Configuration Manager による Windows 10 のゼロ タッチ インストールの準備
適用対象:
- Windows 10
この記事では、Microsoft Deployment Toolkit (MDT) と統合されたMicrosoft Configuration Managerを使用して OS の展開をWindows 10するゼロ タッチ インストール (ZTI) プロセスについて説明します。
前提条件
この記事では、既存の Configuration Manager のインフラストラクチャのコンポーネントを使用して、Windows 10 OSD の準備を行います。 基本のセットアップに加えて、Configuration Manager の環境で次のような構成になっている必要があります。
Configuration Manager の現在のブランチと、すべてのセキュリティ更新プログラムおよび重要な更新プログラムがインストールされています。
注
このガイドの手順では、Configuration Manager バージョン 1910 を使用します。 Configuration ManagerでサポートされるWindows 10のバージョンの詳細については、「Windows 10のサポート」を参照してください。
Active Directory スキーマが拡張されていて、システム管理のコンテナーが作成されています。
Active Directory フォレスト検索と Active Directory システム探索が有効になっています。
IP 範囲の境界とコンテンツおよびサイトの割り当ての境界グループが作成されています。
Configuration Manager のレポート サービス ポイントの役割が追加および構成されています。
パッケージのファイル システム フォルダー構造と Configuration Manager コンソール フォルダー構造が作成されています。 このフォルダー構造を確認または作成する手順は、下に示しています。
Windows PE アドオンなど、インストールされているConfiguration Managerのバージョンでサポートされている Windows ADK バージョン。 USMT は、Windows ADK インストールの一部としてインストールする必要があります。
MDT バージョン 8456
DaRT 10 ( MDOP 2015 の一部) がインストールされています。
CMTrace ツール (cmtrace.exe) が配布ポイントにインストールされています。
注
CMTrace は、 にある Configuration Manager の現在のブランチと共に自動的に
Program Files\Microsoft Configuration Manager\tools\cmtrace.exeインストールされます。
このガイドの目的上、DC01、CM01、HV01 の 3 台のサーバー コンピューターを使用します。
- DC01 は、ドメイン コントローラーで、contoso.com ドメインの DNS サーバーです。 DHCP サービスも利用できます。オプションで DC01 または別のサーバーにインストールすることもできます。
- CM01 は、ドメインのメンバー サーバーで、Configuration Manager ソフトウェアの配布ポイントです。 このガイドでは、CM01 はスタンドアロンのプライマリ サイト サーバーです。
- HV01 は、Windows 10 参照イメージの構築に使用される Hyper-V ホスト コンピューターです。 このコンピューターがドメインのメンバーである必要はありません。
すべてのサーバーで Windows Server 2019 が実行されています。 ただし、サポートされている以前のバージョンの Windows Server も使用できます。
このガイドで参照されているサーバー コンピューターとクライアント コンピューターはすべて同じサブネット上にあります。 この相関関係は必須ではありませんが、ファイルを共有し、contoso.com ドメインのすべての DNS 名と Active Directory 情報を解決するには、各サーバーとクライアント コンピューターが互いに接続できる必要があります。 OS およびアプリケーションの更新プログラムをダウンロードするには、インターネット接続も必要です。
ドメイン資格情報
このガイドでは、次の一般的な資格情報を使用します。 これらの資格情報は、各手順に表示される資格情報を自分の資格情報に置き換える必要があります。
- Active Directory ドメイン名:
contoso.com - ドメイン管理者のユーザー名:
administrator - ドメイン管理者パスワード:
pass@word1
OU 構造の作成
注
MDT の OSD ガイドで使用した OU 構造を既に作成している場合は、ここでも同じ構造が使用されるため、このセクションは省略できます。
DC01 の場合:
OU 構造を作成するには、Active Directory ユーザーとコンピューター コンソール (dsa.msc) を使用するか、または次の Windows PowerShell を使用できます。 以下の手順では、Windows PowerShell を使用します。
