はじめに

Windows Autopilot には、いくつかのシナリオがあります。
この記事では、そのなかから事前プロビジョニングのシナリオについて公開情報のチュートリアルに沿って画面キャプチャ付きで、手順を紹介しています。

※上記のサイトより抜粋。下図の赤枠のパターンのシナリオです。
　緑色で示した箇所が事前プロビジョニングの特長になります。

本手順の位置づけ

私が Microsoft Entra 関係で記載している記事で共通で使っている表です。
私なりに、機能を分類してコンポーネントに分割しています。

分類	コンポーネント	備考
デバイスの手配	A-③ IT 部門	IT 部門がデバイスを購入する
OSキッティング（IT 部門）	B-③ Autopilot 事前プロビジョニング技術者フロー	キッティングセンターなどで複数台をまとめて事前展開する
OSキッティング（個人）	C-⑦ Autopilot 事前プロビジョニングユーザーフロー	デバイスを利用者へ受け渡し、利用者の手元で展開の後工程を実施
ユーザー管理	D-④ Microsoft Entra Join	Autopilot の工程の中で、自動的に Join される
デバイス管理	E-③ Intune 自動登録	MDM の自動登録の構成によって、 Intune にも自動登録される

シナリオ：事前プロビジョニングについて

事前プロビジョニングの特長として、プロビジョニングのプロセスが 技術者フロー① と ユーザーフロー② に分割されます。

このシナリオでは、PC が利用者の手に渡る前に、IT管理者やリセラー(PC 出荷業者) によって事前にプロビジョニング（技術者フロー①）を行い、そのあとで利用者に出荷されます。

導入するアプリケーションやポリシーなどによって時間は変動しますが、30分～1 時間程度の時間が掛かる場合もあります。
事前プロビジョニングを実施するための「作業者・作業場所・ネットワーク帯域・配送ルート・保管場所」などに掛かる コスト や時間を考慮する必要があります。

利用者が PC を初回起動した際には、最小限のプロビジョニング（ユーザーフロー②）を行うだけで利用開始することができます。

利用者目線では、"技術者フロー" が事前に完了しているため、待機時間が大幅に短縮されます。PC を手に入れてから、早い段階で業務を開始することが可能になります。

技術者フロー① での実施内容（テクニシャンフローとも呼ばれます）
（行われる処理内容：デバイス ESP フェーズ）

デバイスを Microsoft Entra ID に参加
Intune にデバイスを登録
アプリケーション（システム割り当て）のインストール
BitLocker や Windows Hello for Business などのデバイス構成ポリシーを適用
コンプライアンスポリシーの適用
登録状態ページ (ESP) によって、デバイスが完全に構成されるまで、エンドユーザーがデバイスを使用できないようにする

ユーザーフロー② での実施内容
（利用者によるアクション）

デバイスの電源をオン
言語、ロケール、キーボードレイアウトを選択
デバイスを有線または無線ネットワークに接続
エンドユーザーの Microsoft Entra 資格情報を使用して Microsoft Entra ID にサインイン

（行われる処理内容：ユーザー ESP フェーズ)

アプリケーション（ユーザー割り当て）のインストール
ポリシー（ユーザー割り当て）の適用

公開情報：事前プロビジョニング

事前プロビジョニングの実施

事前プロビジョニング は、運用のシナリオ面を考えると ユーザー駆動モード とかなり違うことは、ご理解いただけたかと思います。

しかし、Intune 管理センター側で行う設定値は、さほど差がありません。
私がお勧めの方法としては、まず ユーザー駆動モード が機能する環境を構築＆テストしていただき、完成してから、その環境をベースとして、事前プロビジョニング を実施することです。

この記事では、ユーザー駆動モードが動作している環境からの変更点だけを記載するようにしています。その方が理解しやすいと思います。

前提となる環境

ユーザー駆動モードと同一です。
https://qiita.com/carol0226/items/1e8023611f74f158c38c#前提となる環境

① Windows デバイス

TPM を備えた物理デバイスが必要です。
仮想マシンはたとえ vTPM を備えていたとしても利用できません。

ユーザー駆動モードでは、仮想マシンも利用することができましたが、この点が大きな相違点です。

② Windows デバイスがインターネットに接続されていること

ユーザー駆動モードと同一です。
https://qiita.com/carol0226/items/1e8023611f74f158c38c#-windows-デバイスが-インターネットに接続されていること

③ Autopilot 利用のために必要なライセンス

ユーザー駆動モードと同一です。
https://qiita.com/carol0226/items/1e8023611f74f158c38c#-autopilot-利用のために必要なライセンス

チュートリアルに沿った構築手順

Step 1 ～ 5 と 7 は、ユーザー駆動モード、事前プロビジョニングで共通の構成です。
Step 6 で作成する Autopilot プロファイルの設定値が 1 箇所だけ違います。
Step 8 と 9 は、事前プロビジョニングを使った展開方法の説明になっています。

