Windows Autopilot Deployment by OSD Guy 2024/11/09 Yutaro Tamai (Microsoft MVP) 「ひと目でわかるIntune 第3版」 発売記念イベント OSD: Operating System Deployment

自己紹介 ◆名前 玉井 裕太郎 (Yutaro Tamai) ◆趣味 自宅サーバー (TDC: Tamai Data Center) にて、Hyper-V を用いて、 Configuration Manager や Microsoft Intune 等の検証をすること。 最近は、Azure Virtual Desktop (AVD) や Windows 365 も含めて。 また、エンタープライズ環境下での Surface の検証も含む。 ◆所属 SCUGJ (windows Server & Cloud User Group Japan) コアメンバー Japan EMS Users Group スタッフ Japan Microsoft Endpoint Configuration Manager UG 主催 ◆仕事 保険会社の IT 部門の社員 ◆Blog https://sccm.jp/ ◆Award Microsoft MVP (Security (Microsoft Intune), Windows and Devices (Surface) 5 回目の受賞 @tamai_pc

TDC (Tamai Data Center) environment

TDC (Tamai Data Center) environment Wi-Fi 7 対応エンタープライズ 向け アクセス ポイント HPE Aruba Networking 730 Series (AP-735)

ひと目でわかるIntune 第3版出版おめでとうございます！ • 著者の国井さん、加来さん、髙橋さん、本当にお疲れ様でした！ • 本書籍の出版おめでとうございます！ • 心よりお祝い申し上げます。 • また、本イベントにご招待いただき光栄です。

OSD (Operating System Deployment) Guy とは • OS 展開 (Operating System Deployment) を行う、男 (Guy) • このセッション内では、OSD Guy とは、OS 展開が好きで好きでたまらない人の ことを指しています。 • 四六時中、OS 展開のことを考えている人。。。 • No OSD, No Life…

Windows Autopilot とは • 従来の IT 部門でのキッティング (デバイス セットアップ) を行う のではなくエンド ユーザー側でキッティングを行う手法 • イメージ管理が不要となり、迅速なデバイス展開が可能に 従来手法の場合 IT 部門によるキッティング ユーザー側 での対応 Windows Autopilot の場合 IT 部門 での対応 ユーザー側でのキッティング 第 2 章 6. Windows Autopilot (62P - 84P)

OSD Guy にとっての Windows Autopilot • IT 管理者側で制御できることが少なく、きめ細かい運用が難しい • イメージ管理を行わない分、今までのごりごりのカスタマイズが難しい • Configuration Manager を用いた OSD で実現可能だった 複数分岐のイメージ展開が難しい

OSD Guy は想う • Configuration Manager と MDT (Microsoft Deployment Toolkit) を 使った時みたいに Windows Autopilot も展開したいな～

そんな OSD Guy の皆さんに • Windows Autopilot の グループ タグ (Group tag) を用いた運用を提案します。 • グループ タグを用いることで、Autopilot Registration する際に、グループ タグを 付与することで柔軟な運用が可能に。

グループ タグを利用した Windows Autopilot Deployment のイメージ • Autopilot Registration の際にグループ タグを下記のように定義しておく。 • グループ タグにより、割り当てるグループを動的に変更する。 AAD-Ring0 の場合 AAD-Ring1 の場合 AAD-Ring2 の場合 AAD-Ring3 の場合

リング (Ring) アプローチ • 各リング (Ring) を経て、組織全体へ展開するアプローチ Ring 0 Ring 1 Ring 2 Ring 3 Intune 専任チーム IT 部門 全体 ビジネス部門 Pilot 組織全体 段階的な展開

グループ タグの命名規則 • グループ タグは残念ながら、各デバイスに対して “一個” しか定義できません。 • そのため、グループ タグの命名規則を考慮する必要あり。 • 複数の分岐を作成したい場合、”-” でつないで一個のグループ タグを表現する ことをお勧めします。 (例) 3 つの条件を定義したい場合 AAD-JP-Ring0 (例) 4 つの条件を定義したい場合 AAD-JP-Tokyo-Ring0

Autopilot Registration の際のグループ タグの付与方法 • PowerShell を用いた手動登録の場合の例 Set-ExecutionPolicy -Scope Process -ExecutionPolicy RemoteSigned Install-Script -Name Get-WindowsAutopilotInfo -Force Get-WindowsAutopilotInfo -Online -GroupTag “グループ タグ名” (例) Get-WindowsAutopilotInfo -Online -GroupTag AAD-Ring0

動的デバイス グループの作り方 • グループ タグを用いた動的運用には、動的デバイス グループが欠かせません。 • グループ タグに応じて、動的デバイス グループを作成します。 (例) グループ タグが AAD のデバイスを含めるグループのルール (device.devicePhysicalIds -any _ -contains "[ZTDId]") -and (device.devicePhysicalIds -any _ -contains "[OrderID]:AAD") (例) グループ タグが AAD で始まり、Ring0 の場合のグループのルール (device.devicePhysicalIds -any _ -contains "[ZTDId]") -and (device.devicePhysicalIds -any _ -contains "[OrderID]:AAD") -and (device.devicePhysicalIds -any _ -contains "Ring0")

動的デバイス グループの構文例 • (例) Ring 0 の場合の構文 • (例) Ring 3 の場合の構文

動的デバイス グループの割り当て • アプリケーションや構成プロファイル等の [割り当て] に作成した 動的デバイス グループを割り当て、リング アプリーチを活用する

続きは • 今回、紹介した手法については、近日中にブログ記事にまとめて 公開予定となります。 • 詳細が気になる方は、是非、下記のブログをチェックしてみてください。 https://sccm.jp/ Thank you!