Windows PowerShellを使用するには、次のコマンドをテキスト ファイルにコピーし、 としてC:\Setup\Scripts\ou.ps1保存します。 ファイル拡張子が表示されていること、および拡張子を持つファイルを保存していることを確認します .ps1 。
$oulist = Import-csv -Path c:\oulist.txt
ForEach($entry in $oulist){
$ouname = $entry.ouname
$oupath = $entry.oupath
New-ADOrganizationalUnit -Name $ouname -Path $oupath -WhatIf
Write-Host -ForegroundColor Green "OU $ouname is created in the location $oupath"
}
次に、OU 名とパスの一覧をテキスト ファイルにコピーし、C:\Setup\Scripts\oulist.txt という名前を付けて保存します。
OUName,OUPath
Contoso,"DC=CONTOSO,DC=COM"
Accounts,"OU=Contoso,DC=CONTOSO,DC=COM"
Computers,"OU=Contoso,DC=CONTOSO,DC=COM"
Groups,"OU=Contoso,DC=CONTOSO,DC=COM"
Admins,"OU=Accounts,OU=Contoso,DC=CONTOSO,DC=COM"
Service Accounts,"OU=Accounts,OU=Contoso,DC=CONTOSO,DC=COM"
Users,"OU=Accounts,OU=Contoso,DC=CONTOSO,DC=COM"
Servers,"OU=Computers,OU=Contoso,DC=CONTOSO,DC=COM"
Workstations,"OU=Computers,OU=Contoso,DC=CONTOSO,DC=COM"
Security Groups,"OU=Groups,OU=Contoso,DC=CONTOSO,DC=COM"
最後に、DC01 で昇格された Windows PowerShell プロンプトを開き、次の ou.ps1 スクリプトを実行します。
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Set-Location C:\Setup\Scripts
.\ou.ps1
Configuration Manager のサービス アカウントの作成
役割ベースのモデルを使って、Configuration Manager のオペレーティング システムの展開に必要なサービス アカウントのアクセス許可を構成します。 Configuration Manager 参加ドメインとネットワーク アクセス アカウントを作成するには、次の手順を実行 します。
DC01 の場合:
Active Directory ユーザーとコンピューター コンソールで、Contoso>サービス アカウントcontoso.com> 参照します。
[サービス アカウント] OU を選択し、次の設定を使用してCM_JD アカウントを作成します。
- 名前: CM_JD
- ユーザー サインイン名: CM_JD
- パスワード:
pass@word1 - [ユーザーは次回ログオン時にパスワード変更が必要]: オフ
- [ユーザーはパスワードを変更できない]: オン
- [パスワードを無期限にする]: オン
手順を繰り返しますが、CM_NAA アカウントに対して実行します。
アカウントを作成した後に、次の説明を割り当てます。
- CM_JD: ドメイン アカウントに参加Configuration Manager
- CM_NAA: Configuration Manager ネットワーク アクセス アカウント
Active Directory アクセス許可の構成
ドメイン アカウントに参加Configuration Manager (CM_JD) がマシンを contoso.com ドメインに参加させるには、Active Directory でアクセス許可を構成する必要があります。 これらの手順では、サンプル Set-OUPermissions.ps1 スクリプト をダウンロードし、DC01 で に C:\Setup\Scripts コピーしたことを前提としています。
DC01 の場合:
contoso\administrator としてサインインし、管理者特権での Windows PowerShell プロンプトで次のコマンドを入力します。
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force Set-Location C:\Setup\Scripts .\Set-OUPermissions.ps1 -Account CM_JD -TargetOU "OU=Workstations,OU=Computers,OU=Contoso"Set-OUPermissions.ps1 スクリプトを使用すると、CM_JD ユーザー アカウントのアクセス許可を使用して、Contoso/Computers/Workstations OU 内のコンピューター アカウントを管理できます。 付与されるアクセス許可の一覧を以下に示します。
- 範囲: このオブジェクトとすべての子オブジェクト
- コンピューター オブジェクトの作成
