Windows事前プロビジョニング済みデプロイ用の Autopilot (パブリック プレビュー)

適用対象: Windows 10 バージョン 1903

重要

Autopilot Windowsのホワイト グラブ機能の名前が、事前プロビジョニングされたデプロイ のために Windows Autopilot に変更されました。 ホワイト グローブに関するこのドキュメントのすべての 参照は、 の事前プロビジョニング に置き換え済みです。 ホワイト グロー ブという用語 は、Autopilot の一部のブログや他の記事Windows場合があります。 これらの参照は、この記事で説明する事前プロビジョニング プロセスに対応しています。

WindowsAutopilot は、プレインストールされている OEM イメージとドライバーを使用して、組織が新しいデバイスを簡単にプロビジョニングするのに役立ちます。 これにより、エンド ユーザーは簡単なプロセスを使用してデバイスをビジネスに対応できます。

OEM の処理

WindowsAutopilot では、パートナーまたは IT スタッフが、完全に構成されたビジネス対応の Windows 10 PC を事前プロビジョニングするのに役立つ事前プロビジョニング サービスを提供できます。 エンド ユーザーの観点からは、Windows Autopilot ユーザー駆動型エクスペリエンスは変更されませんが、デバイスを完全にプロビジョニングされた状態に戻す方が高速です。

事前 Windowsデプロイ用に Autopilot を使用すると、プロビジョニング プロセスが分割されます。 時間のかかる部分は、IT、パートナー、または OEM によって行われます。 エンド ユーザーは、必要な設定とポリシーをいくつか完了するだけで、デバイスの使用を開始できます。

パートナーとの OEM プロセス

事前にプロビジョニングされたデプロイでは、Microsoft Intuneバージョン 1903 Windows 10バージョン 1903 以降で使用されます。 このようなデプロイは、既存の Windows Autopilot ユーザー駆動型シナリオに基いて構築され、Azure Active Directory 参加デバイスと Hybrid Azure Active Directory 参加デバイスの両方のユーザー駆動モード シナリオをサポートします。

[前提条件]

Autopilot のWindowsに加えて、事前プロビジョニングされたデプロイWindows Autopilot を使用するには、次の要件も必要です。

  • Windows 10バージョン 1903 以降。
  • Intune のサブスクリプション。
  • TPM 2.0 とデバイス構成証明をサポートする物理デバイス。 仮想マシンはサポートされていません。 事前プロビジョニング プロセスでは、Autopilot Windows機能が使用されます。そのため、TPM 2.0 が必要です。 TPM 構成証明プロセスでは、TPM プロバイダーごとに一意の HTTPS URL セットへのアクセスも必要です。 詳細については、「ネットワーク要件」の「Autopilot 自己展開モード」と「Autopilot の事前プロビジョニング 」のエントリを参照してください
  • 事前プロビジョニングを実行するには、イーサネット接続を持つ物理デバイスが必要です。 言語、ロケール、キーボードを選択してその Wi-Fi 接続を確立する必要があるため、Wi-Fi 接続はサポートされていません。 事前プロビジョニング プロセスでこの要件を適用すると、ユーザーがデバイスを受信するときに自分の言語、ロケール、キーボードを選択する妨げる可能性があります。 詳細については、「Autopilot white glove でのワイヤレス ネットワークWindows使用」を参照してください

重要

OEM またはベンダーが事前プロビジョニング プロセスを実行するために、エンド ユーザーのオンプレム ドメイン インフラストラクチャ にアクセスする 必要はない。 これは、デバイスの再起動が延期Azure AD一般的なハイブリッド クラウド参加シナリオとは異なります。 デバイスは、ドメイン コントローラーへの接続が必要な時刻より前に再封印され、エンド ユーザーがデバイスの事前設定を解除するとドメイン ネットワークに接続されます。

準備

事前プロビジョニングが予定されているデバイスは、通常の登録プロセスを介して Autopilot に登録されます。

事前プロビジョニングされたデプロイのために Windows Autopilot を試す準備をするには、最初に既存の Windows Autopilot ユーザー駆動型シナリオを正常に使用できます。

