くらめその情シス：WindowsPCをIntuneに登録する（AutoPilotの設定）

はじめに

Intuneを使用すると、WindowsPCを起動した時に自動的に会社で指定したポリシーの適用や設定をすることが可能になります。 ポリシー設定外にも、アプリをインストールしたり色々なことが、自動で行えるという、情シス担当者にとってとても便利なツールです。 Intuneは、WindowsPCだけではなく、MacやiOS、Androidデバイスにも対応していますが、今回は、WindowsPCをIntuneに登録する手順をお伝えしたいと思います。

【この記事の目的】

• 管理サーバからリモートでデバイスを初期化ができる
• 各種ソフトウェアの配信
• 社外やリモートワーク中のPCでも、インターネットに接続されていれば上記を実施可能
• さらに、Microsoft AzureADと組み合わせれば、各種アプリケーションの起動の権限制御や複雑なポリシー設定もできる

【ご注意ください】
このシリーズでは以下の条件を満たし、Azureを既に利用できていることが前提になっています。

• Office365などでAzureでライセンス管理が利用可能であること
• AzureADにユーザー、グループ情報があること（AzureAD Connector連携含む）
• Azureのグローバル管理者アカウントの権限を持っていること

Intuneに登録するための準備

Intuneに登録するためには、WindowsPCを購入したベンダーに依頼して、「AutoPilot展開プロファイル」というIntuneに登録するための情報を入手する必要があります。 なお、この情報は提供していただけるPCのメーカーやベンダーによって、対応可能な場合とそうでない場合がありますので、予め自社でPCを購入しているベンダーに確認が必要です。 もし、提供いただけない場合でも情シス担当にて購入したPCから「AutoPilot展開プロファイル」を抽出することが可能ですので、試しに使ってみたい場合などはこちらの方法で登録することが可能です。（こちらは、Tipsとして別途投稿予定です。） なお、ベンダーから入手した「AutoPilot展開プロファイル」は、Intuneにインポートできるフォーマットになっているかは事前に確認してください。 ファイルはCSV（カンマ区切り）形式で、以下の内容になっている必要があります。

Device Serial Number,Windows Product ID,Hardware Hash

起動時の初期インストール設定用プロファイルを作成

インポートする「AutoPilot展開プロファイル」データの準備ができたら、Microsoft Endpoint Manager admin centerにアクセスします。 次の様に進んで、「デバイスの登録/Windows登録」を開きます。

「Windows AutoPilot Deployment プログラム」のカテゴリーの、「デプロイプロファイル」を開いて「Windows AutoPilot Deployment プロファイル」のウィンドウに進みます。

ここで、AutoPilotによってIntuneに登録された時に最初に適用するプロファイルを作成して登録します。
このプロファイルには、OOBE（out-Of-Box Experience）という初期インストールの動作を指定することができます。

一番下の組み込まれたグループにある「All_AutoPilot_Group」というグループのPCを対象に、このプロファイルが適用されるという設定にします。

いよいよ、IntuneにPCの「AutoPilot展開プロファイル」をインポートして登録

ここまでの事前準備は、最初に作成しておけば、これ移行はほぼ触ることはありません。
次に、いよいよIntuneにPCの情報を登録していきますが、IntuneはあくまでSaaSのクラウドサービスですので、設定が即時に反映されない場合もあります。 ゆっくり、設定が反映されたか確認しながら進めてください。
「Windows AutoPilot Deployment プログラム」のカテゴリーの、「デバイス」を開いて「Windows AutoPilot デバイス」のウィンドウに進みます。

「↑インポート」をクリックして、「Windows AutoPilot デバイス...」ポップアップを表示します。

ここに、ベンダーまたは、PCから抽出した「AutoPilot展開プロファイル」のCSVファイルを指定して、インポートボタンを押すと、しばらくして、デバイス一覧にシリアルナンバーが表示されます。
（インポートには、最大15分程度かかる場合があります。）

AutoPilotでデバイスが登録される初期情報の設定

AutoPilotで登録される時に、ユーザーの割り当てと、デバイス名（コンピュータ名）、追加するグループタグを指定します。
ユーザーの割り当てとは、そのPCを起動してAutoPilotによってIntuneに登録できるユーザーを指します。
このユーザーは、別途「デバイス登録マネージャー」という設定で、予め登録しておく必要があります。
また、この時指定するグループタグの情報で先ほど作成したデプロイプロファイルが適用されますので、ここは重要なポイントです。

ここで、デバイス名（コンピュータ名）と、グループタグ（初期インストールを行うグループ名）を設定します。
設定には、時間がかかる場合があるので、設定が反映されるか確認してください。

上記の設定が反映されたことを確認して、WindowsPCを起動します。

WindowsPCの起動

通常、初めてWindowsPCを起動すると、各種初期設定（言語、キーボード、Wi-Fi等）の設定の後、ライセンス許諾の画面や各種機能の有効化等の設定画面が出ますが、AutoPilotのOOBEでは、その設定をスキップする設定も可能となっています。

その後、登録者のログイン画面が表示され、登録者のパスワード、2要素認証での認証が行われ、最後にPINの設定を行えば、セットアップが完了です。 Intuneの設定によっては、アプリのインストールやPCの構成情報のプロファイルによって、設定が裏で走ります。

さいごに

Windowsアップデートのインストールに関する制限や、インストールサイクルも設定できたりと、Intuneでできることはまだまだ沢山ありますので、今後、順次公開していきます。 最終的には、未開封の状態でユーザーにPCを送って、ユーザーが電源を入れたタイミングで、全ての設定が自動的に行われる仕組みを構成できるでしょう。 引き続き、Intuneでの細かい設定方法やTipsを公開していきます。