前回の記事でIntune管理センターからひよりんのアカウント情報とユーザーグループを作成したので、いよいよAutoPilotで企業用設定をいきなり配信できるように設定してみたいと思います。
そもそもAutoPilotとはなんずら?
Intuneで利用できる「AutoPilot」とはWindows 10/11を初回起動したときに表示される初期セットアップ画面(ようこそ画面、OOBEと呼ぶので覚えておいてください)で企業用アカウントであるMicrosoft EntraIDを入力することにより、いきなり業務に必要なアプリやポリシー設定、Wi-Fiアクセスポイントの設定などを適用出来てしまう非常にありがたい機能です。無論一般ユーザーだと一生お世話になることはないかと思われますが・・・
Intuneでは他のデバイス管理サービス(MDM)と同じく、初期設定後に設定アプリからMicrosoft Entra IDを入力する形で登録することももちろん可能ですが、AutoPilotであれば工場出荷時の状態からでもいきなり従来のキッティングで行っていた各種設定・アプリインストールを行うことが可能です。
ただし、何も考えずにすべてのアプリ・設定を降らせる設定にしてしまうと当然社内ネットワークのトラフィックを圧迫するほか、ユーザー側のネット接続環境がモバイルネットワークなど不安定な環境でAutoPilotによる初期セットアップに失敗すると設定によっては管理者側でいろいろ手続きしないとログインすら出来ない文字通りの「高級文鎮」と化してしまう可能性があるので、AutoPilotでは最小限の設定・アプリだけ適用してIntune登録後に追加設定を行うようにしたほうが安全かもしれません。
またAutoPilotに限った話ではないのですが、端末を売却・廃棄する際に登録デバイスとして解除しておかないと中古PCとして出回ったときにとんでもねぇことになります(後述します)。
なお、AutoPilotを利用するにはWindows 10・11のエディションが「Pro」「Enterprise」のいずれかである必要があり、一般家庭向けエディションの「Home」の場合通常のMDM登録しか対応していません。そもそも企業でHomeがインストールされたPCを導入するケースはまずないと思われますが・・・
木偶人形!お前にはひよりんのデバイスになってもらうぞ!
AutoPilot対応PCとしてIntuneに登録するにはまず事前にシリアル番号などのハードウェア情報を取得する必要があります。企業がPCを新規購入する場合は(出るっDellやベェオ、ダイナブック株式会社、Lenovo、HPといった企業向けモデルを販売しているメーカーであれば)事前にAutoPilot対応デバイスとしてIntuneに登録した状態で出荷してくれるサービスを提供している場合がありますが、既存のPCをAutoPilot対応デバイスとしてIntuneに登録する場合は自分で一台一台PowerShellコマンドを実行してCSVファイルにエクスポートする作業が必要になります。めんどくせぇけどしゃーないね・・・ただし、バッチ化すればある程度手間を省くことは可能です。
ということで、実際に先日旧キャプさんにて7,900円で購入したデェナポォン S73/HSに木偶人形・・・ひよりんのPCになってもらうことにします。VMware/Hyper-Vなどの仮想環境でも普通にAutoPilot登録デバイスとして登録できるのですが、丁度インストールされていたエディションが「Windows 11 Pro」だったからです(この検証が終わったらLinuxマシンにしようと思っていたのですが、普通にもったいないのでそのままWindows環境で運用しようかちょっと迷ってます・・・)
Intuneに登録するためのデバイス情報を取得するにはMicrosoftが公開しているPowerShellスクリプトを実行します。スクリプトを直接ダウンロードするためネット環境に接続した状態でWindows PowerShellを管理者権限で実行し、以下のコマンドを入力します。
New-Item -Type Directory -Path デバイス情報CSVファイルを保存する場所のパス(任意)
Set-Location -Path デバイス情報CSVファイルを保存する場所のパス(任意)
Set-ExecutionPolicy -Scope Process -ExecutionPolicy Unrestricted
Install-Script -Name Get-WindowsAutoPilotInfo
Get-WindowsAutoPilotInfo.ps1 -OutPutFile 任意のファイル名.csv
「Set-ExecutionPolicy -Scope Process -ExecutionPolicy Unrestricted」は外部からダウンロードしたPowerShelllスクリプトをそのまま実行しようとするとエラーが出てしまうため、一時的に実行を許可するためのコマンドです。今回の作業以外でも何かと使う機会は多いコマンドなので頭に入れておいても損はないでしょう。
実行時、いちいち許可を求めるプロンプトが表示されますが、すべて「Y」で問題ありません。処理に成功すると最初のコマンドで作成したデバイス情報保管フォルダにCSVファイルが作成され、その中にコマンドを実行したPCのハードウェア情報が記録されているはずです。
今回は木偶・・・dynabook S73/HS一台のみ登録するのでこれで作業終了となりますが、他のデバイスも登録する場合は上のコマンドを実行することでCSVファイルに追加されます。
デバイス情報の取得が完了したらWEBブラウザで「Microsoft Intune 管理センター」にアクセスし、「デバイス→デバイスのオンボーディング→登録」と進み、「デバイス」を選択します。
次に「インポート」を選択して・・・
先ほど作成したデバイス登録情報が記載されたCSVファイルをアップロードします。
正常にデバイス情報が記録できていればアップロードから15分程度でデバイス一覧にAutoPilotに登録したいPCが表示されます。
これでAutoPilotデバイスの登録は完了したので、あとはユーザー(ひよりん)とグループを割り当てて実際にデプロイポリシーを設定して動作テスト・・・したのですが、どうもうまく動いていないようなのでその辺のトラブルシューティングなども含め各種設定等を紹介したいと思います。
しっかしIntuneって面白いネ!
関連リンク
コメント