  • ユーザー駆動型Azure AD参加。 Autopilot を使用してデバイスをデプロイしWindowsテナントに参加Azure Active Directoryしてください。
  • ユーザー駆動型でHybrid Azure AD結合。 Windows Autopilot を使用してデバイスを展開し、オンプレミスの Active Directory ドメインに参加し、Azure Active Directory に登録して Hybrid Azure AD 参加機能を有効にできます。

これらのシナリオを完了できない場合、事前プロビジョニングされたデプロイWindows Autopilot は、これらのシナリオの上に構築されるので、成功しません。

プロビジョニング サービスファシリティで事前プロビジョニング プロセスを開始する前に、Intune アカウントを使用して追加の Autopilot プロファイル設定を構成する必要があります。

Out-of-box experience (OOBE) ポータルと、事前プロビジョニングを許可する強調表示された設定のスクリーンショット

事前Windows展開の事前プロビジョニング プロセス用に Autopilot を使用すると、Intune のすべてのデバイス対象ポリシーが適用されます。 これには、証明書、セキュリティ テンプレート、設定、アプリなど、デバイスをターゲットにしているものも含まれます。 さらに、次の 2 つの条件を満たす場合は、Win32 アプリまたは LOB アプリがインストールされます。

  • デバイス コンテキストでインストールするように構成されています。
  • Autopilot デバイスに事前に割り当てられているユーザーを対象とします。

win32 アプリと LOB アプリの両方を同じデバイスにターゲットに設定してください。

注意

事前プロビジョニング モードに簡単にアクセスするには、Autopilot プロファイルで指定されたユーザーとして言語モードを選択します。 事前プロビジョニング技術者フェーズでは、すべてのデバイスを対象とするアプリと、割り当てられたユーザーを対象とするユーザー対象のデバイス コンテキスト アプリがインストールされます。 ユーザーが割り当てられていない場合は、デバイスを対象とするアプリだけがインストールされます。 その他のユーザー対象ポリシーは、ユーザーがデバイスにサインインするまで適用されません。 これらの動作を確認するには、デバイスとユーザーを対象とする適切なアプリとポリシーを作成してください。

シナリオ

Windows事前プロビジョニング済みデプロイ用の Autopilot では、次の 2 つの異なるシナリオがサポートされています。

  • [参加] を使用したユーザー Azure AD展開。 デバイスは、新しいテナントAzure ADされます。
  • アプリケーションを使用したユーザー Hybrid Azure AD Join。 デバイスは 1 つのドメインに参加オンプレミスの Active Directory、別のドメインに登録Azure AD。

これらの各シナリオは、技術者フローとユーザー フローの 2 つの部分で構成されます。 大きなレベルでは、これらの部分は結合と結合のAzure AD同Hybrid Azure ADです。 違いは、主にエンド ユーザーが認証手順で確認します。

技術者フロー

顧客または IT 管理者が Intune を使用してデバイスに必要なすべてのアプリと設定を対象にした後、事前プロビジョニング技術者は事前プロビジョニング プロセスを開始できます。 技術者は、IT スタッフ、サービス パートナー、または OEM のメンバーである可能性があります。各組織は、これらのアクティビティを実行する必要があるユーザーを決定できます。 シナリオに関係なく、技術者が行うプロセスは同じです。

  • デバイスを起動します (Windows 10 Pro、Enterprise、Education SKU バージョン 1903 以降を実行)。
  • 最初の OOBE 画面 (言語選択画面またはロケール選択画面) で、[次へ] をクリック しません。 代わりに、Windowsキーを 5 回押して、追加のオプション ダイアログを表示します。 その画面から、[Autopilot プロビジョニング]オプションWindows選択 し、[続行] を クリックします

注意

Windows 10 バージョン 2004 および 20H2 では、Autopilot デプロイ プロファイルの [言語/地域]設定が [ユーザー選択] に設定されていない場合、OOBE は言語/リージョン/キーボード選択画面を超え、進行します。 これにより、事前プロビジョニング技術者は Azure AD ログイン ページに到着します。これは、事前プロビジョニングに入るには遅すぎます。 この問題は、バージョン 21H1 Windows 10で修正されています。

