1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@carol0226(Shuji Noguchi)Team CoffeeinNTTデータ先端技術

ドメイン参加の Autopilot 展開の流れ (FIDO2 対応)

1
Last updated at Posted at 2026-02-01

はじめに

以下の記事で、Active Directory ドメイン (ADDS) 環境で FIDO2 を使った Autopilot の構成についての記事を投稿していました。

[ADDS] ドメイン参加の Autopilot(FIDO2も対応)
https://qiita.com/carol0226/items/d849bb4bb345051f0727

本記事では、上記の構成を使って、実際の Autopilot 展開を行った際の画面キャプチャを 時系列で紹介しています。

このシナリオでは、以下の2章に分けて説明しています。

  • 1.検証機のリセット
  • 2.事前準備(2回目以降)
  • 3.Autopilot 展開の実施

この記事で得られること

• ADDS ドメイン環境で FIDO2 を使った Autopilot 展開の実例
• 初回セットアップから Hybrid Join 完了までの全ステップ
• 運用を想定した場合の注意点

1. 検証機のリセット

Autopilot を発動させるために、検証を行う PC を リセット します。
注意点
管理者でログオンし、電源に接続しておきます。

  1. 設定パネル-システムー回復 を開き、PC をリセットする を押します。
    image.png
     
  2. すべて削除する を押します。
    image.png
     
  3. ローカル再インストール を押します。
    image.png
     
  4. 次へ を押します。
    image.png
     
  5. リセット を押します。
    image.png
     
  6. リセットが開始されます。このまま 約30分 程度 待つ必要があります。
    image.png
     
  7. OOBE が起動したら、Autopilot 展開に利用できます。
    ※すぐに展開しない場合は、電源を長押しして、シャットダウンしておくことも可能です。

2. 事前準備(2回目以降)

この作業は、検証のために 何度も 同じ コンピューター名・アカウント名 を使って検証する際に行う操作です。
そのため、初回実行時は この章の作業は不要です。

※この章の操作は、前章のリセット を実行した待ち時間に実施すると効率的です。

2-1. コンピューターアカウントの掃除

ADDS の Autopilot では、コンピューター名が ランダムに発番されます。
そのため、毎回展開時の コンピューター名は、別名になります。
その結果、前回のコンピューターオブジェクトが残って、ゴミになってしまうので、このタイミングで削除しておくと良いです。

注意
この章のキャプチャ内で使われているコンピューター名は、取得したタイミングが異なっているため、図 ごとに異なった名前になっていますので、ご注意ください。

(Active Directory サーバーで操作してください)

  1. Active Directory ユーザーとコンピューター (ADUC) を起動します。
     
  2. 以下のように リセットを実行した PC のコンピューター名を右クリックして 削除 します。
    image.png

(Microsoft Entra Connect サーバーで操作してください)

  1. PowerShell を管理者モードで起動します。
     
  2. コマンド start-adsyncsynccycle を実行します。
    image.png

(Azure Portal で操作してください)

  1. Microsoft Entra ID を開き、デバイスの一覧を表示します。
     
  2. 同期が完了したら、旧コンピューター名のデバイスが消えています。
    ※この図では、PC 台数が多かったため、フィルタ させています。
    image.png
     
  3. Autopilot デバイスは、以下の通り残っていますが、問題ありません。
    image.png

(Intune 管理センター で操作してください)

  1. 同期終了しても、Intune 管理センターには残っているので、削除ボタンで削除します。
    image.png

2-2. ユーザーの削除

(Active Directory サーバーで操作してください)

  1. Active Directory ユーザーとコンピューター (ADUC) を起動します。
     
  2. 以下のように リセットを実行した PC のコンピューター名を右クリックして 削除 します。
    image.png

(Microsoft Entra Connect サーバーで操作してください)

  1. PowerShell を管理者モードで起動します。
     
  2. コマンド start-adsyncsynccycle を実行します。
    image.png

2-3. FIDO2 セキュリティキー のリセット

テストで使用する FIDO2 セキュリティキーもリセットしておきます。
リセットすることで、新品と同じ状態になります。

(任意の Windows PC で操作が可能です)

