Download - クラウドでここまでデキる -2018...PR23 クラウドでここまでデキる-2018 秋-~ (ほぼ) まるごとWindows Autopilot 東條敏夫 日本マイクロソフト株式会社
PR23
クラウドでここまでデキる -2018 秋-~ (ほぼ) まるごとWindows Autopilot
東條敏夫
日本マイクロソフト株式会社
クラウド&ソリューション事業本部 モダンワークプレイス統括本部
モダンデスクトップ技術営業部
テクノロジーソリューションプロフェッショナル
Windows Autopilot の基本をおさえる
Windows Autopilot の新機能を知る
Windows Autopilot を導入したくなる
Windows♥Cloud
従来型
設定 アプリ
ドライバー
ポリシー
¥
モダン
ユーザー自身
Demo:“ユーザー ドリブン” な展開
Windows Autopilotベーシック
3 つのステップ
デバイス登録
プロファイル割り当て
ユーザーに発送
IntuneWindows
Autopilot
従業員が開梱し
セルフ展開IT 管理者
Autopilot
プロファイル
割り当て
プロファイル同期
デバイス同期
ハードウェア
ベンダー
ハードウェア ID
直接発送
セルフサービスで
デバイス展開
Windows 10 のシステム要件 Azure Active Directory
https://docs.microsoft.com/ja-jp/windows/deployment/windows-autopilot/windows-autopilot-requirements-licensing
デバイス登録
プロファイル割り当て
ユーザーに発送
デバイス登録
プロファイル割り当て
ユーザーに発送
お客様自身による登録は基本的に不要
OEM、流通会社、リセラーによるプロセスの簡略化
デバイスの出荷時に、顧客の Azure テナントに新規デバイスを自動登録
デバイス グループの作成が簡単にできるように、
顧客の注文にデバイスを関連づけ
顧客が指定したラベルによってデバイスをタグ付け
構成準備が整っているイメージをプリインストールして提供※
※ OEM が対象。詳細は各ベンダーにお問い合わせください。
https://aka.ms/WindowsAutopilot
デバイス登録
プロファイル割り当て
ユーザーに発送
デバイス構成に関する重要な詳細項目の設定
プロパティ
配置モード、Azure AD への参加の種類、
すべての対象デバイスを Autopilot に変換
Out-of-box experience (OOBE)
ソフトウェア ライセンス条項 (EULA)、プライバシー設定、
ユーザー アカウントの種類、アカウントの変更オプションを非表示にする、等
Azure AD グループを利用して割り当てを自動化
Azure AD グループにプロファイルを割り当て
Autopilot プロファイルに 1 つまたは複数の Azure AD を割り当て
割り当てられたグループの全てのデバイスにプロファイルが割り当てられる
動的メンバーシップ ルールによるグループ作成
全ての Autopilot デバイス、注文 ID や発注 ID によるグループ、等https://docs.microsoft.com/ja-jp/azure/active-directory/users-groups-roles/groups-
dynamic-membership
デバイス登録
プロファイル割り当て
ユーザーに発送
デバイスを箱から取り出し、電源を入れる
ユーザーによるセルフ サービスの Windows 展開
キーボードと言語の設定以外は、ユーザー名とパスワードを入力するだけ
普段通りの操作で業務利用デバイスの展開が完了✓ Win32 アプリ、業務アプリ、Office 365 ProPlus 等のインストール
✓ MDM によるポリシー設定、Windows Defender によるセキュリティ設定
✓ スタートやタスク バーのカスタマイズ、Windows エディション アップグレード
✓ その他のさまざまな設定
ポリシー、アプリ、設定の展開状態をユーザーに通知
システム要件
Video:ユーザー エクスペリエンス
Windows Autopilotシナリオ #01
構成を変換
構成を変換
Windows Autopilot で構成を完了させたい
これまで 新機能
システム要件 パッケージ作成
Demo:Win32 アプリ展開
ADMXInstall を利用し、GPO ベースの設定を追加
ADMXInstall (Policy CSP)
GPO ベースの設定を MDM より追加設定
ポリシー テンプレートの場所
ADMXInstall の OMA-URIOneDriveNGSC
<?xml version="1.0" encoding="utf-8"?>
: : :
<policyNamespaces>
<target prefix="OneDriveNGSC"
namespace="Microsoft.Policies.OneDriveNGSC" />
ポリシー設定値の OMA-URIOneDriveNGSC OneDriveN
GSC FilesOnDemandEnabled
<target prefix="OneDriveNGSC"
namespace="Microsoft.Policies.OneDriveNGSC" />
: : :
<category name="OneDriveNGSC"
displayName="$(string.OneDriveNGSCSettingCategory)"/>
: : :
<policy name="FilesOnDemandEnabled" class="Machine"
displayName="$(string.FilesOnDemandEnabled)“ ...
