Windows Autopilotプロファイルの構成

Windows Autopilotは、管理者が新しいデバイスを仕事で使えるようにするためのセットアップや事前設定に役立つMicrosoftの機能です。 Autopilot機能は、WindowsデスクトップまたはHoloLens2デバイスの迅速で信頼性の高い、シームレスなプロビジョニングを支援します。 さらにAutopilot機能は、以下のタスクの実行にも役立ちます。

• Azure Active Directory（AAD）へのデバイスの自動追加
• MDMサービスへのデバイスの自動登録
• デバイスの作成と、デバイスのプロファイルに基づく構成グループへの自動割り当て
• 登録体験のカスタマイズ
• 構成とポリシーの適用
• 必要なアプリケーションのインストール

前提条件

管理者は、Ivanti Neurons for MDM 管理者ポータルのWindows Autopilotページからユーザープロファイルを作成できます。 Autopilot機能が期待どおりに機能するには、以下の前提条件を満たす必要があります。

• Autopilot機能（feature.autopilot）が有効化されていること
• Ivanti Neurons for MDM テナントが AAD テナントと統合される
• ダミー ユーザ fooUser@<aad-domain> が作成され、同期されます

Autopilot登録モード

デバイスを特定のユーザープロファイルグループに関連付けた後、デバイスの使用状況に基づいて、ユーザーがデバイスをすぐに使い始められるように、Autopilot登録モードを設定することができます。 Ivanti Neurons for MDM では、以下のAutopilot登録モードが提供されています。

• 自己導入モード
• ユーザ主導 (プリプロビジョニング モード)
• ユーザ主導

自己導入Autopilotモード - 自己導入Autopilotデバイス登録モードでは、デバイスの初期設定を回避し、デバイスが安全に起動するために必要なすべての設定ファイルをプッシュすることで、ユーザー向けに企業のデバイスをシームレスに導入することができます。 このモードでは、ハードウェアを保護し、デバイスを企業ネットワークに接続した後、ダミーユーザーIDを使用してAzure Active Directory（AAD）、MDMサービス、Ivanti Neurons for MDM 管理者ポータルにデバイスを登録し、ユーザーがログインする前に必要なすべての設定ファイルをデバイスにプッシュします。 必須の設定ファイルがデバイスにプッシュされると、デバイスが再起動し、企業ユーザーが開始できるようにログイン画面が表示されます。 キオスクやデジタル署名付きデバイスとして使用できるデバイスには、自己導入モードを使用できます。

ユーザー主導の事前プロビジョニングプロファイルモード – 管理者がユーザー主導の事前プロビジョニングプロファイルを作成し、そのプロファイルをユーザーグループに割り当てると、デバイスのハードウェアIDがアップロードされ、AADグループに割り当てられます。 デバイスは、ユーザー主導の事前プロビジョニングプロファイルに関連付けられます。 このモードの目的は、管理者がデバイスを企業ユーザーに渡す前にセットアップすることです。 手順は以下のとおりです。

手順

1. 新しいハードウェアデバイスをLANに接続し、Windowsボタンを5回押します。
2. デバイスが質問を表示します。 [Windows Autopilotプロビジョニング] オプションを選択し、[続行] をクリックします。 Intuneがユーザー主導の事前プロビジョニングプロファイルモードを検出し、すべての基本的な構成設定がデバイスに導入されます。 Windows Autopilot構成画面が表示されます。
3. [続行] をクリックします。 デバイスは処理を進め、ハードウェアを保護し、企業ネットワークに接続した後、ダミーユーザーIDを使用してAzure Active Directory（AAD）、MDMサービス、Ivanti Neurons for MDM 管理者ポータルにデバイスを登録します。必要なすべての構成ファイルがデバイスにプッシュされ、確認メッセージが表示されます。
4. これで、デバイスをユーザーに渡せます。 ユーザーがデバイスにログインすると、ユーザーIDがデバイスの詳細とともに Ivanti Neurons for MDM 管理者ポータルに登録されます。