WindowsAutopilot プロビジョニング オプション

  • [Autopilot Windows] 画面に、デバイスに関する情報が表示されます。
  • デバイスに割り当てられた Autopilot プロファイル。
  • デバイスの組織名。
  • デバイスに割り当てられたユーザー (ある場合)。
  • デバイスの一意の識別子を含む QR コード。 このコードを使用して、Intune でデバイスを参照できます。 これを行って、ユーザーの割り当てや、アプリまたはポリシーのターゲット設定に必要なグループへのデバイスの追加など、構成を変更することができます。
  • : QR コードは、コンパニオン アプリを使用してスキャンできます。 アプリでは、デバイスが属するユーザーを指定する構成も行います。 Graph API を使用して Intune と統合されるコンパニオン アプリのオープンソース サンプルが、Autopilot チームGitHubに公開されています。
  • 表示される情報を検証します。 変更が必要な場合は、変更を加え、[更新] をクリックして、更新された Autopilot プロファイルの詳細を再ダウンロードします。

Windowsオートパイロット構成画面

  • [ プロビジョニング] を クリックして、プロビジョニング プロセスを開始します。

事前プロビジョニング プロセスが正常に完了した場合:

  • 前に示したのと同じ詳細を含む、デバイスに関する情報を含む緑色の状態画面が表示されます。 たとえば、Autopilot プロファイル、組織名、割り当てられたユーザー、QR コードなどです。 事前プロビジョニング手順の経過時間も提供されます。 緑の構成画面
  • [ 再シール] をクリック してデバイスをシャットダウンします。 その時点で、デバイスをエンド ユーザーに出荷できます。

注意

技術者フローは、自己展開モード から動作を継承します。 Self-Deploying モードのドキュメントでは、[登録のステータス] ページを使用して、デバイスをプロビジョニング状態にし、登録後、ソフトウェアと構成の適用が完了する前に、ユーザーがデスクトップに登録されないようにします。 そのため、登録ステータスページが無効になっている場合は、ソフトウェアと構成が適用される前に [再シール] ボタンが表示されることがあります。これにより、技術者のフローの準備が完了する前にユーザーフローに進むことができます。 緑色の画面では、登録が成功したかどうかが検証されます。技術者のフローは必ずしも完成していません。

事前プロビジョニングプロセスが失敗した場合:

  • 前に示したのと同じ詳細を含め、デバイスに関する情報が赤の状態画面に表示されます。 たとえば、自動操縦プロファイル、組織名、割り当てられたユーザー、QR コードなどです。プロビジョニング前の手順の経過時間も表示されます。
  • 診断ログはデバイスから収集できます。その後、リセットしてプロセスを再度開始することができます。

ユーザー フロー

プロビジョニング前プロセスが正常に完了し、デバイスが resealed された場合は、エンドユーザーに配信できます。 エンドユーザーは、次の手順に従って、通常の Windows 自動操縦のユーザー主導のプロセスを完了します。

  • デバイスの電源をオンにします。
  • 適切な言語、ロケール、およびキーボードレイアウトを選択します。
  • (wi-fi を使用している場合) ネットワークに Connect します。 インターネットアクセスは常に必要です。 Hybrid Azure AD Join を使用する場合は、ドメインコントローラーに接続する必要もあります。
  • ブランド化されたサインオン画面で、ユーザーの Azure Active Directory 資格情報を入力します。
  • Hybrid Azure AD Join を使用すると、デバイスが再起動されます。再起動後、ユーザーの Active Directory 資格情報を入力します。
  • 追加のポリシーとアプリは、登録ステータスページ (ESP) によって追跡されたデバイスに配信されます。 完了すると、ユーザーはデスクトップにアクセスできるようになります。

注意

テクニシャン Flow 中に Microsoft アカウント Sign-In Assistant (wlidsvc) が無効になっている場合は、[サインインの Azure AD] オプションが表示されないことがあります。 代わりに、ユーザーは使用許諾契約書に同意し、ローカル アカウントを作成するように求められますが、これは必要としていない場合があります。

ビデオの事前プロビジョニング