Windows デバイスの一括登録

適用対象

  • Windows 10
  • Windows 11

新しい Windows デバイスを Microsoft Entra ID と Intune に参加させる。 Microsoft Entra テナントのデバイスを一括登録するには、Windows 構成デザイナー (WCD) アプリを使用してプロビジョニング パッケージを作成します。 プロビジョニング パッケージを企業所有のデバイスに適用すると、デバイスが Microsoft Entra テナントに参加し、Intune 管理に登録されます。 パッケージが適用されると、Microsoft Entra ユーザーがサインインする準備が整います。

Microsoft Entra ユーザーは、これらのデバイスの標準ユーザーであり、割り当てられた Intune ポリシーと必要なアプリを受け取ります。 Windows 一括登録を使用して Intune に登録されている Windows デバイスは、ポータル サイト アプリを使用して、使用可能なアプリをインストールできます。

ロールと権限

一括登録トークンを作成するには、サポートされている Microsoft Entra ロールの割り当てが必要であり、Microsoft Entra ID の管理単位にスコープを設定することはできません。 一括登録トークンを作成するアクセス許可を持つ Microsoft Entra 組み込みロールは次のとおりです。

  • クラウド デバイス管理者
  • Intune 管理者
  • パスワード管理者

これらのロールの詳細については、「 Microsoft Entra 組み込みロール」を参照してください。

前提条件

  • デバイスで Windows 11 または Windows 10 Creator Update (ビルド 1709) 以降が実行されている必要があります。
  • Windows の自動登録を有効にします。

さらに、Microsoft.Azure.SyncFabric (AppID 00000014-0000-0000-c000-00000000000) のサービス プリンシパルが Microsoft Entra テナントに存在することを確認します。 コマンド ラインで、 Get-AzureADServicePrincipal コマンドを使用して サービス プリンシパルを確認します。 サービス プリンシパルがないと、Windows 構成デザイナーは一括登録トークンを取得できないため、エラーが発生します。

プロビジョニング パッケージの作成

  1. Microsoft Store から Windows 構成デザイナー (WCD) をインストールします。

  2. Windows Configuration Designer アプリを開き、[Provision desktop devices] (デスクトップ デバイスのプロビジョニング) を選択します。 Windows 構成デザイナー アプリで [デスクトップ デバイスのプロビジョニング] を選択しているスクリーンショット

  3. [新しいプロジェクト] ウィンドウが開くので、そこで次の情報を指定します。

    • 名前 - プロジェクトの名前
    • プロジェクト フォルダー - プロジェクトの保存場所
    • 説明 - プロジェクトの省略可能な説明 Windows 構成デザイナー アプリで名前、プロジェクト フォルダー、説明を指定するスクリーンショット
  4. デバイスの一意の名前を入力します。 名前には、シリアル番号 (%SERIAL%)、または文字のランダムなセットを含めることができます。 必要に応じて、Windows のエディションをアップグレードする場合にプロダクト キーを入力したり、デバイスを共有使用のために構成したり、事前にインストールされたソフトウェアを削除することもできます。

    Windows Configuration Designer アプリで名前とプロダクト キーを指定するスクリーンショット

  5. 必要に応じて、初回起動時にデバイスが接続する Wi-fi ネットワークを構成できます。 ネットワーク デバイスが構成されていない場合は、デバイスの初回起動時にワイヤード (有線) ネットワーク接続が必要になります。 Windows 構成デザイナー アプリでネットワーク SSID とネットワークの種類のオプションを含む Wi-Fi を有効にするスクリーンショット

  6. [Enroll in Azure AD]\(Azure AD に登録\) を選択し、[Bulk Token Expiry]\(一括トークンの有効期限\) の日付を入力して、[Get Bulk Token]\(一括トークンの取得\) を選択します。 トークンの有効期間は 180 日です。

    注:

    プロビジョニング パッケージを作成したら、関連付けられているpackage_{GUID} ユーザー アカウントを Microsoft Entra ID から削除することで、有効期限が切れる前に取り消すことができます。

  7. 一括トークンを取得するには、Microsoft Entra の資格情報を指定します。 Windows 構成デザイナー アプリへのサインインのスクリーンショット

