Autopilot 自己展開モードを検証してみた

AutoPilotでWindows10をセットアップする

Autopilotとは・・・

Windows Autopilot は、新しいデバイスのセットアップと事前構成に使用されるテクノロジのコレクションで、生産性の高い使用ができるようにデバイスを準備するためのものです。 また、Windows Autopilot を使用して、デバイスのリセット、用途変更、回復を行うこともできます。

MS公式ページから引用

箱から出してインターネットにつながると自動的にセットアップを完了させるといったことが可能になります。
Intuneと組み合わせることにより、必須アプリやポリシーを自動的に適用させることができます。

今回の記事を試すには、Windows 10 1809以降が必要になりますのでご注意ください

この記事を完了すると、一切手を触れずにセットアップを完了させることができます。
この記事は、AzureADのみを利用した場合です。Hybrid AADの場合には追加手順が必要となります。

この記事の内容を設定するとこちらの動画のように自動的にWindows10をセットアップすることができるようになります

H/W ID情報を収集する

AppleのDEPと違い、自分で情報を収集し対象デバイスとすることができます
このあたりは既存のデバイスを簡単にAutopilot対象デバイスとすることができるのでいいですね！

対象にしたいデバイスで、下記Power Shellコマンドを実行します

c:\>Install-Script -Name Get-WindowsAutoPilotInfo

PATH 環境変数の変更
システムに既定のスクリプトのインストール パスがまだ構成されていません。つまり、スクリプトを実行するには、必ずスクリプト
 ファイルの完全パスを指定する必要があります。この操作を実行すると、スクリプトをフォルダー 'C:\Program
Files\WindowsPowerShell\Scripts' に配置し、そのフォルダーを PATH 環境変数に追加します。スクリプトのインストール パスを
'C:\Program Files\WindowsPowerShell\Scripts' PATH 環境変数に追加しますか?
[Y] はい(Y)  [N] いいえ(N)  [S] 中断(S)  [?] ヘルプ (既定値は "Y"): y

続行するには NuGet プロバイダーが必要です
PowerShellGet で NuGet ベースのリポジトリを操作するには、'2.8.5.201' 以降のバージョンの NuGet
プロバイダーが必要です。NuGet プロバイダーは 'C:\Program Files\PackageManagement\ProviderAssemblies' または
'C:\Users\autopilot\AppData\Local\PackageManagement\ProviderAssemblies'
に配置する必要があります。'Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force' を実行して NuGet
プロバイダーをインストールすることもできます。今すぐ PowerShellGet で NuGet
プロバイダーをインストールしてインポートしますか?
[Y] はい(Y)  [N] いいえ(N)  [S] 中断(S)  [?] ヘルプ (既定値は "Y"): y

信頼されていないリポジトリ
信頼されていないリポジトリからスクリプトをインストールしようとしています。このリポジトリを信頼する場合は、Set-PSReposit
ory コマンドレットを実行して、リポジトリの InstallationPolicy の値を変更してください。'PSGallery'
からスクリプトをインストールしますか?
[Y] はい(Y)  [A] すべて続行(A)  [N] いいえ(N)  [L] すべて無視(L)  [S] 中断(S)  [?] ヘルプ (既定値は "N"): y

H/W ID情報をCSVファイルに出力させます

Set-ExecutionPolicy Unrestricted
Get-WindowsAutopilotinfo -outputfile c:\temp\machine.csv

 

Microsoft Intuneへの自動登録の有効化

今回は、EMS E5試用版を利用しているためIntuneへの自動登録も有効化します

1. Azure Active Directory → モビリティ(MDMおよびMAM) → 【Microsoft Intune】をクリックします
   
2. MDMユーザースコープで「すべて」を選択し、【保存】をクリックします
   

デバイスの登録

1. Intune → 【デバイスの登録】をクリックします
   
2. 「Windowsの登録」→ 【デバイス】をクリックします
   
3. 【インポート】をクリックします
   
4. 事前に作成したCSVファイルを指定、【インポート】をクリックします
   
5. インポートが開始されます
   インポートは少し時間がかかりますので、気長に待ちましょう
   
6. インポートが完了すると下記図のように通知メッセージが表示されます
   
7. 【最新の情報に更新】をクリックし、デバイスがインポートされたことを確認します。
   最新の情報に更新してもデバイスが表示されないときには、【同期】ボタンをクリックし、少し時間をあけて再度【最新の情報に更新】をクリックします
   

展開用グループの作成

今回は展開用デバイスを絞りたかったため、下記内容で展開用グループを作成します

1. 「Azure Active Directory」→【グループ】をクリックします
   
2. 【新しいグループ】をクリックします
   
3. 下記内容でグループを作成します
   

   グループの種類	セキュリティ
   グループ名	intuneGrp
   グループの説明
   メンバーシップの種類	割り当て済

4. 「メンバー」をクリックし、先ほどCSVからインポートしたマシンを選択します
   最初の登録はシリアル番号となるので、インポートしたマシンのシリアル番号で検索し、デバイスをメンバーとして登録します
   
