Hybrid Azure AAD Joined環境において必要となるシステム要件について記載します。どこからプロジェクトに関与するかで異なるかと思いますが、ほとんどのお客様はMicrosoftのE3ライセンスやE5ライセンスを購入されていて、切替の一環の中でAutopilotも使ってみたい。みたいなことが多いかと思います。その場合には問題ありませんが、ソフトウェア要件、ネットワーク要件、ライセンス要件、構成要件があります。
ソフトウェア要件
MicrosoftのDocsを以下に示します。
Windowsのソフトウェア要件 | Microsoft Docs
基本的にOSはWindows 10、Windows 11でFUは最低バージョンがあったかと思いますが、注意に記載の通り、Windowsのサポートライフサイクルに準じるように思われます。よってサポートFUを利用します。ただし、メーカーが出荷すをAutopilotするため、納品されたPCのFUを変更したりしない限り問題ありません。
Windows10 ProあるいはEnterpriseが要件であり、Homeなどでは利用できない点は、家電量販店で買ったPCを検証利用しようと考えている場合は気を付けてください。もちろん別途ライセンスキーを用意可能であれば、この限りではありません。
ネットワーク要件
MicrosoftのDocsを以下に示します。
Windowsネットワーク要件 | Microsoft Docs
ネットワーク要件は一般企業にとって一番大きな検討ポイントになるかと思います。Autopilotを実行するには、PCを接続するLAN環境が上記Docsに記載のURLにアクセスできる必要があります。
また、Hybrid Azure AAD Joined環境では、上記に加えて以下URLの要件を満たす必要があります。
Windows自動操縦User-Drivenモード | Microsoft Docs
ここで要件となる、以下については企業のセキュリティポリシーによっては難易度が高いかもしれませんのでご注意ください。
デバイスは Active Directory ドメイン コントローラーにアクセスできる必要があります。 組織のネットワークに接続されている必要があります。 ドメインとドメイン コントローラーの DNS レコードAD解決AD必要があります。 ユーザーを認証するには、ドメイン コントローラーと通信できる必要があります。なお、Autopilotは有線LAN/無線LANいずれでもサポートされておりますが、上記の通りインターネットアクセスやオンプレADとの通信が必要となるため、無線LANを選択される場合には、十分なセキュリティ対策を実施するか、物理的な接続が必要となる有線LAN接続をご検討ください。
とは言っても、昨今のPCは有線LANポートを搭載していないモデルが増加傾向にあることや無線LAN設置の普及に伴い有線LANを撤去している企業も多く、無線LANを使ったAutopilotをせざるを得ないケースもあります。
この場合に見られる方法としてはAutopilot用のSSIDを別途用意し、最低限のセキュリティ対策(SSIDパスワードの定期変更やMACアドレスフィルタリングなど)を実施することで導入されているようです。
ライセンス要件
MicrosoftのDocsを以下に示します。
Windowsのライセンス要件 | Microsoft Docs
一般的には上述しているようにMicrosoft製品に寄せつつある企業ではE3ライセンスなどを利用しているため、問題ないかと思います。そのうえで、Autopilotを実行するユーザーにIntuneライセンスが割り当てられている必要がありますので、Intuneを利用していないあるいは、MDMは使わない、別製品を利用しているお客様の場合にはご注意ください。
構成要件
MicrosoftのDocsを以下に示します。
Windowsの構成要件 | Microsoft Docs
こちらはいくつか書いてありますが、Docsを読んでもピンとこず、Intuneの構成プロファイルやMDMスコープの設定をする際に確認するため、後述するものとして割愛します。
次回の更新は1週間後(4/18)を目標にしています。なお、記載内容の誤りやここを知りたいなどがあれば、お気軽にコメントください。分かる範囲であれば回答いたします。
ピンバック: Windows Autoilotについて | しがないblog