  1. 設定パネル-アカウント-サインインオプション へ遷移します。
     
  2. セキュリティキー を開き、管理 ボタンを押します。
    image.png
     
  3. リセット を押します。
    image.png
     
  4. 以下のように表示されれば OK です。
    image.png

このあと、PIN の設定を行います。
指紋対応デバイスの場合は、指紋の登録も実施しておきます。

3. Autopilot 展開の実施

3-1. 管理者の操作

3-1-1. オンプレユーザーの作成

(Active Directory サーバーで操作します)

  1. Active Directory ユーザーとコンピューター (ADUC) を開きます。
     
  2. テスト用の新規ユーザーを作成します。
    image.png
     
  3. パスワードを入力します。
    image.png
     
  4. 完了 を押します。
    image.png

3-1-2. パスワードレス対応

  1. 前章で作成したユーザーを、ダブルクリック で開きます。
    image.png
     
  2. 対話型ログオンにはスマートカードが必要 にチェックを入れます。
    image.png

注意
ここにチェックを入れることで、ユーザーのパスワードがクリアされ、使えなくなります。
運用中のユーザーで、無邪気に ON / OFF すると、パスワードが飛ぶので注意してください。

この設定を行ったユーザーは、パスワードでログオンしようとすると、以下のメッセージが表示されるようになります。

(Microsoft Entra Connect サーバーで操作します)
Start-Adsyncsynccycle コマンドで 即時同期を行います。
image.png

(Azure Portal で操作します)
以下の通り、作成したユーザーが 同期されていれば OK です。
image.png

3-1-3. Microsoft 365 ライセンスなどの付与(任意)

ライセンスの付与は、必須ではありませんが、このタイミングで 必要なライセンスなどを付与してください。
image.png

3-1-4. TAP の発行

(Azure Portal で操作します)

  1. FIDO2 セキュリティキー を紐づける操作のために、Temporary Access Password (TAP) を発行します。
    image.png
     
  2. 以下のように TAP が発行されます。
    Me=mRNp-
    https://aka.ms/mysecurityinfo
    image.png

運用時は、いまが 利用者へ アカウント情報 と、FIDO2 セキュリティキー、TAP、操作方法 などを渡すタイミングです。

3-2. 利用者の操作

管理者から アカウント情報、FIDO2 セキュリティキー、TAP を渡された 利用者側の作業となります。

3-2-1. アカウントへ FIDO2 セキュリティキーの紐づけ

(任意のPCで 操作します)

  1. Edge を Inprivate モードで開きます。
     
  2. 以下のアドレスへアクセスします。
    https://aka.ms/mysecurityinfo
     
  3. 管理者から渡された アカウント情報 を入力します。
    image.png
     
  4. TAPを入力します。
    image.png
     
  5. 左ペインから セキュリティ情報 を選択し +サインイン方法の追加 を押します。
    image.png
     
  6. セキュリティキー を押します。
    image.png
     
  7. USB デバイス を押します。
    image.png
     
  8. 次へ を押します。
    image.png
     
  9. セキュリティーキー を押します。
    image.png
     
  10. OK を押します。
    image.png
     
  11. OK を押します。
    image.png
     
  12. FIDO2 セキュリティキー を接続します。
    image.png
     
  13. FIDO2 セキュリティキーの認証を行います。
    image.png
     
  14. 以下のように表示されれば OK です。
    image.png
     
  15. 以下のように キーの 名前をつけて 次へ を押します。
    image.png
     
  16. 完了 を押します。
    image.png
     
  17. 正常に保存されると、以下のような画面になっていれば OK です。
    image.png
     
  18. ブラウザを閉じて構いません。

3-2-2. Microsoft 365 Web 版へのアクセス(テスト)

この章の操作は、Autopilot とは直接関係ありません。
この章をスキップして、Autopilot の展開へ進んでも問題ありません。
アカウントと FIDO2 セキュリティキーが問題なく紐づけられているのかを確認する手順の一例です。

(任意の PC で操作します)

  1. 新しい Inprivate セッションを開きます。
     
  2. https://office.com へアクセスします。
    image.png
     
  3. 以下のように 認証操作を薦めます。
    image.png
     
  4. 代わりに顔、指紋、PIN またはセキュリティキーを使用する を押します。
    image.png
     
  5. セキュリティキー を選択します。
    image.png
     
  6. セキュリティキーを挿入して、認証操作 を行います。
    指紋認証タイプの場合は、指 でタッチするのみです。
    PIN タイプの場合は、PIN を入力したあと、タッチします。
    image.png
     
  7. 以下の画面になれば、認証成功です。
    image.png

このあと、Microsoft 365 の TOP 画面に遷移すれば OK です。

3-3-3. AUTOPILOT デモの準備

デモ開始の前に、以下の環境のチェックをしておきます。

  • DHCP によって、IP アドレスの自動割り当てが機能しているか?
  • デバイスを接続する ネットワークが AD と疎通ができているか?
  • デバイスを接続する ネットワークが インターネットと疎通ができているか?
  • 電源がきちんと接続できているか?

