この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
はじめに
こんにちは、くらめその情シスの畠山です。
今回は、AzureAD&Intuneの自動化を使った時の実際のセットアップ手順が、どのような流れになるのかをご紹介します。
Intuneに登録したプロファイルの構成や自動化するために登録したスクリプトによっても、大きく変わってくる部分ですが、弊社で設定した内容をベースにざっくりとイメージをつかんでいただきたいと思います。
【この記事の目的】
- IntuneのAutoPilot機能を使用して、WindowsPCセットアップを行う
- IntuneのAutoPilot機能を使用して、Macのセットアップを行う
- 自動化された部分について、セットアップ中にどのように反映されるか紹介する
- 自動化されることによって、どの程度の手順が簡素化されるか紹介する
では、さっそくセットアップ手順をご紹介していきます。
【ご注意ください】
このシリーズでは以下の条件を満たしAzureを既に利用できていることが前提になっています。
- Office365などでAzureでライセンス管理が利用可能であること
- AzureADにユーザー、グループ情報があること(AzureAD Connector連携含む)
- Azureのグローバル管理者アカウントの権限を持っていること
- セットアップするWindowsPC、およびMacがすでにIntune登録情報に登録されていること
- セットアップ中の各自動化された手順に関しては、予め構成プロファイルやスクリプトが登録済みであること
PCのセットアップ手順
セットアップを始める前の事前準備として、くらめその情シス:AzureADとIntuneを使ってPC管理を効率化してみたの各記事を参考に、必要な情報がIntuneに登録されていることを、確認する必要があります。
MacのIntune登録については、以下記事を参照してください。
くらめその情シス:MacをIntuneに登録する(Automated Device Enrollmentの設定)
確認ができたら、実際にPCの電源をONにする前に今一度、設定内容の確認を行ってから始めましょう。
PCのセットアップ手順(Windows編)
電源を入れる前にシリアルナンバー等の登録確認をしましょう
Microsoft Endpoint Manager admin centerにアクセスします。
「Windows AutoPilot Deployment プログラム」の「デバイス」を開きます。
今回、セットアップするPCのシリアルナンバーをクリックして、詳細情報を確認しましょう。
一覧にリストアップされていて、詳細情報内のユーザーおよび、ユーザーフレンドリ名、デバイス名、グループタグが正しく設定されていることを確認してください。 特にグループタグが正しくないと、AzureADとIntuneへの登録後にセットアップされる構成プロファイルやスクリプト、アプリケーションのインストールが正しく割り当てられない可能性がありますので、しっかり確認してください。
いよいよ、電源投入!
Intune側の設定が正しいことが確認できましたら、いよいよ電源を投入しましょう。
通常通り、起動画面から、言語設定、使用地域(国)の設定画面と進み、キーボードの設定を行ってください。
次に、Wi-Fiの設定画面で、接続するWi-Fi接続ポイントに接続して、「次へ」を押してください。
「〇〇さん、こんにちは。XXXXXXへようこそ」画面が表示されます。これは通常の初期インストールでは表示されない画面です。
この表示が出るということは、正しくAutoPilotが起動してOOBE(Out of Box Experience)が動作したことが確認できます。
もし、この画面が出ない場合は、もう一度Intuneの設定を確認して、PCは強制終了後、再度電源オンからやり直して下さい。
「〇〇さん」の部分は、Intuneでそのデバイスに割り当てた、ユーザー名、「XXXXXX」の部分はIntuneのディレクトリ名(通常は会社名または組織名など)となっています。
このユーザーのパスワードを入力してください。
次に、実際にAzureADへの登録、デバイス名、各種プロファイルの設定やアプリケーションのインストールなどが行われる画面が出ます。
この処理には、15分〜60分程度かかる場合があります。
ネットワークの状況等にもよりますが、失敗するケースもあります。特にアプリケーションのインストールではPCにプリインストールのソフトウェアが入っている場合に多く発生するようです。(セキュリティソフト等がバッティングするなど)
その場合は、タイムアウト(デフォルト60分)まで、待つ必要がありますので、気長に待ってください。
