Windowsキッティング自動化のススメ

Transcript

1. 1 Windowsキッティング⾃動化のススメ Windows Autopilot導⼊

2. 2 ・現状の構成とその課題 ・Windows Autopilotとは︖ ・導⼊の流れ ・導⼊してみた結果 ・今後の展望 トピック

3. 3 KTCが⽬指す理想のキッティング ゼロタッチキッティングを実現し、理想の状態にもっていくぞ︕ • ⽣産性の向上(コストの削減)︓毎⽉キッティングに掛かる時間を省略。 • 作業ミスの低減︓⾃動化によって⼿作業を少なくすることで作業ミスを無くす。 • 従業員満⾜度の向上︓スタッフ要求に対し、迅速に対応できる。 •

   環境変化の柔軟性向上︓従業員数、管理するデバイスが増えても対応できる。 理想

4. • 毎⽉⼊社者(5〜20名超)がおり、キッティング作業に⼤体10⽇/⽉費やしている。 • Microsoft⾮推奨の構成 • １台当たりのキッティング作業量が多い、かつ複雑。 • キッティング後の完了チェック項⽬が多い、かつ⼿作業でチェック 4 現状のデバイス管理構成とその課題

   Windowsキッティングにおける現課題

5. 5 KTCのMDM構成 iPhone Mac Windows Intune iPhone Mac ⾃動デバイス登録 ⾃動デバイス登録

   Mac、iPhoneはある程度⾃動化されているものの、Windowsは⼿動でデバイス登録。

6. 6 これまでのIntune構成 キッティング⽤静的グループ 構成プロファイル コンプライアンスポリシー アプリ配布 ②⼿動で参加 ③⾃動で制御が適⽤される ①⼿動でAzureAD ＆Intuneに参加

   AzureAD＆Intuneへの参加と、各プロファイルに紐づいた静的なグループにへ割り当てを⼿動で⾏う ことでキッティングを⾏う。 AzureAD KTCにおけるWindowsのIntune制御 Intune ＆ 更新リング 管理者

7. 7 Autopilotってなに？ • Windows Autopilot登録 • ⼿動登録 • ⾃動登録 •

   構成プロファイル • コンプライアンスポリシー • アプリ配布 • 更新リング Autopilotとは、WindowsデバイスをIntuneに登録する⽅式の⼀つです。 デバイス登録 デバイス管理 事前にPCのHWハッシュを登録しておくことで、エンドユーザーがPCにログインすればセットアップが開始され ます。 初回起動時に会社のMSアカウントへサインインすると⾃動でキッティングが⾏われる仕組みとなっています。

8. AzureAD Intune ＆ 8 Autopilotってなに？ Autopilot⽤動的グループ Autopilotプロファイル 構成プロファイル コンプライアンスポリシー アプリ配布

   ②⾃動でAzureAD、 Intuneに参加 ③⾃動でグループに 参加 HWハッシュ登録 ①HWハッシュを登録 ベンダーor管理者 ④⾃動で各プロファイルが適⽤され、キッティング が完了する ユーザー Windows Autopilotによるキッティング⾃動化の仕組み 更新リング

9. Windows 展開プロセスのポスター | Microsoft Learn 9 Autopilotってなに？ Microsoft公式のAutopliotフロー図

10. 10 導⼊スケジュール ⼯程 ５⽉ ６⽉ 現状調査 検証 設計 Autopilot導⼊ 調査〜導⼊まで、実質１か⽉ちょっとかかった。

11. 11 Windows Autopilot導⼊ これまで これから キッティング⽤ 静的グループ 構成プロファイル コンプライアンスポリシー アプリ配布

    更新リング Autopilot 動的グループ 構成プロファイル コンプライアンスポリシー アプリ配布 更新リング Autopilotプロファイル Autopilot導⼊のために設定したところは以下だけ 1. Autopilotプロファイルの構成 2. 動的グループの構成

12. Autopilotプロファイルは、初期セットアップ画⾯での各種設定をスキップさせるこ とができます。 12 Autopilotプロファイル設計 • ⾔語の設定 • 地域の設定 • ネットワーク設定

    • Windowsライセンス同意 • プライバシー設定 • サインイン スキップ※ スキップ※ スキップ スキップ ※有線LAN接続時のみ

13. これにより、デバイス登録〜デバイス制御までの流れを⾃動化することができます。 13 動的デバイスグループ設計 すべての Autopilot デバイスを含むグループを作成するには、 「(device.devicePhysicalIDs -any (_ -contains

