くらめその情シス:社内WindowsPCをすべてAzureADに移行したおはなし

2021.02.10

はじめに

どうも、情シスやってますアノテーションの徳道です。

2020年内はAzureADとIntuneに関する記事を書いてきました。

これをもとに全社のWindowsPCをActiveDirectory/ローカルログインからAzureAD+Intuneの環境に移行しました。

今回は技術的な観点よりも、運用的な観点で注意、工夫したことを社内事例として紹介させていただきます。

どうやって着地させようか

移行にあたり、一番最初に考えたことはユーザーへのインパクトがどれくらいあるかでした。

Windowsの管理者をやったことがある方ならピンとくると思いますが、参加させるドメインを変更するとWindowsのユーザープロファイルを作り直さないといけません。

つまり、仕事をしている環境を一旦ガラガラポンして作り直さないといけないわけです。本来なら、影響を最小限にするためにHybrid AzureADも検討するところかと思います。

しかし、Hybrid AzureADはあくまで社内ネットワークに参加したままでAzureADの利点を利用するという考えに基づくもの、という認識。いつオフィスに出社できるかわからない、または地方在住でそもそもオフィスに出社することがない、ということであれば、ActiveDirectoryに参加させたまま、ということ自体に不都合が生じてしまいます。

そのため、今回は思い切ってハードランディングを選択し、ユーザーには最大限のサポートをしつつ、AzureADの環境へ新規プロファイルで移行してもらうことに決めました。

移行時は苦労もありますが以下のメリットのほうを採ることにしました。

  • 最もシンプルな構成にできる
  • ユーザープロファイルのリフレッシュで動作が安定する
  • ネットワークやDNSなどオンプレミスの制約がなくなる

重要なのはユーザー向けの手順とサポート

何しろユーザーの利用している環境を作り直すという大きなデメリットを強いるわけです。情シスとしては考えられる限りのサポートを尽くさねばなりません。

    • 新しい環境に切り替わったら何が失われるのか?
    • 新しい環境で最初に何が必要なのか?
    • ユーザーの自己完結でどこまでできるのか?
    • PCに詳しくない人でも問題なく移行できるか?

・・・を考えられる限り盛り込んでいきます。

まず最初に取り掛かったのはユーザー向けの手順書の作成です。大きく3部構成をとり、作業の流れに沿って、1つの手順で完結できるようにします。

  1. 現在の環境の保存・バックアップ
  2. AzureADへの移行
  3. バックアップした環境のリストア

また、ウチのボスが言うことには「ユーザーは手順や説明を見ないから」…ということで、

「大事なこと」はコレで書くようにしました。

  • とにかく目立つようにする
  • 初めのほうに書く
  • 繰り返し書く

1.現在の環境の保存・バックアップ

まずは現在使っているユーザープロファイルの固有情報をバックアップしておくことです。

今回社内で行った4つのポイントを紹介します。

  • Chromeブラウザの同期
  • パスワード管理ツールの初期情報の保存
  • ユーザープロファイルのデータバックアップ
  • アプリ個別設定の保存・メモ

Chromeブラウザの同期

社内では標準ブラウザにGoogle Chromeブラウザ(以下、本文内Chrome)を指定しています。また基幹システムにG Suiteを採用していること、多くの基幹システムがSaaSやクラウドベースのシステムになっています。

ほとんどの業務をChrome上で完結している環境のため、ブックマークやパスワード管理はChromeのプロファイルで同期してもらうことにしました。このあたりの手順を手厚く書いています。

パスワード管理ツールの初期情報の保存

弊社では社内のパスワード管理ツールとして1Password Teamsを利用しています。このブラウザプラグインもChromeに同期するのですが、新しいユーザープロファイルではEmergency Kitに記載されているシークレットキーが必要になります。