3-4. 利用者の操作(AUTOPILOT の開始)

検証機の 電源 を ON にします。

ネットワークにつながっていない場合
※WiFi の場合は、接続 まで実施してください。有線 LAN なら 何も出ません。

1)日本語で続ける

2)日本を選んで、はい

3)Microsoft IME を選んで はい

4)2つ目は スキップ

5)ネットワークへの接続

ネットワーク接続後

有線、無線 に限らず、ネットワークが接続されていれば、以下の画面遷移が始まります。

  1. 更新プログラムをチェックしています
    image.png
     
  2. サインイン画面では、サインインオプション の箇所をクリックします。
    image.png
     
  3. サインインオプション では 顔、指紋、またはセキュリティキー の欄をクリックします。
    image.png
     
  4. 所持している パスキー の種類を選択します。
    image.png
    iPhone、iPad、または Android デバイス を選択した場合
    image.png
    セキュリティ キー を選択した場合
    image.png
     
  5. 認証を終えると、以下の画面へ遷移します。
    image.png

AUTOPILOT 実行中
1~5分くらい待つと、AD 上に コンピューターアカウント が作成されます。
image.png

6.展開が完了すると、PC に再起動が掛かります。
その際の Portal 側のデバイスは、以下の状態です。
※Microsoft Entra Joined になっている点に注目(Hybrid ではない)
image.png

7.再起動後のログオン画面には、サインインオプションがありません。
この理由は、この時点では デバイスが Hybrid Join になっていないからです。
image.png

8.Entra Connect 上で、即時同期を実行します。
これによって、AD 上に作成されたコンピューターオブジェクトが Entra へ同期されます。
※これをやらない場合は、自動同期を待つため、最大 30分のラグが発生します。
image.png

ポイント
PoC の場合は、管理者=展開者なので、即時同期を実行して時短ができますが、本運用の際には 利用者が展開を行うので、30分ごとの自動同期に身を任せるしかなくなります。
そのため ドメイン参加の Autopilot は、この点を理解しておく必要があります。

9.デバイスの同期が完了すると、以下の状態になっています。
上の段が正しいデバイスで、Hybrid Joined になりますが、まだ 保留 の状態です。
下の段は、ゴミ(抜け殻)です。時間が経つと 自動的に見えなくなります。
image.png

10.デバイス上のタスクが動いて、Hybrid Join が実行されると、以下のように 登録済みの項目が、保留から、日付に変わります。これで デバイス側の Hybrid Join が成立したことが分かります。
image.png

時間経過によって、最終的には、Intune MDM になります。
なお、ここまで待たなくても、Hybrid Join 完了していれば、先へ進んで問題ないです。
image.png

11.ここまでくると、Yubikey ログオンが可能になります。
サインインオプション をクリックします。
image.png

12.セキュリティキー(右側)のアイコンを選びます。
image.png

13.画面の指示にしたがい、セキュリティキー を挿入します。
image.png

14.指紋 または PIN で認証したあと、タッチ します。
image.png

15.以下のように セキュリティキー を使っての 初回サインイン に成功しました。
image.png

16.通常の初回サインイン時の処理が行われています。
image.png

17.無事に デスクトップ にたどり着きました。
image.png

まとめ

Autopilot、ADDS、FIDO2——それぞれ単体では理解しやすい技術ですが、実際に組み合わせて動かすと、同期タイミングや Join 状態など “見えにくい裏側” が結果に大きく影響します。

今回の検証では、その裏側の動きも含めて時系列で追うことで、パスワードレス運用の全体像をつかむことができました。

同じように検証される方が、この記事を通じて迷うポイントを少しでも減らせれば嬉しく思います。

1
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?