ポリシー設定値の記述形式
enabled KFMOptInNoWizard_Dropdown 0
<enabledValue>
<decimal value="1" />
</enabledValue>
<enum id="KFMOptInNoWizard_Dropdown"
valueName="KFMSilentOptInWithNotification">
<item displayName="$(string.KFMOptInNoWizardNoToast)">
<value><decimal value=“0" /></value>
コンピューター名のテンプレートをプロファイルに記述
システム要件
マクロによる一意な名前づけ
あらかじめデバイスにユーザーを割り当てておく
ポータル上での割り当て
Graph API を利用した割り当て
Demo:デバイス利用者の一括割り当て
# デバイスのシリアル番号とユーザーの対応を記載した CSV ファイルを読み込む
# CSV ファイルの形式: DeviceSerialNumber, PrincipalName, DisplayName
$userList = Import-Csv -Encoding UTF8 -Path $CsvPath
# Windows Autopilot デバイスのリストを取得
$graphApiVersion = "beta"
$Resource = "deviceManagement/windowsAutopilotDeviceIdentities"
$uri = "https://graph.microsoft.com/$graphApiVersion/$Resource"
# (例外処理や継続読み込みは省略します)
$response = Invoke-RestMethod -Uri $uri -Headers $authToken `
-Method Get
$devices = $response.value
$userList | ForEach-Object {
$assignedUser = $_
# ユーザーに割り当てるデバイスの一覧を取得
$assignedDevice = $devices | Where-Object { $_.serialNumber `
-eq $assignedUser.DeviceSerialNumber }
# デバイスをユーザーに割り当てる
$assignedDevice | ForEach-Object {
$graphApiVersion = "beta"
$Resource = "deviceManagement/windowsAutopilotDeviceIdentities”
$Resource += “/$($_.id)/assignUserToDevice"
$uri = "https://graph.microsoft.com/$graphApiVersion/$Resource"
$json = @"
{
"userPrincipalName": "$($assignedUser.PrincipalName)",
"addressableUserName": "$($assignedUser.DisplayName)"
}
"@
$jsonBytes = [System.Text.Encoding]::UTF8.GetBytes($json)
Invoke-RestMethod -Uri $uri -Headers $authToken `
-Method Post -Body $jsonBytes -ContentType "application/json"
}
}
Windows Autopilotシナリオ #02
利用開始 廃棄管理調達 展開
ライフサイクル
修理/再割り当て
利用開始 廃棄管理調達 展開
ライフサイクル
修理/再割り当て
利用開始 廃棄管理調達 展開
ライフサイクルデバイスの初期化や再配布を効率化したい
デバイスを再利用するための効率的な方法
Windows Autopilot Reset の動作
すべてのアプリケーション、設定、個人用ファイルを削除
Azure AD への参加と MDM 登録は保持(デバイスは管理状態のまま)
プロビジョニング パッケージを保持
キーボード、言語、Wi-Fi 設定を保持
ローカル実行
リモート実行
Video:Windows Autopilot Reset
Windows 10 は展開済みなんだけど
Intune を利用したデバイス情報の自動登録
Intune で管理されているデバイス
プロファイル設定より既存デバイスの登録 (完了までに最大 48 時間)
Intune で管理されていないが SCCM で管理されている
SCCM との共同管理を実施し、[Intune への自動登録] を設定
新しく Intune に登録されたデバイスにプロファイル設定が割り当てられる
PowerShell による手動登録
PowerShell Gallery よりスクリプトを入手
> Install-Script Get-WindowsAutopilotInfo
スクリプトを実行し、Intune ポータルから登録
Windows 10 Ver. 1703 以降
Get-ADComputer (AD)、Get-CMCollectionMember (SCCM)、
PC 名や IP アドレスのリストを用いて WMI 経由のリモート実行が可能
Windows Autopilotシナリオ #03
デジタルサイネージ
複数アプリキオスク
単一アプリキオスク
共有 PC
VDI 接続クライアント
デジタルサイネージ
複数アプリキオスク
単一アプリキオスク
共有 PC
VDI 接続クライアント
こんな時にも Windows Autopilot したい
自己展開モードの対象デバイス
システム要件
自己展開の動作
Video:自己展開モード
Windows Autopilotシナリオ #04
オンプレミスの Active Directory に参加したい
ハイブリッド Azure AD 参加とは?
