はじめに
Windows Autopilot には、いくつかのシナリオがあります。
この記事では、そのなかから 事前プロビジョニング のシナリオについて 公開情報のチュートリアルに沿って画面キャプチャ付きで、手順を紹介しています。
※上記のサイトより抜粋。下図の赤枠のパターンのシナリオです。
緑色で示した箇所が 事前プロビジョニング の特長になります。
本手順の位置づけ
私が Microsoft Entra 関係で記載している記事で共通で使っている表です。
私なりに、機能を分類して コンポーネント に分割しています。
| 分類 | コンポーネント | 備考 |
|---|---|---|
| デバイスの手配 | A-③ IT 部門 |
IT 部門がデバイスを購入する |
| OSキッティング (IT 部門) |
B-③ Autopilot 事前プロビジョニング 技術者フロー |
キッティングセンターなどで 複数台をまとめて事前展開する |
| OSキッティング (個人) |
C-⑦ Autopilot 事前プロビジョニング ユーザーフロー |
デバイスを利用者へ受け渡し、 利用者の手元で展開の後工程を実施 |
| ユーザー管理 | D-④ Microsoft Entra Join |
Autopilot の工程の中で、 自動的に Join される |
| デバイス管理 | E-③ Intune 自動登録 |
MDM の自動登録の構成によって、 Intune にも自動登録される |
シナリオ:事前プロビジョニング について
事前プロビジョニング の特長として、プロビジョニングのプロセスが 技術者フロー① と ユーザーフロー② に分割されます。
このシナリオでは、PC が 利用者の手に渡る前に、IT管理者 や リセラー(PC 出荷業者) によって 事前に プロビジョニング(技術者フロー①)を行い、そのあとで 利用者に出荷されます。
導入するアプリケーションや ポリシー などによって時間は変動しますが、30分~1 時間程度 の時間が掛かる場合もあります。
事前プロビジョニング を実施するための「作業者・作業場所・ネットワーク帯域・配送ルート・保管場所」などに掛かる コスト や 時間 を考慮する必要があります。
利用者が PC を初回起動した際には、最小限の プロビジョニング(ユーザーフロー②)を行うだけで 利用開始 することができます。
利用者目線では、"技術者フロー" が 事前に完了しているため、待機時間が大幅に短縮されます。PC を手に入れてから、早い段階で 業務を開始することが可能になります。
技術者フロー① での実施内容(テクニシャンフローとも呼ばれます)
(行われる処理内容:デバイス ESP フェーズ)
- デバイスを Microsoft Entra ID に参加
- Intune にデバイスを登録
- アプリケーション(システム割り当て)のインストール
- BitLocker や Windows Hello for Business などのデバイス構成ポリシーを適用
- コンプライアンスポリシーの適用
- 登録状態ページ (ESP) によって、デバイスが完全に構成されるまで、エンド ユーザーがデバイスを使用できないようにする
ユーザーフロー② での実施内容
(利用者によるアクション)
- デバイスの電源をオン
- 言語、ロケール、キーボード レイアウトを選択
- デバイスを 有線 または 無線 ネットワークに接続
- エンド ユーザーの Microsoft Entra 資格情報を使用して Microsoft Entra ID にサインイン
(行われる処理内容:ユーザー ESP フェーズ)
- アプリケーション(ユーザー割り当て)のインストール
- ポリシー(ユーザー割り当て)の適用
公開情報:事前プロビジョニング
事前プロビジョニング の実施
事前プロビジョニング は、運用のシナリオ面を考えると ユーザー駆動モード とかなり違うことは、ご理解いただけたかと思います。
しかし、Intune 管理センター 側で行う 設定値 は、さほど差がありません。
私が お勧めの方法としては、まず ユーザー駆動モード が機能する環境を構築&テストしていただき、完成してから、その環境をベースとして、事前プロビジョニング を実施することです。
この記事では、ユーザー駆動モード が動作している環境からの変更点だけを記載するようにしています。その方が理解しやすいと思います。
前提となる環境
ユーザー駆動モード と同一です。
https://qiita.com/carol0226/items/1e8023611f74f158c38c#前提となる環境
① Windows デバイス
TPM を 備えた 物理デバイス が必要です。
仮想マシンは たとえ vTPM を備えていたとしても利用できません。
ユーザー駆動モードでは、仮想マシン も利用することができましたが、この点が大きな相違点です。
② Windows デバイスが インターネットに接続されていること
③ Autopilot 利用のために必要なライセンス
チュートリアルに沿った構築手順
Step 1 ~ 5 と 7 は、ユーザー駆動モード、事前プロビジョニング で共通の構成です。
Step 6 で作成する Autopilot プロファイル の設定値が 1 箇所だけ違います。
Step 8 と 9 は、事前プロビジョニング を使った展開方法の説明になっています。
Setp 1:Windows の自動 Intune 登録を設定する
(公開情報のチュートリアル : Step1)