- コンピューター オブジェクトの削除
- 範囲: 子コンピューター オブジェクト
- すべてのプロパティの読み取り
- すべてのプロパティの書き込み
- アクセス許可の読み取り
- アクセス許可の変更
- パスワードの変更
- パスワードのリセット
- DNS ホスト名への検証された書き込み
- サービス プリンシパル名への検証された書き込み
Sources フォルダー構造の確認
CM01 での操作:
この記事で作成するパッケージをサポートするには、Configuration Manager のプライマリ サイト サーバー (CM01) に次のフォルダー構造を作成する必要があります。
- D:\Sources
- D:\Sources\OSD
- D:\Sources\OSD\Boot
- D:\Sources\OSD\DriverPackages
- D:\Sources\OSD\DriverSources
- D:\Sources\OSD\MDT
- D:\Sources\OSD\OS
- D:\Sources\OSD\Settings
- D:\Sources\OSD\Branding
- D:\Sources\Software
- D:\Sources\Software\Adobe
- D:\Sources\Software\Microsoft
- D:\Logs
注
ほとんどの運用環境で、パッケージは、分散ファイル システム (DFS) 共有または "通常" のサーバー共有に保存されますが、ラボ環境ではサイト サーバーに保存することができます。
このフォルダー構造を作成するには、管理者特権での Windows PowerShell プロンプトから次のコマンドを実行します。
New-Item -ItemType Directory -Path "D:\Sources"
New-Item -ItemType Directory -Path "D:\Sources\OSD"
New-Item -ItemType Directory -Path "D:\Sources\OSD\Boot"
New-Item -ItemType Directory -Path "D:\Sources\OSD\DriverPackages"
New-Item -ItemType Directory -Path "D:\Sources\OSD\DriverSources"
New-Item -ItemType Directory -Path "D:\Sources\OSD\OS"
New-Item -ItemType Directory -Path "D:\Sources\OSD\Settings"
New-Item -ItemType Directory -Path "D:\Sources\OSD\Branding"
New-Item -ItemType Directory -Path "D:\Sources\OSD\MDT"
New-Item -ItemType Directory -Path "D:\Sources\Software"
New-Item -ItemType Directory -Path "D:\Sources\Software\Adobe"
New-Item -ItemType Directory -Path "D:\Sources\Software\Microsoft"
New-SmbShare -Name Sources$ -Path D:\Sources -FullAccess "NT AUTHORITY\INTERACTIVE", "BUILTIN\Administrators"
New-Item -ItemType Directory -Path "D:\Logs"
New-SmbShare -Name Logs$ -Path D:\Logs -ChangeAccess EVERYONE
Configuration Manager と MDT の統合
MDT のウィザードとテンプレートを使って Configuration Manager コンソールを拡張するには、既定の設定を使って MDT をインストールし、Configure ConfigManager 統合 デスクトップ アプリを実行します。 以下の手順では、既に MDT をダウンロードし、既定の設定でインストール済みであることを前提としています。
CM01 での操作:
contoso\administrator としてサインインします。
続ける前に、Configuration Manager コンソールを閉じていることを確認してください。
[スタート] を選択 し、「ConfigManager 統合の構成」と入力し、次の設定でアプリケーションを実行します。
- [サイト サーバー名]: CM01.contoso.com
- [サイト コード]: PS1
MDT の Configuration Manager との統合。
クライアント設定の構成
ほとんどの組織は、展開時に名前の表示を希望します。 このセクションでは、Contoso の組織名が付いた Configuration Manager の既定のクライアント設定を構成します。
CM01 での操作:
Configuration Manager コンソールを開き、[管理] ワークスペースを選択し、[クライアント設定] を選択します。
右側のウィンドウで、[既定のクライアント設定] を右クリックし、[プロパティ] を選択します。
