場合は、[動的ユーザ] を使用します。動的メンバーシップ ルール ビルダーが開きます。

  1. 動的グループ メンバーシップ タイプを選択した場合は、動的メンバーシップ ルール ビルダーを使用します。

  2. [保存] をクリックします。

配布プロファイルは次の設定を定義するプロビジョニング テンプレートです。

  • ドメイン参加タイプ

  • デバイス プロビジョニング プロセス

  • エンドユーザ エクスペリエンス

  • グループ割り当て

配布プロファイルを作成する

  1. [Autopilot] ウィンドウで [配布プロファイル] をクリックします。

  2. [作成] をクリックします。

  3. 基本ページでプロファイルの名前説明を入力します。[次へ] をクリックします。

  4. アウトオブボックス エクスペリエンス ページで、配布タイプ、アカウント タイプ、言語/リージョン設定を構成します。[次へ] をクリックします。

  5. エンドユーザ ステータス ページで、ステータス ページの動作とエラー処理を構成します。[次へ] をクリックします。

  6. グループ割り当てページで、プロファイルの割り当て先として [デバイスなし][すべてのデバイス][選択したグループ] のいずれかを選択します。 [次へ] をクリックします。

  7. 概要ページで、選択内容を確認し、[プロファイルの作成] をクリックします。

デバイス ハードウェア ハッシュ情報を Endpoint Manager の Autopilot にインポートするには複数の方法があります。

  • PowerShell スクリプトを使用してデバイス情報を抽出し、.CSV 形式で出力します。たとえば、Microsoft ドキュメントのこのページにあるスクリプト リンクをご参照ください。

  • この手順に従い、デバイスから直接手動でデバイス情報を抽出します。

  • お客様が購入されたデバイスの .CSV ファイルは OEM パートナーが提供します。

  • OEM パートナーは、直接デバイス ハッシュを組織の Azure AD テナントに入力します。

[Autopilot] ウィンドウで [デバイス] をクリックします。

グループ メンバーシップの変更は、[デバイス] ページの [同期] ボタンをクリックするまで適用されません。これは、Azure で変更を処理できる速度によっては、デバイスごとに15分以上かかる場合があります。[更新] ボタンをクリックして、Azure からリストを更新します。

リストのデバイスをクリックすると、デバイスが属するグループの詳細と一覧が表示されます。[Autopilot デバイスを表示] オプションでは、インポートされた Autopilot デバイスが表示されます。[Azure デバイスを表示] オプションでは、Azure のデバイス ビューに表示されるデバイスが表示されます。

バージョン2022 SU3以降では、リストのデバイスをクリックすると、そのデバイスの Azure の [グループ タグ][ディスプレイ名] を編集できます。デバイスを編集した場合、変更内容が Azure と同期されるまで、そのデバイスは緑色の文字で示されます。

配布プロファイルの一部としてアプリケーションをインストールできます。アプリケーションをデバイスに割り当てるときには、配布プロファイルをデバイスが属する Azure Active Directory グループに割り当てる必要があります。追加したアプリケーションは Azure Blob Storage にアップロードされます。

アプリケーション ファイルはコアサーバの ManagementSuite\landesk\files フォルダに存在している必要があります。サポートされている形式は .exe、.msi、.intunewin です。アップロード処理では、Microsoft の Win32 Content Prep Tool である IntuneWinAppUtil.exe も同じフォルダに存在する必要があります。ウィザードの最後で変更を保存すると、ファイルのアップロードが実行されます。

Content Prep Tool をダウンロードする場所の詳細については、[アプリケーション] > [基本] ページについてをご参照ください。

Autopilot デバイスのプロビジョニング中には、デバイスによって、インストールする必要があるアプリケーションが確認されます。要件ルールが満たされた場合、アプリケーションが Azure blob storage からダウンロード、復号され、各アプリケーションが一度にインストールされます。

