Windows Autopilot: 新機能
Windows Autopilot の自己展開モードが一般公開されました
Windows Autopilot の自己展開モードが一般公開され、プレビュー対象外になりました。 Windows Autopilot 自己展開モードを使用すると、ユーザー操作をほとんどまたはまったく行っていない Windows デバイスを展開できます。 デバイスがネットワークに接続されると、デバイス プロビジョニング プロセスが自動的に開始されます。デバイスはMicrosoft Entra IDに参加し、Intuneに登録し、デバイスを対象とするすべてのデバイス ベースの構成を同期します。 自己展開モードでは、すべてのデバイス ベースの構成が適用されるまで、ユーザーがデスクトップにアクセスできないようにします。 OOBE 中に登録状態ページ (ESP) が表示されるため、ユーザーはデプロイの状態を追跡できます。 詳細については、以下を参照してください:
事前プロビジョニングされた展開用の Windows Autopilot が一般公開されました
事前プロビジョニングされた展開用の Windows Autopilot が一般公開され、プレビュー対象外になりました。 事前にプロビジョニングされた展開用の Windows Autopilot は、ユーザーがデバイスにアクセスする前にデバイスがビジネス対応であることを確認する組織によって使用されます。 事前プロビジョニングにより、管理者、パートナー、または OEM は、すぐに使用できるエクスペリエンス (OOBE) から技術者フローにアクセスし、デバイスのセットアップを開始できます。 次に、ユーザー フェーズでプロビジョニングを完了したユーザーにデバイスが送信されます。 事前プロビジョニングでは、ほとんどの構成が事前に提供されるため、エンド ユーザーはデスクトップにすばやくアクセスできます。 詳細については、以下を参照してください:
- 事前プロビジョニングされた展開用の Windows Autopilot。
- 事前にプロビジョニングされた展開用の Windows Autopilot のステップ バイ ステップ チュートリアルMicrosoft Entra、Intuneに参加します。
- Intuneでのハイブリッド参加Microsoft Entra事前プロビジョニング済み展開用の Windows Autopilot のステップ バイ ステップ チュートリアル。
手動でのデバイスアップロードのエラー メッセージへのUpdates
Intune の 2310 リリースでは、コンソールでの手動ハードウェア ハッシュ アップロードがより明確になります。 デバイスをインポートできなかった場合は、インポート エラーと、エラーを受け取った CSV ファイルの特定の行が通知に表示されます。 エラー コードには、デバイスがアップロードに失敗した理由、デバイスが別のテナントに割り当てられているかどうか、または既にテナントに登録されているデバイスの詳細も含まれます。
無効になっている OEM の自己展開モードと事前プロビジョニング モードの修正保留中の状態のブロックを解除する
2310 年から、Autopilot で再生されたデバイスの削除を証明することを選択していない製造元向けに、自己展開モードと事前プロビジョニング モードの更新が行われます。 これらの製造元を使用しているお客様は、自己展開モードと事前プロビジョニング モードで 1 回限りのデバイス ベースの登録ブロックを受け取っていました。 このブロックは、デバイスが自己展開モードまたは事前プロビジョニング モードを 1 回通過した後、もう一度実行できないようにブロックされる可能性があることを意味します。 この動作により、デバイスをリセットまたは再デプロイする必要がある場合に問題が発生する可能性があります。 2310 のこの変更により、Intuneの Autopilot デバイス セクションのボタンを使用して、それらのデバイスのブロックを手動で解除できます。 この更新プログラムは、 OEM リスト に含まれていない OEM に対してのみ機能し、 修正保留中 の状態では機能しません。
デバイスのブロックを解除する方法
Microsoft Intune 管理センターにサインインします。
[ホーム] 画面で、左側のウィンドウで [デバイス] を選択します。
デバイス |[概要] 画面の [プラットフォーム別] で [Windows] を選択します。
Windows で |[Windows デバイス ] 画面で、[ Windows 登録] を選択します。
[Windows Autopilot Deployment プログラム] で、[デバイス] を選択します。
ブロックを解除するデバイスを選択し、ページの上部にある [ デバイスのブロックを解除 ] ボタンを選択します。
Windows Autopilot の BitLocker 回復キー プロセスへの更新
Microsoft Intuneは、9 月 (2309) サービス リリースで再利用された Windows Autopilot デバイスに対する BitLocker リセットの発生方法を変更しています。 以前は、ユーザーは、Windows Autopilot を使用して構成されたデバイスを再利用するときに、BitLocker セルフサービス経由で BitLocker 回復キーにアクセスできました。 ただし、変更後、ユーザーは IT 管理者に連絡して復元を要求するか、BitLocker 回復キーにアクセスする必要があります。 IT 管理者は、この変更の前後に回復キーへのフル アクセスを引き続き行います。