5. 【作成】をクリックし、グループを作成します

展開プロファイルの作成と割り当て

1. 「Intune」→ 【デバイスの登録】をクリックします
   
2. 「Windowsの登録」→ 【デプロイプロファイル】をクリックします
   
3. 【プロファイルの作成】をクリックします
   
4. 設定していきます
   

   設定項目	今回の設定値	備考
   名前	自己展開	プロファイルの名前を入力
   説明		説明を入力（省略可能）
   すべての対象デバイスをAutopilotに変換する	はい	この設定を「はい」にすると、プロファイルが割り当てられたグループに含まれる すべてのデバイスが、Autopilot展開サービスに登録されます
   配置モード	自己展開(プレビュー)
   Azure ADへの参加の種類	AzureAD参加済み

   

5. OOBEの欄をクリックし、OOBEの設定をします
   

   設定項目	今回の設定	備考
   言語（リージョン）	日本語（日本）
   キーボードを自動的に構成する	はい
   ソフトウェアライセンス条項（EULA)	非表示
   プライバシー設定	非表示
   アカウントの変更オプションを非表示にする	非表示
   ユーザーアカウントの種類	標準
   コンピュータ名テンプレートを適用	はい
   名前の入力	%SERIAL%	会社略称＋SERIALとかがいいのかな？

   

6. 【作成】をクリックします

展開プロファイルへデバイスグループを割り当てる

作成したプロファイルを適用するグループをプロファイルに対して割り当てます

1. 作成したプロファイル名をクリックします
2. 【割り当て】をクリックします
   
3. 【含めるグループを選択】をクリックします
   
4. 事前に作成したグループ名(今回はintuneGrp)を選択します
5. 【保存】をクリックします
   

登録ステータスを構成する

1. 「Windowsの登録」→【登録ステータスページ（プレビュー）】をクリックします
   
2. 【規定】をクリックします
   
3. 【設定】をクリックします
   
4. 必要に応じて設定を変更し、【保存】をクリックします
   設定が完了するまでユーザの利用をブロックしたりできるので、サテライトオフィス等で状況が見えないようなところではセキュリティ的にはいいのではないでしょうか

対象のデバイスが自動的にセットアップされるかテストする

今回は以前からあるデバイスのため、PCの初期化をします。

1. 設定を開く
2. 【更新とセキュリティ】をクリック
3. 【回復】をクリック
4. 【開始する】をクリック
5. 指示に従ってPCを初期化します
6. セットアップが自動実行されゼロタッチセットアップが完了します

PCを送付して有線LANつないで電源入れてね。の一言でセットアップがすべて完了します
もちろん無線LANでも可能ですが、無線への接続は最初に設定する必要があり、
エンドユーザーへ無線環境の設定を公開していない場合には少し面倒かもしれませんが、インターネット接続さえあればいいのでゲスト用WiFiへ一時的に接続させることでセットアップを完了させることができると思います。

失敗事例集

当初Intune側での登録ではなく、ビジネス向けMicrosoft Store側でプロファイル設定をしてしまい中途半端に止まってしまうということを繰り返していました（笑）
そのときの失敗事例をまとめてみました

失敗：0x800705b4でとまる

Let’s Note CF-SZ5で試していたところ下記エラーになってしまいました・・・

お使いのハードウェアをセキュリティで保護する（失敗：0x800705b4)

テストしてたマシンが1803でした・・・
自己展開(プレビュー)は1809でないと動かないはずなので、1809へアップデートしてみました

通った！と思ったら今度はこっちが失敗・・・

失敗：3,0x801c03eaでとまる

モバイル管理の対象デバイスを登録しています（失敗：3,0x801c03ea)

とやっていたら、ハードウェアTPM2.0が必要とのこと・・・orz
TPMついてればいけるんだろうと思っていたのですが、1.2はだめでTPM2.0が必要とのこと
TPMは搭載されていたけど古いマシンだったからバージョンが古くてできていなかったというオチ・・・
仕方ないので、自己展開をやめてプロファイルの配置モードをユーザードリブンに変更して実行したところ最後まで動きました

モバイルデバイス登録 失敗：0x80180005でとまる

intuneのグループ設定が間違っていました
intuneへの自動登録を設定していたのですがグループの割り当てが間違っていたようでこのエラーが発生しました
ビジネス向けMicrosoft Storeで登録してしまい、AADデバイスとして登録されていなかったのが原因かと思います。
上記記事の手順の場合には、CSVインポート後にAADデバイスとして表示されます。

この画像では、セットアップ後のため有効欄が「はい」となっていますが、インポート直後の場合には「いいえ」となった状態でAADデバイスとして登録されてきます。
ここにデバイスとして認識されていなかったため、Intuneへの登録でエラーが発生してしまったと思います。

エラーコードで調べるとこのページがヒットします
https://docs.microsoft.com/en-us/windows/desktop/MDMReg/mdm-registration-constants
ここだとdatabase access error 管理サーバに接続できないと記載されていてなんでだろうかとしばらく悩みましたが
自分の手順ミスですね・・・

 

参考URL

https://docs.microsoft.com/ja-jp/microsoft-store/add-profile-to-devices

https://docs.microsoft.com/ja-jp/windows/deployment/windows-autopilot/self-deploying

https://www.microsoft.com/ja-jp/windowsforbusiness/windows-autopilot