第1回EMS勉強会の登壇資料 Autopilot設計時のポイント

1. Windows
Autopilot
設計時のポイント
第1回EMS勉強会
2019/07/27 Yoshihide Kimura

2. 自己紹介
Self-Introduction
2

3. Self-IntroductionYoshihide Kimura
W o r k
• 日本ビジネスシステムズ株式会社に所属
• Microsoft 365全般を担当
• Autopilotのハンズオンも担当
• 主な担当製品：
• Active Directory
• System Center
• Windows 10
• EMS
• あとはPowerAppsとかFlowとか好き勝
手にやってます。
P r i v a t e
• Hybrid Cloud Community Japan(HCCJP)所属
Azure / Azure Stackもやってます。
• Facebook：
https://www.facebook.com/yoshihide.kimura.58
• Twitter：https://twitter.com/objectbuzz
• Blog：https://medium.com/objectbuzz
• ネコ好き
• ペンギン好き
Aboutme…
自 己 紹 介
3

4. by the way,田代島に行ってきました
bytheway,
余 談
4
猫がそこらじゅうにいました。猫好きにはおすすめです。

5. Self-IntroductionYoshihide Kimura
O h t e r
• TechSummit 2018 にてAutopilotハンズオンを担当。
• １日目は時間切れでボロボロ（申し訳ない。。。）
• ２日目は内容見直して無事完了
→ご参加いただきました皆様有難う御座いました。
• 7/16に開催されたLenovo Transform 3.0 にて「Azure Stack HCI」を紹介
• Lenovoさんに実機をお借りして検証
• 2ノードのHCIで40万IOPS出る構成
Aboutme…
自 己 紹 介
5

6. important
notice
諸注意
免 責 事 項
あくまでも私の個人的な視点での話になりますので、本
資料の内容が全ての企業様に当てはまるわけではありま
せん。
所属する企業やMicrosoft様とも一切関係ありません。
本資料を閲覧したことによって問題が生じた場合や問題
が発生しそうになった場合、また、生じた一切の問題/
不利益について、発表者は責任を負いかねますのでご了
承ください。
また、内容を「Autopilot」に限定するとできることが
ほぼ無くなりますので、ここではAutopilot＋Intuneを
ベースとしてお話します。
N o t e :
Note:
本資料の内容は2019年7月時点の情報を元に作成しています。内容は今後変更される可能性があります。 6

7. ここから本番
start
7

8. １：事前準備編
２：考え方編
３：設定編
４：その他
目次
C o n t e n t s
Contents
8

9. 事前準備編
Advance preparation
9

10. ・管理サイト選び
・ハードウェアIDとは
・利用中端末のAutopilot対応
事前準備編
A d v a n c e p r e p a r a t i o n
Contents
10

11. Management管理サイト
Autopilotの管理サイトとして何を使用するか選択しましょう。
・ビジネス向けWindows Store
・Microsoft 365 デバイス管理センター
・Intune
おすすめはもちろんIntuneです。
使用するサイトによって設定できる内容が少なかったりしますので、ご注意ください。
また、ハードウェアIDのアップロード先と使用する管理サイトは同じサイトを使用することをオススメします。
※同期が不安定になったことがあります。
A d v a n c e p r e p a r a t i o n
11

12. Management管理サイト
A d v a n c e p r e p a r a t i o n
12
ビジネス向けMicrosoft Store Microsoft 365 デバイス管理センター Intune

13. Hardware IDハードウェアID
Autopilotの肝とも言えるハードウェアID（ハードウェアハッシュとも呼ばれる）
対応メーカーであれば管理者が取得しなくとも、専用のポータル経由でデバイスを登録可能。
この時使用するものはTupleIDまたはPKIDとなり、Powershellで取得するID（4K HH）とは別のIDになります。
※Autopilot利用予定の機種が対応しているかは事前にメーカーや仕入先にご確認ください。
尚、マザーボード交換等でハードウェアが変更になった場合はハードウェアIDが異なりますので、Intune等へ端末の
再登録が必要になります。
A d v a n c e p r e p a r a t i o n
13参考：https://docs.microsoft.com/en-us/windows/deployment/windows-autopilot/add-devices#registering-devices

