Windows Autopilot による Windows PC ゼロタッチキッティング
会社から貸与された初期化状態のデバイスを画面の指示通りに設定し、ホーム画面が表示されたら会社で定められた設定が適用され、必要なアプリが自動的に降ってきてすぐに仕事に使うことができる。こんなユーザーにも情シス部門にも夢のようなゼロタッチキッティング。iPhone, iPad, Macの場合はAutomated Device Enrollment(自動デバイス登録:旧名称DEP)、Androidにはzero-touch enrollment(ゼロタッチ登録)という仕組みで動いています。
ではWindowsは…というのが今回のお話。WindowsではWindows Autopilotという仕組みで実現が可能です(初期設定中にMDMに登録し、設定やアプリケーションを配布することが可能です。合わせてAzure AD上にもデバイス登録が行われます。簡単な流れについては以下の図を御覧ください)。
Windowsにおけるゼロタッチキッティング:Windows Autopilot
今回はMDMとして、Ivanti社のNeurons for MDM(旧名称MobileIron.以後も本名称を使用します)を利用した方法を紹介します。
まずは、Windows Autopilot による Windows セットアップ手順がどのようになるのかをご覧ください。その後に詳細な設定について書いていきたいと思います。
Windows Autopilotに必要な環境
OSですが、次のいずれかあることが必要です
(基本的には現行Microsoftがサポートしている企業向けエディションであればOK)。
- Windows 10 (バージョン1903以降)
- Windows 11
必要な環境① MDM (Mobile Device Management)
※ 現状、国内ベンダー製のMDMでは対応しているものは確認できておりません。
※ 当然のことながら登録するデバイス/ユーザー数のライセンスが必要です。
必要な環境② Microsoft365 のライセンス
ここが今回のポイントになるのですが、MDMとしてMobileIronを使用する為ユーザー数分のIntuneライセンスは必要ありません。ですがAutopilotを実現する為にMicrosoft Endpoint Managerを使用しており、この環境を維持するために最低1つのIntuneライセンスが必要となります(このライセンスは、ユーザーに割り当てる必要はありません)。
Autopilot の準備作業
準備① 対象Windows 端末のデバイス情報を出力
登録の方法は2つあります。
1つは購入時にメーカー・ディストリビュータに登録してもらうパターン。
もう1つは手動でデバイス情報を登録するパターンです(今回はこちらの方法で進めます)。
前者は購入にあたり必要な手続き・情報についてメーカー・ディストリビュータにご確認ください(可能なメーカーは限られています)。
後者は、キッティングを行うコンピュータ上でデバイス情報(ハードウェア ハッシュ)を出力し、Azureテナント上にアップロードする必要があります。
出力方法はいくつかありますが、そのうちひとつをご紹介します。
- 対象のコンピュータ上でPowershell(管理者)を起動し、以下のコマンドを実行
Install-Script Get-WindowsAutoPilotInfo - 設定に関する3つの説明が表示されたらすべて”Y”を入力し、Enter を押下
・ PATH 環境変数の変更
・ 続行するには NuGet プロバイダーが必要です
・ 信頼されていないレポジトリ - 再度コマンド入力画面に戻ったら以下のコマンドを実行
Set-ExecutionPolicy RemoteSigned –Force - 続けて以下のコマンドを実行
cd C\Users\<ユーザー名>\Desktop - ” PS cd C\Users\<ユーザー名>\Desktop> ”と表示されたら、以下のコマンドを実行
Get-WindowsAutoPilotInfo.ps1 –OutputFile hash.csv - exit でPowershellを終了
- デスクトップ上にhash.csv という名前のファイルが出力されることを確認
(このファイルがハードウェア ハッシュとなります)
準備② Azure AD と MDM (Mobileiron) の設定
Azure AD 側の設定
その前に、Autopilot対象デバイスが自動的に所属されるデバイスグループを作成します(この後の設定で使用します)。
グループ > 新しいグループ > メンバーシップの種類を「動的デバイス」と設定し、『動的クエリの追加』をクリック。規則の構文として(device.devicePhysicalIDs -any _ -contains "[ZTDId]") と設定。
追加後、対象となるユーザーをMDMユーザースコープよりを設定(合わせてIntuneのユーザースコープを「なし」に設定します)。
MDM (Mobileiron) 側の設定
MobileIron側でAzure ADとの連携設定を行います。
管理 > Microsoft Azure > Windows デバイス管理 より必要箇所にチェックを入れ、Azure ADドメインを入力後[アカウントを接続]をクリック。
その後連携に関する確認画面が表示される為[承諾]をクリックします。
接続に成功すると、管理 > Microsoft Azure > デバイスのコンプライアンス 画面において以下の通りAzure ADドメイン:有効と表示されます。
AutopilotにてWindowsの初期設定を行うコンピュータの振る舞いを決めるプロファイルの作成を行います。
管理 > Windows > オートパイロット > Autopilotプロファイルタブ より[+追加]をクリックし、プロファイルの設定。
設定内容は原則運用に即したもので構いませんが、次の2点は以下の通り設定を行います。
- 導入形態:ユーザー主導
- 「すべての対象デバイスをAutopilotに変換します」にチェック
その後Azure ADより同期したグループが表示されるため、対象グループとして先程Azure AD上に作成した動的デバイスグループを選択し、設定を完了させます。
先程Windows機から取得したハードウェア ハッシュをアップロードします。
管理 > Windows > オートパイロット > Autopilotデバイスタブ より[アップロード]をクリック。アップロード画面が表示されるため、先程取得したハードウェア ハッシュファイルを指定し、アップロードします。
しばらくするとデバイスに対してAutopilotプロファイルが割り当たります(プロファイルステータス:割り当てましたと表示)
MobileIron上に、同じアカウント名を持つユーザーを作成します。
Windows Autopilot に関するまとめ
Windows Autopilotは確かに既存の端末を登録する方法(ハードウェア ハッシュの取得作業)が非常に面倒な感じは否めませんが、一度登録さえできればアクティベーション時にAzure ADのユーザー情報(多くの場合会社のメールアドレス)を入力するだけで
・MDMの登録
・Azure ADへのデバイス登録
・制限、設定の配布
・アプリケーションのインストール
というキッティングの殆どが完了します。
デバイス情報の登録についても、今後購入時にメーカー・ディストリビューター経由でAzureテナントに登録を依頼すれば不要となるため、キッティングの手間は劇的に減ることが期待できます。
まだ情報が多くなく、Microsoft側も一部プレビューと謳っている機能があるためまだまだ使いづらい点があるのは否めないですが、将来的にはiPhoneの自動デバイス登録のようにWindowsの初期設定はAutopilotが当たり前になるかもしれませんね。
iOS以外の導入支援も承ります
ここで取り上げたマルチOS対応MDMのMobileIron, もといNeurons for MDMは当社にて取り扱っております。導入のご支援も勿論承りますのでデバイスの一元管理をご検討の方はお気軽にお問い合わせください!