「失敗しました」というメッセージが出た場合は、左下の「続行」を押して、進めてください。
アプリケーションのインストールは再実行されるようになっていますので、デスクトップが出ましたら、そのタイミングでバッティングしていると思われるソフトウェアをアンインストールすれば、再実行時にインストールが行われます。
再実行のタイミングはデフォルトで15分ごとに行われるようになっていますので、バックグラウンドでインストールが行われるのを待ってください。
一連の、インストールが終わると顔認証の設定画面が表示されます。
スキップして、後から設定することも可能です。
次に、Microsoftアカウントによる2要素認証の設定画面が表示されます。
SMSもしくは、電話による認証コードを受信できる電話番号を入力して、Microsoftアカウントの認証情報設定が必須となっています。
このタイミングで、AzureADのライセンス確認と登録ユーザーの確認を行っています。
これらの認証設定が終われば、デスクトップが表示されます。
ここで、このPCを使用するユーザーの登録を、PCの設定画面(「アカウント」→「他のユーザー」→「職場または学校のユーザーを追加」)から行う必要がありますので、実施してください。
これで、WindowsPCのIntune(AutoPilot)を使用したセットアップが完了です。
PCのセットアップ手順(Mac編)
電源を入れる前にシリアルナンバー等の登録確認をしましょう
WindowsPCと同様に、Macも電源投入前にIntune側の設定を確認しましょう。
Microsoft Endpoint Manager admin centerにアクセスします。
「デバイス」→「デバイスの登録」→「Apple登録」から、「Enrollment Program トークン」を開きます。
対象のトークンを選択して、「デバイス」を選択します。
行をクリックすると、詳細が表示されます。
デバイスの一覧に対象Macのシリアルナンバーがあることと、割り当てられたプロファイル名および、割り当てられた日時を確認します。
いよいよ、電源投入!
Intune側の設定が正しいことが確認できましたら、いよいよ電源を投入しましょう。
通常通り、起動画面から、言語設定、キーボードの設定、使用地域(国)の設定画面と進んでください。
その後、以下の画面が出れば、Automated Device Enrollment(ADE)による、プロファイル適用が開始されたことが確認できます。
もし、この画面が出ない場合は、Intune側の設定確認と、Macの強制終了と再起動、もしくはリカバリーによるOSの再インストールを行ってください。
「続ける」をクリックしたあとは、初期プロファイルで「表示」を選んだ項目以外は、表示されずに初期インストールが進みます。
デスクトップが表示された後、各種アプリケーションのインストールや、プロファイルの設定がダウンロードされて、インストールされます。
システム設定に「プロファイル」というアイコンが追加されています。この中に、Intuneで定義した構成プロファイルや各種ポリシー等の情報が格納されています。
以上で、MacのIntune(ADE)を使用した初期セットアップは完了です。
Macのユーザー管理について(補足情報)
Macへのログインユーザーの管理は、現時点でIntuneだけでは実現することが難しいです。
方法は、いくつかありますが現時点で有力な候補となるソリューションとしては、「jamf/PRO & jamf Connect」を使用する方法があります。
jamf関連についても、今後各種情報を公開していく予定です。
このサービスを使用することで、Macのログイン認証をjamf Connectを経由してAzureADにて行うことが可能になります。
ログインも、ローカルログインではなく、WindowsPCと同様に、AzureADでのログイン画面にて行うことができるようになるため、MacをWindowsPCと同様にデバイスとユーザーを紐づけて管理できるというメリットがあります。
さいごに
WindowsPC、Macの初期インストールがどう変わるのかについて、少しでもイメージしていただけましたでしょうか。
実際に、弊社でも使用を開始してPCのキッティングの省力化はかなり進みましたし、知識・知見を持たないスタッフでもキッティング業務を行えそうなところまできています。
将来的には、購入したPCやMacを未開封のまま、ユーザーに送ってノータッチで初期設定ができるのが理想であり目標です。
これからも、AzureAD&Intuneに関する情報をどんどん公開していきますので、ご期待ください。
AzureAD&Intuneに関するまとめ記事
AzureAD&Intuneに関して、以下リンクから参照できます。
3
