ちょっとわかるWindows Autopilot

Transcript

1. ちょっとわかる
   Windows Autopilot
   澤田 翔@ZUNDA株式会社
   1
   2023/3/27
   情シスSlack4周年・BTAJP1周年記念イベント LT#3
   

   View Slide

2. 会社概要
   2
   会社名 ZUNDA株式会社
   役員
   共同創業者 代表取締役 澤田 翔
   共同創業者 取締役 藤井 大地
   メンバー 20名 (業務委託を含む)
   設立 2020年1月
   資本金 2,000,000円
   所在地 東京都渋谷区渋谷2-6-11 花門ビル3F
   主要事業
   ● 業務IT環境の構築・運用代行
   ● 各種クラウドサービス・IT機器の販売
   主要取引先
   Google Japan、日本マイクロソフト株式会社、Jamf Japan合同会
   社、ダイワボウ情報システム株式会社 他
   主要顧客
   株式会社一休、株式会社ヌーラボ、株式会社HOKUTO、株式会社
   One Team、その他、東証一部上場企業　他
   

   View Slide

3. 3
   

   View Slide

4. 主要事業の紹介
   デジタルワークプレイス
   コンサルティング
   SaaS 販売
   導入・運用支援
   ICT機器
   販売・MDM (遠隔管理)
   会社や事業のおかれている課題や要求事
   項にあわせ、SaaSとクラウドを活用した
   生産性の高い「デジタルワークプレイス」
   を提案します。
   ✔ コンサルティングサービス
   ✔ セキュリティ診断、リスク評価
   ✔ ゼロトラスト "ID Solutions for DN"
   グループウェアとセキュリティサービスを
   中心に、選定からライセンスの販売、導入
   や移行のサポート、日々の運用までワン
   ストップで対応します。
   ✔ Google Workspace
   ✔ Microsoft 365
   ✔ Keeper など
   クラウドサービスを安全・快適に利用で
   きるよう、紛失対策や端末認証などの
   セキュリティを強化した最新のPCやス
   マートフォンをご用意いたします。
   ✔ PC (Windows, Mac)
   ✔ スマートフォン、タブレット
   ✔ MDM (遠隔管理) の設定と運用
   主に50〜300人規模の組織における「情シス」部門のニーズにワンストップでお応えします
   

   View Slide

5. 取扱製品一覧
   コンサルティングから導入支援、導入後のマネージドサービスまでを高い技術力で支援します。
   セキュリティ・ITガバナンス
   グループウェア導入・運用(支援)
   MDMと連携した端末の販売・キッティング
   パソコン
   ● ゼロトラストを取り入れた多層的なセキュリティを構築し、モダンな組織が必要とするITガバナンスの
   向上に寄与します。
   ● マネージドサービスとして構築と運用を代行。運用担当者の確保が難しい中小企業においても安全で
   生産性の高いセキュリティ環境を実現できます。
   Google Workspace, Microsoft 365 をコアにした業務環境の導
   入、定着から運用改善まで継続的にサポートします
   ● 業務効率や操作性の改善
   ● 管理工数の削減、業務環境の品質向上
   ● 監査対応、セキュリティリスクの低減
   その他
   コーポレートITの
   日常業務から調達まで
   幅広くサポートします
   ● Windows Autopilot, ADE,
   Android Enterprise Zero-touch
   に対応した端末を販売
   ● PCの購入から初期設定の自動化まで
   ワンストップで対応
   スマートフォン
   

   View Slide

6. Windows Autopilot とは
   6
   

   View Slide

7. 󰳕 セルフサービス (管理者の介在なし) で業務
   PCを使いはじめられる技術
   🏭 工場出荷時のイメージを利用
   🚚 PCを利用者 (従業員) に直送できる
   ♻ スムーズな再割当 (入退社、修理交換)
   7
   Windows Autopilotとは
   

   View Slide

8. キッティング① 何もしない
   8
   󰳕 すべてのセットアップを利用者に任せる
   🏷 管理者はラベルを貼るだけ
   「手順書通りにやってください」
   というセットアップ手順。
   今でもよく見られます。
   

   View Slide

9. キッティング② 管理者によるセットアップ
   9
   󰲒 管理者があらかじめ設定する
   🌀 入社が集中すると大忙し！
   🛠 セットアップ後の設定変更が難しい
   管理者がユーザーのアカウントを作成して
   パスワードも設定。
   セキュリティ上もちょっと不安……。
   

