次の方法で共有


Windows Autopilot ユーザー 駆動モード

Windows Autopilot ユーザー駆動モードを使用すると、新しい Windows デバイスを、ファクトリ状態からすぐに使用できる状態に自動的に変換するように構成できます。 このプロセスでは、IT 担当者がデバイスに触れる必要はありません。

そのプロセスは単純です。 デバイスは、次の手順でエンド ユーザーに直接出荷または配布できます。

  1. デバイスを箱から出し、コンセントにつなぎ、電源を入れます。
  2. 複数の言語を使用する場合は、言語、ロケール、キーボードを選択します。
  3. デバイスを、インターネットにアクセスできるワイヤレス ネットワークまたはワイヤードネットワークに接続します。 ワイヤレスを使用している場合は、まず Wi-Fi ネットワークに接続します。
  4. organizationの電子メール アドレス アカウントとパスワードを指定します。

プロセスの残りの部分は自動化されています。 デバイスは次の手順を実行します。

  1. 組織に参加します。
  2. Microsoft Intuneまたは別のモバイル デバイス管理 (MDM) サービスに登録します。
  3. 組織によって定義されたとおりに構成されます。

その他のプロンプトは、既定のエクスペリエンス (OOBE) 中に抑制できます。 使用可能なオプションの詳細については、「 Windows Autopilot プロファイルの構成」を参照してください。

重要

Active Directory フェデレーション サービス (AD FS) (ADFS) が使用されている場合、エンド ユーザーがそのデバイスに割り当てられているアカウントとは異なるアカウントでサインインできる既知の問題があります。

Windows Autopilot ユーザー駆動モードでは、Microsoft Entra参加デバイスとハイブリッド参加済みデバイスMicrosoft Entraがサポートされます。 これら 2 つの結合オプションの詳細については、次の記事を参照してください。

ユーザー主導のプロセスの手順は次のとおりです。

  1. デバイスがネットワークに接続すると、デバイスは Windows Autopilot プロファイルをダウンロードします。 プロファイルは、デバイスに使用される設定を定義します。 たとえば、OOBE 中に抑制されるプロンプトを定義します。

  2. Windows は、重要な OOBE 更新プログラムを確認します。 更新プログラムが利用可能な場合は、自動的にインストールされます。 必要に応じて、デバイスを再起動します。

  3. ユーザーは、Microsoft Entra資格情報の入力を求められます。 このカスタマイズされたユーザー エクスペリエンスには、テナント名、ロゴ、サインイン テキストMicrosoft Entraが表示されます。

  4. デバイスは、Windows Autopilot プロファイル設定に応じて、Microsoft Entra IDまたは Active Directory に参加します。

  5. デバイスが Intune または別の構成済み MDM サービスに登録されます。 組織のニーズに応じて、この登録は次のいずれかになります。

    • Microsoft Entra参加プロセス中に、MDM 自動登録を使用します。

    • Azure Active Directory 参加プロセスの前。

  6. 構成されている場合は、 登録状態ページ (ESP) が表示されます。

  7. デバイス構成タスクが完了すると、ユーザーは以前に指定した資格情報を使用して Windows にサインインします。 デバイス ESP プロセス中にデバイスが再起動した場合、ユーザーは資格情報を再入力する必要があります。 これらの詳細は再起動後は保持されません。

  8. サインイン後、ユーザーを対象とした構成タスクの登録ステータス ページが表示されます。

このプロセス中に問題が見つかった場合は、「 Windows Autopilot のトラブルシューティングの概要」を参照してください。

使用可能な結合オプションの詳細については、次のセクションを参照してください。

  • Microsoft Entra参加は、デバイスがオンプレミスの Active Directory ドメインに参加する必要がない場合に使用できます。
  • Microsoft Entraハイブリッド参加は、Microsoft Entra IDとオンプレミスの Active Directory ドメインの両方に参加する必要があるデバイスで使用できます。

Microsoft Entra結合のユーザー駆動モード

Windows Autopilot を使用してユーザー主導の展開を完了するには、次の準備手順に従います。

  1. ユーザー主導モードのデプロイを実行しているユーザーが、デバイスをMicrosoft Entra IDに参加できることを確認します。 詳細については、Microsoft Entraドキュメントの「デバイス設定を構成する」を参照してください。

