Windows Autopilot ユーザー 駆動モード

  • [アーティクル]
  • 適用対象:
    Windows 11, ✅ Windows 10

Windows Autopilot ユーザー駆動モードを使用すると、新しい Windows デバイスを自動的にファクトリ状態からすぐに使用できる状態に変換するように構成できます。 このプロセスでは、IT 担当者がデバイスに触れる必要はありません。

そのプロセスは単純です。 デバイスは、次の手順でエンド ユーザーに直接出荷または配布できます。

  1. デバイスを箱から出し、コンセントにつなぎ、電源を入れます。
  2. 複数の言語を使用する場合は、言語、ロケール、キーボードを選択します。
  3. デバイスを、インターネットにアクセスできるワイヤレス ネットワークまたはワイヤードネットワークに接続します。 ワイヤレスを使用している場合は、まず Wi-Fi ネットワークに接続します。
  4. お客様の組織アカウントのメール アドレスとパスワードを指定します。

プロセスの残りの部分は自動化されています。 デバイスは次の手順を実行します。

  1. 組織に参加します。
  2. Microsoft Intuneまたは別の MDM サービスに登録します。
  3. 組織によって定義されたとおりに構成されます。

既定のエクスペリエンス (OOBE) 中に他のプロンプトを抑制できます。 使用可能なオプションの詳細については、「 Autopilot プロファイルの構成」を参照してください。

重要

Active Directory フェデレーション サービス (AD FS) (ADFS) を使用する場合、エンド ユーザーがそのデバイスに割り当てられているアカウントとは異なるアカウントでサインインできる既知の問題があります。

Windows Autopilot ユーザー駆動モードでは、Microsoft Entra参加デバイスとハイブリッド参加済みデバイスMicrosoft Entraがサポートされます。 これら 2 つの結合オプションの詳細については、次の記事を参照してください。

ユーザー主導のプロセスの手順は次のとおりです。

  1. デバイスがネットワークに接続すると、デバイスは Windows Autopilot プロファイルをダウンロードします。 プロファイルは、デバイスに使用される設定を定義します。 たとえば、OOBE 中に抑制されるプロンプトを定義します。

  2. Windows は、重要な OOBE 更新プログラムを確認します。 更新プログラムが利用可能な場合は、自動的にインストールされます。 必要に応じて、デバイスを再起動します。

  3. ユーザーは、Microsoft Entra資格情報の入力を求められます。 このカスタマイズされたユーザー エクスペリエンスには、テナント名、ロゴ、サインイン テキストMicrosoft Entraが表示されます。

  4. デバイスは、Windows Autopilot プロファイル設定に応じて、Microsoft Entra IDまたは Active Directory に参加します。

  5. デバイスが Intune または別の構成済み MDM サービスに登録されます。 組織のニーズに応じて、この登録は次のいずれかになります。

    • Microsoft Entra参加プロセス中に、MDM 自動登録を使用します。

    • Azure Active Directory 参加プロセスの前。

  6. 構成されている場合は、 登録状態ページ (ESP) が表示されます。

  7. デバイス構成タスクが完了すると、ユーザーは以前に指定した資格情報を使用して Windows にサインインします。 デバイス ESP プロセス中にデバイスが再起動した場合、ユーザーは資格情報を再入力する必要があります。 これらの詳細は再起動後は保持されません。

  8. サインイン後、ユーザーを対象とした構成タスクの登録ステータス ページが表示されます。

このプロセス中に問題が見つかった場合はWindows Autopilot トラブルシューティングを参照してください。

使用可能な結合オプションの詳細については、次のセクションを参照してください。

  • Microsoft Entra参加は、デバイスがオンプレミスの Active Directory ドメインに参加する必要がない場合に使用できます。
  • Microsoft Entraハイブリッド参加は、Microsoft Entra IDとオンプレミスの Active Directory ドメインの両方に参加する必要があるデバイスで使用できます。

Microsoft Entra結合のユーザー駆動モード

Windows Autopilot を使用してユーザー主導の展開を完了するには、次の準備手順に従います。

  1. ユーザー主導モードのデプロイを実行しているユーザーが、デバイスをMicrosoft Entra IDに参加できることを確認します。 詳細については、Microsoft Entraドキュメントの「デバイス設定を構成する」を参照してください。

