IT Hands-on Lab

小規模組織向けIT環境の構築・運用に役立つ情報を、ハンズオン形式で紹介しています。

トップ > MSIntune > 【Microsoft Intune】Windows Autopilot PCキッティング1
最終更新日

【Microsoft Intune】Windows Autopilot PCキッティング1

MSIntune インフラ

Microsoft Intune Windows AutopilotによるPCキッティング1

Microsoft社が提供するクラウドベースのデバイス管理サービス「Microsoft Intune」における、Windows Autopilotを使ったPCキッティング(ユーザー駆動モード)の設定方法を紹介します。
これにより、組織やPCベンダーから渡された工場出荷時状態のPCに、ユーザーが組織のアカウントで初回サインインすると、組織で必要な設定が自動的に行われるようになります。システム管理者がPCを一台一台キッティングする手間が省けます。
  • 操作環境・管理デバイス環境:
    • OS:Windows 11
    • Webブラウザー:Edge
  • 使用プラン:Microsoft 365 Business Premium

 

 

Autopilot設定(ユーザー駆動型)の段取り

Windows Autopilotには展開シナリオがいくつかあります。この記事では、ユーザー駆動型(1人のユーザー用のWindows PCをユーザーが操作することにより展開する)シナリオを紹介します。

 

公式記事のチュートリアルに全体の流れと個々の設定手順が示されており、基本的にこれに従い進めます。

図表1-1 Autopilotのチュートリアルに関する公式記事

図表1-1 Autopilotのチュートリアルに関する公式記事

 

Azure Windows自動Intune登録設定の確認

WebブラウザーよりMicrosoft Azureのポータル画面にアクセスし、[Microsoft Entra ID]を選択します。左メニューの[管理>モビリティ (MDM および WIP)]を選択し、[Microsoft Intune]を選択します。[MDMユーザースコープ]が[すべて]か、[一部]でキッティング対象PCのユーザーが含まれることを確認します(なっていない場合は設定します)。

*[MDMユーザースコープ]の設定は、過去に変更していなければ[すべて]になっている筈です

図表2-1 自動Intune登録の設定確認

図表2-1 自動Intune登録の設定確認

 

Entra管理C ユーザーによるデバイスのEntra ID参加の許可設定

WebブラウザーよりMicrosoft Entra管理センターにアクセスし、左メニューの[ID>デバイス]を選択し、サブメニューの[デバイスの設定]を選択します。[Microsoft Entraの参加と登録の設定>ユーザーはデバイスをMicrosoft Entraに参加させることができます]が[すべて]か、[選択済み]でキッティング対象PCのユーザーが含まれることを確認します(なっていない場合は設定します)。

図表3-1 ユーザーによるデバイスのEntra ID参加の許可設定

図表3-1 ユーザーによるデバイスのEntra ID参加の許可設定

 

Intune管理C 対象デバイスのAutopilotデバイス登録

対象デバイスをAutopilotデバイスとして登録するには、いくつか方法があります。この記事では、PowerShellスクリプトを実行し、ハードウェアハッシュを取得して登録する方法を紹介します。
ただし、この方法ですとPCをユーザーに引き渡す前に、システム管理者がPCに一度サインインしてハードウェアハッシュを取得するという手間がかかります。
以下の通り、公式記事にはOEMまたはパートナー経由でAutopilotデバイスの登録をするのが推奨され、一般的な方法と記されています(システム管理者がPCを触ることなく、納品業者から直接ユーザーに納品しても使用を開始できるイメージ)。

図表4-1 Autopilotデバイス登録の方法に関する公式記事

図表4-1 Autopilotデバイス登録の方法に関する公式記事

 

ここからPowerShellスクリプトによる手動登録の方法を紹介します。

 

画面イメージのように、公式記事に掲載されているPowerShellスクリプトを用意します(この例では、C:\tempフォルダーにget_hwid.ps1ファイルを配置)。

図表4-2 PowerShellスクリプトの用意

図表4-2 PowerShellスクリプトの用意

 