ユーザーへの影響
この変更は、そのデバイスへの BitLocker キーのセルフサービス回復を許可されている Autopilot デバイスの新しいプライマリ ユーザーに影響します。 デバイスのプライマリ ユーザーがデバイスの復元またはリセット全体で変更されない場合、影響はありません。
IT 管理者が次のいずれかを実行する場合、セルフサービス BitLocker アクセスは引き続き同じように機能します。
- リモート Autopilot リセット。 詳細については、「Intuneでの Windows Autopilot Reset のステップ バイ ステップ チュートリアル」、「リモート Windows Autopilot Reset を使用してデバイスをリセットする」、および「Windows Autopilot Reset」を参照してください。
- デバイスがリセットまたは再イメージ化される前に、現在のプライマリ ユーザーを削除するか、新しい目的のプライマリ ユーザーに再割り当てします。 詳細については、「 デバイスのプライマリ ユーザーを変更する」を参照してください。
以前のプライマリ ユーザーから変更した後、新しいプライマリ ユーザーが BitLocker セルフサービスにアクセスできない場合、IT 管理者はデバイスのプロパティでプライマリ ユーザーを更新する必要があります。 その後、デバイス上のプライマリ ユーザーは、次のチェックイン時に新しいユーザーに更新されます。
準備に必要な事柄とは?
スムーズな移行を確実に行うために、この変更をヘルプ デスクに通知します。 さらに、ドキュメントを次のいずれかのオプションに更新します。
- BitLocker 回復ガイドに記載されているように、復元する前に BitLocker 回復キーを一時的にメモします。
- BitLocker セルフサービス アクセスのロックを解除するには、ヘルプ デスクまたは IT 管理にお問い合わせください。
更新: 一時的な変更
Windows Autopilot を利用するデバイスが再利用され、新しいデバイス所有者が存在する場合、その新しいデバイス所有者は、そのデバイスの BitLocker 回復キーを取得するために管理者に問い合わせる必要があります。 管理単位スコープの管理者は、デバイスの所有権が変更された後、BitLocker 回復キーにアクセスできなくなります。 これらのスコープの管理者は、回復キーのスコープが設定されていない管理者に問い合わせる必要があります。 この変更は、スコープを設定した管理者の一時的な変更であり、ソリューションが配置されると更新されます。
Win32 アプリで構成可能なインストール時間は、[登録状態] ページに影響します
Intune 2308 を見つめて、Win32 アプリを使用すると、アプリごとにインストール時間を構成できます。 この時間は分単位で表されます。 設定したインストール時間よりもアプリのインストールに時間がかかる場合、アプリのインストールは失敗します。 登録状態ページ (ESP) のタイムアウトエラーを回避するには、Win32 アプリに対して行ったタイムアウトに対する変更も、これらの変更を反映するために ESP タイムアウトの増加が必要です。
Autopilot プロファイルの回復性
Windows Autopilot ポリシーをダウンロードすると、回復性が向上しました。 ネットワーク接続が完全に初期化されていない可能性がある場合に Windows Autopilot ポリシーを適用するための再試行を増やす新しい更新プログラムがロールアウトされています。 再試行回数が増加すると、ユーザーがセットアップ エクスペリエンスを開始する前にプロファイルが適用され、時間同期が向上します。この機能の次の品質更新プログラムをインストールします。
Windows Autopilot 登録の 1 つのステップ削除
2307 以降、Windows Autopilot は、Intuneの Autopilot デバイスでデバイスを 1 ステップ削除することで、デバイスの管理を容易にしています。 デバイスの 1 つのステップ削除は、Intuneのレコードを削除することなく、デバイスの Autopilot 登録を削除できることを意味します。 Intuneでデバイスがまだアクティブな場合、削除は登録を削除するだけですが、引き続き管理されます。 Intuneでこの機能を使用するには:
Microsoft Intune 管理センターにサインインします。
[ホーム] 画面で、左側のウィンドウで [デバイス] を選択します。
デバイス |[概要] 画面の [プラットフォーム別] で [Windows] を選択します。
Windows で |[Windows デバイス ] 画面で、[ Windows 登録] を選択します。
[Windows Autopilot Deployment プログラム] で、[デバイス] を選択します。
削除するデバイスを選択し、上部のツール バーで [削除 ] を選択します。
デバイスの名前変更は、事前プロビジョニングのテクニシャン フェーズ中に発生します
2303 以降、新しい機能の変更により、デバイスの名前変更が、Microsoft Entra参加デバイスの事前プロビジョニングのテクニシャン フェーズ中に強制的に発生します。 技術者がプロビジョニング ボタンを選択した後、デバイスの名前変更と再起動をすぐに実行し、デバイス ESP に移行します。 ユーザー フロー中、デバイス名に依存するリソース (System Center Endpoint Protection (SCEP) 証明書など) をそのまま保持したまま、デバイスの名前変更はスキップされます。 この変更を適用するには、Windows 10に品質更新プログラムKB5023773以降をインストールします。 Windows 11の場合は、品質更新プログラムのKB5023778以降をインストールします。