14. Hardware IDハードウェアID
Powershellで取得可能なハードウェアIDを取得後、Order IDというタイトルを追加して、任意の値を入力すると、
Intuneへのインポート後に「Order ID」を使用したグルーピングが可能となります。
例）(device.devicePhysicalIds -any _ -eq [OrderID]:wg1903 )を動的デバイスの規則に入力すると、
Order IDに「wg1903」が登録されたデバイスのみがグループに登録される
これをうまく利用すれば、例えば部署ごとに異なるAutopilotポリシーを適用することも可能です。
A d v a n c e p r e p a r a t i o n
14

15. Hardware IDハードウェアID
A d v a n c e p r e p a r a t i o n
15
1.Powershellで出力したcsvファイルに
「Order ID」を追加し、値を入力
2. アップロードされたデバイスの「グル
ープタグ」に、csvの「Order ID」が
表示される

16. Hardware IDハードウェアID
A d v a n c e p r e p a r a t i o n
16
3.動的メンバーシップルールを以下の様
に指定
(device.devicePhysicalIds -any _ -
eq [OrderID]:wg1903 )
4. 作成したグループをデプロイプロファ
イルに割り当てる

17. Exiting Device利用中端末のAutopilot化
すでに利用中の端末をAutopilot対応する
のであれば、端末をIntuneに登録し、デバ
イスグループに作成、登録。
作成したグループをデプロイプロファイル
に割り当て、Autopilotに対応させておけ
ば、自動的にハードウェアIDを収集し、
Autopilot対応デバイスとして登録されま
す。
SCCMを利用中（SCCMで管理されている
端末）の場合は、SCCM経由で登録するこ
とも可能です。
A d v a n c e p r e p a r a t i o n
17参考：https://docs.microsoft.com/en-us/windows/deployment/windows-autopilot/add-devices#automatic-registration-of-existing-devices

18. Exiting Device利用中端末のAutopilot化
また、Windows 7/8.1をご利用中で、かつ、SCCMをご利用中の場
合、SCCMのタスクシーケンスを利用してWindows10をインストー
ルしつつAutopilot化することも可能です。
SCCM 1810以降の場合、タスクシーケンスのテンプレートに
Autopilot用テンプレートが準備されていますので、テンプレートを利
用して展開いただくと簡単に展開することが可能です。
また、Autopilot化のためにSCCMとIntuneを連携する
「Co-management」構成である必要はありません。
ただし、本構成場合は、「クリーンインストールのみ」となりますの
で、データはOneDrive等に予め退避しておく必要があります。
A d v a n c e p r e p a r a t i o n
18参考：https://docs.microsoft.com/en-us/windows/deployment/windows-autopilot/add-devices#automatic-registration-of-existing

19. 考え方編
Way of thinking
19

20. ・ポリシーはGPOの置き換えではない
・所有者に気をつける
・グループの考え方
・割り当ての考え方
考え方編
W a y o f t h i n k i n g
Contents
i20
20

21. ポリシーはGPOの
置き換えではない
W a y o f t h i n k i n g
「IntuneのポリシーはGPOと同じことができるのか」とよ
くお話をいただきます。
Intuneのポリシー（プロファイル）には「管理用テンプレ
ート」が一部搭載されていますので、かなり近づいている
部分もありますが、完全に置き換えるものではありませ
ん。
また、ポリシーを考える基準としては「どのポリシーを使
用するか」といった視点ではなく、「何を制御したいの
か」と行った視点から考えることをオススメします。
※ポリシー（プロファイル）はあくまでも手段である。
また、設計書には「なんのためにその設定をしたのか」を
必ず明記しておきましょう。
21
管理用テンプレート

22. 所有者
W a y o f t h i n k i n g
Intuneでは最初にデバイスを登録したアカウントを「ユー
ザーによって登録済み（Enrolled by User）」アカウント
として認識/登録します。
基本的には１アカウント５台までの登録となりますので、
例えば「管理者が事前にまとめて管理者アカウントを使っ
てデバイスを登録する」といったことはできません。
※White Gloveは事前にサインインが不要なため、本制限
にはひっかかりません。
また、現時点でIntuneに登録されたデバイスを削除しない
限り変更する方法はありません。
尚、Bitlockerを使用する場合、回復パスワードはIntune
管理者か登録済みユーザーのみ確認することができます。
22

