Surface Hub 用のプロビジョニング パッケージを作成する
プロビジョニング パッケージを使用すると、主要な機能の展開を自動化し、組織内のすべての Surface Hub で一貫したエクスペリエンスを提供できます。 別の PC で Windows 構成デザイナー (WCD) を使用すると、次のタスクを実行できます。
- Active Directory または Microsoft Entra ID に登録する
- デバイス管理者アカウントを作成する
- アプリケーションと証明書の追加
- プロキシ設定の構成
- 構成サービス プロバイダー (CSP) 設定を構成する
概要
プロビジョニング パッケージを使用すると、広範な IT 介入なしで実行できる合理化されたセットアップ プロセスが可能になり、組織およびエンタープライズ環境での時間とリソースを節約できます。
- Windows 10 または Windows 11 を実行している別の PC で、Microsoft Store から Windows 構成デザイナー をインストールします。
- ウィザードを使用して一般的な設定を構成するには、[ Surface Hub デバイスのプロビジョニング ] を選択します。 または、[ 高度なプロビジョニング ] を選択して、使用可能なすべての設定を表示および構成します。
- プロビジョニング パッケージを作成し、USB ドライブに保存します。
- 初回のセットアップ中または設定アプリを使用して、パッケージを Surface Hub にデプロイします。 詳細については、「 プロビジョニング パッケージの作成」を参照してください。
Surface Hub プロビジョニング ウィザードを使用する
- Windows 構成デザイナーを開き、[ Surface Hub デバイスのプロビジョニング] を選択します。
- プロジェクトに名前を付け、[ 次へ] を選択します。
証明書を追加する
証明書を使用してデバイスをプロビジョニングするには、[証明書 の追加] を選択します。 証明書の名前を入力し、参照して使用する証明書を選択します。 高度なプロビジョニング オプションについては、「 パッケージに証明書を追加する」のセクションを参照してください。
プロキシ設定の構成
プロキシ設定を [はい] または [いいえ] に切り替えます。 既定では、Surface Hub はプロキシ設定を自動的に検出します。 ただし、インフラストラクチャが以前にプロキシ サーバーを使用する必要があり、プロキシ サーバーを必要としないように変更されたとします。 プロビジョニング パッケージを使用すると、[ はい ] と [設定の自動検出] を選択して、Surface Hub デバイスを既定の 設定に戻すことができます。
[はい] を切り替える場合は、プロキシ設定を自動的に検出するか、次のいずれかを入力して設定を手動で構成できます。
- セットアップ スクリプトの URL。
- 静的プロキシ サーバーのアドレスとポート情報。
セットアップ スクリプトまたはプロキシ サーバーを使用する場合は、[ 設定の自動検出] をオフにします。 両方ではなく、セットアップ スクリプト または プロキシ サーバーを使用できます。
例外 (プロキシ サーバーを使用せずに Surface Hub が直接接続する必要があるアドレス) を入力します。 例: *.office365.com
ローカル アドレスにプロキシ サーバーを使用するかどうかを指定します。
デバイス管理者を設定する
デバイスを Active Directory に登録し、設定アプリを使用するセキュリティ グループを指定したり、Microsoft Entra ID に登録してグローバル管理者が設定アプリを使用したり、デバイスでローカル管理者アカウントを作成したりできます。
重要
Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。 詳細については、「 Surface Hub でグローバル以外の管理者アカウントを構成する」の推奨ガイダンスを参照してください。
- デバイスを Active Directory に登録するには、最小限の特権を持つユーザー アカウントの資格情報を入力して、デバイスをドメインに参加させます。 次に、Surface Hub で管理者の資格情報を持つセキュリティ グループを指定します。 リセットされた Surface Hub にパッケージを適用する場合は、Surface Hub を最初に設定したアカウントと同じアカウントであれば、同じドメイン アカウントを使用できます。 そうでない場合は、別のドメイン アカウントをプロビジョニング パッケージで使う必要があります。
- Windows 構成デザイナーを使用して一括 Microsoft Entra 登録を構成する前に、 Microsoft Entra 参加の実装を計画してください。 Microsoft Entra テナント のユーザー設定ごとのデバイスの最大数 によって、ウィザードで取得する一括トークンを使用できる頻度が決まります。
