はじめに

Windows Autopilot には、いくつかのシナリオがあります。
この記事では、そのなかからユーザー駆動モードのシナリオについて公開情報のチュートリアルに沿って画面キャプチャ付きで、手順を紹介しています。

※上記のサイトより抜粋。下図の赤枠のパターンのシナリオです。

本手順の位置づけ

私が Microsoft Entra 関係で記載している記事で共通で使っている表です。
私なりに、機能を分類してコンポーネントに分割しています。
このうち、本手順は、以下のエリアが対象となります。

分類	コンポーネント	備考
デバイスの手配	A-③ IT 部門	IT 部門がデバイスを購入する
OSキッティング（個人）	C-⑥ Autopilot ユーザー駆動モード	デバイスを利用者へ直接受け渡し利用者の手元で展開を実施
ユーザー管理	D-④ Microsoft Entra Join	Autopilot の工程の中で、自動的に Join される
デバイス管理	E-③ Intune 自動登録	MDM の自動登録の構成によって、 Intune にも自動登録される

シナリオ：ユーザー駆動モードについて

ユーザー駆動モードの特長として、メーカーから出荷された PC を、IT 管理者の手を介さずに、直接利用者に渡すことが可能です。利用者が PC を初回起動した際に、Autopilot によるキッティングが実施されます。
利用者が以下のアクションを実施することによって Autopilot が実行されます。

（利用者によるアクション）

デバイスの電源をオンにする。
言語、ロケール、キーボードレイアウトを選択する。
デバイスを有線または無線ネットワークに接続する。
エンドユーザーの Microsoft Entra 資格情報を使用して Microsoft Entra ID にサインインする。

（行われる処理内容 - デバイス ESP フェーズ）

デバイスを Microsoft Entra ID に参加
Intune にデバイスを登録
アプリケーション（システム割り当て）のインストール
BitLocker や Windows Hello for Business などのデバイス構成ポリシーを適用
コンプライアンスポリシーの適用
登録状態ページ (ESP) によって、利用者がすぐにデバイスを利用できるかどうかを制御

（行われる処理内容 - ユーザー ESP フェーズ）

アプリケーション（ユーザー割り当て）のインストール
ポリシー（ユーザー割り当て）の適用

公開情報：ユーザー駆動モード

以下の HP 社の Autopilot の説明記事が図解されていて判りやすいです。
この購入＆展開の仕方を実現したい場合に、Intune 管理センター側で実施しておくべき設定内容が "ユーザー駆動モード" のシナリオという事になります。

前提となる環境

以下の３つの条件があります。
① Windows デバイス（10 または 11 , Professional Edition 以上）
② Windows デバイスがインターネットに接続されていること
③ Autopilot が利用可能なライセンスを保持していること

① Windows デバイス

以下のいずれかの方法で、Windows デバイスを手配してください。

物理デバイス
　物理デバイスを用意するのが一番です。
　
仮想マシン
　物理デバイスが用意できない場合、Hyper-V や VMware , Oracle Virtual Box などの仮想基盤を使って、仮想マシンを使って用意することも可能です。
※私が検証してみたところ、OS が評価版でも Autopilot や Intune は動作しました。

Azure 上の Hyper-V を用いた Hyper-V 仮想マシン
　物理デバイスが一切用意できない場合は、以下の記事を参考に Azure 上に Hyper-V 環境を構築して Nexted Virtualization 構成にすることで、仮想マシンを用意できます。この手順で Hyper-V を構築したあとに、上記の「Hyper-Vへ Windows10 をインストールする」の記事を参考に Windows 10 を手配してください。

2024/3/24 追記
上記の Nested VM の記事だけでは、Autopilot の検証には不足がありました。
以下の構成を追加で実施してください。
① NAT の構成
上記の記事では、プロキシを使った構成ですが、これでは Autopilot は動作しません。内部スイッチを構成して、NAT を使うように構成する必要があります。
② DHCP サーバーの構成
NAT を使うだけだと、ゲストには手動で固定 IP を付与する必要があります。Autopilot を実行するためにリセットを掛けると固定 IP もリセットされてしまうため、IP アドレスを失う事になるため、Autopilot が発動できません。内部スイッチ内に DHCP サーバーを追加で構成する必要があります。