   View Slide

10. キッティング③ イメージング
    10
    💿 コマーシャル版 Windows を利用して
    マスターイメージを作成して書き込み
    🚄 大量のデバイスを一度に設定できる
    (マルチキャスト通信)
    ⚙ イメージの作成が難しく、更新頻度が下
    がってしまう
    大規模な会社では一般的
    PCごとにイメージを作成・管理するので
    できるだけ同一の機種で統一したい
    

    View Slide

11. キッティング④ MDMでの設定
    11
    💼 「職場または学校用に設定する」
    🌎 インターネット接続があればOK
    📦 アプリケーションの配布は従業員ごと
    に可能
    Intune + Azure Active Directoryの
    「モダンな構成」といえばコレ
    

    View Slide

12. Windows キッティングシナリオ
    12
    イメージ 管理者の作業 ユーザーの作業 評価
    何もしない 🏭OEMイメージ 🏷ラベル貼付
    🔑ローカルユーザー作成
    📦アプリのインストール
    🆙Windows Update
    ✅ 利用者のニーズにあった環境
    ✅ セットアップ時点で最新
    ✅ 管理者の手間は少ない
    ❌ 品質のバラツキが大きい
    ❌ 統制がとれない
    管理者セットアップ 🏭OEMイメージ
    🏷ラベル貼付
    🔑ドメイン/AAD参加
    󰲒管理ユーザでログイン
    📦アプリのインストール
    🛠環境設定
    🆙Windows Update
    󰳕ネットワークユーザーでログイン
    ✅ 利用者の手間は少ない
    ✅ セットアップ時点で最新
    ✅ 一定の品質を担保し、統制がとれる
    ❌ 管理者がとにかく大変
    ❌ ユーザーごとの要望に応えるのが大変
    ❌ 利用開始後の設定変更が難しい
    イメージング
    💿コマーシャルイメージ
    ⚙ドライバの追加
    🛠環境設定
    📦アプリのインストール
    🏷ラベル貼付
    🔑ドメイン/AAD参加
    󰲒管理ユーザでログイン
    🆙Windows Update
    󰳕ネットワークユーザーでログイン
    ✅ 利用者、管理者ともに手間が少ない
    ✅ 一定の品質を担保し、統制がとれる
    ❌ イメージが陳腐化しやすい
    ❌ ユーザーごとの要望に応えられない
    ❌ 利用開始後の設定変更が難しい
    MDMを利用
    (Intuneなど)
    🏭OEMイメージ 🏷ラベル貼付
    🔑ドメイン/AAD参加
    󰳕ネットワークユーザーでログイン
    (以下はMDMが実施)
    🛠環境設定
    📦アプリのインストール
    🆙Windows Update
    ✅ 利用者、管理者ともに手間が少ない
    ✅ セットアップおよび継続的に最新化
    ✅ 一定の品質を担保し、統制がとれる
    ❌ 初回セットアップの自動処理に時間がかかる
    ❌ 実は野良PCでもAADに参加できちゃう
    

    View Slide

13. Windows キッティングシナリオ
    13
    イメージ 管理者の作業 ユーザーの作業 評価
    何もしない 🏭OEMイメージ 🏷ラベル貼付
    🔑ローカルユーザー作成
    📦アプリのインストール
    🆙Windows Update
    ✅ 利用者のニーズにあった環境
    ✅ セットアップ時点で最新
    ✅ 管理者の手間は少ない
    ❌ 品質のバラツキが大きい
    ❌ 統制がとれない
    管理者セットアップ 🏭OEMイメージ
    🏷ラベル貼付
    🔑ドメイン/AAD参加
    󰲒管理ユーザでログイン
    📦アプリのインストール
    🛠環境設定
    🆙Windows Update
    󰳕ネットワークユーザーでログイン
    ✅ 利用者の手間は少ない
    ✅ セットアップ時点で最新
    ✅ 一定の品質を担保し、統制がとれる
    ❌ 管理者がとにかく大変
    ❌ ユーザーごとの要望に応えるのが大変
    ❌ 利用開始後の設定変更が難しい
    イメージング
    💿コマーシャルイメージ
    ⚙ドライバの追加
    🛠環境設定
    📦アプリのインストール
    🏷ラベル貼付
    🔑ドメイン/AAD参加
    󰲒管理ユーザでログイン
    🆙Windows Update
    󰳕ネットワークユーザーでログイン
    ✅ 利用者、管理者ともに手間が少ない
    ✅ 一定の品質を担保し、統制がとれる
    ❌ イメージが陳腐化しやすい
    ❌ ユーザーごとの要望に応えられない
    ❌ 利用開始後の設定変更が難しい
    MDMを利用
    (Intuneなど)
    🏭OEMイメージ 🏷ラベル貼付
    🔑ドメイン/AAD参加
    󰳕ネットワークユーザーでログイン
    (以下はMDMが実施)
    🛠環境設定
    📦アプリのインストール
    🆙Windows Update
    ✅ 利用者、管理者ともに手間が少ない
    ✅ セットアップおよび継続的に最新化
    ✅ 一定の品質を担保し、統制がとれる
    ❌ 初回セットアップの自動処理に時間がかかる
    ❌ 実は野良PCでもAADに参加できちゃう
    管理者主導
    セルフサービス
    

