Windows デバイスの一括登録

適用対象

• Windows 10
• Windows 11

新しい Windows デバイスをMicrosoft Entra IDおよびIntuneに参加させる。 Microsoft Entra テナントのデバイスを一括登録するには、Windows Configuration Designer (WCD) アプリを使用してプロビジョニング パッケージを作成します。 プロビジョニング パッケージを企業所有のデバイスに適用すると、デバイスがMicrosoft Entra テナントに参加し、Intune管理に登録されます。 パッケージが適用されると、Microsoft Entra ユーザーがサインインする準備が整います。

Microsoft Entraユーザーはこれらのデバイスの標準ユーザーであり、割り当てられたIntuneポリシーと必要なアプリを受け取ります。 Windows 一括登録を使用して Intune に登録されている Windows デバイスは、ポータル サイト アプリを使用して、使用可能なアプリをインストールできます。

ロールと権限

一括登録トークンを作成するには、サポートされているMicrosoft Entraロールの割り当てが必要であり、Microsoft Entra IDの管理単位にスコープを設定することはできません。 サポートされているロールは次のとおりです。

• グローバル管理者
• クラウド デバイス管理者
• Intune管理者
• パスワード管理者

これらのロールは、Education >テナント設定のIntuneまたはMicrosoft Intune管理センター>の [ユーザー] で割り当てることができます。 詳細については、「管理センターで管理者アクセス許可Microsoft Intune付与する」を参照してください。

前提条件

• デバイスは、Windows 11または Creator update (ビルド 1709) 以降Windows 10実行されている必要があります。
• Windows の自動登録を有効にします。

さらに、Microsoft.Azure.SyncFabric (AppID 00000014-0000-0000-c000-00000000000) のサービス プリンシパルが、Microsoft Entra テナントに存在することを確認します。 コマンド ラインで、 コマンドをGet-AzureADServicePrincipal使用して、サービス プリンシパルのチェックします。 サービス プリンシパルがないと、Windows Configuration Designerは一括登録トークンを取得できないため、エラーが発生します。

プロビジョニング パッケージの作成

1. Microsoft Store から Windows Configuration Designer (WCD) をインストールします。

2. Windows Configuration Designer アプリを開き、[Provision desktop devices] (デスクトップ デバイスのプロビジョニング) を選択します。

3. [新しいプロジェクト] ウィンドウが開くので、そこで次の情報を指定します。

   • 名前 - プロジェクトの名前
   • プロジェクト フォルダー - プロジェクトの保存場所
   • 説明 - プロジェクトの省略可能な説明

4. デバイスの一意の名前を入力します。 名前には、シリアル番号 (%SERIAL%)、または文字のランダムなセットを含めることができます。 必要に応じて、Windows のエディションをアップグレードする場合にプロダクト キーを入力したり、デバイスを共有使用のために構成したり、事前にインストールされたソフトウェアを削除することもできます。

   

5. 必要に応じて、初回起動時にデバイスが接続する Wi-fi ネットワークを構成できます。 ネットワーク デバイスが構成されていない場合は、デバイスの初回起動時にワイヤード (有線) ネットワーク接続が必要になります。

6. [Enroll in Azure AD]\(Azure AD に登録\) を選択し、[Bulk Token Expiry]\(一括トークンの有効期限\) の日付を入力して、[Get Bulk Token]\(一括トークンの取得\) を選択します。 トークンの有効期間は 180 日です。

   注:

   プロビジョニング パッケージを作成したら、関連付けられているpackage_{GUID} ユーザー アカウントをMicrosoft Entra IDから削除することで、有効期限が切れる前に取り消すことができます。

7. 一括トークンを取得するには、Microsoft Entra資格情報を指定します。

   注:

   一括トークンを要求するために使用するアカウントは、Microsoft Entra IDで指定されている MDM ユーザー スコープに含める必要があります。 MDM ユーザー スコープに関連付けられているグループからこのアカウントが削除された場合、一括登録は機能しなくなります。

8. [すべてのアプリにサインインしたままにする] ページで、[いいえ、このアプリのみにサインインします] を選択します。 チェック ボックスが選択された状態のままにして [OK] をクリックすると、使用しているデバイスが組織によって管理されるようになります。 デバイスを管理対象にしない場合は、必ず [いいえ、このアプリのみにサインインします] を選択してください。

9. 一括トークンが正常にフェッチされたら、[次へ] をクリックします。

10. 必要に応じて [アプリケーションの追加] や [証明書の追加] ができます。 これらのアプリと証明書がデバイスでプロビジョニングされます。

11. 必要に応じて、プロビジョニング パッケージをパスワードで保護できます。 [作成] をクリックします。

デバイスのプロビジョニング

1. アプリで指定したプロジェクト フォルダーの場所にあるプロビジョニング パッケージにアクセスします。

2. プロビジョニング パッケージをデバイスに適用する方法を選択します。 プロビジョニング パッケージは、次のいずれかの方法でデバイスに適用できます。

   • USB ドライブにプロビジョニング パッケージを置いて、USB ドライブを一括登録するデバイスに挿入し、初期セットアップ時に適用する
   • ネットワーク フォルダーにプロビジョニング パッケージを配置して、初期セットアップ後に適用する

   スプロビジョニング パッケージを適用するステップ バイ ステップの手順については、「プロビジョニング パッケージの適用」をご覧ください。

3. パッケージを適用したら、デバイスは 1 分後に自動的に再起動します。

4. デバイスが再起動すると、Microsoft Entra IDに接続され、Microsoft Intuneに登録されます。

Windows 一括登録のトラブルシューティング

プロビジョニングに関する問題

プロビジョニングは新しい Windows デバイスで使用することが想定されています。 プロビジョニングのエラーが起きると、場合によっては、デバイスをワイプするか、ブート イメージからデバイスを復元する必要があります。 プロビジョニングのエラーが起きるいくつかの理由について例を挙げます。

• ローカル アカウントを作成しない Active Directory ドメインまたは Microsoft Entra テナントへの参加を試みるプロビジョニング パッケージは、ネットワーク接続がないためにドメイン参加プロセスが失敗した場合にデバイスに到達できない可能性があります。
• プロビジョニング パッケージによって実行されるスクリプトは、システム コンテキストで実行されます。 スクリプトは、デバイスのファイル システムと構成に、任意の変更を加えることができます。 悪意のある、または正しくないスクリプトを使用すると、デバイスは再イメージングまたはワイプすることでのみ回復できる状態になることがあります。

イベント ビューアーへの Provisioning-Diagnostics-Provider の管理者ログインでパッケージ内の設定が成功したかどうかを確認できます。

注:

一括登録はユーザーレス登録方法と見なされるため、登録時に適用されるのは Intune の "既定" 登録制限のみです。 既定の制限で Windows プラットフォームが許可されていることを確認します。それ以外の場合、登録は失敗します。 DEM のベスト プラクティスと機能を他の Windows 登録方法と比較するには、「Windows デバイスの Intune 登録方法の機能」を参照してください。

Wi-Fi で一括登録

オープン ネットワークを使用していない場合は、デバイス レベルの証明書を使用して接続を開始する必要があります。 一括登録されたデバイスは、ネットワーク アクセスのためにユーザー対象の証明書に使用することはできません。

条件付きアクセス

条件付きアクセスは、Windows 11 または Windows 10、バージョン 1803 以降を実行している一括登録を介して登録されたデバイスで使用できます。