Setp 1：Windows の自動 Intune 登録を設定する

ユーザー駆動モードと同一です。
https://qiita.com/carol0226/items/1e8023611f74f158c38c#setp-1windows-の自動-intune-登録を設定する

（公開情報のチュートリアル : Step1）
https://learn.microsoft.com/ja-jp/autopilot/tutorial/pre-provisioning/azure-ad-join-automatic-enrollment

Step 2：ユーザーがデバイスを Microsoft Entra ID に参加できるようにする

ユーザー駆動モードと同一です。
https://qiita.com/carol0226/items/1e8023611f74f158c38c#step-2ユーザーがデバイスを-microsoft-entra-id-に参加できるようにする

（公開情報のチュートリアル : Step 2）
https://learn.microsoft.com/ja-jp/autopilot/tutorial/pre-provisioning/azure-ad-join-allow-users-to-join

Step 3：デバイスのシリアルを Autopilot に登録する

ユーザー駆動モードと同一です。
https://qiita.com/carol0226/items/1e8023611f74f158c38c#step-3デバイスのシリアルを-autopilot-に登録する

（公開情報のチュートリアル : Step 3）
https://learn.microsoft.com/ja-jp/autopilot/tutorial/pre-provisioning/azure-ad-join-register-device

Step 4：デバイスグループを作成する

ユーザー駆動モードと同一です。
https://qiita.com/carol0226/items/1e8023611f74f158c38c#step-4デバイス-グループを作成する

（公開情報のチュートリアル : Step 4）
https://learn.microsoft.com/ja-jp/autopilot/tutorial/pre-provisioning/azure-ad-join-device-group

Step 5：登録状態ページ (ESP) を構成して割り当てる

ユーザー駆動モードと同一です。
https://qiita.com/carol0226/items/1e8023611f74f158c38c#step-5登録状態ページ-esp-を構成して割り当てる

（公開情報のチュートリアル : Step 5）
https://learn.microsoft.com/ja-jp/autopilot/tutorial/pre-provisioning/azure-ad-join-esp

Step 6：事前プロビジョニングされた Microsoft Entra 参加 Autopilot プロファイルを作成して割り当てる

ユーザー駆動モード の構成から、事前プロビジョニング への変更点は、１か所のみです。この章では、ユーザー駆動モードで作成済みのデプロイプロファイルを変更する手順を説明します。

変更点： ユーザー駆動モードで構成したデプロイプロファイルを編集で開き、"事前プロビジョニングされたデプロイを許可する" を "はい" にするだけです。

Intune 管理センターで「デバイス」から「デバイスの登録」を選択します。

　
「Windows 登録」を選び「デプロイプロファイル」を選択します。

　
作成済みの「デプロイプロファイル」の名前部分（赤枠）をクリックします。

　
「プロパティ」を選択して、OOBE 欄の "編集" をクリックして開きます。
なお、事前プロビジョニングされたデプロイを許可する が "いいえ" になっていることが確認できます。

　
"事前プロビジョニングされたデプロイを許可する" を "はい" に変更して "レビューと保存" を押します。

　
以下の確認画面で、保存を押します。

　
以下の通知が表示されれば OK です。

（公開情報のチュートリアル : Step 6）
https://learn.microsoft.com/ja-jp/autopilot/tutorial/pre-provisioning/azure-ad-join-autopilot-profile

Step 7：Autopilot デバイスをユーザーに割り当てる

技術的な考え方は、ユーザー駆動モードと同一です。
https://qiita.com/carol0226/items/1e8023611f74f158c38c#step-7autopilot-デバイスをユーザーに割り当てる-任意

なお、事前プロビジョニングを実施する訳なので、この章で事前展開しておくべき処理（時間が掛かるもの や 初めから適用しておくべきもの）を定義しておくことが推奨されます。

サイズの大きなアプリの展開や、Bitlocker、コンプライアンスポリシーの適用など。

（公開情報のチュートリアル : Step 7）
https://learn.microsoft.com/ja-jp/autopilot/tutorial/pre-provisioning/azure-ad-join-assign-device-to-user

Step 8：テクニシャンフロー

前章までの準備が完了したら、いよいよ 事前プロビジョニング の動作を検証できます。
ハードウェアハッシュを登録した検証用の PC を使って、動作をテストしましょう。

8-1. 事前プロビジョニングのトリガー

事前プロビジョニングで 技術者フロー がトリガーされるには、OOBE フェーズが動作する必要があります。
"新品 PC の起動" または "ワイプ"、"PC 側でのリセット" などを行い OOBE フェーズが実施されるアクションを行ってください。

