・目的
皆さんこんにちは、アイネットテクノロジーの上口です。
今回は実際 Auto Pilot 案件でハマったポイントをご紹介します。
設定箇所やお伝えしたい内容が多いため、パートを分けたいと思います。
まずはパート1!!
・要件
今回の要件はIntunewinでアプリ展開が必要。
インストールが一部動作しなかったアプリがあるため、GPOを使用する。
また、別要件で社内ドメイン環境に参加させる必要があったため、Hybrid Azure AD join
が必要、且つ、デバイスのメーカーまたはモデル毎でMDMポリシーを分けたい。
この、メーカーまたはモデル毎でMDMポリシーを分けたい。 ← ※この一言が今回ハマりポイント
・Hybrid Azure AD joined Auto Pilot
Auto Pilot Deployment Process URL
https://docs.microsoft.com/en-us/windows/deployment/windows-autopilot/deployment-process
Auto Pilotプロセスについては上記URLを参考にしていただければよいと思いますが、いくつかの案件に
参画させていただいて分かったことは、Auto Pilot と言ってもいろんなパターンがあるのでパターン毎に
設定を見直す必要があるということです。
・事前準備
まず下記の通りAuto Pilotの事前準備をします。
①HWIDインポート
※今回はMEMのAdminCenterではなく、AzureADデバイスの確認を行いたい為、AzurePortalを使用します。
・Azure ADデバイスと関連付けされました。
②デバイス登録(Azure AD 自動登録)
デバイスは無効状態、Azure AD joined となります。
③動的デバイスグループデバイス追加(動的メンバー自動登録)
※ここでは、要件に基づき、メーカーまたはモデル毎でMDMポリシーを分けたい。ということで
動的デバイスグループのメンバーシップグループに下記の通り追加しました。
■動的メンバーシップルール
参考URL:https://docs.microsoft.com/ja-jp/azure/active-directory/users-groups-roles/groups-dynamic-membership
(device.deviceManufacturer -eq "LENOVO") とルールを追加。
これで、動的デバイスにAzure AD デバイスからメンバー追加されればOK!待ちましょう!
・動的デバイスにメンバー追加されない。
待てど暮らせど動的デバイスメンバーに追加されない。。。
※サポートにも聞いてみました。
動的デバイスのメンバーシップに追加されるのは最大24時間かかる可能性がある。との回答。。。
んー、まじっすか?!!!
強制コマンドなどは存在しないそうです。
ってことで、仕方なく24時間待ってみました。。。。
が、、、、
登録されません。。。
ということで、基本に立ち返り、Docsを再度確認。
すると、、、、、
`;:゙`;:゙;`(゚Д゚*)ガハッ
赤枠の部分、しか、使えないのでは??
ってことで、。。。
・解決方法
基本に立ち返り、Docsの通り、動的デバイスをdevicePhysicalIDsに変更。
(device.devicePhysicalIDs -any _ -contains "[ZTDId]")
※うまく登録されない場合、下記でも大丈夫です。
device.devicePhysicalIDs -any (_ -contains "ZTDId"))
設定完了!!
すると、5分以内で、メンバーシップに登録されました!!
④Auto Pilot プロファイル割当(自動割当)
※関連付けられるIntuneデバイスについては、Auto Pilot 実施中 に Intune にデバイス登録され、
関連付けられます。
・結論
Hybrid AD Join Auto Pilot を行う場合、動的デバイスはdevicePhysicalIDsを設定してください。
余談ですが、今回のようにHWIDを登録し、新規でHybrid Azure AD Join Auto Pilotを行うのではなく
すでにAzure ADデバイスとして登録されているデバイスをAuto Pilotする場合などにおいてはdeviceManufacturerでも問題なくAuto Pilotプロファイルに関連づけられます。
要件については、
別途、動的デバイスグループを作成し、deviceManufacturerやModelなどで分け、ポリシーを適用してください。
それでは、パート2をお楽しみに。