    View Slide

14. セルフサービスのススメ
    14
    管理者主導のセットアップ セルフサービス
    🏭 同じ仕様のデバイスを大量に構成する
    🚚 セットアップは出荷時のみ
    → 全ユーザーが同じ構成を利用するので柔軟性が低
    く、無駄が多い (Officeは全員使う？)
    󰳕 ユーザーにあわせて展開
    📦 「管理者が許容する範囲で」事後的に構成できる
    → 従業員が必要なサービスを必要なときに構成でき、
    無駄なくあたらしいサービスを展開可能
    

    View Slide

15. MDMの課題を解決する Windows Autopilot
    15
    イメージ 管理者の作業 ユーザーの作業 評価
    MDMを利用
    (Intuneなど)
    🏭OEMイメージ 🏷ラベル貼付
    🔑ドメイン/AAD参加
    󰳕ネットワークユーザーでログイン
    (以下はMDMが実施)
    🛠環境設定
    📦アプリのインストール
    🆙Windows Update
    ✅ 利用者、管理者ともに手間が少ない
    ✅ セットアップおよび継続的に最新化
    ✅ 一定の品質を担保し、統制がとれる
    ❌ 初回セットアップの自動処理に時間がかかる
    ❌ 実は野良PCでもAADに参加できちゃう
    Intune +
    Windows
    Autopilot
    🏭OEMイメージ
    💿シンプルイメージ
    🏷ラベル貼付
    🛠デバイス名、グループ設定
    (以下はMDMが実施)
    🔑ドメイン/AAD参加
    🛠環境設定
    📦アプリのインストール
    󰳕ネットワークユーザーでログイン
    (以下はMDMが実施)
    🆙Windows Update
    ✅ 利用者、管理者ともに手間が少ない
    ✅ セットアップおよび継続的に最新化
    ✅ 一定の品質を担保し、統制がとれる
    ✅ ユーザーにAAD登録権限を付与しなくてOK
    ✅ 自動処理の一部を事前に行えるため、引き渡し
    てからのリードタイムを短縮できる
    ❌ Windows Autopilot に対応したPCを手に
    入れなくてはいけない
    💡 Windows Autopilot で、セルフサービスから「初期設定」と「セキュリティ」を適切に分担できるようになる
    

    View Slide

16. Autopilotの特徴① デバイス情報の事前設定
    16
    Intuneからセットアップ前のPCの
    󰳕 ユーザー割り当て
    🏷 コンピュータ名設定
    🛠 グループタグの割り当て
    が可能。
    

    View Slide

17. Autopilotの特徴② 事前プロビジョニング
    17
    一般ユーザのログイン前に
    ESP (Enrollment Status Page) を
    起動して
    🔑 AAD/ドメイン参加
    🛠 Wi-Fi, VPNなどの初期設定
    📦 アプリの事前配布
    が可能。
    

    View Slide

18. Autopilotの特徴③ OOBE(ようこそ画面)の簡略化
    18
    ようこそ画面を簡略化
    󰳕 ユーザアカウント入力済み
    🌎 Wi-Fi 自動接続
    🚫 Cortana, プライバシー設定な
    どをスキップ
    「個人デバイスのAAD登録権限」は不要
    になり、Windows Autopilot に事前
    設定済みのデバイスのみ対応できます
    

    View Slide

19. 残る課題は……
    19
    Windows Autopilot に対応したPCを手に入れる？？？？
    

    View Slide

20. Microsoft の解説をみてみる
    20
    「理想的にはOEM, リセラーまたは
    ディストリビューターによって実行さ
    れます」
    「ハードウェアIDを収集し、手動で
    アップロードすることで」
    「要件を満たしている場合は、自動登
    録用に構成することもできます。
    

