[Autopilot]管理者権限を付与したアカウント作成に失敗する不具合
今回はAutopilotでクライアントをキッティングした際、管理者権限を付与した複数のアカウント作成に失敗した事象についてご紹介します。
発生した事象の詳細
今回はお客様先でクライアントをキッティングした際に発生した事象をご紹介します。
今回はAutopilotによるキッティングで、クライアント内で以下のアカウント作成を想定していました。
- ローカル管理者アカウント(PowerShellスクリプトで作成)
- 管理者権限が付与されたAzure ADアカウント
Azure ADアカウントはセットアップ完了後に管理者権限を付与するため、Autopilotのデプロイプロファイル設定の「ユーザーアカウントの種類」を「管理者」に設定していました。
しかしセットアップ完了後、ローカル管理者アカウントは作成されたものの、Azure ADアカウントに管理者権限が付与されていない結果になりました。
原因
弊社で調査した結果、「Autopilotでは管理者アカウントを複数作成できない」不具合が原因ということが分かりました。
この事象は既知の不具合としてMicrosoftに認識されています。
最初に作成したアカウント以外はユーザー権限のローカルアカウントとして登録されます。
Autopilotユーザー駆動型ハイブリッドAzure ADデプロイでは、Autopilotプロファイルで指定されている場合でもユーザーに管理者権限は付与されません。
この問題は、既に管理者権限を持つ別のユーザーがデバイスに存在する場合に発生します。
PowerShellスクリプトまたはポリシーは、ローカルアカウントを作成できます。
不具合はどのタイミングで発生したのか
今回の事象を時系列順に整理するとこのようになります。
- 1.AutoPilotを開始
- 2.AutoPilot中にPowershellスクリプトによりローカル管理者アカウントが作成
- 3.AutoPilot終了時(アカウントのセットアップ時)に実行ユーザーが管理者として登録
- 4.AutoPilot終了後、端末には管理者権限を持ったローカルアカウントと、ユーザー権限を持ったAzureADアカウントがユーザーとして登録
3.の時点で、既にスクリプトで作成した管理者権限のアカウントが存在しています。
AutoPilotの不具合により、このタイミングでAutoPilot実行ユーザー(Azure ADアカウント)は管理者権限ではなく、ユーザー権限としてアカウントが作成されます。
その結果、本来の想定(管理者権限を持ったローカルアカウントとAzure ADアカウントが登録されている状態)ではなく、管理者権限を持ったローカルアカウントと、ユーザー権限を持ったAzureADアカウントがユーザーとして登録されている状態となったというわけです。
終わりに
Autopilotでキッティングを行う際、複数のアカウントに管理者権限を付与できない場合はこの不具合を疑ってみてはいかがでしょうか。
Autopilotやクラウド管理ゲートウェイ(CMG)、Intuneについてのご相談お待ちしております
アーザスではAutopilotやCMG、Intune案件のご相談も多くなってきており、いよいよクラウドベースの管理が本格化してきていると痛感しております。
Autopilot、CMG導入や本件のようなMECMサポートをお考えの方は是非一度ご相談下さい。