ちょっとわかるWindows Autopilot

Transcript

1. ちょっとわかる Windows Autopilot 澤田 翔@ZUNDA株式会社 1 2023/3/27 情シスSlack4周年・BTAJP1周年記念イベント LT#3

2. 会社概要 2 会社名 ZUNDA株式会社 役員 共同創業者 代表取締役 澤田 翔 共同創業者

   取締役 藤井 大地 メンバー 20名 (業務委託を含む) 設立 2020年1月 資本金 2,000,000円 所在地 東京都渋谷区渋谷2-6-11 花門ビル3F 主要事業 • 業務IT環境の構築・運用代行 • 各種クラウドサービス・IT機器の販売 主要取引先 Google Japan、日本マイクロソフト株式会社、Jamf Japan合同会 社、ダイワボウ情報システム株式会社 他 主要顧客 株式会社一休、株式会社ヌーラボ、株式会社HOKUTO、株式会社 One Team、その他、東証一部上場企業　他

3. 3

4. 主要事業の紹介 デジタルワークプレイス コンサルティング SaaS 販売 導入・運用支援 ICT機器 販売・MDM (遠隔管理) 会社や事業のおかれている課題や要求事

   項にあわせ、SaaSとクラウドを活用した 生産性の高い「デジタルワークプレイス」 を提案します。 ✔ コンサルティングサービス ✔ セキュリティ診断、リスク評価 ✔ ゼロトラスト "ID Solutions for DN" グループウェアとセキュリティサービスを 中心に、選定からライセンスの販売、導入 や移行のサポート、日々の運用までワン ストップで対応します。 ✔ Google Workspace ✔ Microsoft 365 ✔ Keeper など クラウドサービスを安全・快適に利用で きるよう、紛失対策や端末認証などの セキュリティを強化した最新のPCやス マートフォンをご用意いたします。 ✔ PC (Windows, Mac) ✔ スマートフォン、タブレット ✔ MDM (遠隔管理) の設定と運用 主に50〜300人規模の組織における「情シス」部門のニーズにワンストップでお応えします

5. 取扱製品一覧 コンサルティングから導入支援、導入後のマネージドサービスまでを高い技術力で支援します。 セキュリティ・ITガバナンス グループウェア導入・運用(支援) MDMと連携した端末の販売・キッティング パソコン • ゼロトラストを取り入れた多層的なセキュリティを構築し、モダンな組織が必要とするITガバナンスの 向上に寄与します。 •

   マネージドサービスとして構築と運用を代行。運用担当者の確保が難しい中小企業においても安全で 生産性の高いセキュリティ環境を実現できます。 Google Workspace, Microsoft 365 をコアにした業務環境の導 入、定着から運用改善まで継続的にサポートします • 業務効率や操作性の改善 • 管理工数の削減、業務環境の品質向上 • 監査対応、セキュリティリスクの低減 その他 コーポレートITの 日常業務から調達まで 幅広くサポートします • Windows Autopilot, ADE, Android Enterprise Zero-touch に対応した端末を販売 • PCの購入から初期設定の自動化まで ワンストップで対応 スマートフォン

6. Windows Autopilot とは 6

7. 󰳕 セルフサービス (管理者の介在なし) で業務 PCを使いはじめられる技術 🏭 工場出荷時のイメージを利用 🚚 PCを利用者 (従業員)

   に直送できる ♻ スムーズな再割当 (入退社、修理交換) 7 Windows Autopilotとは

8. キッティング① 何もしない 8 󰳕 すべてのセットアップを利用者に任せる 🏷 管理者はラベルを貼るだけ 「手順書通りにやってください」 というセットアップ手順。 今でもよく見られます。

9. キッティング② 管理者によるセットアップ 9 󰲒 管理者があらかじめ設定する 🌀 入社が集中すると大忙し！ 🛠 セットアップ後の設定変更が難しい 管理者がユーザーのアカウントを作成して

   パスワードも設定。 セキュリティ上もちょっと不安……。

10. キッティング③ イメージング 10 💿 コマーシャル版 Windows を利用して マスターイメージを作成して書き込み 🚄 大量のデバイスを一度に設定できる