    注:

    • 一括トークンを要求するために使用するアカウントは、Microsoft Entra ID の MDM ユーザー スコープ に含まれている必要があります。 MDM ユーザー スコープに関連付けられているグループからこのアカウントを削除すると、一括登録は機能しなくなります。
    • 一括トークン取得は、段階的ロールアウトで有効になっているフェデレーション ユーザー アカウントでは機能しません。
  8. [すべてのアプリにサインインしたままにする] ページで、[いいえ、このアプリのみにサインインします] を選択します。 チェック ボックスが選択された状態のままにして [OK] をクリックすると、使用しているデバイスが組織によって管理されるようになります。 デバイスを管理対象にしない場合は、必ず [いいえ、このアプリのみにサインインします] を選択してください。

  9. 一括トークンが正常にフェッチされたら、[次へ] をクリックします。

  10. 必要に応じて [アプリケーションの追加][証明書の追加] ができます。 これらのアプリと証明書がデバイスでプロビジョニングされます。

  11. 必要に応じて、プロビジョニング パッケージをパスワードで保護できます。 [作成] をクリックします。 Windows 構成デザイナー アプリでのパッケージ保護のスクリーンショット

デバイスのプロビジョニング

  1. アプリで指定したプロジェクト フォルダーの場所にあるプロビジョニング パッケージにアクセスします。

  2. プロビジョニング パッケージをデバイスに適用する方法を選択します。 プロビジョニング パッケージは、次のいずれかの方法でデバイスに適用できます。

    • USB ドライブにプロビジョニング パッケージを置いて、USB ドライブを一括登録するデバイスに挿入し、初期セットアップ時に適用する
    • ネットワーク フォルダーにプロビジョニング パッケージを配置して、初期セットアップ後に適用する

    スプロビジョニング パッケージを適用するステップ バイ ステップの手順については、「プロビジョニング パッケージの適用」をご覧ください。

  3. パッケージを適用したら、デバイスは 1 分後に自動的に再起動します。 Windows 構成デザイナー アプリでのプロジェクト フォルダー、名前、説明の指定のスクリーンショット

  4. デバイスが再起動すると、Microsoft Entra ID に接続され、Microsoft Intune に登録されます。

Windows 一括登録のトラブルシューティング

プロビジョニングに関する問題

プロビジョニングは新しい Windows デバイスで使用することが想定されています。 プロビジョニングのエラーが起きると、場合によっては、デバイスをワイプするか、ブート イメージからデバイスを復元する必要があります。 プロビジョニングのエラーが起きるいくつかの理由について例を挙げます。

  • ローカル アカウントを作成しない Active Directory ドメインまたは Microsoft Entra テナントへの参加を試みるプロビジョニング パッケージは、ネットワーク接続がないためにドメイン参加プロセスが失敗した場合にデバイスに到達できない可能性があります。
  • プロビジョニング パッケージによって実行されるスクリプトは、システム コンテキストで実行されます。 スクリプトは、デバイスのファイル システムと構成に、任意の変更を加えることができます。 悪意のある、または正しくないスクリプトを使用すると、デバイスは再イメージングまたはワイプすることでのみ回復できる状態になることがあります。

イベント ビューアーへの Provisioning-Diagnostics-Provider の管理者ログインでパッケージ内の設定が成功したかどうかを確認できます。

注:

一括登録はユーザーレス登録方法と見なされるため、登録時に適用されるのは Intune の "既定" 登録制限のみです。 既定の制限で Windows プラットフォームが許可されていることを確認します。それ以外の場合、登録は失敗します。 DEM のベスト プラクティスと機能を他の Windows 登録方法と比較するには、「Windows デバイスの Intune 登録方法の機能」を参照してください。

Wi-Fi で一括登録

オープン ネットワークを使用していない場合は、デバイス レベルの証明書を使用して接続を開始する必要があります。 一括登録されたデバイスは、ネットワーク アクセスのためにユーザー対象の証明書に使用することはできません。

条件付きアクセス

条件付きアクセスは、Windows 11 または Windows 10、バージョン 1803 以降を実行している一括登録を介して登録されたデバイスで使用できます。