[ コンピューター エージェント ] ノードの [ソフトウェア センター] テキスト ボックス に「組織名 」と 入力し、[ OK] を選択します。
クライアント設定での組織名の構成。
展開時に表示される Contoso 組織名。
ネットワーク アクセス アカウントの構成
Configuration Manager では、Windows 10 の展開プロセス中にネットワーク アクセス アカウントを使って、配布ポイントのコンテンツにアクセスします。 このセクションでは、ネットワーク アクセス アカウントを構成します。
CM01 での操作:
Configuration Manager コンソールを使用して、[管理] ワークスペースで [サイトの構成] を展開し、[サイト] を選択します。
[PS1 - Primary Site 1] (PS1 - プライマリ サイト 1) を右クリックし、[サイト コンポーネントの構成] をポイントし、[ソフトウェアの配布] を選択します。
[ ネットワーク アクセス アカウント ] タブで、[ ネットワークの場所にアクセスするアカウントを指定 する] を選択し、アカウント CONTOSO\CM_NAA をネットワーク アクセス アカウント (パスワード: pass@word1) として追加します。 新しい [確認 ] オプションを使用して、アカウントがネットワーク共有に
\\DC01\sysvol接続できることを確認します。
ネットワーク アクセス アカウントの接続のテスト。
CM01 配布ポイントの PXE の有効化
Configuration Manager には展開を開始するための多くのオプションがありますが、大規模な環境では PXE を使った開始が最も柔軟な方法です。 このセクションでは、CM01 の配布ポイントで PXE を有効にします。
CM01 での操作:
Configuration Manager コンソールの [管理] ワークスペースで、[配布ポイント] を選択します。
\\CM01.CONTOSO.COM 配布ポイントを右クリックし、[プロパティ] を選択します。
[PXE] タブで、次の設定を選択します。
- [クライアントの PXE サポートを有効にする]
- [この配布ポイントが受信 PXE 要求に応答できるようにする]
- [不明なコンピューターを有効にする]
- [コンピューターで PXE を使用する場合にパスワードを要求する]
- [パスワード] と [パスワードの確認入力]: pass@word1
PXE 用 CM01 配布ポイントの構成。
注
[Windows 展開サービスなしで PXE レスポンダーを有効にする] を選択した場合、WDS はインストールされません。既にインストールされている場合は中断され、WDS の代わりにConfigMgr PXE レスポンダー サービス (SccmPxe) が使用されます。 ConfigMgr PXE レスポンダーはマルチキャストをサポートしていません。 詳細については、「配布ポイントのインストールと構成」を参照してください。
CMTrace ツールを使用して、ファイルを確認します
C:\Program Files\Microsoft Configuration Manager\Logs\distmgr.log。 ConfigurePXE と CcmInstallPXE 行を探します。
には
distmgr.log、配布ポイントでの PXE の正常な構成が表示されます。各フォルダーと
D:\RemoteInstall\SMSBoot\x64に 7 つのファイルがあることを確認しますD:\RemoteInstall\SMSBoot\x86。
PXE を有効にした後の D:\RemoteInstall\SMSBoot\x64 フォルダーの内容。
注
これらのファイルは WDS によって使用されます。 ConfigMgr PXE レスポンダーでは使用されません。 この記事では、ConfigMgr PXE レスポンダーを使用しません。
次に、「Configuration Manager を使ったカスタム Windows PE ブート イメージの作成」を参照してください。
Configuration Manager のオペレーティング システム展開のコンポーネント
Configuration Manager によるオペレーティング システムの展開は、通常のソフトウェア配布インフラストラクチャの一部ですが、その他のコンポーネントがあります。 たとえば、Configuration Manager のオペレーティング システムの展開では、状態移行ポイントの役割を使います。これは、Configuration Manager の通常のアリケーション展開では使われません。 このセクションでは、Windows 10 などのオペレーティング システムの展開に関連する Configuration Manager のコンポーネントについて説明します。
状態移行ポイント (SMP)。 状態移行ポイントは、コンピューター置換シナリオの間にユーザー状態移行データを保存するために使います。
配布ポイント (DP)。 配布ポイントは、オペレーティング システムの展開に関連するパッケージを含むすべてのパッケージを Configuration Manager に保存するために使われます。
