AutoPilotとIntuneを使用してHybrid Azure AD Joinデバイスを構成する
本日の記事は、Windows AutoPilotとMicrosoft Intuneを使用して、Hybrid Azure AD Joinデバイスを構成する方法についての記事です。
今日、ITを取り巻く環境はめまぐるしく変化しています。従来、デバイスのキッティングには SCCM などを使用した OS のイメージ展開による手法が多くの企業で選択されてきました。その後、プロビジョニングパッケージなども登場しましたが、私の知る限り国内ではあまり流行らなかったようです。
その為、組織のIT担当者は長い時間をデバイスのキッティングの為に費やす必要がありました。本日の記事で紹介させていただく Windows AutopilotとMicrosoft Intune を使用したHybrid Azure AD Join を使用すれば、ユーザーはハードウェアベンダーから直送されたデバイスに自身の組織アカウントでサインインするだけでアプリのインストール、デバイス設定など、ビジネスでデバイスを使用する為に必要な設定が完結します。
ユーザーのサインイン完了後、構成が完了したデバイスは、Hybrid Azure AD Join デバイスとしてAzure ADと、オンプレミスADの両方に登録されます。Hybrid Azure AD Joinを行う事によって、オンプレミスの資産(ファイルサーバーなどへのアクセス)や、グループポリシーによる制御は維持されたまま、IntuneによるMDMポリシー、アプリ配布といったモダンな制御が実現します。ハードウェアベンダーからデバイスが到着し、デバイスの構成が完了するまでの間、IT担当者はデバイスに触る必要すらありません。
これまでAutopilotは、Azure AD Joinにのみ対応していましたが、WIndows10 1809 から “プレビュー機能” として、Hybrid Azure AD joinに対応しました。このHybrid Azure AD Joinへの対応によって、オンプレミスADを使用している環境であっても新しいデバイスキッティング方法としてAuto Pilotを選択可能になりました。
■前提条件 / Prerequisites
●ハイブリッド Azure Active Directory 参加の構成を正しく完了する必要があります。
https://docs.microsoft.com/ja-jp/azure/active-directory/devices/hybrid-azuread-join-managed-domains
→Azure AD Connectの設定は本記事では省略します。リンク先のDocsを参照し、Azure AD Connectの構成を行ってください。
●以下グループポリシーをドメイン(Autopilotデバイスを格納するOU )に対して展開します。
[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [Windows コンポーネント] > [デバイス登録] > [ドメインに参加しているコンピューターをデバイスとして登録する] :有効
※このポリシーが正しく反映されていないと、AutopilotデバイスはAzure AD Join状態にはなりますが、Hybrid Azure AD Join状態にはなりません。
●Autopilotデバイスには、Windows10 1809以降を使用する必要があります。
●Autopilotデバイスは、初期セットアップ時にインターネットにアクセス可能な必要があります。
●Autopilotデバイスは、初期セットアップ時にオンプレミス Active Directoryにアクセスできる必要があります。(VPN接続は非サポート)
●OOBEを使用している必要があります。
→これはよくわからなかったのですが、多分応答ファイル等でOOBEプロセスをスキップしようとした場合、Autopilotのサインイン画面が表示されないという事だと思います。
■構成 / Configuration
☑ Windows 10 の自動登録の構成
1. Azure Portal にサインインします。左側のメニューから、[Azure Active Directory]を選択し、[モビリティ(MDMおよびMAM)]を選択します。
2. [Microsoft Intune]を選択し、[構成] - [MDMユーザースコープ]から、[一部]を選択しAutopilotとIntuneを使用してAzure ADに参加するユーザーアカウントが含まれるグループを選択するか、[すべて]を選択します。[保存]を選択します。
※この時、MAMユーザースコープを構成しないでください。MAM ユーザー スコープとMDM ユーザー スコープの両方が有効になっている場合、MAM のみが有効になります。 個人用デバイスをワークプレースに参加させると、MAM のみがそのグループのユーザーに追加されます。 デバイスは、自動的には MDM に登録されません。
☑オンプレミスAD 制御の委任の設定
AutopilotとIntuneを使用したHybrid Azure AD Joinを構成する場合、Intune Connecter for Active Directoryをホストするコンピュータが、ドメインに対してコンピューターオブジェクトを作成する権限を持っている必要があります。その為、事前にオンプレミスAD上で、Intune Connecter for Active Directoryをホストするコンピューターへの、オブジェクト作成権限を与える設定を行います。詳細な手順については、Docsを参照してください。
