Windows Autopilotプロファイルの構成

Windows Autopilotは、管理者が新しいデバイスを仕事で使えるようにするためのセットアップや事前設定に役立つMicrosoftの機能です。 Autopilot機能は、WindowsデスクトップまたはHoloLens2デバイスの迅速で信頼性の高い、シームレスなプロビジョニングを支援します。 さらにAutopilot機能は、以下のタスクの実行にも役立ちます。

  • Entra ID(Entra ID)へのデバイスの自動参加
  • MDMサービスへのデバイスの自動登録
  • デバイスの作成と、デバイスのプロファイルに基づく構成グループへの自動割り当て
  • 登録体験のカスタマイズ
  • 構成とポリシーの適用
  • 必要なアプリケーションのインストール

前提条件

Windows Autopilotページを操作するには、Ivanti Neurons for MDMパートナー手順とAzureライセンス要件をご確認ください。 Autopilot機能を期待どおりに動作させるためには、以下の前提条件が満たされていることを確認してください。

  • AutopilotのためのAzureライセンス要件:「Windows Autopilotライセンス要件」を確認してください。

  • Azure Windows Autopilotデバイス登録:「Windows Autopilot登録の概要」を確認してください。

  • 顧客のアカウントにデバイスを追加するリセラー:「顧客のout-of-box experienceをカスタマイズするための、新規デバイス上でのWindows Autopilotプロファイルの使用」を確認してください。

その他の要件

  1. Entra IDテナントとIvanti Neurons for MDMを統合します。 詳細については、Microsoft Azureでの設定を参照してください。
  2. Ivanti Neurons for MDMおよびEntra IDで管理者アカウントをお持ちであることを確認します。
  3. 自己導入用プロファイルを利用するには、ユーザレスによる Ivanti Neurons for MDMのデバイス自己配布の、登録用の偽ユーザを作成します。

  4. Entra IDプライマリドメインから、ダミーユーザfooUser@Entra IDPrimaryDomain.comを作成して同期します。

    ダミーユーザの作成と同期化には、Microsoftライセンスは必要ありません。

  5. Entra IDの [カスタムドメイン名] ページに、お使いのEntra ID環境のプライマリドメインが表示されます。

  6. そのユーザがデバイスを登録できることと、無効化されていないことを確認します。 たとえば、プライマリドメインがcontoso.comであれば、作成されるユーザは[email protected]となります。 プライマリドメインがcontoso.onmicrosoft.comであれば、作成されるユーザは[email protected]となります。

  7. このユーザをSCIMでIvanti Neurons for MDMにプロビジョニングするには、Entra IDでユーザ詳細を編集し、メールアドレスを追加します。 一般に、EメールアドレスはUPNと同じになります。

  8. fooUserを含め、すべてのユーザがAzureおよびIvanti Neurons for MDM内に存在することを確認します。

  9. 管理者は、ビジネス向けMicrosoft Store、またはIvanti Neurons for MDMを使用して、Autopilotプロファイルを作成できます。 Ivanti Neurons for MDMを使用してプロファイルを作成するには、管理者には、Entra IDのグローバル管理者権限とIntune管理者権限が必要です。

    管理者には、Azure P1またはP2ライセンスと、Ivanti Neurons for MDMのSecure UEMライセンスまたはSecure UEM Premiumライセンスが必要です。 管理者にはIntuneライセンスは必要ありません。

    Neurons for MDMでの、Autopilotプロファイルの作成機能では、Autopilot用のMicrosoft Graph API(これは、まだベータ版です)を使用します。

Autopilot登録モード

デバイスを特定のユーザプロファイルグループに関連付けた後、デバイスの使用状況に基づいて、ユーザがデバイスをすぐに使い始められるように、Autopilot登録モードを設定することができます。 Ivanti Neurons for MDM では、以下のAutopilot登録モードが提供されています。

  • 自己導入モード
  • ユーザ主導 (プリプロビジョニング モード)
  • ユーザ主導

自己導入Autopilotモード - 自己導入Autopilotデバイス登録モードは、デバイスの初期セットアップをバイパスし、デバイスを安全に使い始めるために必要なすべての必須構成ファイルをプッシュすることにより、ユーザ用の企業デバイスのシームレスな導入を確実に行えるようにします。 このモードは、ハードウェアを保護し、デバイスを企業ネットワークに接続した後、ダミーユーザIDを使用してEntra ID(Entra ID)、MDMサービス、Ivanti Neurons for MDM管理者ポータルにデバイスを登録し、ユーザがログインする前に必要なすべての構成ファイルをデバイスにプッシュします。 必須の設定ファイルがデバイスにプッシュされると、デバイスが再起動し、企業ユーザが開始できるようにログイン画面が表示されます。 キオスクやデジタル署名付きデバイスとして使用できるデバイスには、自己導入モードを使用できます。

