Windows Autopilot ユーザー 駆動モード

Windows Autopilot ユーザー駆動モードを使用すると、新しい Windows デバイスを、ファクトリ状態からすぐに使用できる状態に自動的に変換するように構成できます。 このプロセスでは、IT 担当者がデバイスに触れる必要はありません。

そのプロセスは単純です。 デバイスは、次の手順でエンド ユーザーに直接出荷または配布できます。

  1. デバイスを箱から出し、コンセントにつなぎ、電源を入れます。
  2. 複数の言語を使用する場合は、言語、ロケール、キーボードを選択します。
  3. デバイスを、インターネットにアクセスできるワイヤレス ネットワークまたはワイヤードネットワークに接続します。 ワイヤレスを使用している場合は、まず Wi-Fi ネットワークに接続します。
  4. 組織の電子メール アドレス アカウントとパスワードを指定します。

プロセスの残りの部分は自動化されています。 デバイスは次の手順を実行します。

  1. 組織に参加します。
  2. Microsoft Intune または別のモバイル デバイス管理 (MDM) サービスに登録します。
  3. 組織によって定義されたとおりに構成されます。

その他のプロンプトは、既定のエクスペリエンス (OOBE) 中に抑制できます。 使用可能なオプションの詳細については、「 Autopilot プロファイルの構成」を参照してください。

重要

Active Directory フェデレーション サービス (ADFS) が使用されている場合、エンド ユーザーがそのデバイスに割り当てられているアカウントとは異なるアカウントでサインインできる 既知の問題 があります。

Windows Autopilot ユーザー駆動モードでは、Microsoft Entra 参加デバイスと Microsoft Entra ハイブリッド参加済みデバイスがサポートされています。 これら 2 つの結合オプションの詳細については、次の記事を参照してください。

ユーザー主導のプロセスの手順は次のとおりです。

  1. デバイスがネットワークに接続すると、デバイスは Windows Autopilot プロファイルをダウンロードします。 プロファイルは、デバイスに使用される設定を定義します。 たとえば、OOBE 中に抑制されるプロンプトを定義します。

  2. Windows は、重要な OOBE 更新プログラムを確認します。 更新プログラムが利用可能な場合は、自動的にインストールされます。 必要に応じて、デバイスを再起動します。

  3. ユーザーは Microsoft Entra 資格情報の入力を求められます。 このカスタマイズされたユーザー エクスペリエンスには、Microsoft Entra テナント名、ロゴ、サインイン テキストが表示されます。

  4. デバイスは、Windows Autopilot プロファイル設定に応じて Microsoft Entra ID または Active Directory に参加します。

  5. デバイスが Intune または別の構成済み MDM サービスに登録されます。 組織のニーズに応じて、この登録は次のいずれかになります。

    • MICROSOFT Entra 参加プロセス中に、MDM 自動登録を使用します。

    • Azure Active Directory 参加プロセスの前。

  6. 構成されている場合は、 登録状態ページ (ESP) が表示されます。

  7. デバイス構成タスクが完了すると、ユーザーは以前に指定した資格情報を使用して Windows にサインインします。 デバイス ESP プロセス中にデバイスが再起動した場合、ユーザーは資格情報を再入力する必要があります。 これらの詳細は再起動後は保持されません。

  8. サインイン後、ユーザーを対象とした構成タスクの登録ステータス ページが表示されます。

このプロセス中に問題が見つかった場合は、「 Windows Autopilot のトラブルシューティングの概要」を参照してください。

使用可能な結合オプションの詳細については、次のセクションを参照してください。

  • Microsoft Entra 参加 は、デバイスがオンプレミスの Active Directory ドメインに参加する必要がない場合に使用できます。
  • Microsoft Entra ハイブリッド参加 は、Microsoft Entra ID とオンプレミス Active Directory ドメインの両方に参加する必要があるデバイスで使用できます。

Microsoft Entra 参加のユーザー駆動モード

Windows Autopilot を使用してユーザー主導の展開を完了するには、次の準備手順に従います。

  1. ユーザードリブン モードの展開を実行しているユーザーが、デバイスを Microsoft Entra ID に参加できることを確認します。 詳細については、Microsoft Entra ドキュメントの 「デバイス設定を構成 する」を参照してください。