☑Intune Connector for Active Directoryのインストール
Windows Server 2016 を実行するサーバーに、Intune Connecter for Active Directoryをインストールします。スケールと可用性を向上させる目的や、複数のADドメインをサポートするには、複数のIntune Connecter for Active Directoryを実行するサーバーを構成する必要があります。
- Azure PortalにIntune管理者権限を持つアカウントでサインインし、[Microsoft Intune] – [デバイスの登録] – [Windowsの登録] – [Active DIrecotryのIntuneコネクタ]を選択します。
2.[Active DIrecotryのIntuneコネクタ]で、[+追加]を選択します。
3.[コネクタの追加]画面で、[オンプレミスのActive Directoryの Intune コネクタをダウンロード]を選択します。Intune Connecter for Active Directoryインストールファイルのダウンロードが実行されるので、ダウンロードしたファイルを保存します。
4.Intune Connecter for Active Directoryをホストする Windows Server 2016上で、先ほどダウンロードしたIntune Connecter for Active Directoryインストールファイルを実行します。以下画面で、[ライセンス条項および、使用条件に同意する]にチェックを入れて、[インストール]を選択します。
5. インストールが実行されるので、しばらく待機します。
6.[インストールが正常に完了しました]と表示されたら、[今すぐ構成する]を選択します。
7.[Sign In]を選択します。
8. Azure全体管理者またはIntuneサービス管理者のロールを割り当てられているアカウントでサインインします。
9.[Intune Connecter for Active Directoryが正常に登録されました。]と表示された事を確認し、[OK]を選択します。
10.Azure Portal にサインインし、Active DirecotryのIntuneコネクタ欄に、Intune Connecter for Active DirectoryをインストールしたWindows Serverのコンピューター名が表示され、状態が[アクティブ]と表示されている事を確認します。
☑Autopilot用動的デバイスグループの作成
Azure portalにアクセスし、新しい動的セキュリティグループを作成します。メンバーシップの規則では、高度なルールを選択し、以下のルールを適用します。
- すべてのオートパイロットデバイスを含むグループを作成する場合は、次のように入力します。
(device.devicePhysicalIDs -any _ -contains “[ZTDId]”)
- 特定の注文IDを持つすべてのAutopilotデバイスを含むグループを作成する場合は、次のように入力します。
(device.devicePhysicalIds -any _ -eq “[OrderID]:179887111881”)
- 特定のPurchase Order IDを持つすべてのAutopilotデバイスを含むグループを作成する場合は、次のように入力します。
(device.devicePhysicalIds -any _ -eq “[PurchaseOrderId]:76222342342”)
☑Autopilot展開プロファイルの作成
AutoPilot展開プロファイルを作成します。以下の図のように、配置モード[ユーザードリブン]、Azure AD参加の種類を[ハイブリッド Azure AD 参加済み]としてください。展開プロファイルの割り当て先には、先ほど作成したAutopilotデバイス用の動的グループを選択します。
☑Autopilotデバイスの登録
Autopilotは今回検証の為に、仮想マシンからHWIDを入手してIntuneに登録をしています。これは本来のAutopilotのシナリオとは異なります。仮想マシンからのHWIDの入手方法はこの記事では割愛しますが、正規の方法で入手したHWIDをIntuneに登録する際には、以下の方法で登録が出来ます。
- Azure Portalにサインインし、[Microsoft Intune] – [デバイスの登録] – [Windowsの登録] – [Autopilotデバイス]から、ハードウェアベンダーまたは販売代理店から入手したAutopilotデバイスのHWIDをアップロードします。
※デバイスにユーザーを紐づける場合には、上部メニューの[ユーザーの割り当て]を選択する事で、紐づける事が可能です。
☑Domain参加プロファイルの作成 (Preview)
このプロファイルを作成し、Autopilotデバイス動的グループに割り当てを行う事で、AutopilotデバイスがDomain Join出来るようになります。尚、このプロファイルには現在不具合がある事が確認されています。プロファイルが正しく適用されても、[該当なし]と 表示されてしまう不具合です。不具合の詳細情報については、Intuneサポートチームのブログ を参照してください。
以下のように、コンピューター名のプレフィックス、ドメイン名を指定します。組織単位 OUについては、指定は必須ではありません。OUを指定しなかった場合、規定の Computers にAutopilotデバイスが格納されます。