参考記事：How to Setup Nested Virtualization for Azure VM/VHD
https://techcommunity.microsoft.com/t5/itops-talk-blog/how-to-setup-nested-virtualization-for-azure-vm-vhd/ba-p/1115338

上記とは別の案ですが、クライアント OS で Hyper-V を動かすと、Default Swtich というものが自動構成されます。これを使うと NAT と DHCP が自動的に提供されるので、上記の回避策となるかもしれません。

公開情報：Windows 10 上に Hyper-V をインストールする
https://learn.microsoft.com/ja-jp/virtualization/hyper-v-on-windows/quick-start/enable-hyper-v#enable-the-hyper-v-role-through-settings

② Windows デバイスがインターネットに接続されていること

有線LAN、無線LAN どちらでも構いません。
何らかの方法でインターネットへの接続を実施してください。

③ Autopilot 利用のために必要なライセンス

以下の ③-1 または ③-2 のライセンス要件があれば、Autopilot を利用できます。

（③-1. 必要な単発のライセンス）※以下の両方のライセンスが必要です。

Microsoft Entra ID P1 以上
Microsoft Intune サブスクリプション (または代替 MDM サービス)

（③-2. 必須のライセンスを包含する上位のライセンス）※以下のいずれか１つがあれば OK です。

Microsoft 365 Business Premium サブスクリプション
Microsoft 365 F1または F3 サブスクリプション
Microsoft 365 Academic A1、A3、または A5 サブスクリプション
Microsoft 365 Enterprise E3 または E5 サブスクリプション
Enterprise Mobility + Security E3または E5 サブスクリプション
Intune for Education サブスクリプション

チュートリアルに沿った構築手順

Setp 1：Windows の自動 Intune 登録を設定する

公開情報チュートリアルの Step 1 は、以下の処理を実現するための手順です。

分類	コンポーネント
管理	D-④ Microsoft Entra Join
デバイス管理	E-③ Intune 自動登録

以下の私の記事に記載されているとおり、「Windows デバイスが Intune に自動登録可能な環境」になっていることと同じ意味です。ライセンスや MDM の構成も含めて、この記事の通りとなるように構成してください。

上記の記事に記載されているとおり、一度 Windows デバイスを Microsoft Entra Join させてみて、Intune へ自動登録されることを確認しておくことをお勧めします。そうすることで、後々の手戻りの発生を防ぐことができます。

（公開情報のチュートリアル : Step1）
https://learn.microsoft.com/ja-jp/autopilot/tutorial/user-driven/azure-ad-join-automatic-enrollment

Step 2：ユーザーがデバイスを Microsoft Entra ID に参加できるようにする

この章は、設定値の確認程度で OK です（既定値のままなら大丈夫）
Azure Portal へグローバル管理者アカウントでサインインして、Microsoft Entra ID を開きます。
「デバイス」を開きます。

「デバイスの設定」を開き「Microsoft Entra の参加と登録の設定」が「すべて（緑枠）」か「選択済み（紫枠）」になっていることを確認します。「選択済み」の場合は、紫下線部で選択されているグループのユーザーのみが、Autopilot を実行することが可能となりますので、ユーザーを確認しておいてください。

この設定「なし」の場合は、Autopilot を利用できないので、注意してください。

（公開情報のチュートリアル : Step 2）
https://learn.microsoft.com/ja-jp/autopilot/tutorial/user-driven/azure-ad-join-allow-users-to-join

Step 3：デバイスのシリアルを Autopilot に登録する

本運用時は、ハードウェアメーカーから Autopilot 用のハードウェアハッシュの情報を提供してもらい、Intune 管理センターにアップロードします。そうすることで、メーカーから出荷された PC を Autopilot の対象にすることができます。

例えば、HP のパソコンの場合ですが、以下のサイトの後半の方に、デバイス ID 発行についての説明が記載されています。
このように、利用する PC メーカーから情報を入手して対応する必要があります。

Surafce の場合は、以下の公開情報に説明されています。

しかし、事前に Autopilot を検証する際に新品の PC を使う訳にはいかないため、既存の PC や仮想マシンを使うことになります。
Step 3 では、既存 PC や仮想マシンを使って Autopilot の検証をする際に、ハードウェアハッシュを取り出す方法が説明されています。

