Windows 365の自動モードでの Windows Autopilot デバイスの準備 (プレビュー): 割り当てられたデバイス グループを作成する

Windows 365手順の自動モードでの Windows Autopilot デバイスの準備:

• 手順 1: Windows 自動 Intune 登録を設定する

• 手順 2: 割り当てられたデバイス グループを作成する

• 手順 3: アプリケーションと PowerShell スクリプトをデバイス グループに割り当てる
• 手順 4: Windows Autopilot デバイス準備ポリシーを作成する
• 手順 5: クラウド PC プロビジョニング ポリシーを作成する
• 手順 6: デプロイを監視する

Windows 365 ワークフローの自動モードでの Windows Autopilot デバイスの準備の概要については、Windows 365概要については、「自動モードでの Windows Autopilot デバイスの準備」を参照してください。

注:

この手順で作成したデバイス グループは、Windows Autopilot デバイスの準備に固有です。 Microsoft では、他の Windows Autopilot シナリオで使用されている既存のデバイス グループを再利用する代わりに、Windows Autopilot デバイスの準備で使用するために特別にデバイス グループを作成することをお勧めします。

割り当てられたデバイス グループを作成する

デバイス グループは、Microsoft Entra グループに編成されたデバイスまたはクラウド PC のコレクションです。 通常、デバイス グループは、割り当てまたは動的にすることができます。

• 割り当てられたグループ - デバイスまたはクラウド PC は手動でグループに追加され、静的です。 Windows Autopilot デバイスの準備では、割り当てられたグループのみが使用されます。
• 動的グループ - デバイスまたはクラウド PC は、ルールに基づいてグループに自動的に追加されます。 Windows Autopilot デバイスの準備では、動的グループは使用されません。

Windows Autopilot デバイスの準備では、Windows Autopilot デバイス準備ポリシーの一部として 割り当てられたデバイス グループ が使用されます。 Windows Autopilot デバイス準備ポリシーで指定されたデバイス グループは、 割り当てられたデバイス グループである必要があります。 Windows Autopilot デバイス準備プロセスでは、Windows Autopilot デバイスの準備の展開中に、割り当てられたこのデバイス グループにデバイスまたはクラウド PC が自動的に追加されます。

重要

Windows Autopilot デバイス準備ポリシーで指定されたデバイス グループは、 割り当てられたセキュリティ デバイス グループである必要があります。

ヒント

同じ割り当て済みデバイス グループを複数の Windows Autopilot デバイス準備ポリシーに使用できますが、Windows Autopilot デバイス準備ポリシーごとに個別に割り当てられたデバイス グループを作成することをお勧めします。 たとえば、ユーザー主導のシナリオと自動シナリオの別の割り当て済みデバイス グループなどです。 個別の割り当て済みデバイス グループを作成すると、Windows Autopilot デバイス準備ポリシーと、それらに割り当てられているデバイスまたはクラウド PC を簡単に管理できます。

Windows Autopilot デバイスの準備で使用するために割り当てられたセキュリティ デバイス グループを作成するには、次の手順に従います。

1. Microsoft Intune 管理センターにサインインします。

2. [ホーム] 画面で、左側のウィンドウで [グループ] を選択します。

3. グループ |[すべてのグループ] 画面で、[すべてのグループ] が選択されていることを確認し、[新しいグループ] を選択します。

4. [ 新しいグループ ] 画面が開きます。

   1. [グループの種類] で、[セキュリティ] を選択します。

   2. [ グループ名] に、 Windows Autopilot デバイス準備デバイス グループなどのデバイス グループの名前を入力します。

   3. [ グループの説明] に、デバイス グループの説明を入力します。

   4. Microsoft Entraロールをグループに割り当てることができる場合は、[いいえ] を選択します。

   5. [ メンバーシップの種類] で、[ 割り当て済み] を選択します。

   6. [ 所有者] で、[ 所有者が選択されていない ] リンクを選択します。

   7. 開いた [ 所有者の追加] 画面で、次の手順を実行します。

      1. オブジェクトの一覧をスクロールし、サービス プリンシパル Intune Provisioning Client with AppId of f1346770-5b25-470b-88bd-d5744ab7952c を選択します。 または、 検索 バーを使用して Intune プロビジョニング クライアントを検索して選択します。

         注:

         • 一部のテナントでは、サービス プリンシパルの名前が Intune プロビジョニング クライアントではなく Intune Autopilot ConfidentialClient である場合があります。 サービス プリンシパルの AppID が f1346770-5b25-470b-88bd-d5744ab7952c である限り、正しいサービス プリンシパルです。

         • AppId が f1346770-5b25-470b-88bd-d5744ab7952c の Intune プロビジョニング クライアントまたは Intune Autopilot ConfidentialClient サービス プリンシパルがオブジェクトの一覧または検索で使用できない場合は、「Intune プロビジョニング クライアント サービス プリンシパルの追加」を参照してください。