    "[ZTDID]"))」と⼊⼒します。 Windows Autopilot のデバイス グループを作成する | Microsoft Learn デバイス登録 グループ割り 当て デバイス制御 ＆アプリ配信 Autopilot登録を⾏ったデバイスは、Autopilotデバイス属性が付与されます。 このAutopilot属性を使って動的デバイスグループのルールを設定します

14. 登録ステータスページ デバイス制御、アプリ配布の状況が可視化できるようになります。 14 Autopilot導⼊に付随して有効化したもの

15. 15 Autopilot導⼊に付随して有効化したもの ⼀時アクセスパス（TAP） 制限時間付きのパスワードを発⾏することで⼀時的にサインインすることが可能に なります。

16. Autopilot導⼊でどれくらいの効果があったのか︖ 16 結果 定量的な効果 定性的な効果 No. キッティング作業内容 備考 1 HWの取得

    ベンダーにて実施 2 HWをIntuneに登録 ベンダーにて実施 3 ユーザーとデバイスをキッティング⽤グループに追加する 4 HWハッシュ登録画⾯で利⽤するユーザーと紐づけ 5 資産管理番号のラベル貼り 6 ⾔語の設定 7 地域の設定 8 キーボードレイアウトの設定 9 無線LANの接続 10 Windows10仕様許諾の同意 11 プライバシー設定 12 キッティング作業⽤アカウントの作成 13 シリアル番号の確認 14 AzureADへの参加（Intuneへの登録） 15 スタッフのアカウントでログイン 16 キッティング⽤スマホの電話番号で多要素認証設定 TAP 17 PINコードの仮設定 18 BitLockerの有効化確認 登録ステータスページ 19 WindowsUpdateの実施 20 プリンタードライバのインストール 21 No.11の多要素認証削除 TAP 22 キッティング作業⽤アカウントの削除 23 ネットワーク検索の確認 24 既存ソフトウェアの削除 25 OneDriveの設定 26 インストールアプリの確認 登録ステータスページ • 約40％の作業項⽬の削減を達成（Autopilot以外の機 能の利⽤や付随した運⽤の改善も含む）。 • 作業の簡略化により作業漏れやミスをしにくい状 況になった。 • スタッフ⾃⾝でPCキッティングを実施できるレベ ルになった。 • 端末準備の時間が短くなったことで素早くスタッ フにPCを渡せるようになった。

17. • Autopilotはゼロタッチキッティングのほんの⼀部であること 17 Autopilot設計で気をつけなきゃいけないこと • オブジェクトは「デバイス」か「ユーザー」か検討すること Microsoft Intune でのデバイス プロファイルの割り当て

    | Microsoft Learn ・⾃動デバイス登録設定・動的デバイスグループ設定など他の機能の組み合わせが必要です。 ・プロファイルによってはユーザーオブジェクトを割り当てることを推奨されます。 ※その逆もまた然り ・対象と除外のオブジェクトが⼀致していること 割り当て対象に「デバイス」、除外対象に「ユーザー」 割り当て対象に「デバイス」、除外対象に「デバイス」

18. 開発検証PC⽤Autopilotプロファイル スタッフ⽤Autopilotプロファイル • 通常のキッティングフローと異なるデバイスへの考慮が必要 18 Autopilot設計で気をつけなきゃいけないこと 動的デバイス グループ 動的デバイス グループ

    構成プロファイル グループタグの値は何か︖ ・「グループタグ」を設定しておくことで様々な種類のキッティングフローに対応可能に コンプライアンスポリシー アプリ配布 構成プロファイル コンプライアンスポリシー アプリ配布

19. Q. 結局Autopilotの導⼊でゼロタッチキッティングは実現できたのか︖ 19 まとめ A.まだ実現できていないが、、、 ・ゼロタッチキッティングに向けた基盤は出来た︕ ・⼀部作業は管理者による⼿作業 ・Windows Updateの実施 ・プリインストールアプリの削除

    ・各種アプリのログイン・設定 etc..

20. 20 今後の展望 いまだ⼿作業の操作を⾃動化 リプレイス・破棄の運⽤ を効率化 購⼊・配送経路の 整理と⾒直し さらなる業務効率化を⾏い、よりよい環境を提供できることを⽬指します。 参考：Overview of

    Windows Autopilot | Microsoft Learn
21. None