  2. 目的の設定を使用して、ユーザー駆動モード用の Windows Autopilot プロファイルを作成します。

    • Intuneでは、プロファイルの作成時にこのモードが明示的に選択されます。

    • ビジネス向け Microsoft Storeとパートナー センターでは、ユーザー駆動モードが既定です。

  3. Intuneを使用している場合は、Microsoft Entra IDでデバイス グループを作成し、そのグループに Windows Autopilot プロファイルを割り当てます。

ユーザー主導のデプロイを使用して展開されるデバイスごとに、次の追加の手順が必要です。

  • デバイスを Windows Autopilot に追加します。 この手順は、次の 2 つの方法で実行できます。

  • Windows Autopilot プロファイルをデバイスに割り当てます。

    • Intuneを使用し、動的デバイス グループをMicrosoft Entraする場合、この割り当ては自動的に実行できます。

    • Intuneを使用し、静的デバイス グループをMicrosoft Entraする場合は、デバイス をデバイス グループに手動で追加します。

    • ビジネス向け Microsoft Storeやパートナー センターなどの他の方法を使用する場合は、デバイスに Windows Autopilot プロファイルを手動で割り当てます。

ヒント

デバイスの目的の終了状態が共同管理である場合は、Windows Autopilot プロセス中に発生する共同管理を有効にするために、Intuneでデバイス登録を構成できます。 この動作で、Configuration Manager と Intune の間で調整された方法により、ワークロードの管理機関が指示されます。 詳細については、「 Windows Autopilot に登録する方法」を参照してください。

Microsoft Entra ハイブリッド結合のユーザー駆動モード

重要

Microsoft では、Microsoft Entra参加を使用して、新しいデバイスをクラウドネイティブとしてデプロイすることをお勧めします。 Windows Autopilot を使用するなど、ハイブリッド参加デバイスMicrosoft Entra新しいデバイスを展開することはお勧めしません。 詳細については、「Microsoft Entra参加済みとMicrosoft Entraハイブリッドがクラウドネイティブ エンドポイントに参加している:どのオプションがorganizationに適しているか」を参照してください。

Windows Autopilot では、デバイスを参加Microsoft Entra必要があります。 オンプレミスの Active Directory環境では、デバイスをオンプレミス ドメインに参加させることができます。 デバイスに参加するには、Windows Autopilot デバイスをMicrosoft Entra IDにハイブリッド参加するように構成します。

ヒント

Microsoft は、クライアント デバイスの展開、管理、セキュリティ保護にMicrosoft IntuneとMicrosoft Configuration Managerを使用しているお客様と話をする際に、多くの場合、デバイスの共同管理やハイブリッド参加済みデバイスMicrosoft Entraに関する質問を受けます。 多くのお客様が、この 2 つのトピックを混同しています。 共同管理は管理オプションですが、Microsoft Entra IDは ID オプションです。 詳細については、「ハイブリッド Microsoft Entraと共同管理のシナリオについて」を参照してください。 このブログ投稿は、ハイブリッド参加と共同管理Microsoft Entra、それらがどのように連携しているかを明確にすることを目的としていますが、同じではありません。

Configuration Manager クライアントは、Microsoft Entra ハイブリッド参加の Windows Autopilot ユーザー駆動モードで新しいコンピューターをプロビジョニングしているときに展開できません。 この制限は、Microsoft Entra参加プロセス中のデバイスの ID 変更が原因です。 Windows Autopilot プロセスの後にConfiguration Manager クライアントを展開します。 クライアントをインストールするための別のオプションについては、「Configuration Managerのクライアント インストール方法」を参照してください。

ハイブリッド Microsoft Entra IDを使用したユーザー駆動モードの要件

  • ユーザー駆動モード用の Windows Autopilot プロファイルを作成します。

    Windows Autopilot プロファイルの [join to Microsoft Entra ID as]\(Microsoft Entra IDに参加する\) で、[ハイブリッド参加済みMicrosoft Entra選択します。

  • Intuneを使用する場合は、Microsoft Entra IDでデバイス グループが必要です。 Windows Autopilot プロファイルをグループに割り当てます。

  • ドメイン参加プロファイルを作成して割り当てる ドメイン参加では、オンプレミスの Active Directory ドメインの情報が構成されます。

  • デバイスはインターネットにアクセスする必要があります。 詳細については、 ネットワーク要件に関するページを参照してください。

  • Active Directory 用のIntune コネクタをインストールします。

    注:

    Active Directory 用Intune コネクタは、デバイスをオンプレミス ドメインに参加させます。 ユーザーは、デバイスをオンプレミス ドメインに参加させるアクセス許可を必要としません。 この動作は、コネクタがユーザーの代わりにこのアクション用に構成されていることを前提としています。 詳細については、「 組織単位 (OU) でコンピューター アカウントの制限を増やす」を参照してください。