    (マルチキャスト通信) ⚙ イメージの作成が難しく、更新頻度が下 がってしまう 大規模な会社では一般的 PCごとにイメージを作成・管理するので できるだけ同一の機種で統一したい

11. キッティング④ MDMでの設定 11 💼 「職場または学校用に設定する」 🌎 インターネット接続があればOK 📦 アプリケーションの配布は従業員ごと に可能

    Intune + Azure Active Directoryの 「モダンな構成」といえばコレ

12. Windows キッティングシナリオ 12 イメージ 管理者の作業 ユーザーの作業 評価 何もしない 🏭OEMイメージ 🏷ラベル貼付

    🔑ローカルユーザー作成 📦アプリのインストール 🆙Windows Update ✅ 利用者のニーズにあった環境 ✅ セットアップ時点で最新 ✅ 管理者の手間は少ない ❌ 品質のバラツキが大きい ❌ 統制がとれない 管理者セットアップ 🏭OEMイメージ 🏷ラベル貼付 🔑ドメイン/AAD参加 󰲒管理ユーザでログイン 📦アプリのインストール 🛠環境設定 🆙Windows Update 󰳕ネットワークユーザーでログイン ✅ 利用者の手間は少ない ✅ セットアップ時点で最新 ✅ 一定の品質を担保し、統制がとれる ❌ 管理者がとにかく大変 ❌ ユーザーごとの要望に応えるのが大変 ❌ 利用開始後の設定変更が難しい イメージング 💿コマーシャルイメージ ⚙ドライバの追加 🛠環境設定 📦アプリのインストール 🏷ラベル貼付 🔑ドメイン/AAD参加 󰲒管理ユーザでログイン 🆙Windows Update 󰳕ネットワークユーザーでログイン ✅ 利用者、管理者ともに手間が少ない ✅ 一定の品質を担保し、統制がとれる ❌ イメージが陳腐化しやすい ❌ ユーザーごとの要望に応えられない ❌ 利用開始後の設定変更が難しい MDMを利用 (Intuneなど) 🏭OEMイメージ 🏷ラベル貼付 🔑ドメイン/AAD参加 󰳕ネットワークユーザーでログイン (以下はMDMが実施) 🛠環境設定 📦アプリのインストール 🆙Windows Update ✅ 利用者、管理者ともに手間が少ない ✅ セットアップおよび継続的に最新化 ✅ 一定の品質を担保し、統制がとれる ❌ 初回セットアップの自動処理に時間がかかる ❌ 実は野良PCでもAADに参加できちゃう

13. Windows キッティングシナリオ 13 イメージ 管理者の作業 ユーザーの作業 評価 何もしない 🏭OEMイメージ 🏷ラベル貼付

    🔑ローカルユーザー作成 📦アプリのインストール 🆙Windows Update ✅ 利用者のニーズにあった環境 ✅ セットアップ時点で最新 ✅ 管理者の手間は少ない ❌ 品質のバラツキが大きい ❌ 統制がとれない 管理者セットアップ 🏭OEMイメージ 🏷ラベル貼付 🔑ドメイン/AAD参加 󰲒管理ユーザでログイン 📦アプリのインストール 🛠環境設定 🆙Windows Update 󰳕ネットワークユーザーでログイン ✅ 利用者の手間は少ない ✅ セットアップ時点で最新 ✅ 一定の品質を担保し、統制がとれる ❌ 管理者がとにかく大変 ❌ ユーザーごとの要望に応えるのが大変 ❌ 利用開始後の設定変更が難しい イメージング 💿コマーシャルイメージ ⚙ドライバの追加 🛠環境設定 📦アプリのインストール 🏷ラベル貼付 🔑ドメイン/AAD参加 󰲒管理ユーザでログイン 🆙Windows Update 󰳕ネットワークユーザーでログイン ✅ 利用者、管理者ともに手間が少ない ✅ 一定の品質を担保し、統制がとれる ❌ イメージが陳腐化しやすい ❌ ユーザーごとの要望に応えられない ❌ 利用開始後の設定変更が難しい MDMを利用 (Intuneなど) 🏭OEMイメージ 🏷ラベル貼付 🔑ドメイン/AAD参加 󰳕ネットワークユーザーでログイン (以下はMDMが実施) 🛠環境設定 📦アプリのインストール 🆙Windows Update ✅ 利用者、管理者ともに手間が少ない ✅ セットアップおよび継続的に最新化 ✅ 一定の品質を担保し、統制がとれる ❌ 初回セットアップの自動処理に時間がかかる ❌ 実は野良PCでもAADに参加できちゃう 管理者主導 セルフサービス

