リモートワークPCの管理に最適!Windows Autopilotでできることとは?

Windows
リモートワークPCの管理に最適!Windows Autopilotとは?

ごろうです!

リモートワークで使うPCは、あらかじめIT部門がセットアップしてユーザーに渡す必要があります。PCの台数が多いとかなり面倒な作業ですよね。

「Windows Autopilot」を使うと、そんな面倒な作業から解放されます。

Windows Autopilotとは?

ユーザーがPCをインターネットに接続するだけで、その企業向けに自動でセットアップする仕組みのことです。

もっと詳しく

詳しい説明

① PCはOEM/リセラー/ディストリビューターから直接ユーザーに届きます。

② ユーザーは届いたPCの電源を入れ、インターネットに接続します。

③ するとPCの初期設定が自動で行われ、その企業向けにPCがセットアップされます。

IT部門もユーザーもほとんど何もしなくてもよいです。

どんな仕組み?

Autopilot模式図

どうしてインターネットに接続するだけでセットアップされるのでしょう?

IT部門の管理者は、あらかじめクラウドに以下のような情報を登録しておきます。

  • AutopilotしたいPCのID情報
  • 初期設定の内容
  • ユーザー

ユーザーがPCをインターネットに接続すると、PCのID情報を元にAutoilot対象かどうかチェックされます。対象の場合初期設定が始まります。

PCにインストールされているOSを利用する

PCの初期セットアップというと、MECMのOS展開のようにOSイメージを新たに適用する作業を想像するかもしれません。

AutopilotではPCに最初にインストールされているOSをそのまま使用します。

デバイスドライバーもPCにインストールされているものを使いますので、PCの機種ごとにデバイスドライバーを用意しておく必要がありません。

OSの要件

以下のエディションの半期チャネルのバージョンが必要です。

  • Windows 10 Pro
  • Windows 10 Pro Education
  • Windows 10 Pro for Workstations
  • Windows 10 Enterprise
  • Windows 10 Education
  • Windows 10 Enterprise 2019 LTSC

半期チャネル:昔でいう Current Branch for Business (CBB) のことです。半期に一度リリースされる最新バージョンと考えてください。

またOOBEが未実施である必要があります。一般化(Sysprep)した状態ということですね。

初期設定とは?

OOBEのことです。初めてPCを起動した時に青い画面で設定するアレです。

OOBE(Out of Box experience): ユーザーがPCを箱から出した後に体験することを指します。

OOBEで設定する以下のような項目を自動設定します。ほとんどスキップです。

  1. プライバシーの設定をスキップ
  2. デバイスでローカル管理者アカウントの作成を無効に
  3. 職場または学校用のデバイスを自動的にセットアップ
  4. Cortana、OneDrive、OEM 登録のセットアップのページをスキップ
  5. 使用許諾契約 (EULA) をスキップ

3番目の「職場または学校用のデバイス」では、ユーザーはサインインを求められます。サインインするとAzure Active Directoryに参加します。

Azure Active Directoryとは

Azure AD

Azure Active Directory (以下 Azure AD)とは、クラウドでのアカウントの管理を行う機能のことです。

主に以下のようなことを行います。クラウド版Active Directoryと考えても間違いではありません。

  • ユーザーの管理
  • アプリケーションの管理
  • シングルサインオン
  • デバイス管理
  • 多要素認証

PCのIDは購入するOEM/リセラー/ディストリビューターに登録してもらうのがベスト

Autopilotで使うPCのIDは、そのPCから専用のツールを使って出力する必要があります。

PCをユーザーに直接配送してそのまま使ってもらうためには、購入したOEM/リセラー/ディストリビューターにIDの出力やクラウドへの登録をしてもらう必要があります。

IT部門が出力することもできるのですが、出力した後でそのPCを標準化(Sysprep)しなければならず、非常に手間がかかります。

▼Autopilotに対応している製造元、リセラー

AutopilotができるのはOOBEだけ?

OOBE

Autopilotの仕事はOOBEまで。つまりAzure ADによる認証とデバイスの管理ができるようになるまでです。

しかしこれでは仕事で使うには足りないですよね。

そこで登場するのが「Microsoft Intune」です。

AutopilotはMicrosoft Intuneの一部

AutopilotはMicrosoft Intuneの機能の一部です。Autopilotで設定されたPCはIntuneで管理できます。

Mictosoft Intuneとは

Microsoft Intune

Mictosoft Intuneとは、クラウド経由でモバイル端末(Windows 10 PCも含む)とそのアプリの管理を行う機能のことです。

  • セキュリティポリシーなどのポリシー設定
  • 決められたアプリケーションのインストール
  • 更新プログラムの適用

など、PCを仕事用に設定する機能が実装されています。

Windows Autopilotに必要なプラン

プラン

Windows Autopilotを利用するためには以下のいずれかのプランに加入する必要があります。

  • Microsoft 365 Business Premium
  • Microsoft 365 F1 または F3 サブスクリプション
  • Microsoft 365 アカデミック A1、A3、または A5 サブスクリプション
  • Microsoft 365 Enterprise E3 または E5 サブスクリプション
  • Enterprise Mobility + Security E3 または E5 サブスクリプション
  • Intune for Education サブスクリプション
  • Azure Active Directory Premium P1、P2 + Microsoft Intune サブスクリプション

全てAzure ADとIntuneの機能が含まれているプランです。

大企業向けのMicrosoft 365を契約しているなら、既にAutopilotを使える状態です。

またサブスクリプションですので、新たに契約する場合でもスモールスタートを切ることができます。非常にお手軽です。

MECMとIntuneは共存できる

共同管理

MECMとIntuneは 共同管理 という形式で共存できます。1つのPCをMECMからもIntuneからも管理でき、両方のメリットを享受できます。

既にMECMを導入している企業がクラウド環境に対応するためIntuneを導入することができますし、逆にIntuneで管理している企業が更に細かい管理をするためにMECMを導入することもできます。

最後に

今回紹介した「Windows Autopilot」「Azure AD」「Microsoft Intune」を組み合わせた管理方法は「モダンマネージメント」と呼ばれています。

リモートワークに楽に対応でき、コストも控えめです。

ぜひ一度検討してみてはいかがでしょうか。