Windows Autopilot White Glove プレプロビジョニング

 

皆様ご無沙汰しておりました。本日の記事は、Windows 10 1903から追加されたWindows Autopilot White Gloveに関する検証記事です。

 

 

 

■ 機能概要  / Overview

 

これまで、Windows Autopilot を使用したデバイスキッティングでは、ユーザードリブンシナリオの場合、アプリケーションのインストールやMDMポリシーの適用などの自動キッティングが実施されている間、ユーザーに待機時間が発生してしまっていました。

この待機時間は、インストールするアプリケーションの数や、Intune から展開するプロファイルの数などにも影響されると思いますが、これまでの私の検証ではログインをしてから全てのプロセスが完了するまで数十分以上は必要でした。

White Gloveを使用すると、Azure AD Join及び、Hybrid Azure AD Joinのシナリオで、プロビジョニングプロセスを分割することで、ユーザーがPCの自動キッティングを待機しなくてはならない時間を短縮できます。更に、計画的に台数を計算してキッティングをしていく事によって、ネットワーク帯域を計画的に使用する事が可能になります。このように、White Gloveを使用する事で、大きな二つのメリットがあります。

 

このプロビジョニングプロセスの分割は、以下のように分割されるようです。

 

◆White Gloveでのプロビジョニング範囲

デバイスに対して割り当てられたアプリケーション、証明書、セキュリティテンプレート、設定、ポリシーが適用されます。
ユーザーに対して割り当てられたアプリケーション(Win32,LOB)がインストールされます。

 

◆エンドユーザーが実施するプロビジョニング範囲
ユーザーに対して割り当てられた設定と、ポリシーが適用されます。
※恐らくですが、WIn32とLOB以外のアプリケーションはユーザーがサインインしてから適用されると思います。

 

 

参考情報
Windows Autopilot for white glove deployment

 

 

■ 前提条件  /  Prerequisites

 

■  Windows 10、バージョン1903以降
※ バージョン 1903に加えて日本語OSでWhite Gloveを実行する場合、以下のKBを適用する必要があります。【KB4505903】

■ Intune サブスクリプション
■ Azure AD Premium P1以上のサブスクリプション
■ TPM 2.0 とデバイス認証をサポートする物理デバイス。仮想マシンはサポートされていません。TPMチップが搭載されているデバイスでも、TPM チップのバージョンが 1.x の場合はサポートされていません。)
■ イーサネット接続のある物理デバイス。Wi-fi接続は、サポートされていません。(Autopilotプロセスが開始される前に、Shift + F10 を押せばコマンドプロンプトが起動するのでそこから接続する事も可能ですが、通常のプロセスではネットワーク接続設定画面がWhite Gloveプロビジョニングの途中で表示されません。また、この機能でサポートされているのは有線でのネットワーク接続のみです。)

 

 

 

■構成 / Configuration

構成は非常に簡単です。ユーザー駆動モードで、Azure AD Joinまたは、Hybrid Azure AD Join用の Windows Autopilot プロファイルを作成する際に、以下の【White Glove OOBEを許可する】を設定するだけです。あとの構成は、それぞれ通常通りのAzure AD Joinまたは、Hybrid Azure AD JoinのAutopilotの準備と構成をしていきます。

 

 

 

※ White Gloveの検証は、現時点では検証用のテナントを用意して実施される事を推奨します。上記、前提条件内で記載したKBをインストールした1903バージョンのWIndows 10であれば、一応White Gloveの実行はできるのですが、実行中に自動MDM登録で躓くケースがあります。この場合は、Azure AD – モビリティ – Intune Enrollmentアプリを削除する事でWhite Gloveが実行できる場合があるのですが、このIntune Enrollmentを一度削除してしまうと、復活できません。

 

このIntune Enrollmentを復活させる事ができないと何が問題になるかというと、条件付きアクセスから指定可能なクラウドアプリケーションの一覧からIntune Enrollmentが消えてしまいます。その為、Windows デバイスのIntune登録制限をAzure AD条件付きアクセスでIntune Enrollmentを指定して行っている・行う事を検討している場合などはじゅうぶんに注意をしてください。

 

 

 

 

■ユーザーエクスペリエンス / User experience

 

ユーザー自身の操作は、White Gloveが完了し、再シールしてから行うので、キッティング担当者のエクスペリエンスになりますが、正常にWhite Glove プロセスが完了すると、以下のように表示されます。ユーザー割り当てはAzure Portalからのみではなく、White Glove用に作られたアプリを使用して行う事も出来ます。

 

緑色の画面が表示されたら、White Gloveプロセスは完了です。再シールを選択して、ユーザーにデバイスを渡します。ユーザーは、通常のAutopilotプロセスと同じように、Azure ADアカウントでデバイスにサインインして、プロセスを開始する事が可能です。

 

キッティング担当者は、デバイスに割り当てられたユーザーを確認・または必要に応じて変更してWhite Gloveプロセスを開始します。登録ステータスページを表示させている場合は、自動キッティングの進捗状況を確認する事が可能です。

 

 

 

 

 

White Gloveを使用した場合、実はユーザーの待機時間の節約や、ネットワーク帯域の計画的な使用の他に隠れたメリットも存在します。通常のAutopilotプロセスでは、ユーザーが確実に組織のアカウントを使用してキッティングする補償がありませんでした。しかし、このWhite Gloveを使用してプレプロビジョニングをしたPCでは、OOBE中のネットワークへの接続から【今は接続しない】が消えていたり、ローカルユーザーの作成が消えていたりします。つまり、ユーザー主導でのキッティングにおいても確実に組織のポリシーに基づいたデバイスキッティングを実施させる事が可能となります。

 

この部分については、現時点でまだ検証中なので別の機会に記事にします。

 

Sekiya Hideyuki

Profile: 都内のSIer勤務のインフラエンジニアです。普段はMicrosoft 365系のお仕事をしています。 ※本WEB SITEに記述している全ての内容は個人の主張であり、所属組織の見解や方針とは関係がありません。本サイトと所属組織とは無関係です。

おすすめ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください