見出し画像

Microsoft Autopilotを使ってみた


SHIFTにてインフラコンサルタントをしているUENOです。

今回は、Microsoftが提供しているIntune/Autopilotを検証で利用したため、実施した内容を記載いたします。Autopilotは、インターネット経由でのデバイスキッティング機能となります。Autopilotを利用することにより管理者によりデバイスの手動キッティングの軽減が見込めるようになります。

※キッティングとは、業務で使用するPC・スマートフォンの各種設定およびソフトウェアのインストールなどを行い、従業員がデバイスをすぐに利用できる状態に準備すること

Autopilot概要


Autopilotは、Microsoft Intuneに搭載されたデバイスキッティング機能となります。Autopilotを利用することにより、インターネット経由にてデバイスのキッティングが可能となります。インターネット経由でのキッティングとなるため、従来のような管理者による手動キッティング不要となり、各ユーザにてキッティングを行うことができます。

サポートOS


Autopilotは、現時点で「Windows OS(10/11)の各エディション」のみ対応しております。 Windows OS以外にもMacOSを利用している企業等あるかと思いますが、Autopilotが対応していないため、別手段を検討する必要があります。

  • MacOSをキッティングする場合

  1. Apple社「Automated Device Enrollment(ADE)」とIntuneを連携させる

  2. 「jamf Pro」を用いたキッティングを検討する

    • Windows OSに比べてmacOSが少なく、ポリシーも軽微であれば「ADE」での管理、macOS主体で詳細な管理を行いたい場合は「jamf Pro」での管理を実装するとよいと思われます。

ライセンス形態


  • Autopilotを利用するには、以下のライセンスを所有している必要があります。Autopilotは、Microsoft Intuneに搭載されております。

  • 価格等の詳細については、Intuneライセンス価格表 を参照ください。

ネットワーク要件


検証概要


検証環境


  • 今回は、自身のPCへHyper-V環境テストクライアント仮想マシンを作成し、Autopilotの検証を行いました。

    • クライアント環境詳細は後続へ記載してます。

  • Intune管理画面よりAutopilotの設定を行い、ローカルPC(Hyper-V:仮想マシン(Win10))に対してAutopilotを実行。

検証プロセス


本件検証の大まかな実施プロセスは以下の通りとなります。 Autopilotで設定されるデバイス設定は、Intuneにて設定したものになるため、Intuneの設定も合わせて実施するようにしましょう。

検証内容


クライアント環境構築


  • 先で記述した通り、利用PCにHyper-V環境を導入し、そちらに評価版のWin10 OSの仮想マシンを構築し検証を実施しております。

    • 仮想マシンの設定は、以下の通りで実施しております。以下が動作確認を行ううえの最低限のスペックとなります。

    • 仮想マシン作成後、仮想マシンを起動し、ローカル管理者アカウントを作成しサインインします。サインイン後は、特に設定などは不要です。

※上記に満たないスペックでAutopilotを実施すると、Autopilot実行中エラー終了となってしまいます。

※特にクライアント環境に指定はございません。実検証用のデバイスを用意いただいて実施いただいても問題ございません。今回は、検証デバイスが用意できなかったため仮想環境で実施しております。

※Hyper-V導入、仮想マシン作成に関しては、以下を参照ください。

Windows 10 上に Hyper-V をインストールする

Hyper-V を使用して仮想マシンを作成する

ユーザーおよびグループ作成


  • Intune管理画面よりテスト用のユーザおよびグループを作成

    • 今回は、テスト用アカウント1つとテスト用グループを2つ作成し検証を実施しました。

      • グループを2つ作成した理由として、のちにIntuneへ登録するデバイス情報とテスト用アカウントのグループを分けて検証したかったので、2つ作成しております。(Autopilotのプロセスとしてデバイスに紐づいたグループとアカウントに紐づいたグループでの挙動を確認したかった。)