23. グループの考え方
W a y o f t h i n k i n g
Azure ADやIntuneで設定可能なグループ。
Intuneではこのグループを元に、ポリシーの適用先やアプリケ
ーションの配布対象を決定します。
オンプレADのOU/GPOのように、ポリシーやアプリケーショ
ンの対象を考慮してグループを作成してください。
ただし、まずはすべてのユーザーを含むグループとすべてのデ
バイスを含むグループを作成し、その後、ポリシー/アプリケ
ーションを意識したグループを作成しましょう。
23

24. 割り当ての考え方
W a y o f t h i n k i n g
前ページで記載したとおり、ポリシーの適用先やアプリケーシ
ョンの配信対象はグループを対象とします。
グループには「ユーザー」と「デバイス」を登録できますが、
各種設定の割り当てには「ユーザー」を利用することをオス
スメします。
※「デバイス」がダメというわけではない。
特に制御系（USB利用不可等）はユーザーに紐づけておくと
意図しないデータの書き出しを防ぐことができます。
※書き出し用の端末を準備するのであれば不要
逆にWhite Gloveを使うときは「デバイス」をうまく使ってく
ださい。
24

25. 設定/運用編
Configuration / Operation
25

26. ・登録ステータスを有効活用
・複数人で利用する端末の注意点
・ポータルサイトアプリは必須
・なんでも配信できると思わない
・困った時のPowershell
・初期化のタイミングに気をつける
・証明書にも気をつける
・FU/QU配信
設定/運用編
C o n f i g u r a t i o n / O p e r a t i o n
Contents
26

27. Configuration登録ステータスを有効活用
登録ステータスを利用すると、設定完了までユーザーに
端末を操作させることを防げます。
登録ステータスではデバイス、ユーザーそれぞれにポリ
シーが幾つ当たっているかや、アプリケーションのイン
ストール状況（数のみ）を表示させることができます。
また、Autopilot失敗時に通知する内容をカスタマイズす
ることもでき、失敗時にHelpdeskへ連絡するように表示
させるようなことも可能です。
C o n f i g u r a t i o n / O p e r a t i o n
27

28. Configuration複数人で使う端末の注意点
共有端末等、1台の端末を複数人で利用する場合は、
条件付きアクセスにご注意ください。
条件付きアクセスの設定で「ブロック」にしている場
合、
そのデバイスにサインインしたことがあるユーザーのうち
１人でも30日間（既定）サインインがないと、全員条件
付きアクセス対象のアプリケーション等にサインインで
きなくなります。
ブロックされた場合はIntuneの管理画面からどのアカウ
ントが非準拠になっているか確認し、対象アカウントで
サインインいただき、Intuneと同期、その後非準拠から
準拠になることでサインイン可能となります。
C o n f i g u r a t i o n / O p e r a t i o n
28

29. Configurationポータルサイトアプリは必須
Windows Storeにて公開中のポータルサイトアプリは必
ずインストールしましょう。
ポータルサイトアプリでは、デバイスの状態や同期、管理
者が配信しているストアアプリを表示でき、一般ユーザ
ー権限でもこれらを実行/インストールすることが可能に
なります。
ただし、Intune経由で本アプリを強制インストールさせ
るには「Windows Store for Business」とIntuneを同
期させることが必要になります。
C o n f i g u r a t i o n / O p e r a t i o n
29

30. Configurationポータルサイトアプリは必須
C o n f i g u r a t i o n / O p e r a t i o n
30Windows Storeから配信しようとすると「必須」が選択できない
参考：https://docs.microsoft.com/ja-jp/intune/windows-store-for-business

31. Configurationなんでも配信できると思わない
2018年10月に追加されたWin32アプリの
配信によって、msi、ユニバーサルアプリの
配信に加えてWin32アプリ（exe）の配信も
可能となりました。
とはいえ、インストールはコマンドラインで
の実行となるため、基本的にはサイレントイ
ンストールに対応している必要があります。
そのため、すべてのアプリケーションを配信
できるわけではありません。
C o n f i g u r a t i o n / O p e r a t i o n
31