このバックアップも確実にしてもらっておきました。

このように環境が変わることで必須となるアカウント情報はあらかじめ作業前に保存してもらうようにします。もちろん、保存場所はリカバリー時に取り出せる場所にしておきます。

ログインに必要な情報が、ログインしないと参照できない場所に保管されているという状況は回避しましょう。。。

大事なことは赤字にするか、3度書くことでユーザーの目に留まりやすいようにします。

ユーザープロファイルのデータバックアップ

Windowsのローカルディスク上にあるUsersフォルダ内のデータはいったんクラウドストレージやローカルディスク内の別のフォルダにコピーしてもらいます。Windowsユーザーの大半は用意されているドキュメントフォルダをデータ置き場に使っていることが多いので。

以下のフォルダを指定しておけばほぼ困ることはないでしょう。

  • ダウンロード
  • デスクトップ
  • ドキュメント
  • ピクチャ
  • ビデオ
  • ミュージック

システムドライブ以外のパーティションを区切っていたり、ユーザーが自分で管理しているフォルダはあまり気にしなくてもよいと思います。

アプリ個別設定の保存・メモ

さて、ここはちょっと悩みました。。。社内の基幹システムならともかく、個別にインストールしているアプリやカスタマイズしている設定まで手順化することはできません。

そのため、以下の文章でユーザーに必要な設定を記録しておくように、注意を促すことにとどめました。Windowsの場合はほとんどがGUIなので、設定画面のキャプチャを保管しておいてもらうことが割と有効だったりします。

2.AzureADへの移行

いよいよ移行作業の本番手順です。作業の流れとしては以下の通りです。

  • 一度ActiveDirectoryからWORKGROUPに抜ける
  • ローカル管理者アカウントでログイン
  • AzureAD参加(Intuneによる環境設定)
  • WindowsHelloのPINコード設定

出来るだけ画面キャプチャを多用し、クリックすべき場所や設定に注釈をつけるなどの工夫をしています。この部分は社内Wikiなどを参照することができないため、PDF化した手順をチャットで参照できるように張り付けてピン止めしておくなど、ユーザーが作業中に手順を見られないことにならないように配慮しています。

連絡手段、SMS認証可否、ログインパスワードの確認

最初に気を付けるべきはActiveDirectoryからWORKGROUPに抜ける前に以下を確認してもらうことです。

  • ローカルアカウントでログインできることを確認しておくこと
  • 万が一マシンにログインできなくなった際の連絡手段を確保しておくこと

そのため、ローカルアカウントでのログイン成功→その状態でActiveDirectoryからWORKGROUPに参加する、という流れをとりました。

またWindowsHelloでSMS認証が必要になることもあらかじめ書いておきます。

ここはとても重要なところなので、移行作業の一番最初に赤字・太字で注意を書いておきます。

ローカルアカウントのログイン確認

ここでローカルアカウントにログインできない状態でWORKGROUPに抜けちゃだめですよ!という念押しをしてきます。

ちょっとくどいですが、リモートワークでの環境移行はこれくらいでちょうどいいものです。

ActiveDirectoryドメインからWORKGROUPに参加

実際のWindowsの操作では、特にバックオフィス系の方が操作に迷わないように操作すべき場所をできるだけ図示するようにしました。

ついつい言葉だけで説明しがちではあるのですが百聞は一見に如かず…の精神で図を多用していきます。

AzureADに参加

ここもいくつか事前確認をしておきます。テストランをしたと気に意外に多かったのが、インターネット接続をせずにAzureへ参加しようとしてエラーになってしまうパターン。