  • 「autopilot-testuser:テスト用アカウント」は、「intune-group:Intune専用グループ」へ追加します。

    • Intuneで設定しているポリシーを「intune-group:Intune専用グループ」へ割り当てます。

    • 今回は、構成プロファイル(個人設定:スクリーンセーバー)およびアプリ配布(Teams配布)を別途設定し、intune-groupへ割り当てました。

Autopilot環境構築


  • Autopilot実行時には、「デバイスプロファイル」「登録ステータスページ」の設定が必要になります。

  • 本設定は、Intune管理センターより[デバイス]-[登録]より設定が可能です。

  • 「デバイスプロファイル」「登録ステータスページ」は、両方とも「autopilot-group:Autopilot専用グループ」へ割り当てます。

デプロイプロファイル作成

  • 以下、デバイスプロファイル作成時の設定の留意ポイントを記載します。

  • その他の設定項目については、必要に応じて設定内容をご検討ください。

※1)Autopilotでは、事前プロビジョニングを実施するか選択が可能です。事前プロビジョニングを実施することにより、デバイス利用者のキッティング時間を省略することが可能となります。(事前プロビジョニングは、事前に管理者にてキッティングを実施し、ユーザに紐づくキッティングのみをユーザ側にて実施いただく機能となります。)

※2)仮に本設定を「TEST-%RAND:4%」と設定することにより、コンピュータ名が「TEST-固有の4文字シリアル番号」がとなります。

登録ステータスページ作成

  • 以下、登録ステータスページ作成時の設定の留意ポイントを記載します。

  • その他の設定項目については、必要に応じて設定内容をご検討ください。

デバイス情報登録


  • Autopilotを実行するには、実行対象デバイス情報をIntuneへ登録する必要があります。登録方法は、デバイスのハッシュ値を取得し、Intuneへインポートする方法となります。

ハードウェアハッシュ値の取得

  • 対象デバイスへローカルアカウントにてサインインします。

  • サインイン後、PowerShellを管理者権限にて起動し、以下のコマンドを実行します。

・New-Item -Type Directory -Path “C:HWID”
・Set-Location -Path “C:HWID”
・Set-ExecutionPolicy -Scope Process -ExecutionPolicy Unrestricted
・Install-Script -Name Get-WindowsAutopilotInfo
・Get-WindowsAutopilotInfo.ps1 -OutputFile AutopilotHWID.csv

  • 上記コマンドを実行することにより「C:HWID」に「AutopilotHWID.csv」ファイルが作成されます。

  • AutopilotHWID.csvにデバイスのハッシュ値が記載されております。

Intuneへインポート

  • Intune管理画面より[デバイス]-[登録]-[デバイス]を選択し、[インポート]より先ほど取得した「AutopilotHWID.csv」をインポートします。

  • インポートが完了すると以下のようにデバイス情報が登録されます。

登録したデバイスをグループに割り当て

  • Intune管理画面より[グループ]から「autopilot-group」を選択します。対象グループ選択後、[メンバー]から[メンバー追加]より登録したデバイスを追加します。デバイスは、登録した際のシリアル番号で出力されます。

クライアント環境初期化


  • Intune/Autopilotの準備ができたら、対象デバイスを初期状態にします。初期状態に戻すには、Windowsのsysprepを利用します。

  • "C:\Windows\System32\Sysprep\sysprep.exe"を管理にて実行します。システム準備ツールが起動するため、システムクリーンアップアクションを「システムのOOBEに入る」シャットダウンオプションを「シャットダウン」を指定し、[OK]をクリックします。これでデバイスが初期化されシャットダウンされます。

ここまででAutopilotの実行準備が完了となります。

Autopilot実行


Autopilotプロセス

Autopilot実行前にAutopilotのプロセスを説明します。Autopilot実行~完了までは以下のプロセスで実施されます。

  • Step1:デバイスを起動

  • Step2:デバイスのネットワーク設定

  • Step3:デバイスからMicrosoft365アカウントへサインイン

  • Step4:自動キッティング画面が表示されAutopilotが実行される

    • デバイスのセットアップ画面が表示され、ユーザーはその間操作不可となる

    • 以下の順序でセットアップが実行される

      • デバイスの準備(Intuneへのデバイス情報登録)

      • デバイスのセットアップ(デバイスに紐づいたポリシーが適用される)→今回は、「Autopilot専用グループ:autopilot-group」に紐づいたポリシーが実行される。

      • アカウントのセットアップ(アカウントに紐づいたポリシーが適用される)→今回は、Intune専用グループ:intune-groupに紐づいたポリシーが実行される。