ソフトウェアの更新ポイント (SUP)。 ソフトウェア更新ポイントは、既存のコンピューターに対して更新プログラムを展開をするために使いますが、展開プロセスの一部として、オペレーティング システムを更新するために使うこともできます。 オフライン サービスを使って、Configuration Manager サーバー上で直接イメージを更新することもできます。
レポート サービス ポイント。 レポート サービス ポイントは、オペレーティング システムの展開プロセスを監視するために使うことができます。
ブート イメージ。 ブート イメージは、Configuration Manager が展開の開始に使う Windows プレインストール環境 (Windows PE) イメージです。
オペレーティング システム イメージ。 オペレーティング システム イメージのパッケージには、カスタム .wim イメージのファイルが 1 つだけ含まれています。 これは、通常、運用環境展開のイメージです。
オペレーティング システムのインストーラー。 オペレーティング システムのインストーラーは、当初は Configuration Manager を使って参照イメージを作成するために追加されました。 代わりに、MDT ライト タッチを使って参照イメージを作成することをお勧めします。 参照イメージを作成する方法について詳しくは、「Windows 10 参照イメージの作成」をご覧ください。
ドライバー。 MDT ライト タッチと同様に、Configuration Manager には、管理対象のデバイス ドライバーのリポジトリ (カタログ) も用意されています。
タスク シーケンス。 Configuration Manager のタスク シーケンスは、MDT ライト タッチのシーケンスの外観に似ていて、同じ目的のために使われます。 ただし、Configuration Manager のタスク シーケンスは、管理ポイント (MP) を介してポリシーとしてクライアントに配信されます。 MDT は、Configuration Manager に追加のタスク シーケンスのテンプレートを提供します。
注
Windows 10 の管理と展開をサポートするために、Windows 10 用の Windows アセスメント & デプロイメント キット (ADK) も必要です。
MDT を Configuration Manager と統合する理由
上で説明したように、MDT は Configuration Manager に多くの拡張機能を追加します。 これらの拡張機能はゼロ タッチと呼ばれますが、その名前には展開が実行される方法が反映されません。 以下のセクションでは、MDT が Configuration Manager に追加する 280 個の拡張機能のうちのいくつかのサンプルを紹介します。
注
MDT のインストールには、以下が必要です。
- Windows 10 用の Windows アセスメント & デプロイメント キット (前の手順でインストール済み)
- Windows PowerShell (バージョン 5.1 をお勧めします。「$host」と入力して確認してください)
- Microsoft .NET Framework
MDT による動的な展開の有効化
MDT がConfiguration Managerと統合されると、タスク シーケンスは MDT ルールからさらに多くの命令を処理します。 最も単純な形式では、これらの設定はテキスト ファイル、CustomSettings.iniファイルに格納されますが、Microsoft SQL Server データベースに設定を格納することも、Microsoft Visual Basic Scripting Edition (VBScripts) または Web サービスで使用する設定を提供することもできます。
タスク シーケンスは、Configuration Manager のタスク シーケンスの数を減らし、代わりに、タスク シーケンスの外部の設定を保存できる手順を使います。 以下は例です。
次の設定は、HP ホットキー パッケージをインストールするためのタスク シーケンスを指示します。ただし、ハードウェアが HP EliteBook 8570w の場合のみです。 タスク シーケンスにパッケージを追加する必要はありません。
[Settings] Priority=Model [HP EliteBook 8570w] Packages001=PS100010:Install HP Hotkeys次の設定では、展開時に、ラップトップやデスクトップを別の組織単位 (OU) に配置し、別のコンピューターの名前を割り当て、最終的にタスク シーケンスで Cisco VPN クライアントがインストールされるように、タスク シーケンスに指示します。ただし、コンピューターがノート PC の場合のみです。
[Settings] Priority= ByLaptopType, ByDesktopType [ByLaptopType] Subsection=Laptop-%IsLaptop% [ByDesktopType] Subsection=Desktop-%IsDesktop% [Laptop-True] Packages001=PS100012:Install Cisco VPN Client OSDComputerName=LT-%SerialNumber% MachineObjectOU=ou=laptops,ou=Contoso,dc=contoso,dc=com [Desktop-True] OSDComputerName=DT-%SerialNumber% MachineObjectOU=ou=desktops,ou=Contoso,dc=contoso,dc=com