- Microsoft Entra ID にデバイスを登録するには、そのオプションを選択し、ウィザードを使用して取得する一括トークンのフレンドリ名を入力します。 トークンの有効期限を設定します (最大、トークンの取得日から 30 日間)。 [ 一括トークンの取得] を選択します。 [サインインしましょう] ウィンドウ で 、デバイスを Microsoft Entra ID に参加させるアクセス許可を持つアカウントを入力し、パスワードを入力します。 [ 同意] を選択して、Windows 構成デザイナーに必要なアクセス許可を付与します。
- ローカル管理者アカウントを作成するには、そのオプションを選択し、ユーザー名とパスワードを入力します。
重要
プロビジョニング パッケージにローカル アカウントを作成する場合、42 日ごとに設定アプリを使ってパスワードを変更する必要があります。 その期間内にパスワードを変更しない場合、アカウントがロックされてサインインできなくなる可能性があります。
サード パーティの MDM プロバイダーに登録する
サード パーティのモバイル デバイス管理 (MDM) プロバイダーを使用して、このセクションを使用して Surface Hub を登録できます。 Intune に登録するには、前のセクションで説明したように最初に Microsoft Entra join をセットアップし、次の Intune ドキュメントの手順に従います 。クイック スタート: Windows 10/11 デバイスの自動登録を設定します。
- サード パーティ MDM での登録に 対して [はい ] または [いいえ ] を切り替えます。
- [はい] を切り替える場合は、デバイスを登録し、認証の種類を指定する権限を持つサービス アカウントとパスワードまたは証明書の拇印を指定します。
- MDM プロバイダーで必要な場合は、探索サービス、登録サービス、およびポリシー サービスの URL を入力します。
詳細については、「MDM プロバイダーを使用して Surface Hub を管理する」を参照してください。
アプリケーションの追加
注
現時点では、Windows 上の会議室を実行している Surface Hubs では、プロビジョニング パックにアプリを追加Microsoft Teams機能はサポートされていません。
Windows 10 Team エディションを実行している Surface Hub 2S の場合、プロビジョニング パッケージに複数のユニバーサル Windows プラットフォーム (UWP) アプリをインストールできます。 詳細については、「 アプリを使用して PC をプロビジョニングする」を参照してください。
ヒント
Windows 構成デザイナーでは、クラシック Win32 アプリをプロビジョニング パッケージに追加できますが、Surface Hub は UWP アプリのみを受け入れます。 従来の Win32 アプリを含めると、プロビジョニングが失敗します。
パスワード保護プロビジョニング パッケージ
パスワードを使用する場合は、プロビジョニング パッケージをデバイスに適用するたびにパスワードを入力する必要があります。
プロビジョニング ウィザードの完了
一般的な設定のみを構成する必要がある場合は、[完了] を選択>[作成] を選択し、[パッケージのビルド] セクションに進みます。 または、[高度なプロビジョニング] に切り替えて設定の構成を続行します。
高度なプロビジョニングを使用する
ヒント
ウィザードを使用して共通設定のパッケージを作成した後、詳細エディターに切り替えて他の設定を追加します。
前のセクションから続行する場合は、[ 詳細エディターに切り替える] を選択します。それ以外の場合 は、Windows 構成デザイナー を開き、[ 高度なプロビジョニング] を選択します。
プロジェクトに名前を付け、[ 次へ] を選択します。
[ Windows 10 Team に共通] を選択し、[ 次へ] を選択し、[完了] を選択 します。
プロジェクトの [ 使用可能なカスタマイズ] で、[ 共通チーム設定] を選択します。
証明書をパッケージに追加する
プロビジョニング パッケージを使用して証明書をインストールし、デバイスが Microsoft Exchange に対して認証できるようにします。
注
プロビジョニング パッケージは、ユーザー ストアではなく、デバイス (ローカル コンピューター) ストアにのみ証明書をインストールできます。 組織で証明書をユーザー ストアにインストールする必要がある場合は 、ハブ設定 アプリを使用します。 [Update & Security>Certificates>Import Certificate] を使用します。 または、 MDM ポリシー を使用して、デバイス ストアまたはユーザー ストアに証明書を展開することもできます。
ヒント
ClientCertificates セクションは、秘密キーを持つ .pfx ファイル用です。ルート CA の.cerファイルは、RootCertificates セクションに配置し、CACertificates セクションの中間 CA に配置する必要があります。
- Windows 構成デザイナーで>使用可能なカスタマイズ] で、[ランタイム設定>Certificates>ClientCertificates] に移動します。
- CertificateName のラベルを入力し、[追加] を選択します。