配布プロファイルの一部としてアプリケーションをインストールするには

  1. [Autopilot] ウィンドウで [アプリケーション] をクリックします。

  2. [作成] をクリックします。バージョン2022 SU2以降をお使いの場合は、[汎用アプリを作成] ボタンをクリックします。Microsoft 365アプリケーションをインストールする場合は、「Microsoft 365アプリのインストール (2022 SU2)」をご参照ください。

  3. 基本ページで名前説明を入力します。

  4. インストール動作ページで、[パッケージ ファイルを選択] をクリックして、任意のファイルを参照します。

  5. 必要に応じてインストール コマンドをカスタマイズし、システム アカウントまたはログイン ユーザのアカウントのどちらでアプリケーションをインストールするのかを選択します。

  6. アプリケーションで再起動が必要な場合は、[インストール後の強制再起動] を選択します。[次へ] をクリックします

  7. 要件ページで、アプリケーションをインストールするかどうかを決定するルールを追加できます。これらは任意です。[次へ] をクリックします。

  8. 検出ルール ページで、アプリケーションが正常にインストールされたかどうかを判定するルールを追加できます。これらは任意です。[次へ] をクリックします。

  9. グループ割り当てページで、アプリケーションを受信する Azure グループを選択します。[次へ] をクリックします。

  10. 概要ページで構成を確認し、準備が完了したら、[アプリケーションの作成] をクリックします。メインの [アプリケーション] ページでアップロードの進行状況を監視します。

[Autopilot] ウィンドウで [アプリケーション ステータス] をクリックします。

アプリケーション インストール ステータス ページには、各デバイスのアプリケーション インストールの成功/失敗情報が表示されます。このリストでインストールをクリックすると、トラブルシューティングに役立つ詳細なインストール情報が表示されます。

アプリケーションには、構成の一部として検出ルールを含めることができます。これらのルールは、アプリケーションが正常にインストールされたかどうかを特定するのに役立ちます。検出ルールとアプリケーション インストーラの両方のリターン コードが「成功」の場合、アプリケーションのインストール状態[インストール済み] になります。

インストール ステータスをレビューした後は、問題がないアプリケーション インストールを「解決済み」に設定できます。 [解決済みを適用] をクリックすると、選択内容が適用されます。これらのアプリケーションが既定のリスト ビューから削除されます。アプリケーション インストールを「解決済み」または「未解決」に設定しても、リストが並べ替えられるだけで、何も処理は実行されません。このため、関心がない場合は、この操作を行う必要がありません。

後から、インストール ステータスの表示を変える場合は、[解決済み] 状態フィルタを [未解決] に変更し、[解決済み] リスト列の選択項目をオフにします。

デバイスを事前プロビジョニングし、必要に応じてアプリケーションをプレインストールすると、IT、デバイス製造元、またはリセラーが、Autopilot の Windows セットアップとデバイス構成でデバイスを実行できます。完了すると、OS が再びシールされ、デバイスをエンドユーザに提供できます。

エンドユーザがデバイスをオンにして、ネットワークに接続すると、Windows セットアップ インターフェイスが表示され、キーボード レイアウトと言語 (配布プロファイルで許可されている場合) を選択できます。ログインすると、エンドユーザ ステータス ページが表示され、プロビジョニングのユーザ フェーズを進めることができます。

ユーザ フェーズの期間は、インストールするユーザ アプリケーションがあるかどうかと、インストールにかかる時間によって異なります。アプリケーションがインストールされない場合、セットアップ処理に1分もかからない可能性があります。事前プロビジョニング中にはほとんどのアプリケーションがインストールされることが予想されるため、この方法がユーザには迅速なプロセスです。

事前プロビジョニングには、TPM 2.0が搭載された物理ハードウェアが必要です。Azure AD 登録に従って、Azure MDM アプリケーション ID を入力する必要もあります。

技術者向けの事前プロビジョニング ワークフローについては、https://docs.microsoft.com/ja-jp/mem/autopilot/pre-provision#scenarios をご覧ください。