  • プロキシを使用している場合は、Web プロキシ自動検出プロトコル (WPAD) プロキシ設定オプションを有効にして構成します。

ユーザー駆動型Microsoft Entraハイブリッド参加に関するこれらのコア要件に加えて、オンプレミス デバイスには次の追加要件が適用されます。

  • デバイスには、現在サポートされているバージョンの Windows があります。

  • デバイスは内部ネットワークに接続されており、Active Directory ドメイン コントローラーにアクセスできます。

    • ドメインとドメイン コントローラーの DNS レコードを解決する必要があります。

    • ユーザーを認証するには、ドメイン コントローラーと通信する必要があります。

VPN サポートを使用したMicrosoft Entra ハイブリッド参加のユーザー駆動モード

Active Directory に参加しているデバイスでは、多くのアクティビティで Active Directory ドメイン コントローラーへの接続が必要です。 これらのアクティビティには、サインイン時のユーザーの資格情報の検証や、グループ ポリシー設定の適用が含まれます。 Microsoft Entraハイブリッド参加済みデバイスの Windows Autopilot ユーザー駆動プロセスでは、そのドメイン コントローラーに ping を実行することで、デバイスがドメイン コントローラーに接続できることを検証します。

このシナリオに対する VPN サポートが追加されると、Microsoft Entra ハイブリッド参加プロセスを構成して、接続チェックをスキップできます。 この変更により、ドメイン コントローラーと通信する必要がなくなります。 代わりに、organizationのネットワークへの接続を許可するために、ユーザーが Windows へのサインインを試みる前に、必要な VPN 構成を提供Intune。

ハイブリッド Microsoft Entra IDと VPN を使用したユーザー駆動モードの要件

Microsoft Entraハイブリッド参加を使用するユーザー駆動モードのコア要件に加えて、VPN サポートを備えたリモート シナリオには、次の追加要件が適用されます。

  • 現在サポートされているバージョンの Windows。

  • Windows Autopilot のMicrosoft Entra ハイブリッド参加プロファイルで、次のオプションを有効にします。ドメイン接続チェックをスキップします。

  • 次のいずれかのオプションを含む VPN 構成。

    • Intuneで展開でき、ユーザーは Windows サインイン画面から VPN 接続を手動で確立できます。

    • 必要に応じて VPN 接続を自動的に確立します。

必要な特定の VPN 構成は、使用されている VPN ソフトウェアと認証によって異なります。 Microsoft 以外の VPN ソリューションの場合、通常、この構成には、Intune管理拡張機能を使用して Win32 アプリを展開する必要があります。 このアプリには、VPN クライアント ソフトウェアと特定の接続情報が含まれます。 たとえば、VPN エンドポイント のホスト名です。 そのプロバイダーに固有の構成の詳細については、VPN プロバイダーのドキュメントを参照してください。

注:

VPN の要件は、Windows Autopilot に固有ではありません。 たとえば、リモート パスワード リセットを有効にする VPN 構成が実装されている場合、同じ構成を Windows Autopilot で使用できます。 この構成により、ユーザーは、organizationのネットワーク上にない場合に、新しいパスワードで Windows にサインインできます。 ユーザーがサインインし、その資格情報がキャッシュされると、Windows はキャッシュされた資格情報を使用するため、以降のサインイン試行では接続は必要ありません。

VPN ソフトウェアで証明書認証が必要な場合は、Intuneを使用して、必要なデバイス証明書も展開します。 このデプロイは、Intune証明書登録機能を使用して、証明書プロファイルをデバイスを対象にして行うことができます。

一部の構成は、ユーザーが Windows にサインインするまで適用されないため、サポートされていません。

  • ユーザー証明書
  • Windows ストアからの Microsoft 以外の UWP VPN プラグイン

Validation

VPN を使用してMicrosoft Entraハイブリッド参加を試みる前に、Microsoft Entraハイブリッド参加プロセスのユーザー駆動モードが内部ネットワークで動作することを確認することが重要です。 このテストでは、VPN 構成を追加する前にコア プロセスが機能することを確認することで、トラブルシューティングが簡略化されます。

次に、INTUNEを使用して VPN 構成とその要件をデプロイできることを確認します。 ハイブリッド参加済みの既存のデバイスでこれらのコンポーネントMicrosoft Entraテストします。 たとえば、一部の VPN クライアントでは、インストール プロセスの一部としてマシンごとの VPN 接続が作成されます。 次の手順を使用して構成を検証します。

  1. マシンごとに少なくとも 1 つの VPN 接続が作成されていることを確認します。

    Get-VpnConnection -AllUserConnection
    
  2. VPN 接続を手動で開始します。

    RASDIAL.EXE "ConnectionName"
    
  3. Windows からサインアウトします。 [Windows サインイン] ページに VPN 接続 アイコンが表示されていることを確認します。

  4. デバイスを内部ネットワークから移動し、Windows サインイン ページのアイコンを使用して接続を確立します。 資格情報がキャッシュされていないアカウントにサインインします。

自動的に接続する VPN 構成の場合、検証手順が異なる場合があります。

注:

このシナリオでは、always-on VPN を使用できます。 詳細については、「 Always-on VPN のデプロイ」を参照してください。

次の手順