- [CertificatePassword] を入力します。
- [CertificatePath] で、証明書を探して選びます。
- [ExportCertificate] を [False] に設定します。
- [KeyLocation] で、[ソフトウェアのみ] を選びます。
パッケージに UWP アプリを追加する
ビジネス向け Microsoft Store の廃止に伴い、WinGet を使用して UWP アプリのダウンロードとパッケージ化を処理できるようになりました。
- 既定では、WinGet は Windows 10 (バージョン 1809 以降) と Windows 11 にプレインストールされています。 WinGet がインストールされていることを確認するには、コマンド プロンプトを開き、「 winget」と入力します。
- WinGet 1.8 以降を実行していることを確認します。
- WinGet が存在しない場合、または最新バージョンが必要な場合は、次の手順に従います。 WinGet をインストールします。
WinGet を使用して UWP アプリをダウンロードする:
まず、アプリ パッケージ (.appx または .appxbundle ファイル) と依存関係ファイルをダウンロードします。
winget download --id <app-id> --source msstore --accept-source-agreements
<app-name>
と<app-id>
を、インストールするアプリの名前と ID に置き換えます。アプリ パッケージと依存関係を保存します。
ダウンロードすると、アプリ ファイルと依存関係がローカル ドライブに保存されます。 これらのファイルをプロビジョニング パッケージのビルドの場所にコピーしてください。
プロビジョニング パッケージに UWP アプリを追加します。
[利用可能なカスタマイズ] ウィンドウで、[実行時の設定]>[UniversalAppInstall]>[DeviceContextApp] の順に移動します。
アプリの PackageFamilyName を 入力し、[追加] を選択 します。 一貫性を保つために、アプリのパッケージ ファミリ名を使います。 この情報は、WinGet を使用して確認できます。
winget show <app-id>
パッケージ ファミリ名 (PFM) が詳細に一覧表示されます。
[ApplicationFile] で[参照] を選択して、WinGet を使用してダウンロードしたターゲット アプリ ファイル (.appxまたは .appxbundle) を見つけて選択します。
[DependencyAppxFiles] で、[参照] を選択して、アプリに必要なすべての依存関係ファイルを検索して追加します。 これらの依存関係の x64 バージョンを使用していることを確認します。
アプリ ライセンスの追加 (必要な場合):
アプリにライセンスが必要な場合 (通常、Microsoft Store for Business 経由で配布されたアプリの場合)、次の手順に従います。
アプリ ライセンスのコピーを作成し、 .ms-windows-store-license 拡張機能を使用するように名前を変更します。 たとえば、"example.xml" の名前を "example.ms-windows-store-license" に変更します。
Windows 構成デザイナーで、 使用可能なカスタマイズ>Runtime 設定>UniversalAppInstall>DeviceContextAppLicense に移動します。
LicenseProductId を入力し、[追加] を選択します。 テキスト エディターで開くと、ライセンス ファイル内にあるアプリのライセンス ID を使用します。 LicenseID 属性の値を探します。
新しい [LicenseProductId] ノードを選択します。 [LicenseInstall] で、[参照] を選択して、名前を変更したライセンス ファイル (例: ms-windows-store-license) を見つけて選択します。
ポリシーをパッケージに追加する
Surface Hub は、ポリシー構成サービス プロバイダーのポリシーのサブセットをサポートします。 これらのポリシーの一部は、Windows 構成デザイナーで構成できます。
CSP ポリシーを追加するには:
[使用可能なカスタマイズ>Runtime 設定>Policies] に移動します。
管理するコンポーネントを選択し、必要に応じてポリシー設定を構成します。 たとえば、従業員が Surface Hub で InPrivate Web サイトの閲覧を使用できないようにするには、[ AllowInPrivate ] を選択し、[ 無効] を選択します。
Surface Hub の設定をパッケージに追加する
SurfaceHub 構成サービス プロバイダーから、設定をプロビジョニング パッケージに追加できます。
- [使用可能なカスタマイズ>Common Team Edition の設定] に移動します。
- 管理するコンポーネントを選択し、必要に応じてポリシー設定を構成します。
- プロビジョニング パッケージの構成が完了したら、[ ファイル>保存] を選択します。