タスク シーケンス内の Gather アクションは規則を読み取ります。
MDT によるオペレーティング システム展開のシミュレーション環境の追加
展開をテストする際に、展開全体で実行する必要はなく、展開に対しての変更を簡単にテストできることが重要です。 MDT 規則を短時間でテストして、展開プロジェクトで重要なテスト時間を節約することができます。 詳しくは、「MDT 設定の構成」をご覧ください。
規則、MDT のいくつかのスクリプト、カスタム スクリプト (Gather.ps1) を含むフォルダー。
MDT によるリアルタイムの監視の追加
MDT の統合により、リアルタイムで展開を実行することができます。Microsoft Diagnostics and Recovery Toolkit (DaRT) にアクセスできる場合は、展開時に Windows プレインストール環境 (Windows PE) にリモート操作することも可能です。 リアルタイム監視データは、Web ブラウザー、Windows PowerShell、イベント ビューアー、または Microsoft Excel 2013 を介して、MDT の Deployment Workbench 内から表示できます。 実際に、オープン データ (OData) フィードを読み取ることができるスクリプトやアプリは、情報を読み取ることができます。
PowerShell によるリアルタイムの監視データの表示。
MDT による省略可能な展開ウィザードの追加
いくつかの展開シナリオについては、コンピューター名、コンピューターの正しい組織単位 (OU) またはタスク シーケンスでインストールする必要があるアプリケーションなどの情報を、展開時にユーザーへの確認が必要になる場合があります。 MDT の統合により、ユーザー駆動型インストール (UDI) ウィザードを有効にして、必要な情報を収集し、UDI ウィザード デザイナーを使ってウィザードをカスタマイズすることができます。
UDI ウィザード デザイナーで開いたオプションの UDI ウィザード。
MDT ゼロ タッチは、多くの便利な組み込みのオペレーティング システムの展開コンポーネントを使って Configuration Manager を簡単に拡張します。 実績のある、サポートされているソリューションを提供することによって、MDT は、Configuration Manager の展開の複雑さを減らします。
MDT ライト タッチを使って参照イメージを作成する理由
Configuration ManagerではConfiguration Managerの参照イメージを作成できますが、一般に、次の理由から MDT Lite Touch で作成することをお勧めします。
同じイメージをすべての種類のオペレーティング システムの展開に使用できます。これには、Microsoft 仮想デスクトップ インフラストラクチャ (VDI)、Microsoft System Center Virtual Machine Manager (VMM)、MDT、Configuration Manager、Windows 展開サービス (WDS) などが含まれます。
Configuration Manager は、イメージに含めるすべての設定に Administrator アカウントを構成することができないことを意味する LocalSystem コンテキストで展開を実行します。 MDT は、ローカル管理者のコンテキストで実行します。つまり、構成の外観を構成してから CopyProfile 機能を使って、展開時に既定のユーザーにこれらの変更をコピーすることができます。
Configuration Manager タスク シーケンスでは、ユーザー インターフェイスの操作が抑制されます。
MDT ライト タッチは、再起動が可能な中断操作をサポートします。これは、手動インストールを実行するか、自動的にキャプチャされる前に参照イメージを確認する必要がある場合に便利です。
MDT ライト タッチは、インフラストラクチャが不要で、デリゲートが簡単です。
関連記事
Configuration Manager を使ったカスタム Windows PE ブート イメージの作成
Configuration Manager を使った Windows 10 オペレーティング システム イメージの追加
Configuration Manager を使った Windows 10 を展開するためのアプリケーションの作成
Configuration Manager を使った Windows PE での Windows 10 の展開に対してのドライバーの追加
Configuration Manager と MDT によるタスク シーケンスの作成
PXE と Configuration Manager を使った Windows 10 の展開
Configuration Manager を使った Windows 7 SP1 クライアントの Windows 10 への更新
Configuration Manager を使った Windows 7 SP1 クライアントの Windows 10 への置換
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示