https://learn.microsoft.com/ja-jp/autopilot/tutorial/pre-provisioning/azure-ad-join-automatic-enrollment?wt.mc_id=mvp_407731
Step 2:ユーザーがデバイスを Microsoft Entra ID に参加できるようにする
(公開情報のチュートリアル : Step 2)
https://learn.microsoft.com/ja-jp/autopilot/tutorial/pre-provisioning/azure-ad-join-allow-users-to-join?wt.mc_id=mvp_407731
Step 3:デバイスのシリアルを Autopilot に登録する
(公開情報のチュートリアル : Step 3)
https://learn.microsoft.com/ja-jp/autopilot/tutorial/pre-provisioning/azure-ad-join-register-device?wt.mc_id=mvp_407731
Step 4:デバイス グループを作成する
(公開情報のチュートリアル : Step 4)
https://learn.microsoft.com/ja-jp/autopilot/tutorial/pre-provisioning/azure-ad-join-device-group?wt.mc_id=mvp_407731
Step 5:登録状態ページ (ESP) を構成して割り当てる
(公開情報のチュートリアル : Step 5)
https://learn.microsoft.com/ja-jp/autopilot/tutorial/pre-provisioning/azure-ad-join-esp?wt.mc_id=mvp_407731
Step 6:事前プロビジョニングされた Microsoft Entra 参加 Autopilot プロファイルを作成して割り当てる
ユーザー駆動モード の構成から、事前プロビジョニング への変更点は、1か所のみです。この章では、ユーザー駆動モードで作成済みの デプロイ プロファイル を変更する手順を説明します。
変更点: ユーザー駆動モード で構成した デプロイ プロファイル を編集で開き、"事前プロビジョニングされたデプロイを許可する" を "はい" にするだけです。
- Intune 管理センターで「デバイス」から「デバイスの登録」を選択します。
- 「Windows 登録」を選び「デプロイ プロファイル」を選択します。
- 作成済みの「デプロイ プロファイル」の名前部分(赤枠)をクリックします。
- 「プロパティ」を選択して、OOBE 欄の "編集" をクリックして開きます。
なお、事前プロビジョニングされたデプロイを許可する が "いいえ" になっていることが確認できます。
-
"事前プロビジョニングされたデプロイを許可する" を "はい" に変更して "レビューと保存" を押します。
- 以下の確認画面で、保存 を押します。
- 以下の通知が表示されれば OK です。
(公開情報のチュートリアル : Step 6)
https://learn.microsoft.com/ja-jp/autopilot/tutorial/pre-provisioning/azure-ad-join-autopilot-profile?wt.mc_id=mvp_407731
Step 7:Autopilot デバイスをユーザーに割り当てる
技術的な考え方は、ユーザー駆動モード と同一です。
https://qiita.com/carol0226/items/1e8023611f74f158c38c#step-7autopilot-デバイスをユーザーに割り当てる-任意
なお、事前プロビジョニング を実施する訳なので、この章で 事前展開しておくべき処理(時間が掛かるもの や 初めから適用しておくべきもの)を定義しておくことが推奨されます。
サイズの大きなアプリ の展開や、Bitlocker、コンプライアンスポリシーの適用など。
(公開情報のチュートリアル : Step 7)
https://learn.microsoft.com/ja-jp/autopilot/tutorial/pre-provisioning/azure-ad-join-assign-device-to-user?wt.mc_id=mvp_407731
Step 8:テクニシャンフロー
前章までの準備が完了したら、いよいよ 事前プロビジョニング の動作を検証できます。
ハードウェアハッシュを登録した 検証用の PC を使って、動作をテストしましょう。
8-1. 事前プロビジョニング の トリガー
事前プロビジョニング で 技術者フロー がトリガーされるには、OOBE フェーズが動作する必要があります。
"新品 PC の起動" または "ワイプ"、"PC 側での リセット" などを行い OOBE フェーズが実施されるアクションを行ってください。
OS の 初回起動時(OOBE フェーズ)に、インターネット経由で ハードウェアハッシュがマッチしたテナントに接続され、Autopilot プロファイルが適用されていると、トリガーされます。
"Autopilot リセット" では OOBE フェーズ が初期化されずに SKIP されるため、事前プロビジョニング を 実施できません。