- プロジェクト ファイルに機密情報が含まれている可能性があることを示す警告を読み、[ OK] を選択します
パッケージをビルドする
プロビジョニング パッケージをビルドするときに、プロジェクトとプロビジョニング パッケージ (.ppkg) ファイルに機密情報を含めることができます。 .ppkg ファイルは暗号化できますが、プロジェクト ファイルは暗号化されません。 プロジェクト ファイルを安全な場所に保存するか、不要になった場合は削除します。
Windows 構成デザイナー>Export>Provisioning パッケージを開きます。
[所有者] を [IT 管理者] に変更します。
[パッケージのバージョン] の値を設定し、[次へ] を選択します。
ヒント
所有者を IT 管理者に設定すると、パッケージ設定で適切な "優先順位プロパティ" が維持され、他のプロビジョニング パッケージが他のソースから適用された場合でも Surface Hub に有効なままになります。
ヒント
既存のパッケージを変更し、バージョン番号を変更して、以前に適用したパッケージを更新できます。
省略可能: パッケージの暗号化とパッケージ署名の有効化を選択できます。
- [ パッケージの暗号化] を選択し、パスワードを入力します。
- [ 署名パッケージ>Browse ] を選択し、必要に応じて証明書を選択します。
重要
プロビジョニング パッケージに信頼できるプロビジョニング証明書を含めることをお勧めします。 パッケージがデバイスに適用されると、証明書がシステム ストアに追加され、後続のパッケージをサイレントで適用できるようになります。
[ 次へ] を選択して出力場所を指定します。 Windows 構成デザイナーの既定では、出力場所としてプロジェクト フォルダーが使用されます。 または、[ 参照 ] を選択して、既定の出力場所を変更します。 [次へ] を選択します。
[ ビルド] を 選択して、パッケージのビルドを開始します。 プロジェクト情報がビルド ページに表示されます。
ビルドが失敗した場合は、プロジェクト フォルダーへのリンクを含むエラー メッセージが表示されます。 ログを確認してエラーを診断し、パッケージをもう一度ビルドしてみてください。
ビルドが成功すると、プロビジョニング パッケージ、出力ディレクトリ、およびプロジェクト ディレクトリの名前が表示されます。 [ 完了] を選択 してウィザードを閉じ、[カスタマイズ] ページに戻ります。
出力場所を選択して、パッケージの場所に移動します。 .ppkg を空の USB フラッシュ ドライブにコピーします。
プロビジョニング パッケージを Surface Hub に適用する
プロビジョニング パッケージを Surface Hub にデプロイするには、次の 2 つの方法があります。
- 最初にセットアップを実行します。 プロビジョニング パッケージを適用して、Wi-Fi 設定、プロキシ設定、デバイス アカウントの詳細、Microsoft Entra 参加、関連設定など、複数のオプションをカスタマイズできます。
- 設定アプリ。 最初の実行のセットアップ後、設定アプリを使用してプロビジョニング パッケージを適用できます。
最初の実行時にプロビジョニング パッケージを適用する
- Surface Hub を初めてオンにすると、初回実行プログラムに [Hi there]\( こんにちは\) ページが表示されます。 続行する前に、設定が正しく構成されていることを確認してください。
- .ppkg ファイルを格納した USB フラッシュ ドライブを Surface Hub に挿入します。 パッケージがドライブのルート ディレクトリにある場合、最初の実行プログラムによって認識され、デバイスを設定するかどうかを確認します。 [セットアップ] を選びます
- 次にプロビジョニング元を選択する画面が表示されます。 [リムーバブル メディア] を選んで [次へ] をタップします。
- 適用するプロビジョニング パッケージ (*.ppkg) を選択し、[ 次へ] をタップします。 最初の実行時にインストールできるパッケージは 1 つだけであることに注意してください。
- 初回実行プログラムには、プロビジョニング パッケージが適用する変更の概要が表示されます。 [はい、追加する] を選びます。
デバイスが初めて再起動したら、USB フラッシュ ドライブを取り外します。 プロビジョニング パッケージの設定がデバイスに適用され、OOBE を完了できます。
設定アプリを使用してプロビジョニング パッケージを適用する
- .ppkg ファイルを格納した USB フラッシュ ドライブを Surface Hub に挿入します。
- Surface Hub から 、[設定] を 開始し、プロンプトが表示されたら管理者の資格情報を入力します。
- [Surface Hub]>[デバイス管理] に移動します。 [プロビジョニング パッケージ] で、[プロビジョニング パッケージの追加または削除] を選択します>パッケージを追加します。
- プロビジョニング パッケージを選択し、[追加] を選択します。 メッセージが表示されたら、管理者の資格情報をもう一度入力します。
- 適用する変更の概要が表示されます。 [はい、追加する] を選びます。