32. Powershell困った時のPowershell
exeやmsiを配信したいが、単純にインスト
ールさせるだけではなく、インストール前後
に設定を変更したい場合等はPowershallが
利用できます。
やり方次第では社内ファイルサーバーにイン
ストーラーを配置しておき、そこからダウ
ンロード、インストールさせるようなことも
可能です。
2019年５月のIntuneアップデートにより、
「ユーザー」のみではなく、「デバイス」に
対して配信も可能になりました。
C o n f i g u r a t i o n / O p e r a t i o n
32

33. Configuration初期化のタイミングに気をつける
運用を考える上で必要な「端末の再利用」
Autopilotには「Autopilot Reset」というリ
セット機能がありますが、本機能ではIntune
上のデバイスは削除されません。
そのため、退職等で端末の利用者を変更する
場合はIntuneコンソール上で「ワイプ」を実
行することをおすすめします。
ワイプを使わず手動でデバイスを削除する場
合は、「端末を初期化」→「Intuneデバイス
削除」の順番に実施しましょう。
C o n f i g u r a t i o n / O p e r a t i o n
33

34. Configuration初期化のタイミングに気をつける
もし先に「Intuneデバイスの削除」を実施し
てしまうと端末にサインインできなくなりま
す。
その場合はサインイン画面でShift 押しなが
ら再起動で初期化可能となります。
ただし、ドライブに対してBitlockerが有効な
場合は回復キーが必要となりますので、ご注
意ください。
※Intune上のデバイスを削除すると回復キー
は表示されなくなる
この場合、対処法はOS再インストールのみと
なります。
C o n f i g u r a t i o n / O p e r a t i o n
34
追記：別途ご指摘いただきましたが、
AzureADデバイス側に回復キーが
残っておりましたので、Intuneデバイ
ス側ではなく、AzureADデバイス側
で確認可能です。
大変失礼いたしました。

35. Configuration証明書にも気をつける
Autopilotは無線LANにも対応しています。
※White Gloveは有線LANのみ
ただし、エンタープライズでよくある「無線
LANの認証に証明書が必要」な場合、事前
に証明書をインポートさせることができま
せんので、ご注意ください。
また、同じくADFSの認証に証明書を使用し
ている場合、使用する証明書によっては事
前にインポートできませんので、合わせてご
注意ください。
C o n f i g u r a t i o n / O p e r a t i o n
35

36. ConfigurationQU/FU配信
Windows10をIntuneで管理する場合、QU/
FUは「Windows Update For Business」
で管理することになります。
そのため、WSUSやSCCMのように「QU/
FU」を完全に抑制することはできませんの
で、「更新リング」をうまく活用して、適用
タイミングをコントロールしましょう。
なお、合わせて「配信の最適化」を利用す
ることをオススメします。
「配信の最適化」はQU/FUだけでなく、
Intuneで配信されたアプリケーションにも
対応しています。
C o n f i g u r a t i o n / O p e r a t i o n
36

37. ConfigurationQU/FU配信
「配信の最適化」は設定次第ではインターネット経
由でコンテンツを取得しますので、ダウンロードモー
ドの設定には十分お気を付けください。
また、ダウンロードモードのLANでは、グローバル
IPをキーとしてグループ化しますので、環境によって
は拠点間でデータのやり取りが発生します。
こちらも併せてご注意ください。
なお、Microsoft社のケーススタディでは「ドメイン
（グループ）」を採用しているようです。
https://www.microsoft.com/en-us/itshowcase/adopting-windows-as-a-
service-at-microsoft
C o n f i g u r a t i o n / O p e r a t i o n
37参考：https://docs.microsoft.com/ja-jp/windows/deployment/update/waas-delivery-optimization-reference#download-m
ダウンロードモード一覧

38. その他
other
38

39. ・ホスト名のランダム値
・リモートアクセス
・Hybridからの移行
・Intune Enrollment
・Proplus失踪
その他
O t h e r
Contents
39