  2. 目的の設定を使用して、ユーザー駆動モード用の Autopilot プロファイルを作成します。

    • Intune では、プロファイルの作成時にこのモードが明示的に選択されます。

    • Microsoft Store for Business およびパートナー センターでは、ユーザー駆動モードが既定です。

  3. Intune を使用している場合は、Microsoft Entra ID でデバイス グループを作成し、そのグループに Autopilot プロファイルを割り当てます。

ユーザー主導のデプロイを使用して展開されるデバイスごとに、次の追加の手順が必要です。

  • デバイスを Windows Autopilot に追加します。 この手順は、次の 2 つの方法で実行できます。

  • Autopilot プロファイルをデバイスに割り当てます。

    • Intune と Microsoft Entra 動的デバイス グループを使用している場合、この割り当ては自動的に実行できます。

    • Intune と Microsoft Entra 静的デバイス グループを使用している場合は、デバイス をデバイス グループに手動で追加します。

    • ビジネス向け Microsoft Store やパートナー センターなどの他の方法を使用する場合は、Autopilot プロファイルをデバイスに手動で割り当てます。

ヒント

デバイスの目的の終了状態が共同管理である場合は、Autopilot プロセス中に発生する共同管理を有効にするように Intune でデバイス登録を構成できます。 この動作で、Configuration Manager と Intune の間で調整された方法により、ワークロードの管理機関が指示されます。 詳細については、「 Autopilot に登録する方法」を参照してください。

Microsoft Entra ハイブリッド参加のユーザー駆動モード

重要

Microsoft では、Microsoft Entra join を使用して、クラウドネイティブとして新しいデバイスをデプロイすることをお勧めします。 Microsoft Entra ハイブリッド参加デバイスとして新しいデバイスを展開することは、Autopilot を通じてなど、推奨されません。 詳細については、「 Microsoft Entra 参加済み」と「Microsoft Entra Hybrid joined in cloud-native endpoints: 組織に適したオプション」を参照してください

Windows Autopilot では、デバイスが Microsoft Entra に参加している必要があります。 オンプレミスの Active Directory 環境の場合、デバイスをオンプレミス ドメインに参加させることができます。 デバイスに参加するには、Microsoft Entra ID にハイブリッド参加するように Autopilot デバイスを構成します。

ヒント

Microsoft Intune と Microsoft Configuration Manager を使用してクライアント デバイスの展開、管理、セキュリティ保護を行っているお客様と Microsoft が話し合う際に、デバイスと Microsoft Entra ハイブリッド参加済みデバイスの共同管理に関する質問を受けることがよくあります。 多くのお客様が、この 2 つのトピックを混同しています。 共同管理は管理オプションですが、Microsoft Entra ID は ID オプションです。 詳細については、「 ハイブリッド Microsoft Entra と共同管理シナリオについて」を参照してください。 このブログ投稿は、Microsoft Entra ハイブリッド参加と共同管理、それらがどのように連携しているかを明確にすることを目的としていますが、同じではありません。

Microsoft Entra ハイブリッド参加の Windows Autopilot ユーザー駆動モードで新しいコンピューターをプロビジョニングしているときに、Configuration Manager クライアントを展開することはできません。 この制限は、Microsoft Entra 参加プロセス中のデバイスの ID 変更が原因です。 Autopilot プロセスの後に構成マネージャー クライアントを展開します。 クライアントをインストールするための代替オプションについては、「Configuration Manager のクライアント インストール方法」を参照してください。

ハイブリッド Microsoft Entra ID を使用したユーザー駆動モードの要件

  • ユーザー駆動モード用の Windows Autopilot プロファイルを作成します。

    Autopilot プロファイルの [ Join to Microsoft Entra ID as]\(Microsoft Entra ID に参加する\) で、[ Microsoft Entra hybrid joined]\(Microsoft Entra ハイブリッド参加済み\) を選択します。

  • Intune を使用する場合は、Microsoft Entra ID でデバイス グループが必要です。 Windows Autopilot プロファイルをグループに割り当てます。

  • ドメイン参加プロファイルを作成して割り当てる ドメイン参加では、オンプレミスの Active Directory ドメインの情報が構成されます。

  • デバイスはインターネットにアクセスする必要があります。 詳細については、 ネットワーク要件に関するページを参照してください。

  • Intune Connector for Active Directory をインストールします。

    注:

    Intune コネクタは、デバイスをオンプレミス ドメインに参加させます。 ユーザーは、デバイスをオンプレミス ドメインに参加させるアクセス許可を必要としません。 この動作は、コネクタがユーザーの代わりにこのアクション用に構成されていることを前提としています。 組織単位でコンピューター アカウントの上限を増やす」を参照してください。