Step 3-1. ハードウェアハッシュを取得する

1．手配した Windows デバイスから、ハードウェアハッシュを取得します。
取得の方法は、以下の公開情報に記載されている通り、いくつかあります。
https://learn.microsoft.com/ja-jp/autopilot/add-devices#collect-the-hardware-hash

この記事では、2番目のPowerShell でシリアルを取得する方法を紹介します。
https://learn.microsoft.com/ja-jp/autopilot/add-devices#powershell

2．目的の PC にサインインして、PowerShell（管理者）を開いて、以下のスクリプトを実行します。

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
New-Item -Type Directory -Path "C:\HWID"
Set-Location -Path "C:\HWID"
$env:Path += ";C:\Program Files\WindowsPowerShell\Scripts"
Set-ExecutionPolicy -Scope Process -ExecutionPolicy RemoteSigned
Install-Script -Name Get-WindowsAutopilotInfo
Get-WindowsAutopilotInfo -OutputFile AutopilotHWID.csv

（実行結果）

上記の赤下線部に、デバイスのシリアルナンバーが表示されます。

上記の AutopilotHWID.csv ファイルが出力されています。

3．続けて、Intune 管理ポータルへ AutopilotHWID.csv ファイルをアップロードします。
こうすることで、このハードウェアが Autopilot で展開できるようになります。

4．このメッセージは気にしなくて大丈夫です。

5．インポートを押します。

6．先ほどエクスポートされた AutopilotHWID.csv ファイルを指定して「インポート」を押します。

7．以下のメッセージが表示されて、インポートが進行します。

8．インポートが終わると、以下の通知が表示されます。

9．「最新の情報に更新」を押すと、一覧にインポートされたデバイスが表示されます。

10．シリアル番号の箇所をクリックして、デバイスの詳細を表示できます。
この画面で、デバイス名を任意で設定が可能です。
ここで付与した名前が、Windows のコンピューター名になります。

（公開情報のチュートリアル : Step 3）
https://learn.microsoft.com/ja-jp/autopilot/tutorial/user-driven/azure-ad-join-register-device

Step 4：デバイスグループを作成する

Autopilot を実施するデバイスのグループを作成する必要があります。
グループの作成には、動的デバイスグループと静的デバイスグループの２通りがあります。

動的デバイスグループの場合は、Step 3. の手順で Windows デバイスのシリアルをインポートする都度、そのデバイスをグループに自動追加させることが可能です。

静的デバイスグループの場合は、一部のデバイスだけをテスト的に割り当てて検証する場合などに向いています。デバイスをグループに追加し忘れると、Autopilot が動作しない事になります。

まず初めに、Intune 管理センターで「グループ」－「すべてのグループ」を選択し、「新しいグループ」を選択します。このあと、4-1（動的）または、4-2（静的）いずれかの作業を行ってください。

Step 4-1. 動的デバイスグループを指定する場合

1．以下の項目を選択・入力して、「動的クエリの追加」を押します。

グループの種類＝ "セキュリティ"
グループ名＝ [任意で決めてください]
グループに Microsoft Entra ロールを割り当てることができる＝ "いいえ"
メンバーシップの種類＝ "動的デバイス"

2．以下の画面で赤枠の「編集」を押します。

3．公開情報に記載されている以下の動的クエリの内容を以下の赤下線部へペーストして「OK」を押します。

(device.devicePhysicalIDs -any (_ -startsWith "[ZTDid]"))

4．すると、以下のように 1 行分のルールが追加されるため「保存」を押します。

5．以下の通り、「作成」ボタンが押せるようになるので、押します。

6．以下の通り、作成された動的デバイスグループが一覧に表示されます。見つからないときは「更新」をおしたり、フィルタで検索してみてください。メンバーシップの種類が「動的」になっていることも確認できます。

7．一覧から、グループ名をクリックし「メンバー」を選択すると、動的に認識されたデバイスが一覧表示されます。
なお、この一覧が生成されるまでには最大で 24時間掛かるとの説明があります。私が検証したときには 10 分くらいで表示されました。