Autopilotの実行

  • 実際にAutopilotを実行してみます。

  • デバイスの起動を行い、テスト用アカウントにてサインインを行います。

  • サインイン後セットアップが実施されます。(サインイン後Autopilotが実行されます。)

  • [デバイスの準備]→[デバイスのセットアップ]→[アカウントのセットアップ]の順に実施されます。

  • セットアップが完了するとそのままデスクトップ画面が表示されユーザーはデバイスが利用できる状態となります。

    • デバイスにて以下が正常に設定されていることを確認

      • デバイス名がデプロイプロファイルにて設定した規則のデバイス名になっていること

      • 構成プロファイル(個人設定:スクリーンセーバー)が設定されていること

      • アプリ配布(Teams)が正常にインストールされていること

  • これでAutopilotの実行は完了となります。Autopilotが完了するとデバイス名がIntune上に登録され以後、Intune上で管理可能な状態となります。

その他


デバイスの登録手段

  • 先に記載した通りAutopilot実行には、事前にデバイス情報をIntune上へ登録する必要がある。

  • 通常各デバイスに対して、管理者にてハッシュ値をエクスポートし、Intune上へインポートする必要がある。

    • 上記では、管理者の手間がかかり現実的ではないため、メーカーからのデバイス購入時に自動登録されるよう検討を行う。

    • Windows Autopilotを使用してデバイスを出荷しているメーカーからデバイスを購入すると、そのメーカーはWindows Autopilitに自動的に登録してくれる

    • Microsoftが公開しているAutopilotサポートメーカーの一覧は、下記を参照

Autopilotプロビジョニング種類

  • Autopilotキッティングの種類

    • Autopilotにはキッティングの種類が2種類用意されており、「セルフキッティング」「事前プロビジョニング」があります。

      • 「セルフキッティング」は利用者にてキッティングを実施させるキッティングです。

      • 「事前プロビジョニング」は、管理者にて一部のキッティングを実施し、ユーザへ引き渡しその後残りのキッティングを実施してもらうキッティングです。

        • デバイスを利用者に渡した際に、すぐに利用いただきたい場合は、「事前プロビジョニング」を実施し、利用者側のキッティングを省略させます。

  • セルフキッティング

    • ユーザーにてEntra IDアカウントにて接続し、Intune上に割り当てられた設定をインターネット経由にてデバイスに自動設定する

  • 事前プロビジョニング

    • 管理者にて事前にキッティングを行い、ユーザー割り当てされた設定のみユーザーにてキッティングを行う

    • ユーザーにデバイスを引き渡した後に、キッティング時間の縮小を行いたいときに実施するもの

    • 事前プロビジョニングは、デバイス起動時に表示されるキーボード設定画面にて「Windowsキー」を5回押すことで実行される

    • 事前プロビジョニング済みの場合は、ユーザーは「アカウントのセットアップ」のみ実施される

最後に


今回検証環境を用いてAutopilotの動作を検証いたしました。Intune/Autopilot上の設定さえ完了していればデバイスのキッティングはインターネット経由でデバイス-Intune間で実施してくれるため、管理者の負担は軽減できるかと思います。従来ではローカルにてデバイスイメージの作成や更新などの管理を行っていたかと思いますが、Intune/Autopilotはクラウドサービスとなるため、インターネット経由での管理が可能となります。そちらも利点の1つかと思います。

Intuneには、Autopilot以外にもさまざまな機能が搭載されているため、今後も他の機能を紹介していきたいと思います。


執筆者プロフィール:UENO
インフラエンジニア経験10年以上、Azure経験3年程。直近ではAzureを中心とした案件に携わっております。まだまだ勉強中ですが、経験したAzureの知識を発信できればと思います。

お問合せはお気軽に
https://service.shiftinc.jp/contact/

SHIFTについて(コーポレートサイト)
https://www.shiftinc.jp/

SHIFTのサービスについて(サービスサイト)
https://service.shiftinc.jp/

SHIFTの導入事例
https://service.shiftinc.jp/case/

お役立ち資料はこちら
https://service.shiftinc.jp/resources/

SHIFTの採用情報はこちら
https://recruit.shiftinc.jp/career/