  2. 目的の設定を使用して、ユーザー駆動モード用の Autopilot プロファイルを作成します。

    • Intune では、プロファイルの作成時にこのモードが明示的に選択されます。

    • ビジネス向け Microsoft Storeとパートナー センターでは、ユーザー駆動モードが既定です。

  3. Intune を使用する場合は、Microsoft Entra IDでデバイス グループを作成し、そのグループに Autopilot プロファイルを割り当てます。

ユーザー主導のデプロイを使用して展開されるデバイスごとに、次の追加の手順が必要です。

  • デバイスを Windows Autopilot に追加します。 この手順は、次の 2 つの方法で実行できます。

  • Autopilot プロファイルをデバイスに割り当てます。

    • Intune を使用し、動的デバイス グループMicrosoft Entraする場合、この割り当ては自動的に実行できます。

    • Intune を使用し、静的デバイス グループMicrosoft Entraする場合は、デバイス をデバイス グループに手動で追加します。

    • ビジネス向け Microsoft Storeやパートナー センターなどの他の方法を使用する場合は、Autopilot プロファイルをデバイスに手動で割り当てます。

ヒント

デバイスの目的の終了状態が共同管理である場合は、Autopilot プロセス中に発生する共同管理を有効にするように Intune でデバイス登録を構成できます。 この動作で、Configuration Manager と Intune の間で調整された方法により、ワークロードの管理機関が指示されます。 詳細については、「 Autopilot に登録する方法」を参照してください。

Microsoft Entra ハイブリッド結合のユーザー駆動モード

重要

Microsoft では、Microsoft Entra参加を使用して、新しいデバイスをクラウドネイティブとしてデプロイすることをお勧めします。 新しいデバイスをハイブリッド参加デバイスとしてMicrosoft Entra展開することは、Autopilot を通じてなど、推奨されません。 詳細については、「Microsoft Entra参加済みとMicrosoft Entraハイブリッドがクラウドネイティブ エンドポイントに参加している:どのオプションがorganizationに適しているか」を参照してください。

Windows Autopilot では、デバイスを参加Microsoft Entra必要があります。 オンプレミスの Active Directory 環境がある場合は、デバイスをオンプレミスのドメインに参加させることができます。 デバイスに参加するには、Microsoft Entra IDにハイブリッド参加するように Autopilot デバイスを構成します。

ヒント

Microsoft は、クライアント デバイスの展開、管理、セキュリティ保護にMicrosoft IntuneとMicrosoft Configuration Managerを使用しているお客様と話をする際に、多くの場合、デバイスの共同管理やハイブリッド参加済みデバイスMicrosoft Entraに関する質問を受けます。 多くのお客様が、この 2 つのトピックを混同しています。 共同管理は管理オプションですが、Microsoft Entra IDは ID オプションです。 詳細については、「ハイブリッド Microsoft Entraと共同管理のシナリオについて」を参照してください。 このブログ投稿は、ハイブリッド参加と共同管理Microsoft Entra、それらがどのように連携しているかを明確にすることを目的としていますが、同じではありません。

Microsoft Entra ハイブリッド参加の Windows Autopilot ユーザー 駆動モードで新しいコンピューターをプロビジョニングしているときに、Configuration Manager クライアントを展開することはできません。 この制限は、Microsoft Entra参加プロセス中のデバイスの ID 変更が原因です。 Autopilot プロセスの後に構成マネージャー クライアントを展開します。 クライアントをインストールするための別のオプションについては、「Configuration Managerのクライアント インストール方法」を参照してください。

ハイブリッド Microsoft Entra IDを使用したユーザー駆動モードの要件

  • ユーザー駆動モード用の Windows Autopilot プロファイルを作成します。

    Autopilot プロファイルの [join to Microsoft Entra ID as]\(Microsoft Entra IDに参加する\) で、[ハイブリッド参加済みMicrosoft Entra選択します。

  • Intune を使用する場合は、Microsoft Entra IDにデバイス グループが必要です。 Windows Autopilot プロファイルをグループに割り当てます。

  • Intune を使用する場合は、ドメイン参加プロファイルを作成して割り当てます。 ドメイン参加では、オンプレミスの Active Directory ドメインの情報が構成されます。

  • デバイスはインターネットにアクセスする必要があります。 詳細については、 ネットワーク要件に関するページを参照してください。

  • Intune Connector for Active Directory をインストールします。

    注:

    Intune コネクタは、デバイスをオンプレミス ドメインに参加させます。 ユーザーは、デバイスをオンプレミス ドメインに参加させるアクセス許可を必要としません。 この動作では、ユーザーの代わりにこのアクションのコネクタを構成することを前提としています。 組織単位でコンピューター アカウントの上限を増やす」を参照してください。