    View Slide

21. 誰が登録するの？ 事前準備 対応PC 評価
    OEM登録
    メーカー
    (DELL, Lenovoなど)
    Microsoft 365 の管理画面で
    メーカーを承認 (初回のみ)
    発注時にMicrosoft ID を連絡
    OEM登録に対応した
    メーカー + 機種 + 販売店
    ✅ 対応していればこれがいちばん
    🍎でみたアレ...
    PKID
    Windows
    Product Key ID
    Microsoft クラウドリセラー
    (Microsoft 365 販売店)
    クラウドリセラーに
    販売代理権を渡す
    PKIDが提供される
    メーカー + 機種
    ✅ 比較的多くの機種が対応している
    ❌ クラウドリセラーにほとんど理解されてない
    4KHH
    4096bytes の
    ハードウェアハッシュ
    ユーザー
    4KHH を採取
    (ユーザーまたはメーカー)
    全機種
    メーカーが4KHHを採取して
    くれることもある
    ✅ 理論上は全機種に対応
    ❌ 自分で集めるのは面倒
    ❌ メーカーの対応が遅かったり有料のことも
    自動登録 ユーザー
    先に Intune 管理下にする
    (Azure AD Join)
    全機種
    ❌ 初回のセットアップは簡略化できない
    ❌ 既存の AAD Join PC を無条件に登録していい
    のか悩ましい
    登録方法の解説
    21
    💡 できるだけ「OEM登録」「PKID」を使いたい！
    

    View Slide

22. 対応機種 OEM登録 PKID
    4KHH
    リスト提供
    Microsoft 法人向け Surface
    △
    大規模導入のみ
    ✅ ❌
    DELL
    法人向けモデル
    (Latitude, Optiplexなど)
    ✅ ❌ ❌
    NEC Mate, VersaPro ❌ ✅ ❌
    HP 法人向け型番
    ✅
    HP DirectPlus のみ
    ❌ ✅
    マウスコンピュータ Mouse Pro シリーズ ❌ ✅ ❌
    富士通 法人向け型番 ❌ ❌ ✅
    Lenovo ThinkPad
    △
    大規模導入のみ
    ✅ ❌
    パナソニック 法人向け Let's Note ❌ ❌ ✅
    メーカーごとの対応
    22
    💡 ZUNDA調べ (販路や流通によっても対応可否が異なります)
    

    View Slide

23. イメージについて
    23
    💡 プリインストールアプリ (McAfeeの体験版とか) のないクリーンな Windows を指定できる
    Ready Image (DELL) RTP: Ready-to-Provision Image (Lenovo)
    

    View Slide

24. Windows Autopilot の難しさ
    要件
    24
    🏭 メーカー、機種、販路、SIなどに求められる Windows Autopilot への理解
    󰳕 「セルフサービス」での運用が前提
    🔑 Azure AD, Intuneでの管理
    🌎 展開に必要な通信帯域 (インターネット) の確保
    💿 「クリーンなイメージ」の入手
    課題
    ⚙ Autopilotのスムーズな登録ができないPCをどうするか
    📦 Intuneでのアプリ配布や事前プロビジョニングがまだ不安定
    🆙 Windows Update や機能更新アップデートを事前に適用できない
    ☁ クラウドネイティブなベンダー、パートナーが不在
    

    View Slide

25. [宣伝] ZUNDAのICT機器管理サービス
    25
    ✅ クラウドサービスとデバイスの販売・管理をワンストップで手掛けております
    ✅ 弊社で購入したPCはもちろん、直販などで購入したPCもZUNDAで荷受、
    Autopilot登録、出荷OK
    ✅ デバイスインベントリ (機器管理台帳) の提供もサポート
    ✅ Windows, macOS, iOS/iPadOS, Android すべてに対応
    予約はこちらから 👉
    

    View Slide

26. 26
    予約はこちらから 👉
    FAQ
    修理したらどうなりますか？
    → メーカーが修理後のデバイスに付替してくれることもあるが、基本的には自己責任。
    Autopilotの知識がないメーカーだと「修理後の動作確認ができませんでした」と怒られる
    ことも。基本的にはAutopilotの登録を解除してから修理に出しましょう。
    Autopilot リセットとは？
    → Azure AD 登録、Intune 登録を維持したまま Intune で遠隔ワイプできる機能。
    Wi-Fi 設定や SCEP 証明書は残るので、次のユーザーはすぐに使いはじめられます。
    また従業員が不具合を解消するためにセルフサービスでリセットすることも可能になります。
    ※HAADJ (Hybrid Azure AD Join) 環境では利用できません。
    Mac でも同じことはできますか？
    → Mac では Automated Device Enrollment (DEPとも呼ばれている) で、同様に端末
    の自動設定が可能です。 (というかWindows Autopilot は Appleのパｋ...)
    

    View Slide

27. Thank you
    27
    予約はこちらから 👉
    

    View Slide