ユーザーがデバイスにログインする前に、以下の構成が自動的にプッシュされます。

• ID証明書
• Wi-Fi
• Windows Hello for Business
• Windowsの制約

残りの構成は [保留中] 状態であり、ユーザーがメールアドレスを使用してデバイスにログインした後、プッシュされます。

自己配布モードおよびユーザー主導（事前プロビジョニング）モードのAutopilot登録処理中には、割り当てられた.MSIアプリおよび.EXEアプリがデバイスにインストールされ、登録処理が完了します。 Autopilot登録処理中に.MSI アプリおよび.EXEアプリをインストールし、インストール中にアプリがレポートするかレポートできない場合、Autopilot処理は完了し、[再封鎖] ボタンが有効になります。

Windows Autopilotユーザープロファイルの作成

Azure Active Directory（AAD）ユーザーソースを設定し、ユーザーとAADユーザーグループを Ivanti Neurons for MDM テナントと同期させた後、Autopilotプロファイルを作成します。

手順

1. Ivanti Neurons for MDM 管理者ポータルにログインします。
2. [管理] > [Microsoft Azure] > [Windows デバイス管理] をクリックします。

   AADユーザーソースが構成されていない場合、[追加] ボタンは無効となります。 [Microsoft Azure] セクションに表示される [Windows デバイス管理] オプションを使用してユーザーソースを構成する必要があります。

3. [追加] をクリックします。

   [Windows Autopilotプロファイルを追加] ページが画面に表示されます。

4. [名前] ボックスにプロファイル名を入力します。
5. この手順の下のテーブルを使用して [プロファイル設定] を完成させます。
6. [次へ] をクリックします。

   すべてのAADデバイスグループが入った新しいページが画面に表示されます。

7. Autopilotプロファイルを割り当てるAADデバイスグループを1つ以上選択します。

AADデバイスグループを作成し、この新たに作成したグループにAutopilotプロファイルを割り当てることもできます。 詳細は、「AADデバイスグループの作成」をご参照ください。

8. AutopilotプロファイルをすべてのAADグループに割り当てる場合は、[すべてのAADグループに割り当てる] オプションを選択します。

   Microsoftからの制約により、「すべてのグループ」に複数のプロファイルを割り当てることはできません。

9. [完了] をクリックします。

設定	説明
デバイスの種類	デバイスに応じて以下の2つのオプションから1つを選択します。 Windows PC HoloLens - このオプションを選択する場合は、デフォルトの導入モードを [自己導入] モードに設定しておく必要があります。 まれに、Autopilotを使用してHoloLens 2デバイスを登録すると、「仕事用のデバイスのセットアップ」画面で登録が止まることがあります。 そのような場合は、電源ボタンを押してデバイスの電源を一旦オフにし、再度オンにします。 するとデバイスにログイン画面が表示されるため、ここでAAD認証情報を入力して登録を完了させます。
導入モード	自己導入：このモードでは、ほとんどまたはまったく手動の作業なしにデバイスの導入が行われます。 ユーザー主導： 管理者はこのオプションを使用して、ユーザーにデバイスを渡す前に、ユーザー向けに新しいデバイスを構成する登録モードを選択できます。
ユーザーアカウントのタイプ	管理者：デバイスの導入後、ユーザーが完全に制御する必要がある場合は、このオプションを選択します。 標準：デバイスの導入後、ユーザーが基本的なオプションに対する権限を必要とする場合は、このオプションを選択します。
言語	デフォルトでは、言語はオペレーティングシステムによって決まります。 リストから別の言語を選択できます。
すべての対象デバイスをAutopilotに変換	割り当てられたグループ内のすべてのデバイスをAutopilotに変換する場合は、このオプションを選択します。
事前プロビジョニングを許可	通常の登録プロセスを使用してAutopilotのデバイスを登録するには、このオプションを選択します。 [自己導入] オプションが選択されている場合は、このオプションは利用できません。
キーボードの自動構成	[言語] オプションがデフォルト値以外の値に設定されている場合、[はい] を選択するとキーボード選択がスキップされます。
デバイス名テンプレート	デバイス登録処理中に使用するテンプレート名を入力します。
Microsoft Softwareライセンス期間	このオプションは、[ユーザー主導の導入] モードでのみ、表示/非表示を切り替えることができます。
プライバシー設定	このオプションは、[ユーザー主導の導入] モードでのみ、表示/非表示を切り替えることができます。
アカウントオプションの変更	このオプションは、[ユーザー主導の導入] モードで、ユーザーアカウントタイプが [標準] タイプの場合にのみ、表示/非表示を切り替えることができます。