Step 4-2. 静的デバイスグループを指定する場合

１．以下の項目を選択・入力して、「メンバーが選択されていません」を押します。

グループの種類＝ "セキュリティ"
グループ名＝ [任意で決めてください]
グループに Microsoft Entra ロールを割り当てることができる＝ "いいえ"
メンバーシップの種類＝ "割り当て済み"

2．全ての一覧から、「デバイス」タブでフィルタを掛けてから、グループに追加するデバイスを選択します。
以下の一覧では、別の検証で登録した Android と iPhone のデバイスも表示されていますが、ここでは一番上の Windows デバイスのみチェックを入れて「選択」を押します。

3．以下のように、選択されたメンバー数が表示されたことを確認して、「作成」を押します。

4．以下の通り、作成された静的デバイスグループが一覧に表示されます。見つからないときは「更新」をおしたり、フィルタで検索してみてください。メンバーシップの種類が「割り当て済み」になっています。

5．一覧から、グループ名をクリックし「メンバー」を選択すると、割り当てられたデバイスが一覧表示されます。

（公開情報のチュートリアル : Step 4）
https://learn.microsoft.com/ja-jp/autopilot/tutorial/user-driven/azure-ad-join-device-group

Step 5：登録状態ページ (ESP) を構成して割り当てる

この章の設定は、Autopilot で自動構成している間に、ユーザーに見せる画面や、ユーザーに行うことができるアクションを定義します。

初めて Autopilot をテストする場合は、この章は SKIP しても構いません。
SKIP した場合は、既定の ESP が割り当てられますが、登録状態は表示されずに利用者はすぐにサインインすることができ、バックグラウンドでセットアップが続行される形になります。

本運用へ移行するまでに、登録状態ページ (ESP) を適切なものにカスタマイズするようにしましょう。

登録状態ページの表示例
（デバイス ESP フェーズ）

※デバイス ESP の構成が終わると、一旦再起動されます。

（ユーザー ESP フェーズ）

ESP の設定手順

Intune 管理センターで「デバイス」から「デバイスの登録」を選択します。

　
「Windows 登録」を選び「登録ステータスページ」を選択します。

　
「作成」（赤枠）をクリックします。

　
「基本」タブでは、プロファイルの名前を入力して「次へ」を押します。

　
「設定」タブでは、"アプリとプロファイルの構成の進行状況を表示します" を "はい" 変更して「次へ」を押します。詳細設定は、既定値のままで OK です。

　
「割り当て」タブでは、ESP を割り当てるデバイスグループを選択して「次へ」を押します。
今回は、「すべてのデバイス」を割り当てて検証しています。

　
「スコープ」タブでは、さらに対象を絞り込めます。「次へ」を押します。
今回は未設定で検証しています。

　
「確認および作成」タブで、設定値を確認して「作成」を押します。

　
以下のような通知が表示されれば OK です。

　
一覧には、以下のように追加されます。

公開情報より抜粋

既定では、すべてのデバイスに割り当てられている既定の ESP があります。
既定の ESP の既定の設定では、Autopilot プロセス中にアプリとプロファイルの進行状況が表示されません。
ただし、アプリとプロファイルの進行状況を表示するには、別のカスタム ESP を使用してこの既定値を変更することを強くお勧めします。
ESP を有効にして構成すると、エンドユーザーはセットアップ中のデバイスの進行状況を適切に確認でき、デバイスが完全に構成されてプロビジョニングされるまでデバイスを使用できなくなります。
デバイスが完全に構成されてプロビジョニングされる前にデバイスにサインインすると、問題が発生する可能性があります。

（公開情報のチュートリアル : Step 5）
https://learn.microsoft.com/ja-jp/autopilot/tutorial/user-driven/azure-ad-join-esp

Step 6：Autopilot プロファイルに参加するユーザー駆動型 Microsoft Entra を作成して割り当てる

章のタイトルは、公開情報の Step 6 をそのまま採用したのですが、誤訳なのか意味不明ですね。
この章で実施していることを踏まえると、以下のようなタイトルが適切ではないかなと思います。

（タイトル候補）
"ユーザー駆動型 Autopilot の展開時に Microsoft Entra Join を実施するための Autopilot プロファイルを割り当てる"