対象デバイス上でPowerShellを管理者として実行します。

図表4-3 PowerShellの起動

図表4-3 PowerShellの起動

 

図表4-1でps1ファイルを配置したフォルダーに移動し(C:\temp)、以下コマンドのように、配置したps1ファイルを実行します。

.\get_hwid.ps1

図表4-4 PowerShellスクリプトの実行

図表4-4 PowerShellスクリプトの実行

 

なお、ps1ファイル実行時にエラーが出る場合は、先に以下コマンドを実行して実行ポリシーを変更からお試しください。

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned

 

ps1ファイルが正常に実行されると、C:\HWIDフォルダーの下にCSVファイルが生成されます。この後、Microsoft Intune管理センターの設定画面で、このCSVファイルをインポートします。

図表4-5 PowerShellスクリプト実行により生成されたファイル

図表4-5 PowerShellスクリプト実行により生成されたファイル

 

WebブラウザーよりMicrosoft Intune管理センターにアクセスし、左メニューの[デバイス]を選択し、サブメニューの[デバイスのオンボーディング>登録]を選択し、[Windows Autopilot>デバイス]を選択します。

図表4-6 Intune管理センターのデバイス登録メニュー

図表4-6 Intune管理センターのデバイス登録メニュー

 

[インポート]を選択し、ps1ファイル実行により生成されたcsvファイルを選択し、[インポート]を選択します。

図表4-7 Autopilotデバイスの登録(生成ファイルインポート)

図表4-7 Autopilotデバイスの登録(生成ファイルインポート)

 

Entra管理C Autopilotデバイスグループ作成

今後新たに追加するAutopilotデバイスを集約するグループを作成しておきます。

 

WebブラウザーよりMicrosoft Entra管理センターにアクセスし、左メニューの[ID>グループ>すべてのグループ]を選択し、[新しいグループ]を選択します。

図表5-1 デバイスグループ一覧画面

図表5-1 デバイスグループ一覧画面

 

以下の通り設定します。

  • グループの種類:セキュリティ
  • グループ名:(Autopilotデバイスの動的グループであることがわかるような名前)
  • メンバーシップの種類:動的デバイス
  • 所有者:システム管理者

さらに、[動的クエリの追加]を選択します。

図表5-2 デバイスグループの設定

図表5-2 デバイスグループの設定

 

[編集]を選択します。
編集画面が表示されたら、以下の構文(すべてのAutopilot デバイスを含むデバイスグループ)を入力し、[OK]を選択します。

(device.devicePhysicalIDs -any (_ -startsWith "[ZTDid]"))

元の画面で[保存]を選択します。

図表5-3 動的メンバーシップルールの設定

図表5-3 動的メンバーシップルールの設定

 

Intune管理C Autopilot登録状態ページ設定

Autopilotデバイスのセットアップ中の進捗状況をユーザーに表示することができます。既定の設定では進捗状況は表示されず、Autopilotのセットアップ自体は進められるのですが、進捗状況をユーザーに表示させたい場合は、この設定を追加します。

 

WebブラウザーよりMicrosoft Intune管理センターにアクセスし、左メニューの[デバイス]を選択し、サブメニューの[デバイスのオンボーディング>登録]を選択し、[Windows Autopilot>登録状態ページ]を選択します。

図表6-1 Intune管理センターのデバイス登録メニュー

図表6-1 Intune管理センターのデバイス登録メニュー

 

[作成]を選択します。
なお、[優先度]が[規定値]と表示される行が既定の設定で、進捗状況を表示しないようになっています。

図表6-2 登録状態ページの一覧画面

図表6-2 登録状態ページの一覧画面

 

[基本]ステップにて、プロファイルの[名前]を適宜入力し、[次へ]を選択します。
[設定]ステップにて、[アプリとプロファイルの構成の進捗状況を表示します]で[はい]を選択し、必要に応じて他の設定を適宜調整し、[次へ]を選択します。

図表6-3 登録状態ページの設定(基本,設定)

図表6-3 登録状態ページの設定(基本,設定)

 