Windows デバイス管理

管理者は、新規オプションである [Windows デバイス管理] を使用して、テナントにAutopilot機能を構成できます。 このオプションにより、ユーザが AAD 環境を使用している場合に、Ivanti Neurons for MDM との統合が容易になります。

このオプションを表示するには、[管理] > [Microsoft Azure] > [Windows デバイス管理] をクリックします。

この統合により、Ivanti Neurons for MDM にアクセス権が付与され、Autopilot プロファイルの管理、Windows デバイス準拠の確認、Azure テナントの検証が可能になります。

関連トピック

• TenantLockdown CSP

AADデバイスグループの作成

管理者は、必要に応じていつでも [AADデバイスグループ] セクションからAADデバイスグループを作成できます。 AADデバイスグループを作成するには、[デバイスのコンプライアンス] セクションでAADテナント検証が構成されている必要があります。

手順

1. [管理] > [Microsoft Azure] > [AAD デバイス グループ] を開きます。

[Azure Active Directory デバイス グループ] ページが画面に表示されます。

2. [追加] をクリックします。

[グループ設定] ページが画面に表示されます。

3. 以下の詳細を入力します。
   • グループ名
   • グループの記述
   • メンバーシップタイプ
     • 静的デバイス - 管理者には、利用可能な静的デバイスのリストが [グループへのメンバーの割り当て] ウィンドウに示されます。 必要なデバイスを選択し、[保存] をクリックします。
     • 動的デバイス - 管理者は [動的クエリ] ウィンドウから特定の基準を入力する必要があります。

新しいAADデバイスグループが作成され、管理者は、この新たに作成されたグループにデバイスを追加できます。

動的グループを作成後、しばらくすると、特定のデバイス グループの [デバイス] タブにデバイスがリストされます。

Autopilotデバイスの編集

ユーザーは、AutopilotデバイスをIvanti Neurons for MDM管理ポータルから編集できます。

前提条件

以下の前提条件を満たす必要があります。

• ユーザーが割り当てられたMicrosoft Intuneライセンスを持っていること
• ユーザーが設定されている場合のみユーザーに分かりやすい名前を設定できます
• デバイスの名前は、一度設定した後は設定解除できません

手順

1. Ivanti Neurons for MDM 管理者ポータルにログインします。
2. [管理] > [Windows] > [Autopilot] を開きます。Autopilotデバイスが、[Autopilot デバイス] タブにリスト表示されます。
3. [編集]（鉛筆のアイコン）をクリックします。編集ページが表示されます。
4. 以下の情報を編集します。
• ユーザー
• ユーザーに分かりやすい名前
• デバイス名
• グループタグ
5. [保存] をクリックします。デバイスの詳細が更新されます。

Autopilotデバイスの削除

ユーザーは、Ivanti Neurons for MDM 管理ポータルからAutopilotデバイスを削除できます。

1. Ivanti Neurons for MDM 管理者ポータルにログインします。
2. [管理] > [Windows] > [Autopilot] を開きます。Autopilotデバイスが、[Autopilot デバイス] タブにリスト表示されます。
3. [削除] をクリックします。デバイスの詳細が削除されます。