Hybrid Azure AD Joined環境ではIntune側の設定が必要ですが、当然オンプレミス環境の構成も必要になります。基本的な設定はMicrosoft Endpoint Managerから実施します。カスタムドメインを利用することが一般的かと思いますので、その際にはAzureADもしくはMicrosoft365管理センターからも設定可能です。本記事ではAutopilotを実施するために必要なIntuneの設定ついて記載します。
Microsoft Azure Portal
基本的にはMEMで設定を行いますが、1か所ほどAzurePortal側で設定します。設定箇所は会社のブランディングです。本対応によりAutopilot画面で自社のロゴを表示させることが可能になります。本ブログでは割愛します。がDocsは以下の通りです。
組織のサインイン ページにブランドを追加する – Azure AD | Microsoft Docs
Microsoft Endpoint Manager
MEM(Intune)での設定は大きく以下になりますが、ここではAutopilotを実行するために必要な環境構築について記載します。大きく3つの対応が必要になります。
1.Autopilotデバイスグループの作成
2.Windows登録の設定
3.構成プロファイルの設定
1.Autopilotデバイスグループの作成
Autopilotの対象を定義するためのグループ作成の手順を以下に記載します。手動で対象端末を定義することも可能ですが、端末数が多くなると現実的ではないため、動的グループを利用します。手順については、以下の通りです。
Windows Autopilot のデバイス グループを作成する – Microsoft Intune – Microsoft Intune | Microsoft Docs
注意点として、Azureに明るくない私は動的クエリの登録に苦戦しましたが、クエリ条件は以下Docsに記載されているもので問題ありません。Docsの罠にはまりました。。
動的に設定されるグループ メンバーシップのルール – Azure AD | Microsoft Docs
正:(device.devicePhysicalIDs -any _ -contains “[ZTDId]”)
何が言いたいかというと、Autopilotの関連ページにある以下のクエリを記載すると保存できません。
Windows Autopilot のデバイス グループを作成する – Microsoft Intune – Microsoft Intune | Microsoft Docs
誤:(device.devicePhysicalIDs -any (_ -contains “[ZTDId]”))
また、誤った情報が記載されているページにはOrder IDを記載することによりデバイスグループを分けることができると記載されていますが、こちらも現在(2022/4月時点)はGroup Tagに変更されています。後述する4KHHのcsvではOrder IDでもGroup Tagでも読み込まれますが、どちらで記載した場合もGroup Tagとして読み込まれます。Docsは混乱を招く記載になってますのでご注意ください。
なお、csvに記載可能なエントリについては以下Docsの通りです。
デバイスを Windows Autopilot に手動で登録する | Microsoft Docs
2.Windows登録の設定
2-1.「自動登録」を設定します。自動登録はAutopilot対象とするユーザーグループを定義するためのものです。設定方法は以下Docsの通りです。
Hybrid Azure AD 参加済みデバイスの登録 – Windows Autopilot | Microsoft Docs
2-2.「Windows Hello for Business」は割愛しますが、必要に応じて設定ください。なお利用する場合には、オンプレ側で追加設定が必要になります(ADCSは対応が必要な理解)。
2-3.「CNAME検証」も割愛しますが、レジストラでレコード追加の対応が完了していれば、こちらからCNAMEが引けることを確認可能です。こちらは別途カスタムドメインの追加記事と併せて記載予定です。
2-4.「登録ステータスページ」はEnrollment Status Page(以降ESP)と呼ばれ、Autopilot中に表示される青い画面を設定する項目です。設定方法は以下Docsを記載します。
Hybrid Azure AD 参加済みデバイスの登録 – Windows Autopilot | Microsoft Docs
2-5.「デプロイプロファイル」の設定についてDocsを記載します。基本的にDocs通りで問題ありません。
自動パイロット プロファイルの構成 | Microsoft Docs
Hybrid Azure AD 参加済みデバイスの登録 – Windows Autopilot | Microsoft Docs
2-6.「デバイス」は4KHHを登録するページで、口述するため割愛します。
2-7.「Aztive Directory のIntuneコネクタ」も既にオンプレミス環境構築で説明済みのため割愛します。
3.構成プロファイルの設定
Hybrid Azure AD Joined環境で構成プロファイルはマストです。オンプレドメインに参加するためにオンプレADで作成したOUを指定する必要があります。手順はDocsを記載します。
Hybrid Azure AD 参加済みデバイスの登録 – Windows Autopilot | Microsoft Docs
ちなみに参加するOUが階層になっている場合、記載方法は以下です。
OU=参加するOU,上位層のOU,上位層のOUを一番上位層まで記載,DC=contoso,DC=com
また、構成プロファイルではAutopilotするPCのホスト名に付ける名前を指定できます。ただし、Hybrid環境では利用できる変数が無くプレフィックスしか指定できないため、希望のコンピューター名がある場合には、Autopilot中あるいは後にコンピュータ名を変更する処理が必要になりますので、少し面倒になります。がスクリプトを公開している人がいました。
https://github.com/mtniehaus/RenameComputer
これでAutopilotを流すための基盤はほぼ完成します。あとは次の記事の4kHHの登録を実施すればユーザードリブン方式でAutopilotが流れるようになります。次回の更新も1週間後(5/2)を予定しています。
ピンバック: Windows Autoilotについて | しがないblog