40. ホスト名のランダム値
O t h e r
Autopilotのプロファイル設定にてデバイス名のテンプレート
に「%RAND:x%」や「%SERIAL%」を指定することでホスト
名の重複を防ぐことができます。
ただしデバイス名のテンプレートでは「連番」をつけることは
できません。
「連番」をつける場合は展開後にPowershell等を利用して変
更することをおすすめします。
また、「%RAND:x%」を使用してホスト名の一部にランダム
値を割り当てる場合、このランダム値が重複する可能性があり
ます。
そのため、ランダム値の桁数はできるだけ多くすることをおす
すめします。
40

41. リモートアクセス
あれこれ
O t h e r
Intuneでは「TeamViewer」を連携することでリモートアクセ
スすることが可能ですが、ライセンスはIntuneとは別に必要と
なります。
Office 365proplusのSkypeやTeamsを使って画面共有する
こともできますし、レジストリやOMA-URIを利用して
Remote Desktopを有効化することも可能です。
また、イントラネット限定かつ専用サーバーが必要になります
が、Intel AMTの機能を利用してハードウェアレベルでリモー
トアクセスすることも可能です。
※端末がIntel AMTに対応している必要あり
Intel AMT：https://downloadcenter.intel.com/ja/
product/23549
41

42. リモートアクセス
あれこれ
O t h e r
PowershellでRDPとFW有効化（sample）
# Allow this to Run
Set-ExecutionPolicy Bypass -Force
# Enable RDP
Set-ItemProperty -Path "HKLM:
SystemCurrentControlSetControlTerminal Server" -
Name "fDenyTSConnections" ‒Value 0
# Open Firewall
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"
42
OMA-URIでRDP有効化
• OMA-URI: ./Device/Vendor/MSFT/Policy/Config/
RemoteDesktopServices/
AllowUsersToConnectRemotely
• Date type: String
• Value: <enabled />

43. Intune Enrollment
O t h e r
以前は端末の登録に使用されていた「Microsoft Intune
Enrollment」
※今は使われていないはず
Azure AD上にこれが残っているとAutopilotが失敗すること
があります。
特にHybrid AzureAD Joinの場合、Autopilot実行中にイベン
トログに以下のエラーがよく表示されます。
[microsoft-windows-moderndeployment-diagnostics-
provider/autopilot]に[0x81036501]が記録される。
この場合、「Microsoft Intune Enrollment」を削除すればエ
ラーが表示されなくなります。
43

44. Proplus失踪事件
O t h e r
Surface Laptop等、端末購入時にOffice 365 Proplusがプレ
インストールされている機種の場合、IntuneでProplus配信する
とプレインストールされているProplusがアンインストールされ
ることがあります。
これは、プレインストールされているProplusの更新チャネルが
毎月であり、配信しようとしているProplusの更新チャネルが毎
月以外の場合に起こりえます。
Proplusの更新チャネル変更はレジストリ変更で可能ですが、
レジストリ変更後にアップデートが必要です。
そして、このアップデートでは再インストールが実施されます。
この挙動により、Proplusのアップデート時にプレインストール
のProplusがアンインストールされ、その次の配信のタイミング
で再度Proplusがインストールされます。
44

45. オマケ
bonus
45

46. ・Powershellのログ
・イベントログあれこれ
・通常のOOBEでAzureADjoinとの比較
・リセット時の挙動
浅めのDeep Dive
b o n u s
Contents
46

47. Deep DivePowershell
ログファイルの保存場所
C:ProgramDataMicrosoftIntuneManagementExtensionLogs
IntuneManagementExtension.logを参照
ポリシーの確認頻度
既定では60分間隔
ポリシーの強制確認方法
Windowsサービス「Microsoft Intune Management Extension」を再起動する
複数のPowershellが登録されている場合、実行される順番は？
ランダムです
エージェントは32Bit?64Bit?
32Bitです。32Bitプロセスからx64デバイスにレジストリキーを作成すると、
レジストリ内の「WOW6432Node」にリダイレクトされるため、レジストリの取り扱いにはご注意を。
B O N U S
47

