概要
目的
Microsoft 365の「Autopilot」によるWindowsデバイスの「ゼロタッチキッティング」をとりあえず実践して体感してみる!というのが目的です。
実際の本番運用と比較できるよう、「アプリ配信」「構成(ポリシー)」をそれぞれ一つのみ設定したクライアントPCをゼロタッチキッティングする手順を、複数回にわけてご紹介します。
なお「とりあえず実践」が目的なので、解説などは最小限にしています。
各要素の詳細解説などは別の記事で実施する予定です。
想定読者
- クローニングによるキッティングなどはやったことがあるけどautopilotは使ったことがない
- ゼロタッチキッティングはやったことがないが興味がある
必要なもの
- Microsoft 365の検証環境(関連記事:Microsoft 365、検証環境の構築)
- 検証用デバイス
- クライアントPC(Windows11Pro)
更新履歴
- 250823
- 初出
注意事項
記事内の手順、用語、スクリーンショットは執筆当時のもので、変更される可能性があります。
シリーズ記事一覧
- Microsoft 365、Autopilotによるゼロタッチキッティング(Win)-(1)検証用デバイスの登録
- Microsoft 365、Autopilotによるゼロタッチキッティング(Win)-(2)アプリ配信の設定
- Microsoft 365、Autopilotによるゼロタッチキッティング(Win)-(3)構成(ポリシー)の設定
- Microsoft 365、Autopilotによるゼロタッチキッティング(Win)-(4)autopilotの設定
- Microsoft 365、Autopilotによるゼロタッチキッティング(Win)-(5)デバイスのインポートとautopilotの実行
手順(3)構成(ポリシー)設定
本手順では「bitlocker」の適用設定を実施します。
1.構成(ポリシー)の作成
Intuneの「デバイス>デバイスの管理>構成」を開き、「ポリシー」タブで「作成」をクリックする。
下記のように選択して「作成」をクリック。
- プラットフォーム
- windows10以降
- プロファイルの種類
- テンプレート
- テンプレート名
- endpoint protection
基本
下記のように入力して「次へ」をクリック。
- 名前
- 01-bitlocer
構成設定
下記のように選択して「次へ」をクリック。
- Windows 暗号化
- Windowsの設定
- デバイスの暗号化=必要
- BitLockerの基本設定
- 他のディスクの暗号化に対する警告=ブロック
- Azure AD 参加中の暗号化の有効化を標準ユーザーに許可する=許可
- BitLocker OS ドライブの設定
- 起動時の追加認証=必要
- PINの長さの最小値=有効にする
- 最小文字数=8
- OSドライブの回復=有効にする
- BitLocker セットアップ ウィザードの回復オプション=ブロック
- BitLocker 回復情報を Microsoft Entra ID に保存する=有効にする
- Microsoft Entra ID に格納されている BitLocker 回復情報=回復パスワードとキー パッケージをバックアップする
- クライアント主導の回復パスワードのローテーション=Microsoft Entraに参加しているデバイスでキーのローテーションが有効になっています
- BitLocker固定データドライブの設定
- 固定ドライブの回復=有効にする
- BitLocker を有効にする前に、回復情報をMicrosoft Entra ID に保存する=必要
- Windowsの設定
割り当て
「必須」の「グループを追加」をクリックし、「GrpSec-01Dev-01AP」を「選択」し「次へ」。
適用性ルール
「次へ」。
確認および作成
これまでの設定内容を確認し、問題なければ「作成」をクリック。
しばらくすると、対象デバイスにポリシーが適用される。
2.動作確認
数分から数時間以内に、自動的に検証用デバイスに構成(ポリシー)が適用される(デバイスは起動しインターネット接続状態にしておく)。
しばらく時間を置いて、intuneの「デバイス」から検証用デバイスの「回復キー」を表示し、bitlockerのキーID、回復キーが登録されていれば動作確認完了。
次の記事は
「(4)autopilotの設定」として、ゼロタッチキッティングを実施するための設定を実施します。