事前プロビジョニング中に必要なアプリをインストールする
新しいトグルは、登録状態ページ (ESP) プロファイルで使用できます。これにより、事前プロビジョニングの技術者フェーズで必要なアプリケーションのインストールを試みるかどうかを選択できます。 エンド ユーザーのセットアップ時間を短縮するために、事前プロビジョニング中にできるだけ多くのアプリケーションをインストールすることが望ましいことを理解しています。 事前プロビジョニング中に可能な限り多くのアプリケーションをインストールできるように、技術者フェーズ中にデバイスに割り当てられているすべての必要なアプリのインストールを試みるオプションが実装されています。 アプリのインストールエラーが発生した場合、ESP プロファイルで指定されたアプリを除き、ESP は続行されます。 この機能を有効にするには、新しい設定の [技術者フェーズで選択したアプリのみを失敗] で [はい] を選択して、登録状態ページプロファイルを編集します。 この設定は、ブロックしているアプリが選択されている場合にのみ表示されます。 詳細については、「 アプリのインストールのための Windows Autopilot の事前プロビジョニング プロセスへの更新」を参照してください。
登録状態ページで新しい Microsoft Store アプリがサポートされるようになりました
登録状態ページ (ESP) では、Windows Autopilot 中に新しい Microsoft ストア アプリケーションがサポートされるようになりました。 この更新プログラムにより、新しい Microsoft Store エクスペリエンスのサポートが向上し、Intune 2303 以降のすべてのテナントにロールアウトする必要があります。 関連情報については、「 登録の状態ページを設定する」を参照してください。
Win32 アプリの置き換え ESP の機能強化
2023 年 1 月以降、現在、Win32 アプリ置き換え GA をロールアウト中です。これにより、アプリの追跡とアプリの処理に関する ESP 動作が強化されています。 具体的には、管理者はアプリ数の変更に気付く場合があります。 詳細については、「 Win32 アプリの置き換えの機能強化 」と「 Win32 アプリの置き換えの追加」を参照してください。
一時アクセス パスのサポート
2301 Windows Autopilot 以降、Autopilot では、参加しているユーザー駆動型、事前プロビジョニングモード、および共有デバイス用の自己展開モードMicrosoft Entra一時アクセス パスの使用がサポートされています。 一時的なアクセス パスは、ユーザーが他の認証方法をオンボードできるように、複数または 1 回の使用用に構成できる時間制限付きパスコードです。 これらの認証方法には、Microsoft Authenticator、FIDO2、Windows Hello for Businessなどのパスワードレスメソッドが含まれます。
サポートされるシナリオの詳細については、「 一時アクセス パス」を参照してください。
Autopilot 自動デバイス 診断 コレクション
Intune 2209 以降では、Intuneは、Windows 10 バージョン 1909 以降の Autopilot プロセス中にデバイスに障害が発生し、Windows 11が発生したときに診断を自動的にキャプチャします。 失敗したデバイスでログの処理が完了すると、ログは自動的にキャプチャされ、Intuneにアップロードされます。 診断には、ユーザーやデバイス名などのユーザーを特定できる情報が含まれる場合があります。 Intuneでログを利用できない場合は、デバイスの電源が入っていてインターネットにアクセスできるかどうかをチェックします。 診断は、削除されるまでの 28 日間使用できます。
詳細については、「Windows デバイスから診断を収集する」を参照してください。
インフラストラクチャをターゲットとする Autopilot デバイスへのUpdates
Intune 2208 では、Autopilot インフラストラクチャを更新して、割り当てられたプロファイルとアプリケーションがデバイスの展開時に一貫して準備されるようにしています。 この変更により、Autopilot デバイスごとに同期する必要があるデータの量が減ります。 さらに、デバイス ライフサイクル変更イベントを使用して、参加済みデバイスとハイブリッド参加済みデバイスMicrosoft Entra Microsoft Entraのデバイス リセットからの回復にかかる時間を短縮します。 この変更を有効にするアクションは必要ありません。 2022 年 8 月以降、すべてのクライアントにロールアウトされます。
ハイブリッド参加済みデバイス用の Active Directory 用Intune コネクタMicrosoft Entra更新する