OS の初回起動時（OOBE フェーズ）に、インターネット経由でハードウェアハッシュがマッチしたテナントに接続され、Autopilot プロファイルが適用されていると、トリガーされます。

"Autopilot リセット" では OOBE フェーズが初期化されずに SKIP されるため、事前プロビジョニングを 実施できません。

OOBE フェーズ とは、初期構成の際に PC を起動してからサインイン画面が出てくるまでの間の処理を指していて、例えば以下のような処理が含まれます。

言語の選択
キーボードの選択
ネットワークへの接続
利用許諾
ライセンス認証
コンピューター名の指定
ユーザーアカウントの追加

「8-1-1. ワイプ」と「8-1-2. リセット」の２通りの手順を紹介しますので、いずれかを実施してください。

8-1-1. ワイプの実施

Intune 管理センターでワイプを行いたいデバイスを選択してメニューから "ワイプ" を選択します。以下の確認画面が表示されるため "ワイプ" ボタンを押します。

管理センターからワイプを指示してから実際にワイプが開始されるまでにタイムラグがあります。

公開情報

8-1-2. リセットの実施

PC にサインインして、「設定」アプリを開きます。

　
OS ごとに違いますが「回復」の操作を実行します。
(Windows10) 左ペインの「更新とセキュリティ」から「回復」を選択し「開始する」を押します

(Windows11) 左ペインの「システム」から「回復」を選択します。

「PC をリセットする」を選択します。

　
「すべて削除する」を選択します。

　
「ローカル再インストール」を選択します。

　
確認画面となるので「次へ」を押します。

　
「リセット」を押します。

リセットが完了するまで、しばらく待ちます。（機種にもよりますが、10 分程度）

8-2. Autopilot によるデプロイ実施の画面遷移

以下のような画面遷移が続きます。（機種にもよりますが、10 分程度）

8-3. 事前プロビジョニングの開始

ワイプやリセットが完了して、初回起動されると、以下の画面になります。
事前プロビジョニング を開始するためには、「Windows キー」を 5 回押します。

上記の画面のままユーザーアカウントでサインインした場合は、事前プロビジョニングとはならず、ユーザー駆動モードでの展開になります。

Windows キーが 5 回押されると、以下の画面になります。
"Windows Autopilot のプロビジョニング" を選択して、"続行" を押します。

　
以下の画面になるため、"プロビジョニング" をクリックするとテクニシャンフローが開始されます。

　
以下の画面で進捗を見守ります。

　
以下の画面になったら事前プロビジョニングが完了です。"再シール" を押すとシャットダウンされます。

このあと、"電源" を入れないように注意します。
起動してしまうと、ユーザーフローが開始されてしまうためです。

動作検証の場合は、ここで電源を入れて引き続きユーザーフローの動作を検証してください。

（公開情報のチュートリアル : Step 8）
https://learn.microsoft.com/ja-jp/autopilot/tutorial/pre-provisioning/azure-ad-join-technician-flow

Step 9：ユーザーフロー

有線 LAN 環境で PC の電源を入れると、以下の画面になります。
※無線 LAN 環境の場合は、手動で WiFi に接続する必要があり、そのあと以下の画面になります（言語やキーボード設定なども求められます）

利用者のアカウントを入力して "次へ" を押します。

ここで、興味本位で Windows キーを 5 回押してみましたが、「Windows Autopilot のプロビジョニング」は表示されませんでした。もう済んでいるからという事ですね。「キャンセル」を押して、前の画面に戻りましょう、

2．ユーザーのパスワードを入力して "次へ" を押します。

3．こんにちは・・・のメッセージ等が流れます。

4．Windows Hello 対応のカメラ搭載機の場合は、ここで顔認証の設定を行います。

5．顔はマスキングしてます。

6．PIN を設定していきます。

7．MFA が発動するため、認証します。

このタイミングでは、条件付きアクセスなどで MFA を構成していなくても MFA が要求されます。
これは、Autopilot の運用時に課題となることがあります。
MVP の Tamai さんが本件の回避策 (Temporary Access Pass) をわかりやすく紹介してくれています。
https://sccm.jp/2023/12/27/post-5728/

私も Temporary Access Pass を検証済みです
手順(avdadmin) とは別のユーザー(user01)でテストした時の画面です。

公開情報：一時アクセスパス - Temporary Access Pass (TAP)

8．PIN を設定していきます。

9．すべて完了すると、以下の画面になるので "OK" を押すとサインインされます。

10．以下のように、初めからアプリケーションが導入されていることが判ります。

（公開情報のチュートリアル : Step 9）
https://learn.microsoft.com/ja-jp/autopilot/tutorial/pre-provisioning/azure-ad-join-user-flow

Intune 管理センターでの確認

以下のようにデバイスの一覧に表示されます。
この展開方法を実施した場合は、所有権が "企業" になっています。

Windows Autopilot：事前プロビジョニング の手順