OOBE フェーズ とは、初期構成の際に PC を起動してから サインイン画面が出てくるまでの間の処理を指していて、例えば 以下のような処理が含まれます。
- 言語の選択
- キーボードの選択
- ネットワークへの接続
- 利用許諾
- ライセンス認証
- コンピューター名の指定
- ユーザーアカウントの追加
「8-1-1. ワイプ」と「8-1-2. リセット」の2通りの手順を紹介しますので、いずれか を実施してください。
8-1-1. ワイプ の実施
Intune 管理センター で ワイプ を行いたい デバイス を選択して メニューから "ワイプ" を選択します。以下の確認画面が表示されるため "ワイプ" ボタンを押します。
管理センターから ワイプ を指示してから 実際に ワイプ が開始されるまでに タイムラグ があります。
公開情報
8-1-2. リセットの実施
- PC にサインインして、「設定」アプリを開きます。
- OS ごとに違いますが「回復」の操作を実行します。
(Windows10) 左ペインの「更新とセキュリティ」から「回復」を選択し「開始する」を押します
(Windows11) 左ペインの「システム」から「回復」を選択します。
「PC をリセットする」を選択します。
- 「すべて削除する」を選択します。
- 「ローカル再インストール」を選択します。
- 確認画面となるので「次へ」を押します。
- 「リセット」を押します。
リセットが完了するまで、しばらく待ちます。(機種にもよりますが、10 分程度)
8-2. Autopilot による デプロイ実施の画面遷移
以下のような画面遷移が続きます。(機種にもよりますが、10 分程度)
8-3. 事前プロビジョニング の開始
ワイプ や リセット が完了して、初回起動されると、以下の画面になります。
事前プロビジョニング を 開始するためには、「Windows キー」を 5 回 押します。
上記の画面のまま ユーザーアカウントでサインインした場合は、事前プロビジョニング とはならず、ユーザー駆動モードでの展開になります。
- Windows キー が 5 回押されると、以下の画面になります。
"Windows Autopilot のプロビジョニング" を選択して、"続行" を押します。
- 以下の画面になるため、"プロビジョニング" をクリックすると テクニシャンフロー が開始されます。
- 以下の画面で 進捗を見守ります。
- 以下の画面になったら 事前プロビジョニング が完了です。"再シール" を押すと シャットダウン されます。
このあと、"電源" を入れないように注意します。
起動してしまうと、ユーザーフロー が開始されてしまうためです。
動作検証の場合は、ここで 電源を入れて 引き続き ユーザーフローの動作を検証してください。
(公開情報のチュートリアル : Step 8)
https://learn.microsoft.com/ja-jp/autopilot/tutorial/pre-provisioning/azure-ad-join-technician-flow?wt.mc_id=mvp_407731
Step 9:ユーザーフロー
- 有線 LAN 環境で PC の電源を入れると、以下の画面になります。
※無線 LAN 環境の場合は、手動で WiFi に接続する必要があり、そのあと 以下の画面になります(言語や キーボード設定なども求められます)
利用者のアカウントを入力して "次へ" を押します。
ここで、興味本位で Windows キーを 5 回押してみましたが、「Windows Autopilot のプロビジョニング」は表示されませんでした。もう済んでいるからという事ですね。「キャンセル」を押して、前の画面に戻りましょう、
2.ユーザーのパスワードを入力して "次へ" を押します。
3.こんにちは・・・のメッセージ等が流れます。
4.Windows Hello 対応のカメラ搭載機の場合は、ここで 顔認証 の設定を行います。
5.顔はマスキングしてます。
6.PIN を設定していきます。
7.MFA が発動するため、認証します。
このタイミングでは、条件付きアクセスなどで MFA を構成していなくても MFA が要求されます。
これは、Autopilot の運用時に課題となることがあります。
MVP の Tamai さんが本件の回避策 (Temporary Access Pass) をわかりやすく紹介してくれています。
https://sccm.jp/2023/12/27/post-5728/
私も Temporary Access Pass を検証済みです
手順(avdadmin) とは別のユーザー(user01)でテストした時の画面です。
公開情報:一時アクセスパス - Temporary Access Pass (TAP)
8.PIN を設定していきます。
9.すべて完了すると、以下の画面になるので "OK" を押すと サインイン されます。
10.以下のように、初めから アプリケーション が導入されていることが判ります。
(公開情報のチュートリアル : Step 9)
https://learn.microsoft.com/ja-jp/autopilot/tutorial/pre-provisioning/azure-ad-join-user-flow?wt.mc_id=mvp_407731
Intune 管理センター での確認
以下のように デバイス の一覧に表示されます。
この展開方法を実施した場合は、所有権 が "企業" になっています。