Intune 管理センターの左ペインから「デバイス」を選び、「デバイスの登録」を選択します。

　
左ペインから「Windows 登録」を選び、「デプロイプロファイル」を選択します。

　
「プロファイルの作成」ボタンを押し「Windows PC」を選択します。

　
「基本」タブでプロファイル名を指定して「次へ」を押します。

　
「OOBE」タブで、下図を参考に設定値を入力して「次へ」を押します。
赤の下線部は、ユーザー駆動モードで動作させる際の私の推奨項目です。
緑の下線部は、任意で設定を変更してもユーザー駆動モードの動作に悪影響はありません。

（緑の下線部：補足）

項目名	任意の値	補足
ユーザーアカウントの種類	標準	"管理者" を選択すると、登録時に使用した Microsoft Entra アカウントに対して、その PC のローカル管理者権限を付与します。
事前プロビジョニングされたデプロイを許可する	いいえ	事前プロビジョニングを行う可能性がある場合は、"はい" にしておきます。
デバイス名のテンプレートを適用する	はい	コンピューター名を自動付与するルールを設定できます。

6．「割り当て」タブで「グループを追加」を押して、このプロファイルを割り当てるデバイスグループ (Step 4 で作成したもの) を選択します。

7．割り当てられたことを確認して「次へ」を押します。

8．「確認および作成」タブでは、最終確認して「作成」を押します。

9．プロファイルが作成されると、以下のような通知メッセージが表示されます。

（公開情報のチュートリアル : Step 6）
https://learn.microsoft.com/ja-jp/autopilot/tutorial/user-driven/azure-ad-join-autopilot-profile

Step 7：Autopilot デバイスをユーザーに割り当てる (任意)

このタイミングでユーザーにポリシーなどを割り当てておくことで、Autopilot が展開されたあとに、追加の設定などを構成することができます。

この Step 7 は、Autopilot による展開が終わったあとに、Intune の機能によって、さらに OS の設定をカスタマイズしたり、アプリケーションをインストールしたりすることが出来る・・・という事を意味しています。

(例1) WiFi 構成プロファイル

例えば、以下の私の記事で紹介したような WiFi の構成プロファイルを適用しておけば、Autopilot の展開後に WiFi の設定が PC に適用されます。

新品の PC が利用者の自宅でキッティングされた際に、会社の WiFi に自動接続できるようにする設定を仕込む・・・というようなことが可能になります。

(例2) アプリの展開

このタイミングで、アプリケーションの割り当ても実施できます。
例として、Microsoft 365 for Apps を展開する場合について、以下の記事で説明してあります。

(例3) Windows Hello for Business の構成

以下の記事の手順を実施する事で、Intune に参加したデバイスの認証が高度なセキュリティに進化します。
どういうサービスなのかや、構成手順を紹介しています。

(例4) BitLocker 暗号化

ハードディスクの暗号化 (BitLocker) も構成できます。
なお、動きを観察していると、暗号化が終わる前でもサインインは可能なようです。

（公開情報のチュートリアル : Step 7）
https://learn.microsoft.com/ja-jp/autopilot/tutorial/user-driven/azure-ad-join-assign-device-to-user

Step 8：デバイスをデプロイする

前章までの準備が完了したら、いよいよ Autopilot の動作を検証できます。
ハードウェアハッシュを登録した検証用の PC を使って、動作をテストしましょう。

OS の機能で "PC をリセットする" を実施することで、OS が初期状態に戻り、その後再起動されます。OS は、インターネット経由でハードウェアハッシュがマッチしたテナントに接続され、Autopilotプロファイルが適用されていると、自動的に Autopilot が発動されます。

8-1. リセットの実施

検証用の PC にサインインして、「設定」アプリを開きます。

　
OS ごとに違いますが「回復」の操作を実行します。
(Windows10) 左ペインの「更新とセキュリティ」から「回復」を選択し「開始する」を押します

(Windows11) 左ペインの「システム」から「回復」を選択します。

「PC をリセットする」を選択します。

　
「すべて削除する」を選択します。

　
「ローカル再インストール」を選択します。

　
確認画面となるので「次へ」を押します。

　
「リセット」を押します。