https://docs.microsoft.com/ja-jp/azure/active-directory/devices/overview#hybrid-azure-ad-joined-devices
ハイブリッド Azure AD 参加により AD に参加する
AD
AzureAD
Windows Autopilot
Deployment ServiceIntune
デバイス
登録
Autopilot
プロファイル
MDM
参加
ODJ
受信
AD
Offline
Domain Join
Connector
従業員が開梱し
セルフ展開
社内ネットワークに
接続し、ドメイン参加
GPO
適用
これにより ODJ プロビジョニング データが作成され、Connector を通じて Intune に転送される
ADIntune
Video:ハイブリッド Azure AD 参加
Windows♥Cloud
1511 Mobile Device Management
AAD Join
Windows Store for Business
Windows Update for Business
Mail, Calendar, Photos, Maps, Groove, Skype
Windows Defender Antivirus
Windows Hello
Microsoft Edge
Device Guard
Credential Guard
BitLocker
SmartScreen
Windows as a service
In-place upgrades
Continuum
Cortana
Windows 10 core
+
1607 Windows Information Protection
Windows Hello for Business
Windows Analytics Upgrade Readiness
App-V, UE-V
Hybrid Azure Active Directory Join
Windows Ink
Mobile Device Management
AAD Join
Windows Store for Business
Windows Update for Business
Mail, Calendar, Photos, Maps, Groove, Skype
Windows Defender Antivirus
Windows Hello
Microsoft Edge
Device Guard
Credential Guard
BitLocker
SmartScreen
Windows as a service
In-place upgrades
Continuum
Cortana
Windows 10 core
+
1709 Windows Defender Exploit Guard, System Guard,
Application Guard, Application Control
Mobile Device Management
Windows Analytics Update Compliance
Windows Analytics Device Health
Co-management
Enterprise search in Windows
Continue on PC
OneDrive Files On-Demand
Narrator
Mixed Reality Viewer
Windows Autopilot
Windows Defender ATP
Windows Defender Security Center
Express update delivery
Hyper-V
Windows 10 Subscription Activation
Windows Insider Program for Business
Paint 3D
Cortana at work
Night light, mini view
Windows Information Protection
Windows Hello for Business
Windows Analytics Upgrade Readiness
App-V, UE-V
Hybrid Azure Active Directory Join
Windows Ink
Mobile Device Management
AAD Join
Windows Store for Business
Windows Update for Business
Mail, Calendar, Photos, Maps, Groove, Skype
Windows Defender Antivirus
Windows Hello
Microsoft Edge
Device Guard
Credential Guard
BitLocker
SmartScreen
Windows as a service
In-place upgrades
Continuum
Cortana
Windows 10 core
+
1803 Windows Analytics – Spectre & Meltdown,
Delivery Optimization, Application Reliability Logon HealthWDATP Automated RemediationConditional Access based on WDATP device riskThreat AnalyticsEmergency Outbreak UpdatesAdvanced huntingCloud Credential GuardDiagnostic data viewerWindows Autopilot enrollment status pageWindows 10 Enterprise in S modeShared Windows DevicesNearby SharingDictationTimelineWindows Defender Exploit Guard, System Guard, Application Guard, Application ControlMobile Device ManagementWindows Analytics Update ComplianceWindows Analytics Device HealthCo-managementEnterprise search in WindowsContinue on PCOneDrive Files On-DemandNarratorMixed Reality ViewerWindows AutopilotWindows Defender ATPWindows Defender Security CenterExpress update deliveryHyper-VWindows 10 Subscription ActivationWindows Insider Program for BusinessPaint 3DCortana at workNight light, mini viewWindows Information ProtectionWindows Hello for BusinessWindows Analytics Upgrade ReadinessApp-V, UE-VHybrid Azure Active Directory JoinWindows InkMobile Device ManagementAAD JoinWindows Store for BusinessWindows Update for BusinessMail, Calendar, Photos, Maps, Groove, SkypeWindows Defender AntivirusWindows HelloMicrosoft EdgeDevice GuardCredential Guard BitLockerSmartScreenWindows as a serviceIn-place upgradesContinuumCortanaWindows 10 core