このプロファイルは、[Microsoft Intune] – [デバイス構成 – プロファイル] から[プラットフォーム:Windows10以降]を選択し、作成をする事が出来ます。
☑ユーザー体験 / User Experience
これまでの手順で、Autopilotと Intuneを使用して、新規デバイスをHybrid Azure AD Joinする準備が出来ました。それでは、実際にAutopilotとIntuneを使用してHybrid Azure AD Joinする際のユーザー体験がどのようなものになるか、以下に記載をします。
- PCを起動後、地域の選択画面が表示されます。地域を選択し、[はい]を選択します。
2. キーボードレイアウトを尋ねられます。キーボードレイアウトを選択し、[はい]を選択します。追加のキーボードの選択もスキップします。
3. Microsoftへの接続が確認されるので、しばらく待機します。
※ここでインターネットに接続されていない場合、Autopilotは機能せず、ローカルユーザー作成の画面に推移します。現在、公式のアナウンスでは、このローカルユーザーの作成はブロックできません。現在、私はデバイス構成プロファイルを使用してローカルユーザーの作成を禁止する方法について検証を行っているので、それについては別のタイミングで本ブログの記事でご紹介します。
4. “組織”へようこそ!と表示されます。ここで表示されるロゴなどは、Azure ADの[会社のブランド] – [構成] から指定可能です。このデバイスには、既にユーザーを割り当てているので、割り当て済みのオンプレミスADから同期したユーザーアカウントでサインインします。
5.Autopilot用にデバイスが構成されます。今回は登録ステータスページのポリシーを有効化している為、以下のように表示されます。
6.サインイン画面が表示されるので、組織用のAzure ADアカウントでサインインします。
7.[組織がこのデバイスを管理できるようにする]をONにして、[はい]を選択します。
8.準備が完了しました!と表示された事を確認し、[完了]を選択します。
9. 登録ステータスぺージで、全てのステータスが完了になるまで待機します。
10.全てのプロセスが完了すると、オンプレミスADへのログオン画面が表示されるので、オンプレミスAD上の組織アカウントでログインします。デバイスがHybrid Azure AD Joinできた事を確認して完了です。
11. Azure Portal側では以下のように表示されます。こちらからも、Hybrid Azure AD Join状態であり、Intune登録が完了している事が確認できます。
☑オンプレミスの資産へのアクセスと、クラウドからの管理の確認
今回は、AutopilotとIntuneを使用して、Hybrid Azure AD Joinをする方法についてご紹介しました。それでは、実際にこの方法によってセットアップされたデバイスがオンプレミスの資産へのアクセスが出来て、Intune管理されているかについて確認していきます。
- 今回は共有フォルダを作成し、アクセスを確認しています。オンプレミスADに参加をしている為、問題なくアクセス可能な事が確認できます。
2. グループポリシーで、Microsoftストアをプライベートストアのみ表示するように制限をかけていますが、こちらも問題なく制御できています。
※この制御はWindows 10 Enterpriseのみで実現できます。グループポリシーからではなく、Intuneからこの制御を行う為には、OMA-URI を使用する必要があります。
3. Intuneからチャネルを指定して配布したOffice 365 ProPlusも自動的にデバイスにインストールされている事が確認できました。
今回ご紹介させていただいたWindows AutopilotとMicrosoft Intuneを使用したHybrid Azure AD Joinデバイスを構成する事によって、オンプレミスの資産とクラウドからの制御の両方を実現する事が出来ます。非常に高度な構成が可能でありながら、IT担当者はハードウェアベンダーから提供されたデバイスのHWIDを事前にIntuneに登録さえしておけば、ユーザーがデバイスの使用を開始するまでの間、ノータッチでデバイスの構成が完了します。
この記事内では、幾つかの詳細な手順を割愛させていただきました。本記事でご紹介した Windows AutopilotとIntuneを使用したHybrid Azure AD Joinデバイスの詳細な構成方法については、以下Docsを参照してください。
☑ Deploy hybrid Azure AD joined devices using Intune and Windows Autopilot (Preview)
https://docs.microsoft.com/en-us/intune/windows-autopilot-hybrid
関谷さん、お久しぶりです!
大兼です。この記事、めっちゃ!役に立ちました。
たまたまWeb検索したこの記事に救われそうです。
相変わらず、私はブラックに会社におりますが…(笑)
福島さんと早く、抜け出したいねーなんて話してますよ。
関谷さん、頑張ってくださいね(`・ω・´)b
大兼さん、久しぶりです!記事の内容、役立ててもらえたみたいで嬉しいです!去年あまり呑めなかったので、また福島さんとかも一緒に呑みに行きましょう!!
深夜にコメント来て驚きました!笑 相変わらず忙しそうですが、体には気をつけてくださいね‥!!