2.Windows Autopilotに必要なオンプレミス環境の構築

投稿日: 18/04/2022 作成者: Siganai

Hybrid Azure AD Joined環境では当然ながらオンプレミス側のサーバを構築/設定する必要があります。本環境では必要最低限の構成として、オンプレミスADのほか、Azure AD ConnectorサーバやIntune Connectorサーバが必要になります。Certificate Connectorサーバを必要とするケースも考えられますが、必要最低限の構成を記載しております。MECMとIntuneの共同管理構については割愛していますが、要望あれば記載します。

オンプレミスActive Directory

Hybrid Azure AD Joined環境になりますので、オンプレミス環境のADを構築する必要があります。基本的にHybrid環境を選択する場合には、既存のADがあるかと思いますので新しくADを構築する必要はありませんが、Aotupilotで参加するOUを構成/検討する必要があります。
Autopilotで参加するOUを特に決めていない場合は既定でComputersのOUに参加することになります。また、既存環境では適用されているGPOも関係しますので、Autopilotで参加させるOUは慎重にご検討ください。

なお、Hybrid Azure AD Joined環境にするためには、以下のGPOをAutopilot端末が参加するOUに適用する必要があります。

グループポリシーはコンピューターの構成>ポリシー>管理用テンプレート>Windowsコンポーネント>デバイスの登録>ドメインに参加しているコンピューターをデバイスとして登録する

また、ADサーバでAutopilot端末を参加させるOUに対してIntuneConnectorへ権限委任を設定する必要があります。手順は以下Docsを参考にしてください。
Hybrid Azure AD 参加済みデバイスの登録 – Windows Autopilot | Microsoft Docs

Azure AD Connectorサーバ

Azure AD ConnectorはAzure Portalからダウンロードすることが可能で、exe形式のファイルをサーバにインストールすることで構成可能です。


構成する種類としては、パスワードハッシュ同期やパススルーを利用したフェデレーション方式の選択やSSOの有効か、デバイスライトバックやパスワードハッシュ同期などの設定が可能です。Hybrid Azure AD Joined環境を構成するために当環境ではマネージ認証になるパスワードハッシュ同期を選択します。
ADFSを利用したフェデレーション方式でもHybrid Azure AD Joind環境を構成することは可能ですが、ここでは当該環境の用意が煩雑なため割愛します。

上記の通りexeをインストール後、セットアップウィザードに従って設定するのですが、注意点としては、Autopilot端末を参加させるOUは同期対象に含める必要がある点についてはご注意ください。
同期されていない場合には、Autopilot完了後、Azure上にコンピューターオブジェクトのデバイスが存在しないエラーが表示されます。確認方法は別記事にて記載します。

また、セットアップウィザードのデバイスの構成からHybrid環境を構成するを選択し、SCP設定をして下さい。

そのほかの小ネタになりますが、AzureAD Connectorは規定で30分間隔の同期を実行しております。設定で30分以内に同期させることはできませんが、コマンド実行により差分同期などを実行することは可能です。つまりタスクスケジューラーなどに同期batを構成すれば30分未満で同期させることも実現可能です。これはAzurePrimaryRefreshTokenの取得と関係し、割と要望があるものかと思います。各自の責任にはなりますが、必要であればご検討ください。

また、以下は同期コマンドと同期状況の確認コマンドになります。なお、Azure AD Connectorのセットアップウィザードを起動していると、同期処理が停止するため、作業後は速やかにウィザードを終了ください。

完全同期:Start-ADSyncSyncCycle -PolicyType Initial
差分同期:Start-ADSyncSyncCycle -PolicyType Delta
同期確認:Get-ADSyncConnectorRunStatus
同期サイクル確認:Get-ADSyncScheduler

そのほか、Azure Portalからも最終同期については確認が可能です。

Intune Connectorサーバ

IntuneConnectorの構成にはMicrosoft Endpoint Managerから「すべてのサービス」→「デバイス」→「Windows」→「Active Directory の Intune コネクタ」の順にページ遷移することでインストーラをダウンロード可能です。

特に設定することはなく、サーバへインストール後、Intune管理者のアカウントでサインインするだけの作業になります。検証環境などを整備する際には注意ですが、Server Manager上で「IEセキュリティ強化の構成」が「有効」になっているとIntuneConnectorの構成画面でサインインする際にサインインを無限ループします。

登録が完了すると、Microsoft Endpoint Managerの画面から同期サーバを確認することが可能です。

カテゴリー: Microsoft タグ: , パーマリンク

2.Windows Autopilotに必要なオンプレミス環境の構築 への1件のフィードバック

  1. ピンバック: Windows Autoilotについて | しがないblog

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です