48. Deep DivePowershell
機密情報はPowershellに記載しないこと
実行するPowershellスクリプト自体は実行後に削除されますが、前項の
「IntuneManagementExtension.log」にはスクリプトの内容が全て記録されます。
ログは端末にサインインしている全ユーザーが表示可能なため、実行内容にパスワード等が記載されていると、
ログからパスワードが漏洩します。
失敗した場合のスクリプト実行の再試行間隔
現在の再試行間隔は60分ごとです。この手順は3回に限られています。
実行回数は以下のレジストリキーで確認可能です。
HKLMSOFTWAREMicrosoftIntuneManagementExtensionPoliciesUserGUIDScriptGUID
実行可能なスクリプトのサイズは？
200KBまでです。
スクリプトをスケジュールして実行は可能？
不可能です。必要に応じてタスクスケジューラーに登録してから実行させる等の仕組みを利用してください。
B O N U S
48

49. Deep DivePowershell
スクリプト実行のタイムアウト値は？
10分です。※変更不可の模様
アプリケーションのインストールは管理者アカウント（システムアカウント）で実行させたいけど、サインイ
ンしているユーザー名の情報が必要！
以下のようなPowershellでサインインしているアカウント情報を取得可能です。
$getusername = (Get-WMIObject -class Win32_ComputerSystem).username
$usern = $getusername -split ''
$userd = 'C:Users'+$usern[1]
B O N U S
49

50. Deep Diveイベントログあれこれ
Autopilotがうまく動かないときは「Shift＋F10」でコマンドプロンプトを起動し、「eventvwr」コマンドでイベ
ントビューアを起動します。
イベントビューアでは主に以下のログを確認しましょう。
• microsoft-windows-moderndeployment-diagnostics-provider/autopilot
• microsoft-windows-devicemanagement-enterprise-diagnostics-provider
• microsoft-windows-provisioning-diagnostics-provider/admin
• microsoft-windows-aad-operational
• microsoft-windows-assignedaccess-admin
• microsoft-windows-assignedaccess-operational
• microsoft-windows-shell-core-operational
B O N U S
50

51. Deep Diveイベントログあれこれ
B O N U S
51
• microsoft-windows-moderndeployment-diagnostics-provider/autopilot
にjsonファイルがダウンロードされたログが表示されます。
SCCMを使用したWindows7/8.1からのAutopilot対応の際に、
タスクシーケンスでjsonファイルを指定しますが、
おそらく同じ物と思われますので、やろうと思えば
手動でできるんじゃないかと考えてます。

52. workstation通常のOOBEでAzureADJoin
Autopilotを使わず、OOBEでAzure AD joinした場合の挙動
を確認しました。
サインイン画面でAzureADアカウントでサインイン後は
Autopilotプロファイルがなくても、登録ステータスが表示
され、その後、OOBEに戻ります。
これは登録ステータスがユーザーに紐づいているからと思わ
れます。
そのため、Autopilot化をしなくとも、Intuneのポリシー等
は割り当てられるため、OOBE部分を手動で実施する場合は
大差なさそうです。
そもそもAutopilotがOOBE部分の自動化が主のため、上記
挙動になると思われます。
D e e p D i v e
52

53. workstationリセット時の挙動
Autopilotと一言で言ってもいくつかのパターンがあります。
そこでそれぞれの手法でセットアップ後、Autopilotリセットをかけるとどんな挙動になるか確認してみました。
上記の通り、White Gloveの挙動も自己展開モードと同じ挙動になります。
D e e p D i v e
53
種類
初回実行時の挙動 リセット時の挙動
ユーザーモード NW接続後、AzureADアカウントでログオンする
とAutopilotが実行され、デスクトップが表示
自己展開モードと同じ挙動になる
自己展開モード NW接続後Autopilotが実行され、サインイン画
面が表示
左同
White Glove 管理者：WGの青画面→デバイス設定→WGの
緑画面→シャットダウン
ユーザー：起動→AzureADアカウントでサインイ
ン→Autopilot実行→デスクトップ表示
自己展開モードと同じ挙動になる

54. 最後に
lastly
54
54

55. lastlyこれまでご紹介したように、これ
までのOS展開とはまた違う形の運
用を考慮する必要がありますが、
そこをクリアできれば運用はかな
り楽になります。
lastly
最 後 に
55

56. lastly
本日ご紹介した内容が
少しでも皆様のお役に立てたので
あれば光栄です。
lastly
最 後 に
56

57. それでは、
良きAutopilot Lifeを!!
lastly
最 後 に
57