  • プロキシを使用している場合は、Web プロキシ自動検出プロトコル (WPAD) プロキシ設定オプションを有効にして構成します。

ユーザー主導の Microsoft Entra ハイブリッド参加に関するこれらのコア要件に加えて、オンプレミス デバイスには次の追加要件が適用されます。

  • デバイスには、現在サポートされているバージョンの Windows があります。

  • デバイスは内部ネットワークに接続されており、Active Directory ドメイン コントローラーにアクセスできます。

    • ドメインとドメイン コントローラーの DNS レコードを解決する必要があります。

    • ユーザーを認証するには、ドメイン コントローラーと通信する必要があります。

VPN サポートを使用した Microsoft Entra ハイブリッド参加のユーザー駆動モード

Active Directory に参加しているデバイスでは、多くのアクティビティで Active Directory ドメイン コントローラーへの接続が必要です。 これらのアクティビティには、サインイン時のユーザーの資格情報の検証や、グループ ポリシー設定の適用が含まれます。 Microsoft Entra ハイブリッド参加済みデバイスの Autopilot ユーザー駆動プロセスでは、そのドメイン コントローラーに ping を実行することで、デバイスがドメイン コントローラーに接続できることを検証します。

このシナリオに対する VPN サポートを追加することで、接続チェックをスキップするように Microsoft Entra ハイブリッド参加プロセスを構成できます。 この変更により、ドメイン コントローラーと通信する必要がなくなります。 代わりに、組織のネットワークへの接続を許可するために、ユーザーが Windows へのサインインを試みる前に、Intune によって必要な VPN 構成が提供されます。

ハイブリッド Microsoft Entra ID と VPN を使用したユーザー駆動モードの要件

Microsoft Entra ハイブリッド参加を使用したユーザー駆動モードの コア要件 に加えて、VPN サポートを備えたリモート シナリオには、次の追加要件が適用されます。

  • 現在サポートされているバージョンの Windows。

  • Autopilot の Microsoft Entra ハイブリッド参加プロファイルで、次のオプションを有効にします。 ドメイン接続チェックをスキップします。

  • 次のいずれかのオプションを含む VPN 構成。

    • Intune を使用して展開でき、ユーザーは Windows サインイン画面から VPN 接続を手動で確立できます。

    • 必要に応じて VPN 接続を自動的に確立します。

必要な特定の VPN 構成は、使用されている VPN ソフトウェアと認証によって異なります。 Microsoft 以外の VPN ソリューションの場合、この構成には通常、Intune 管理拡張機能を使用して Win32 アプリを展開する必要があります。 このアプリには、VPN クライアント ソフトウェアと特定の接続情報が含まれます。 たとえば、VPN エンドポイント のホスト名です。 そのプロバイダーに固有の構成の詳細については、VPN プロバイダーのドキュメントを参照してください。

注:

VPN 要件は Autopilot に固有ではありません。 たとえば、リモート パスワード リセットを有効にする VPN 構成が実装されている場合、同じ構成を Windows Autopilot で使用できます。 この構成により、ユーザーは組織のネットワーク上にない場合に、新しいパスワードで Windows にサインインできます。 ユーザーがサインインし、その資格情報がキャッシュされると、Windows はキャッシュされた資格情報を使用するため、以降のサインイン試行では接続は必要ありません。

VPN ソフトウェアで証明書認証が必要な場合は、Intune を使用して、必要なデバイス証明書も展開します。 この展開は、Intune 証明書登録機能を使用して、証明書プロファイルをデバイスにターゲットとして実行できます。

一部の構成は、ユーザーが Windows にサインインするまで適用されないため、サポートされていません。

  • ユーザー証明書
  • Windows ストアからの Microsoft 以外の UWP VPN プラグイン

Validation

VPN を使用して Microsoft Entra ハイブリッド参加を試みる前に、Microsoft Entra ハイブリッド参加プロセスのユーザー駆動モードが内部ネットワークで動作することを確認することが重要です。 このテストでは、VPN 構成を追加する前にコア プロセスが機能することを確認することで、トラブルシューティングが簡略化されます。

次に、Intune を使用して VPN 構成とその要件を展開できることを確認します。 Microsoft Entra ハイブリッドが既に参加している既存のデバイスで、これらのコンポーネントをテストします。 たとえば、一部の VPN クライアントでは、インストール プロセスの一部としてマシンごとの VPN 接続が作成されます。 次の手順を使用して構成を検証します。

  1. マシンごとに少なくとも 1 つの VPN 接続が作成されていることを確認します。

    Get-VpnConnection -AllUserConnection
    
  2. VPN 接続を手動で開始します。

    RASDIAL.EXE "ConnectionName"
    
  3. Windows からサインアウトします。 [Windows サインイン] ページに VPN 接続 アイコンが表示されていることを確認します。

  4. デバイスを内部ネットワークから移動し、Windows サインイン ページのアイコンを使用して接続を確立します。 資格情報がキャッシュされていないアカウントにサインインします。

自動的に接続する VPN 構成の場合、検証手順が異なる場合があります。

注:

このシナリオでは、always-on VPN を使用できます。 詳細については、「 Always-on VPN のデプロイ」を参照してください。

次の手順