+
Windows Autopilot
Windows Defender ATP
Windows Defender Security Center
Express update delivery
Hyper-V
Windows 10 Subscription Activation
Windows Insider Program for Business
Paint 3D
Cortana at work
Night light, mini view
Windows Information Protection
Windows Hello for Business
Windows Analytics Upgrade Readiness
App-V, UE-V
Hybrid Azure Active Directory Join
Windows Ink
Mobile Device Management
AAD Join
Windows Store for Business
Windows Update for Business
Mail, Calendar, Photos, Maps, Groove, Skype
Windows Defender Antivirus
Windows Hello
Microsoft Edge
Device Guard
Credential Guard
BitLocker
SmartScreen
Windows as a service
In-place upgrades
Continuum
Cortana
Windows 10 core
+1703
1809
Windows Defender ATP new attack surface area reduction controlsInvestigation and remediation across Office 365 ATP and Windows Defender ATPWeb Authentication in Microsoft Edge Windows Hello with FIDO 2.030 months of support for September releasesWindows Autopilot Self-deploying modeWindows Autopilot Hybrid Azure AD joinS Mode Block SwitchMicrosoft Edge kiosk modeDesktop Analytics (Preview) – Intelligent Pilot Selection and ConfigMgr IntegrationReadyforMicrosoft365.com Microsoft Edge experience improvementsAccessibility enhancementsAccess the clipboard across devicesYour PhoneWindows Analytics – Spectre & Meltdown, Delivery Optimization, Application Reliability Logon HealthWDATP Automated RemediationConditional Access based on WDATP device riskThreat AnalyticsEmergency Outbreak UpdatesAdvanced huntingCloud Credential GuardDiagnostic data viewerWindows Autopilot enrollment status pageWindows 10 Enterprise in S modeShared Windows DevicesNearby SharingDictationTimelineWindows Defender Exploit Guard, System Guard, Application Guard, Application ControlMobile Device ManagementWindows Analytics Update ComplianceWindows Analytics Device HealthCo-managementEnterprise search in WindowsContinue on PCOneDrive Files On-DemandNarratorMixed Reality ViewerWindows AutopilotWindows Defender ATPWindows Defender Security CenterExpress update deliveryHyper-VWindows 10 Subscription ActivationWindows Insider Program for BusinessPaint 3DCortana at workNight light, mini viewWindows Information ProtectionWindows Hello for BusinessWindows Analytics Upgrade ReadinessApp-V, UE-VHybrid Azure Active Directory JoinWindows InkMobile Device ManagementAAD JoinWindows Store for BusinessWindows Update for BusinessMail, Calendar, Photos, Maps, Groove, SkypeWindows Defender AntivirusWindows HelloMicrosoft EdgeDevice GuardCredential Guard BitLockerSmartScreenWindows as a serviceIn-place upgradesContinuumCortanaWindows 10 core
+
Windows 10 の
進化はつづく
Windows Autopilot
仕上がってます
この秋、本格的に
Windows Autopilot デビュー
目指しませんか
© 2018 Microsoft Corporation. All rights reserved.
本コンテンツの著作権、および本コンテンツ中に出てくる商標権、団体名、ロゴ、製品、サービスなどはそれぞれ、各権利保有者に帰属します。