14. セルフサービスのススメ 14 管理者主導のセットアップ セルフサービス 🏭 同じ仕様のデバイスを大量に構成する 🚚 セットアップは出荷時のみ → 全ユーザーが同じ構成を利用するので柔軟性が低

    く、無駄が多い (Officeは全員使う？) 󰳕 ユーザーにあわせて展開 📦 「管理者が許容する範囲で」事後的に構成できる → 従業員が必要なサービスを必要なときに構成でき、 無駄なくあたらしいサービスを展開可能

15. MDMの課題を解決する Windows Autopilot 15 イメージ 管理者の作業 ユーザーの作業 評価 MDMを利用 (Intuneなど)

    🏭OEMイメージ 🏷ラベル貼付 🔑ドメイン/AAD参加 󰳕ネットワークユーザーでログイン (以下はMDMが実施) 🛠環境設定 📦アプリのインストール 🆙Windows Update ✅ 利用者、管理者ともに手間が少ない ✅ セットアップおよび継続的に最新化 ✅ 一定の品質を担保し、統制がとれる ❌ 初回セットアップの自動処理に時間がかかる ❌ 実は野良PCでもAADに参加できちゃう Intune + Windows Autopilot 🏭OEMイメージ 💿シンプルイメージ 🏷ラベル貼付 🛠デバイス名、グループ設定 (以下はMDMが実施) 🔑ドメイン/AAD参加 🛠環境設定 📦アプリのインストール 󰳕ネットワークユーザーでログイン (以下はMDMが実施) 🆙Windows Update ✅ 利用者、管理者ともに手間が少ない ✅ セットアップおよび継続的に最新化 ✅ 一定の品質を担保し、統制がとれる ✅ ユーザーにAAD登録権限を付与しなくてOK ✅ 自動処理の一部を事前に行えるため、引き渡し てからのリードタイムを短縮できる ❌ Windows Autopilot に対応したPCを手に 入れなくてはいけない 💡 Windows Autopilot で、セルフサービスから「初期設定」と「セキュリティ」を適切に分担できるようになる

16. Autopilotの特徴① デバイス情報の事前設定 16 Intuneからセットアップ前のPCの 󰳕 ユーザー割り当て 🏷 コンピュータ名設定 🛠 グループタグの割り当て

    が可能。

17. Autopilotの特徴② 事前プロビジョニング 17 一般ユーザのログイン前に ESP (Enrollment Status Page) を 起動して

    🔑 AAD/ドメイン参加 🛠 Wi-Fi, VPNなどの初期設定 📦 アプリの事前配布 が可能。

18. Autopilotの特徴③ OOBE(ようこそ画面)の簡略化 18 ようこそ画面を簡略化 󰳕 ユーザアカウント入力済み 🌎 Wi-Fi 自動接続 🚫

    Cortana, プライバシー設定な どをスキップ 「個人デバイスのAAD登録権限」は不要 になり、Windows Autopilot に事前 設定済みのデバイスのみ対応できます