ユーザ主導の事前プロビジョニングプロファイルモード – 管理者がユーザ主導の事前プロビジョニングプロファイル作成し、そのプロファイルをユーザグループに割り当てると、デバイスのハードウェアIDがアップロードされてEntra IDグループに割り当てられます。 デバイスは、ユーザ主導の事前プロビジョニングプロファイルに関連付けられます。 このモードは、デバイスが企業ユーザに手渡される前に、管理者がデバイスを設定するために使用されます。

手順

事前プロビジョニングによる配布のための以下の手順に従います。

  1. 新しいハードウェアデバイスをLANに接続し、Windowsボタンを5回押します。
  2. デバイスが質問を表示します。 [Windows Autopilotプロビジョニング] オプションを選択し、[続行] をクリックします。 Entra IDがユーザ主導の事前プロビジョニングプロファイルモードを検出し、基本的なすべての構成設定がデバイスに導入されます。 Windows Autopilot構成画面が表示されます。
  3. [続行] をクリックします。 デバイスは処理を進め、ハードウェアを保護し、企業ネットワークに接続した後、ダミーユーザIDを使用してEntra ID(Entra ID)、MDMサービス、Ivanti Neurons for MDM管理者ポータルにデバイスを登録します。必要なすべての構成ファイルがデバイスにプッシュされ、確認メッセージが表示されます。
  4. これで、デバイスをユーザに渡せます。 ユーザがデバイスにログインすると、ユーザIDがデバイスの詳細とともに Ivanti Neurons for MDM 管理者ポータルに登録されます。
  • ユーザがデバイスにログインする前に、以下の構成が自動的にプッシュされます。
    • ID証明書
    • Wi-Fi
    • Windows Hello for Business
    • Windowsの制約

    • 残りの構成は [保留中] 状態であり、ユーザがメールアドレスを使用してデバイスにログインした後、プッシュされます。

    自己配布モードおよびユーザ主導(事前プロビジョニング)モードのAutopilot登録処理中には、割り当てられた.MSIアプリおよび.EXEアプリがデバイスにインストールされ、登録処理が完了します。 Autopilot登録処理中に.MSI アプリおよび.EXEアプリをインストールし、インストール中にアプリがレポートするかレポートできない場合、Autopilot処理は完了し、[再封鎖] ボタンが有効になります。

    Windows Autopilotユーザプロファイルの作成

    Entra ID(Entra ID)ユーザソースを構成し、ユーザとEntra IDユーザグループを Ivanti Neurons for MDMテナントと同期させた後は、Autopilotプロファイルを作成できます。

    手順

    1. Ivanti Neurons for MDM 管理者ポータルにログインします。
    2. [管理] > [Microsoft Azure] > [Windows デバイス管理] をクリックします。

      Entra IDユーザソースが構成されていない場合、[追加] ボタンは無効となります。 [Microsoft Azure] セクションに表示される [Windows デバイス管理] オプションを使用してユーザソースを構成する必要があります。

    3. [追加] をクリックします。

      [Windows Autopilotプロファイルを追加] ページが画面に表示されます。

    4. [名前] ボックスにプロファイル名を入力します。
    5. この手順の下のテーブルを使用して [プロファイル設定] を完成させます。
    6. [次へ] をクリックします。

      すべてのEntra IDデバイスグループが入った新しいページが画面に表示されます。

    7. Autopilotプロファイルを割り当てるEntra IDデバイスグループを1つ以上選択します。

      8. Entra IDデバイスグループを作成し、この新たに作成したグループにAutopilotプロファイルを割り当てることもできます。 詳細は、Entra IDデバイスグループの作成を参照してください。

    8. AutopilotプロファイルをすべてのEntra IDグループに割り当てる場合は、[すべてのEntra IDグループに割り当てる] オプションを選択します。

      Microsoftからの制約により、「すべてのグループ」に複数のプロファイルを割り当てることはできません。

    9. [完了] をクリックします。

    設定

    説明

    デバイスのタイプ

    デバイスに応じて以下の2つのオプションから1つを選択します。

    • Windows PC

    • HoloLens - このオプションを選択する場合は、デフォルトの導入モードを [自己導入] モードに設定しておく必要があります。

    まれに、Autopilotを使用してHoloLens 2デバイスを登録すると、「仕事用のデバイスのセットアップ」画面で登録が止まることがあります。 そのような場合は、電源ボタンを押してデバイスの電源を一旦オフにし、再度オンにします。 デバイスにログイン画面が表示されますので、ここでEntra ID認証情報を入力して登録を完了させます。