2022 年 9 月以降、Intune コネクタ for Active Directory (ODJ コネクタ) にはバージョン 4.7.2 以降.NET Framework必要があります。 まだ .NET 4.7.2 以降を使用していない場合は、Intune コネクタが Autopilot ハイブリッド Microsoft Entra展開で機能しない可能性があり、エラーが発生する可能性があります。 新しい Intune コネクタをインストールするときは、以前にダウンロードしたコネクタ インストール パッケージを使用しないでください。 新しいコネクタをインストールする前に、.NET Frameworkをバージョン 4.7.2 以降に更新します。 Microsoft Intune 管理センターの Intune Connector for Active Directory セクションから新しいバージョンをダウンロードします。 最新バージョンを使用していない場合は引き続き動作する可能性がありますが、Intune コネクタに更新プログラムを提供するための自動アップグレード機能は機能しません。
Windows Autopilot から共同管理に登録する
Intune 2205 リリースでは、Autopilot プロセス中に発生する共同管理を有効にするために、Intuneでデバイス登録を構成できます。 この動作で、Configuration Manager と Intune の間で調整された方法により、ワークロードの管理機関が指示されます。
デバイスが Autopilot 登録状態ページ (ESP) ポリシーを対象としている場合、デバイスはConfiguration Managerを待機します。 Configuration Manager クライアントがインストールされ、サイトに登録され、運用共同管理ポリシーが適用されます。 その後、Autopilot ESP は続行されます。
詳細については、「Autopilot を使用して共同管理に登録する方法」を参照してください。
登録状態ページの機能強化
Intune 2202 リリースでは、登録状態ページの機能が改善されました。 ブロックしているアプリを選択するためのアプリケーション ピッカーには、次の機能強化があります。
- アプリを簡単に選択するための検索ボックスが含まれています。
- オンライン モードまたはオフライン モードでストア アプリを区別できない問題を修正しました。
- [ バージョン ] の新しい列を追加して、選択されているアプリケーションのバージョンを確認します。
1 回限りの自己デプロイと事前プロビジョニング
Windows Autopilot の自己展開モードとプロビジョニング前モードエクスペリエンスに変更を加え、デバイスの再利用プロセスの一部としてデバイス レコードを削除する手順を追加しました。 この変更は、Autopilot プロファイルが自己展開モードまたは事前プロビジョニング モードに設定されているすべての Windows Autopilot 展開に影響します。 この変更は、再利用またはリセットされた場合にのみデバイスに影響し、再デプロイを試みます。
詳細については、「Windows Autopilot のサインインと展開エクスペリエンスの更新」を参照してください。
Windows Autopilot サインイン エクスペリエンスに更新する
ユーザーは、登録時に最初のサインイン時に資格情報を入力する必要があります。 Microsoft Entra ユーザー プリンシパル名 (UPN) の事前作成は許可されなくなりました。
詳細については、「Windows Autopilot のサインインと展開エクスペリエンスの更新」を参照してください。
Windows Autopilot 登録フローに対する MFA の変更
Microsoft Entra IDのベースライン セキュリティを向上させるために、デバイスの登録中に多要素認証 (MFA) のMicrosoft Entra動作を変更しました。 以前は、ユーザーがデバイス登録の一部として MFA を完了した場合、登録が完了した後、MFA 要求はユーザーの状態に引き継がれていました。
登録後も MFA 要求は保持されません。 ユーザーは、ポリシーによって MFA を必要とするアプリについて MFA をやり直すよう求められます。
詳細については、「登録フローに対する Windows Autopilot MFA の変更」を参照してください。
Windows Autopilot 診断 ページ
Autopilot を使用してWindows 11を展開すると、ユーザーが Autopilot プロビジョニング プロセスに関する詳細なトラブルシューティング情報を表示できるようになります。 新しい Windows Autopilot 診断 ページを使用すると、Windows Autopilot エラーのトラブルシューティングをユーザーフレンドリに表示できます。
次の例は、ネットワーク接続、Autopilot 設定、および登録状態を含む展開情報の詳細を示しています。 詳細なトラブルシューティング分析のためにログをエクスポートすることもできます。
診断 ページを有効にするには、ESP プロファイルに移動します。 [アプリとプロファイルの構成の進行状況を表示する] が [はい] に選択されていることを確認し、[エンド ユーザーのログ収集と診断ページを有効にする] の横にある [はい] を選択します。
診断 ページは現在、商用 OOBE および Autopilot ユーザードリブン モードでサポートされています。 現在、Windows 11で使用できます。 Windows 10ユーザーは、この設定が Intune で有効になっている場合でも、診断ログを収集およびエクスポートできます。
次の手順
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示