くらめその情シス:WindowsでAutoPilotデバイス情報登録の運用をやめたおはなし

2021.05.27

どうも、情シスやってますアノテーションの徳道です。

弊社でWindowsのMDM管理を始めてはや半年以上たちました。

情シス側の運用は順調なのですが、Windowsにおいては自動セットアップ時にAutoPilotデバイス情報の登録をする作業が若干手間であったり忘れやすい部分だったりします。

ここをどうにかもっと簡略化できないかなぁ、と思っていたので、思い切ってAutoPilotデバイス情報の運用をやめちゃいました。

事前のデバイス登録が煩雑&リアルタイムじゃない

AutoPilotデバイス情報を使った自動セットアップはIntuneの構築時のブログでご紹介している通りです。

くらめその情シス:WindowsPCをIntuneに登録する(AutoPilotの設定)

この運用上の課題は以下でした。

  • 新規調達のPCの場合、ベンダーからAutoPilotデバイス情報を入手する必要がある
  • 既存のPCはPowerShellで取得する必要がある
  • ユーザーをIntune側であらかじめ指定しておく必要がある
  • AutoPilotデバイス情報で登録したデバイスをリカバリーするときは一旦AutoPilotデバイス情報も消して再登録しないといけない

管理者側の作業がけっこう煩雑になるのです。

新規調達時にベンダーからいただくAutoPilotデバイス情報は当然、PC本体との納品とはタイムラグがあります。

AutoPilotデバイス情報の登録とユーザーの割り当ては別のタイミングで作業できるものの、ついつい漏れてしまいがち。

加えて、管理対象のPCが増えてくるとAutoPilotデバイス情報ファイル自体も管理せねばならずで、あまり運用の負荷が下がった感がありませんでした。

そんなある時、仮想マシン用にWindowsのセットアップをイチからやるとOSセットアップ中に「個人用に設定」「組織用に設定」が出てくることを思い出しました。

あれ、これもしかしたら会社のメールアドレス指定したらイケんじゃね…?

試してみたところ、EMS E3のライセンスを割り当て済みの会社のメールアドレスを指定して進めたところ、見事Intuneに登録されていました。

Windows10を「組織用に設定」でセットアップ

Window10のセットアップのポイント

「PCをネットワークに接続した状態(ここ大事)」でWindows10をセットアップしていくと、途中で以下の表示が出ます。

確認したバージョンでは、Windows10Professional 1709ではすでにこの表示が出るようになっていたようです。

Intuneの構成プロファイルが正しく動作するには現在MicrosoftでサポートされているWindows10のインストールイメージを使うほうが良いでしょう。

現在サポートされているOSのバージョン確認はこちらをご覧ください。

【公式】Windows10のライフサイクル

「組織用に設定」を選択するとメールアドレスの入力画面になります。

EMS E3などAzurAD Premium P1以上、Intuneのライセンスを割り当て済みの会社メールアドレスを指定します。

これだけで、ライセンスが割り当てられていれば「組織用にデバイスを設定しています・・・」となり、IntuneとAzureADにデバイスが追加されます!

ここからはIntuneの構成プロファイル、コンプライアンスポリシー通りに自動設定されますので、AutoPilotによるセットアップと同等のゼロタッチデプロイです。

【注意】Intuneのライセンスが割り当てられていないアカウントを指定すると、AzureADに参加されるだけでIntuneには登録されず、構成プロファイル、コンプライアンスポリシーも適用されません。

Intuneからコンピューター名を変更

AutoPilotデバイス情報を用いずにセットアップされたPCのコンピューター名はWindows10のデフォルトになっています。

これはIntuneの Microsoft Endpoint admin center でリモート変更が可能です。

「デバイス」→ 「Windows」で対象のPCを選択、プロパティを開きます。

「名前の変更」をクリックします。

デバイス名を任意のコンピューター名に設定します。

「名前を変更したら再起動する」を「はい」にすると、設定が反映されるとユーザーの同意なしにPCが強制再起動されるので、利用者に事前に連絡をしておくなど注意が必要ですね。

設定がされるとPCにコンピューター名の変更指示が届くまで「保留」となります。

デバイスの概要でステータスを確認できます。ここが「完了」になればOKですし、失敗になった場合(通信エラーやタイムアウトした場合)はリトライすることができます。

運用の変化点

この手順で設定することで、情シス管理者側とユーザー側で運用が以下のように変わります。

情シス担当者側

  • AutoPilotデバイス情報の事前登録
  • ユーザー・デバイスグループの割り当て
  • コンピューター名の設定

  • 後からIntuneでコンピューター名を手動設定

ユーザー側

  • 電源を入れ、WiFiに接続してセットアップ(基本的に選択肢はなし)

  • 「組織用に設定」を選択
  • 自分のメールアドレスとパスワードを入力

今まではユーザーをデバイスにアサインする、という作業を情シス管理者側で一元的に行っていたものを各ユーザーに自身のメールアドレスを入れてもらうことで負荷分散をしている形です。

ユーザーとしては若干の手間が増えていますが、メールアドレスは基本的に社員一人に1つしか付与されませんし、パスワードも通常PCにログインするためのものであるため、あまり負担感は無いと思います。

情シス側は大きなメリットとしてAutoPilotデバイス情報の登録、ユーザーアサインという煩わしい作業から解放されるだけでなく、

  • ベンダーからのAutoPilotデバイス情報の提供を待たずにユーザーにPCをデプロイできる
  • ユーザーのアサインミスをなくせる
  • デバイス削除時のオペレーションが簡略化される

というメリットがとにかく大きいです。

コンピューター名を後から変更するという作業は非同期で定期的にチェックしておけばよいですし、そもそもコンピューター名を管理していない組織では不要な作業ですね。

かくして、弊社では煩わしいAutoPilotデバイス情報の管理を完全に廃止することにしました。

これで実際の運用上、不都合はでていません。

「ユーザーには一切の選択をさせずに完全に管理側の制御化に置きたい」という要件がない限り、こちらの方法で利用するほうが確実に運用は楽です。

さいごに

WindowsをIntuneに自動登録する方法について当初AutoPilotが必須だと思っていましたが、実はちゃんとこうした方法が利用できることが分かり運用が楽になりました。

こうした機能はバージョンアップの積み重ねの結果実装されてきたものであり、あまりバージョンアップの目玉として書かれることも少なかったと思います。

公式マニュアルはボリュームが膨大で、こういうこともできるよ、という別のルートを見つけることも難しいです。

今後も効率的な運用のためのTips、経験をお伝えしていきます。

 

アノテーション株式会社について

アノテーション株式会社は、クラスメソッド社のグループ企業として「オペレーション・エクセレンス」を担える企業を目指してチャレンジを続けています。 「らしく働く、らしく生きる」のスローガンを掲げ、様々な背景をもつ多様なメンバーが自由度の高い働き方を通してお客様へサービスを提供し続けてきました。 現在当社では一緒に会社を盛り上げていただけるメンバーを募集中です。少しでもご興味あれば、アノテーション株式会社WEBサイト をご覧ください。