      2. Intune プロビジョニング クライアントが所有者として選択されたら、[選択] を選択します。

   8. [ 作成] を 選択して、割り当てられたデバイス グループの作成を完了します。

   重要

   Windows Autopilot デバイスの準備の展開中に、デバイスがこのデバイス グループに自動的に追加されます。 この手順で作成したデバイス グループのメンバーとしてデバイスを手動で追加する必要はありませんが、そうしても Windows Autopilot デバイスの準備プロセスには影響しません。

Intune プロビジョニング クライアント サービス プリンシパルの追加

デバイス グループの所有者を選択するときに、AppId f1346770-5b25-470b-88bd-d5744ab7952c を使用できない場合は、次の手順に従ってサービス プリンシパルを追加します。

1. Microsoft Intune または Microsoft Entra ID が通常管理されているデバイスで、管理者特権のWindows PowerShellコマンド プロンプトを開きます。

2. [Windows PowerShell コマンド プロンプト] ウィンドウで、次の操作を行います。

   1. 次のコマンドを入力して 、Microsoft.Graph.Authentication モジュールをインストールします。

      Install-Module Microsoft.Graph.Authentication
      

      メッセージが表示されたら、次の操作を行います。

      • 「Y」または「はい」と入力するか、[はい] ボタンを選択して NuGet をインストールすることに同意します。
      • [Y] または [はい] を入力するか、[はい] ボタンを選択して、PSGallery 信頼されていないリポジトリからインストールすることに同意します。

      詳細については、「 Microsoft.Graph.Authentication 」および 「Set-PSRepository -InstallationPolicy」を参照してください。

   2. 次のコマンドを入力して、 Microsoft.Graph.Applications モジュールをインストールします。

      Install-Module Microsoft.Graph.Applications
      

      これを行うように求められたら、「Y」または「はい」と入力するか、[はい] ボタンを選択して、PSGallery の信頼されていないリポジトリからインストールすることに同意します。

      詳細については、「 Microsoft.Graph.Applications 」および 「Set-PSRepository -InstallationPolicy」を参照してください。

   3. Microsoft.Graph.Authentication モジュールと Microsoft.Graph.Applications モジュールがインストールされたら、次のコマンドを入力して、Microsoft Entra ID に接続します。

      Connect-MgGraph -Scopes "Application.ReadWrite.All"
      

      詳細については、「 Connect-MgGraph」を参照してください。

   4. Microsoft Entra ID に対してまだ認証されていない場合は、[アカウントへのサインイン] ウィンドウが表示されます。 サービス プリンシパルを追加するアクセス許可を持つMicrosoft Entra ID 管理者の資格情報を入力します。

   5. [アクセス許可が要求されました] ウィンドウが表示されたら、[organizationに代わって同意する] チェック ボックスをオンにし、[同意] ボタンを選択します。

   6. Microsoft Entra ID に対して認証され、適切なアクセス許可が付与されたら、次のコマンドを入力して Intune プロビジョニング クライアント サービス プリンシパルを追加します。

      New-MgServicePrincipal -AppID f1346770-5b25-470b-88bd-d5744ab7952c
      

      詳細については、「 New-MgServicePrincipal -BodyParameter」を参照してください。

      注:

      • Intune プロビジョニング クライアント サービス プリンシパルがテナントに既に存在する場合は、次のエラー メッセージが表示されます。

        New-MgServicePrincipal : The service principal cannot be created, updated, or restored because the service principal name
        f1346770-5b25-470b-88bd-d5744ab7952c is already in use.
        Status: 409 (Conflict)
        ErrorCode: Request_MultipleObjectsWithSameKeyValue
        

      • 次のいずれかの条件に該当する場合、次のエラー メッセージが表示されます。

        • Connect-MgGraph コマンドでサインインするために使用するアカウントには、テナントにサービス プリンシパルを追加するためのアクセス許可がありません。
        • -Scopes "Application.ReadWrite.All"引数は、Connect-MgGraph コマンドには追加されません。
        • [アクセス許可が要求されました] ウィンドウは受け入れられません。
        • [アクセス許可が要求されました] ウィンドウで、[organizationに代わって同意する] チェック ボックスがオンになっていません。

        New-MgServicePrincipal : Insufficient privileges to complete the operation.
        Status: 403 (Forbidden)
        ErrorCode: Authorization_RequestDenied
        

次の手順: アプリケーションと PowerShell スクリプトをデバイス グループに割り当てる

手順 3: アプリケーションと PowerShell スクリプトをデバイス グループに割り当てる

関連コンテンツ

Intune でのグループの作成の詳細については、次の記事を参照してください。

• デバイス グループを作成します。
• グループを追加して、ユーザーとデバイスを整理します。
• Microsoft Entra グループとグループ メンバーシップを管理します。
• Microsoft Entra ID のグループの動的メンバーシップ 規則。