    導入モード

    • 自己導入:このモードでは、ほとんどまたはまったく手動の作業なしにデバイスの導入が行われます。

    • ユーザ主導: 管理者はこのオプションを使用して、ユーザにデバイスを渡す前に、ユーザ向けに新しいデバイスを構成する登録モードを選択できます。

    ユーザアカウントのタイプ

    • 管理者:デバイスの導入後、ユーザが完全に制御する必要がある場合は、このオプションを選択します。

    • 標準:デバイスの導入後、ユーザが基本的なオプションに対する権限を必要とする場合は、このオプションを選択します。

    言語

    デフォルトでは、言語はオペレーティングシステムによって決まります。 リストから別の言語を選択できます。

    すべての対象デバイスをAutopilotに変換

    割り当てられたグループ内のすべてのデバイスをAutopilotに変換する場合は、このオプションを選択します。

    事前プロビジョニングを許可

    通常の登録プロセスを使用してAutopilotのデバイスを登録するには、このオプションを選択します。 [自己導入] オプションが選択されている場合は、このオプションは利用できません。

    キーボードの自動構成

    [言語] オプションがデフォルト値以外の値に設定されている場合、[はい] を選択するとキーボード選択がスキップされます。

    デバイス名テンプレート

    デバイス登録処理中に使用するテンプレート名を入力します。

    Microsoft Softwareライセンス期間

    このオプションは、[ユーザ主導の導入] モードでのみ、表示/非表示を切り替えることができます。

    プライバシー設定

    このオプションは、[ユーザ主導の導入] モードでのみ、表示/非表示を切り替えることができます。

    アカウントオプションの変更

    このオプションは、[ユーザ主導の導入] モードで、ユーザアカウントタイプが [標準] タイプの場合にのみ、表示/非表示を切り替えることができます。

    Windows デバイス管理

    管理者は、新規オプションである [Windows デバイス管理] を使用して、テナントにAutopilot機能を構成できます。 このオプションにより、ユーザがEntra ID環境を使用している場合に、Ivanti Neurons for MDMとの統合が容易になります。

    このオプションを表示するには、[管理] > [Microsoft Azure] > [Windows デバイス管理] をクリックします。

    この統合により、Ivanti Neurons for MDM にアクセス権が付与され、Autopilot プロファイルの管理、Windows デバイス準拠の確認、Azure テナントの検証が可能になります。

    関連トピック

    Entra IDデバイスグループの作成

    管理者は、必要に応じていつでも [Entra IDデバイスグループ] セクションからEntra IDデバイスグループを作成できます。 Entra IDデバイスグループを作成するには、[デバイスのコンプライアンス] セクションでEntra IDテナント検証が構成されている必要があります。

    手順

    1. [管理] > [Microsoft Azure] > [Entra IDデバイス グループ] を開きます。

      2. [Entra IDデバイスグループ] ページが画面に表示されます。

    2. [追加] をクリックします。

      3. [グループ設定] ページが画面に表示されます。

    3. 以下の詳細を入力します。
      • グループ名
      • グループの記述
      • メンバーシップタイプ
        • 静的デバイス - 管理者には、利用可能な静的デバイスのリストが [グループへのメンバーの割り当て] ウィンドウに示されます。 必要なデバイスを選択し、[保存] をクリックします。
        • 動的デバイス - 管理者は [動的クエリ] ウィンドウから特定の基準を入力する必要があります。

    新しいEntra IDデバイスグループが作成され、管理者は、この新たに作成されたグループにデバイスを追加できます。

    動的グループを作成後、しばらくすると、特定のデバイス グループの [デバイス] タブにデバイスがリストされます。

    Autopilotデバイスの編集

    ユーザは、AutopilotデバイスをIvanti Neurons for MDM管理ポータルから編集できます。

    前提条件

    以下の前提条件が満たされていることを確認してください。

    • IT管理者ユーザには、Azureグローバル管理者権限とIntune管理者権限が必要です。

    • ユーザに分かりやすい名前は、そのユーザが設定されている場合にのみ設定できます。
    • 一度設定したデバイス名は、設定解除できません。

    手順

    1. Ivanti Neurons for MDM 管理者ポータルにログインします。
    2. [管理] > [Windows] > [Autopilot] を開きます。 Autopilotデバイスが、[Autopilot デバイス] タブにリスト表示されます。
    3. [編集](鉛筆のアイコン)をクリックします。 編集ページが表示されます。
    4. 以下の情報を編集します。
      • ユーザ
      • ユーザに分かりやすい名前
      • デバイス名
      • グループタグ
    5. [保存] をクリックします。 デバイスの詳細が更新されます。

    Autopilotデバイスの削除

    ユーザは、Ivanti Neurons for MDM 管理ポータルからAutopilotデバイスを削除できます。

    1. Ivanti Neurons for MDM 管理者ポータルにログインします。
    2. [管理] > [Windows] > [Autopilot] を開きます。 Autopilotデバイスが、[Autopilot デバイス] タブにリスト表示されます。
    3. [削除] をクリックします。 デバイスの詳細が削除されます。