  • プロキシを使用する場合は、WPAD プロキシ設定オプションを有効にして構成します。

ユーザー駆動型Microsoft Entraハイブリッド参加に関するこれらのコア要件に加えて、オンプレミス デバイスには次の追加要件が適用されます。

  • デバイスには、現在サポートされているバージョンの Windows があります。

  • デバイスは内部ネットワークに接続されており、Active Directory ドメイン コントローラーにアクセスできます。

    • ドメインとドメイン コントローラーの DNS レコードを解決する必要があります。

    • ユーザーを認証するには、ドメイン コントローラーと通信する必要があります。

VPN サポートを使用したMicrosoft Entra ハイブリッド参加のユーザー駆動モード

Active Directory に参加しているデバイスでは、多くのアクティビティで Active Directory ドメイン コントローラーへの接続が必要です。 これらのアクティビティには、サインイン時のユーザーの資格情報の検証や、グループ ポリシー設定の適用が含まれます。 Microsoft Entraハイブリッド参加済みデバイスの Autopilot ユーザー駆動プロセスでは、そのドメイン コントローラーに ping を実行することで、デバイスがドメイン コントローラーに接続できることを検証します。

このシナリオに対する VPN サポートの追加により、Microsoft Entraハイブリッド参加プロセスを構成して、接続チェックをスキップできます。 この変更により、ドメイン コントローラーと通信する必要がなくなります。 代わりに、organizationのネットワークへの接続を許可するために、ユーザーが Windows へのサインインを試みる前に、Intune によって必要な VPN 構成が提供されます。

ハイブリッド Microsoft Entra IDと VPN を使用したユーザー駆動モードの要件

Microsoft Entraハイブリッド参加を使用するユーザー駆動モードのコア要件に加えて、VPN サポートを備えたリモート シナリオには、次の追加要件が適用されます。

  • 現在サポートされている Windows のバージョン。

  • Autopilot のMicrosoft Entra ハイブリッド参加プロファイルで、次のオプションを有効にします。ドメイン接続チェックをスキップします。

  • 次のいずれかのオプションを含む VPN 構成。

    • Intune を使用して展開でき、ユーザーは Windows サインイン画面から VPN 接続を手動で確立できます。

    • 必要に応じて VPN 接続を自動的に確立します。

必要な特定の VPN 構成は、使用されている VPN ソフトウェアと認証によって異なります。 サード パーティの VPN ソリューションの場合、この構成には通常、Intune 管理拡張機能を使用して Win32 アプリを展開する必要があります。 このアプリには、VPN クライアント ソフトウェアと特定の接続情報が含まれます。 たとえば、VPN エンドポイント のホスト名です。 そのプロバイダーに固有の構成の詳細については、VPN プロバイダーのドキュメントを参照してください。

注:

VPN 要件は Autopilot に固有ではありません。 たとえば、リモート パスワード リセットを有効にする VPN 構成が実装されている場合、同じ構成を Windows Autopilot で使用できます。 この構成により、ユーザーは、organizationのネットワーク上にない場合に、新しいパスワードで Windows にサインインできます。 ユーザーがサインインし、その資格情報がキャッシュされると、Windows はキャッシュされた資格情報を使用するため、以降のサインイン試行では接続は必要ありません。

VPN ソフトウェアで証明書認証が必要な場合は、Intune を使用して、必要なデバイス証明書も展開します。 この展開は、Intune 証明書登録機能を使用して、証明書プロファイルをデバイスにターゲットとして実行できます。

一部の構成は、ユーザーが Windows にサインインするまで適用されないため、サポートされていません。

  • ユーザー証明書
  • Windows ストアからの Microsoft 以外の UWP VPN プラグイン

Validation

VPN を使用してMicrosoft Entraハイブリッド参加を試みる前に、Microsoft Entraハイブリッド参加プロセスのユーザー駆動モードが内部ネットワークで動作することを確認することが重要です。 このテストでは、VPN 構成を追加する前にコア プロセスが機能することを確認することで、トラブルシューティングが簡略化されます。

次に、Intune を使用して VPN 構成とその要件を展開できることを確認します。 ハイブリッド参加済みの既存のデバイスでこれらのコンポーネントMicrosoft Entraテストします。 たとえば、一部の VPN クライアントでは、インストール プロセスの一部としてマシンごとの VPN 接続が作成されます。 次の手順を使用して構成を検証します。

  1. マシンごとに少なくとも 1 つの VPN 接続が作成されていることを確認します。

    Get-VpnConnection -AllUserConnection

  2. VPN 接続を手動で開始します。

    RASDIAL.EXE "ConnectionName"

  3. Windows からサインアウトします。 Windows サインイン ページに [VPN 接続] アイコンが表示されることを確認します。

  4. デバイスを内部ネットワークから移動し、Windows サインイン ページのアイコンを使用して接続を確立します。 資格情報がキャッシュされていないアカウントにサインインします。

自動的に接続する VPN 構成の場合、検証手順が異なる場合があります。

注:

このシナリオでは、always-on VPN を使用できます。 詳細については、「 Always-on VPN のデプロイ」を参照してください。

次の手順