[割り当て]ステップにて、[組み込まれたグループ]の[グループの追加]を選択します。
選択画面が表示されたら、工程5で作成したデバイスグループを選択し、[選択]ボタンを押します。
元の画面で[次へ]を選択します。

図表6-4 登録状態ページの設定(割り当て)

図表6-4 登録状態ページの設定(割り当て)

 

[スコープ タグ]ステップは特に何も設定せず、[次へ]を選択します。
[確認および作成]ステップで設定内容を確認し、問題なければ[作成]を選択します。

図表6-5 登録状態ページの設定(スコープタグ,確認と作成)

図表6-5 登録状態ページの設定(スコープタグ,確認と作成)

 

Intune管理C Autopilotプロファイル設定

Autopilotデバイスのデプロイプロファイルを作成します。

 

WebブラウザーよりMicrosoft Intune管理センターにアクセスし、左メニューの[デバイス]を選択し、サブメニューの[デバイスのオンボーディング>登録]を選択し、[Windows Autopilot>デプロイ プロファイル]を選択します。

図表7-1 Intune管理センターのデバイス登録メニュー

図表7-1 Intune管理センターのデバイス登録メニュー

 

[プロファイルの作成>Windows PC]を選択します。
[基本]ステップにて、プロファイルの[名前]を適宜入力し、[すべての対象デバイスをAutopilotに変換する]で[はい]を選択し、[次へ]を選択します。

図表7-2 Autopilotデプロイプロファイル設定(基本)

図表7-2 Autopilotデプロイプロファイル設定(基本)

 

[OOBE]ステップは、この例ではデフォルト設定で進めてみますので、[次へ]を選択します。

図表7-3 Autopilotデプロイプロファイル設定(OOBE)

図表7-3 Autopilotデプロイプロファイル設定(OOBE)

 

[割り当て]ステップにて、 [組み込まれたグループ]の[グループの追加]を選択します。
選択画面が表示されたら、工程5で作成したデバイスグループを選択し、[選択]ボタンを押します。
元の画面で[次へ]を選択します。

図表7-4 Autopilotデプロイプロファイル設定(割り当て)

図表7-4 Autopilotデプロイプロファイル設定(割り当て)

 

[確認および作成]ステップで設定内容を確認し、問題なければ[作成]を選択します。

図表7-5 Autopilotデプロイプロファイル設定(確認と作成)

図表7-5 Autopilotデプロイプロファイル設定(確認と作成)

 

Intune管理C デバイス構成ポリシー・アプリ設定(任意)

Autopilotデバイスの設定やアプリのインストールを制御したい場合は、以前の記事(以下)を参考に、Microsoft Intuneのデバイス構成ポリシーやアプリ展開の設定を行います。

 

Intune管理C Autopilotデバイスのユーザー割り当て(任意)

対応必須ではありませんが、Autopilotデバイスに予めユーザーを割り当てることができます。

 

Intune管理センターにアクセスし、左メニューの[デバイス]を選択し、サブメニューの[デバイスのオンボーディング>登録]を選択し、[Windows Autopilot>デバイス]を選択します。

図表9-1 Intune管理センターのデバイス登録メニュー

図表9-1 Intune管理センターのデバイス登録メニュー

 

対象デバイスの行にチェックをつけ、[ユーザーの割り当て]を選択します。

図表9-2 Autopilotデバイス一覧画面

図表9-2 Autopilotデバイス一覧画面

 

Autopilotデバイスのユーザーにチェックをつけ、[選択]ボタンを押します。
プロパティ画面が表示されたら、必要に応じてデバイス名等を調整し、[保存]を選択します。

図表9-3 Autopilotデバイスへのユーザーの割り当て

図表9-3 Autopilotデバイスへのユーザーの割り当て

 

以上で、システム管理者による事前設定は一通り完了しました。
次の記事ではユーザーによる初回利用時の流れや、システム管理者向けの機能に関するご紹介をいたします。

 

 

当ブログ内の連載記事

elmgrn.hatenablog.com

 

当ブログ内の関連記事

elmgrn.hatenablog.com

elmgrn.hatenablog.com