きっちりと最初に「WiFiに接続していること」を確認してもらいます。

リモートワークでは、作業者の環境を見ることが簡単にできないので、作業の妨げになる注意事項はどんな細かいことでも書いておくようにしましょう。

【分かりにくいところ、間違えやすいところは特に重点的に説明を入れる】

AzureAD+Intuneに参加する場合、操作者がよく間違うポイントがあります。

「職場または学校アカウントのセットアップ」でいきなりメールアドレスを入れてAzureにだけ参加してしまうパターンですね。

ここはきっちり危険なところを「✖」して強めにフォローしておくようにします。

↓こんな塩梅です。

【時間がかかるところはおおよその目安を書く】

Intuneに参加するとポリシーの設定やアプリケーションのインストールを行う「デバイスを職場用にセットアップしています」画面がでます。

ここは結構時間にばらつきがあり、「長くかかってるけどちゃんと動いてるのかな…」と不安になるものです。

そのような場合はおおよそ目安の時間を書いておくといいと思います。それだけでユーザーの安心感はちがいます。

【予想されるエラーハンドリングは盛り込んでおく】

Intuneの導入試験ではどうしても導入時のセットアップにばらつきが生じます。

ましてや自宅でのリモートワークではネットワークの環境などで失敗になったりエラーになったりすることもあるでしょう。

MDMは非同期型の仕組みであるため、すべての設定が成功しなくとも後からフォローができることを覚えておくといいでしょう。

まずはユーザーがPCを利用できるように先に進める、ということを優先すべきです。

ある程度パターン化されている不具合や、自動リトライされることが分かっている機能はエラーハンドリングの操作もあらかじめ用意しておくとユーザーはスピーディーに進めることができます。

また、ヘルプするほうとしても無用な問い合わせを減らすことになります。

WindowsHelloのPINコード設定

WindowsHelloによるPINコードの設定はスマートフォンによるSMS認証が必須になるので、こちらも画面写真を使って丁寧に説明を書いていきます。

【条件があることは明示的に書く】

例えばPINコード。社内でPCログインのPINコードやパスワードに制限を設けている場合もありますよね。

それは承知徹底していたとしても全社員が常時意識しているとは限りません。ここもきっちり明記しておきます。

3.バックアップ情報の回復

無事にAzureAD+Intuneへのジョインが済んだらバックアップしたデータの戻し作業をやってもらいましょう。

  • 1Password Teamsへログイン
  • Google Chromeの再同期
  • データフォルダの復元
  • アプリケーションの個人設定復元

を順に記載していきます。

弊社の場合、ほとんどの社内システムがSaaSなのでこの辺りは幾分ラクチンかもしれません。。。

とはいえ、まっさらの環境では各システムのURLすらわかりませんから、1Passwordやメールなど一番最初にログインすべきものはURLリンクを手順に記載しておくようにします。

Chromeの同期設定についてはまぁGoogleの手順のリンクでもいいのですが、ここくらいは標準作業ということで丁寧に書いておきます。

基幹アプリでデータの戻し先の指定がある場合はそうした指定を明示しておくとよいでしょう。

そして最後にはここで終わりです、ということと作業者へのねぎらいの言葉は入れておきましょう。。。(だいじ)

おわりに

いかがでしたか?(久しぶりにこのフレーズ使いました。)

今回はAzureAD+Intuneの移行手順をお題に、情シスとしてユーザーに複雑な作業をやってもらう際に注意したことを紹介しました。

結果として、160人程度の移行で質問が来てフォローをしたのは60人程度でした(なお、フォローは2名で担当してます)。

完全にフォローレスにはならなかったものの、リモートで移行を完遂できなかった人はいなかったことから一定の効果はあったかな、と思っています。

もちろん、移行開始後にユーザーからわかりにくい、などの指摘があった部分は随時修正を加えていくことで質問が減っていったことは付け加えておきます。

大型の移行作業を短時間に実施することはたやすいことではないです。

手順作成とフォローの準備に時間をかけておくことは大事だな、と改めて認識した次第。

移行作業をユーザーにやってもらおう!と思っている情シス各位の一助になれば幸いです。

最後に移行手順書だけで移行に協力していただいたユーザー、ブラッシュアップに協力していただいたアノテーションのテストランメンバーに謝辞を述べさせていただきます。