19. 残る課題は…… 19 Windows Autopilot に対応したPCを手に入れる？？？？

20. Microsoft の解説をみてみる 20 「理想的にはOEM, リセラーまたは ディストリビューターによって実行さ れます」 「ハードウェアIDを収集し、手動で アップロードすることで」 「要件を満たしている場合は、自動登

    録用に構成することもできます。

21. 誰が登録するの？ 事前準備 対応PC 評価 OEM登録 メーカー (DELL, Lenovoなど) Microsoft 365

    の管理画面で メーカーを承認 (初回のみ) 発注時にMicrosoft ID を連絡 OEM登録に対応した メーカー + 機種 + 販売店 ✅ 対応していればこれがいちばん 🍎でみたアレ... PKID Windows Product Key ID Microsoft クラウドリセラー (Microsoft 365 販売店) クラウドリセラーに 販売代理権を渡す PKIDが提供される メーカー + 機種 ✅ 比較的多くの機種が対応している ❌ クラウドリセラーにほとんど理解されてない 4KHH 4096bytes の ハードウェアハッシュ ユーザー 4KHH を採取 (ユーザーまたはメーカー) 全機種 メーカーが4KHHを採取して くれることもある ✅ 理論上は全機種に対応 ❌ 自分で集めるのは面倒 ❌ メーカーの対応が遅かったり有料のことも 自動登録 ユーザー 先に Intune 管理下にする (Azure AD Join) 全機種 ❌ 初回のセットアップは簡略化できない ❌ 既存の AAD Join PC を無条件に登録していい のか悩ましい 登録方法の解説 21 💡 できるだけ「OEM登録」「PKID」を使いたい！

22. 対応機種 OEM登録 PKID 4KHH リスト提供 Microsoft 法人向け Surface △ 大規模導入のみ

    ✅ ❌ DELL 法人向けモデル (Latitude, Optiplexなど) ✅ ❌ ❌ NEC Mate, VersaPro ❌ ✅ ❌ HP 法人向け型番 ✅ HP DirectPlus のみ ❌ ✅ マウスコンピュータ Mouse Pro シリーズ ❌ ✅ ❌ 富士通 法人向け型番 ❌ ❌ ✅ Lenovo ThinkPad △ 大規模導入のみ ✅ ❌ パナソニック 法人向け Let's Note ❌ ❌ ✅ メーカーごとの対応 22 💡 ZUNDA調べ (販路や流通によっても対応可否が異なります)

23. イメージについて 23 💡 プリインストールアプリ (McAfeeの体験版とか) のないクリーンな Windows を指定できる Ready Image

    (DELL) RTP: Ready-to-Provision Image (Lenovo)

24. Windows Autopilot の難しさ 要件 24 🏭 メーカー、機種、販路、SIなどに求められる Windows Autopilot への理解

    󰳕 「セルフサービス」での運用が前提 🔑 Azure AD, Intuneでの管理 🌎 展開に必要な通信帯域 (インターネット) の確保 💿 「クリーンなイメージ」の入手 課題 ⚙ Autopilotのスムーズな登録ができないPCをどうするか 📦 Intuneでのアプリ配布や事前プロビジョニングがまだ不安定 🆙 Windows Update や機能更新アップデートを事前に適用できない ☁ クラウドネイティブなベンダー、パートナーが不在

25. [宣伝] ZUNDAのICT機器管理サービス 25 ✅ クラウドサービスとデバイスの販売・管理をワンストップで手掛けております ✅ 弊社で購入したPCはもちろん、直販などで購入したPCもZUNDAで荷受、 Autopilot登録、出荷OK ✅ デバイスインベントリ

    (機器管理台帳) の提供もサポート ✅ Windows, macOS, iOS/iPadOS, Android すべてに対応 予約はこちらから 👉

26. 26 予約はこちらから 👉 FAQ 修理したらどうなりますか？ → メーカーが修理後のデバイスに付替してくれることもあるが、基本的には自己責任。 Autopilotの知識がないメーカーだと「修理後の動作確認ができませんでした」と怒られる ことも。基本的にはAutopilotの登録を解除してから修理に出しましょう。 Autopilot

    リセットとは？ → Azure AD 登録、Intune 登録を維持したまま Intune で遠隔ワイプできる機能。 Wi-Fi 設定や SCEP 証明書は残るので、次のユーザーはすぐに使いはじめられます。 また従業員が不具合を解消するためにセルフサービスでリセットすることも可能になります。 ※HAADJ (Hybrid Azure AD Join) 環境では利用できません。 Mac でも同じことはできますか？ → Mac では Automated Device Enrollment (DEPとも呼ばれている) で、同様に端末 の自動設定が可能です。 (というかWindows Autopilot は Appleのパｋ...)

27. Thank you 27 予約はこちらから 👉