Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

【第1回EMS勉強会】Autopilot設計時のポイント

1,603 views

Published on

第1回EMS勉強会の登壇資料
Autopilot設計時のポイント

Published in: Technology
  • If you want to download or read this book, Copy link or url below in the New tab ......................................................................................................................... DOWNLOAD FULL PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download Doc Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • (Unlimited)....ACCESS WEBSITE Over for All Ebooks ................ accessibility Books Library allowing access to top content, including thousands of title from favorite author, plus the ability to read or download a huge selection of books for your pc or smartphone within minutes ......................................................................................................................... DOWNLOAD FULL PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download Full EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download Full PDF EBOOK here { http://bit.ly/2m6jJ5M }
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THI5 BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download Full EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download doc Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THI5 BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download Full EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download doc Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THI5 BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download Full EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download doc Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

【第1回EMS勉強会】Autopilot設計時のポイント

  1. 1. Windows Autopilot 設計時のポイント 第1回EMS勉強会 2019/07/27 Yoshihide Kimura
  2. 2. 自己紹介 Self-Introduction 2
  3. 3. Self-IntroductionYoshihide Kimura W o r k • 日本ビジネスシステムズ株式会社に所属 • Microsoft 365全般を担当 • Autopilotのハンズオンも担当 • 主な担当製品: • Active Directory • System Center • Windows 10 • EMS • あとはPowerAppsとかFlowとか好き勝 手にやってます。 P r i v a t e • Hybrid Cloud Community Japan(HCCJP)所属
  Azure / Azure Stackもやってます。 • Facebook:
  https://www.facebook.com/yoshihide.kimura.58 • Twitter:https://twitter.com/objectbuzz • Blog:https://medium.com/objectbuzz • ネコ好き • ペンギン好き Aboutme… 自 己 紹 介 3
  4. 4. by the way,田代島に行ってきました bytheway, 余 談 4 猫がそこらじゅうにいました。猫好きにはおすすめです。
  5. 5. Self-IntroductionYoshihide Kimura O h t e r • TechSummit 2018 にてAutopilotハンズオンを担当。 • 1日目は時間切れでボロボロ(申し訳ない。。。) • 2日目は内容見直して無事完了
 →ご参加いただきました皆様有難う御座いました。 • 7/16に開催されたLenovo Transform 3.0 にて「Azure Stack HCI」を紹介 • Lenovoさんに実機をお借りして検証 • 2ノードのHCIで40万IOPS出る構成 Aboutme… 自 己 紹 介 5
  6. 6. important notice 諸注意 免 責 事 項 あくまでも私の個人的な視点での話になりますので、本 資料の内容が全ての企業様に当てはまるわけではありま せん。 所属する企業やMicrosoft様とも一切関係ありません。 本資料を閲覧したことによって問題が生じた場合や問題 が発生しそうになった場合、また、生じた一切の問題/ 不利益について、発表者は責任を負いかねますのでご了 承ください。 また、内容を「Autopilot」に限定するとできることが ほぼ無くなりますので、ここではAutopilot+Intuneを ベースとしてお話します。 N o t e : Note: 本資料の内容は2019年7月時点の情報を元に作成しています。内容は今後変更される可能性があります。 6
  7. 7. ここから本番 start 7
  8. 8. 1:事前準備編 2:考え方編 3:設定編 4:その他 目次 C o n t e n t s Contents 8
  9. 9. 事前準備編 Advance preparation 9
  10. 10. ・管理サイト選び ・ハードウェアIDとは ・利用中端末のAutopilot対応 事前準備編 A d v a n c e p r e p a r a t i o n Contents 10
  11. 11. Management管理サイト Autopilotの管理サイトとして何を使用するか選択しましょう。 ・ビジネス向けWindows Store ・Microsoft 365 デバイス管理センター ・Intune おすすめはもちろんIntuneです。 使用するサイトによって設定できる内容が少なかったりしますので、ご注意ください。 また、ハードウェアIDのアップロード先と使用する管理サイトは同じサイトを使用することをオススメします。 ※同期が不安定になったことがあります。 A d v a n c e p r e p a r a t i o n 11
  12. 12. Management管理サイト A d v a n c e p r e p a r a t i o n 12 ビジネス向けMicrosoft Store Microsoft 365 デバイス管理センター Intune
  13. 13. Hardware IDハードウェアID Autopilotの肝とも言えるハードウェアID(ハードウェアハッシュとも呼ばれる) 対応メーカーであれば管理者が取得しなくとも、専用のポータル経由でデバイスを登録可能。 この時使用するものはTupleIDまたはPKIDとなり、Powershellで取得するID(4K HH)とは別のIDになります。 ※Autopilot利用予定の機種が対応しているかは事前にメーカーや仕入先にご確認ください。 尚、マザーボード交換等でハードウェアが変更になった場合はハードウェアIDが異なりますので、Intune等へ端末の 再登録が必要になります。 A d v a n c e p r e p a r a t i o n 13参考:https://docs.microsoft.com/en-us/windows/deployment/windows-autopilot/add-devices#registering-devices
  14. 14. Hardware IDハードウェアID Powershellで取得可能なハードウェアIDを取得後、Order IDというタイトルを追加して、任意の値を入力すると、 Intuneへのインポート後に「Order ID」を使用したグルーピングが可能となります。 例)(device.devicePhysicalIds -any _ -eq [OrderID]:wg1903 )を動的デバイスの規則に入力すると、
  Order IDに「wg1903」が登録されたデバイスのみがグループに登録される これをうまく利用すれば、例えば部署ごとに異なるAutopilotポリシーを適用することも可能です。 A d v a n c e p r e p a r a t i o n 14
  15. 15. Hardware IDハードウェアID A d v a n c e p r e p a r a t i o n 15 1.Powershellで出力したcsvファイルに 「Order ID」を追加し、値を入力 2. アップロードされたデバイスの「グル ープタグ」に、csvの「Order ID」が 表示される
  16. 16. Hardware IDハードウェアID A d v a n c e p r e p a r a t i o n 16 3.動的メンバーシップルールを以下の様 に指定
 (device.devicePhysicalIds -any _ - eq [OrderID]:wg1903 ) 4. 作成したグループをデプロイプロファ イルに割り当てる
  17. 17. Exiting Device利用中端末のAutopilot化 すでに利用中の端末をAutopilot対応する のであれば、端末をIntuneに登録し、デバ イスグループに作成、登録。 作成したグループをデプロイプロファイル に割り当て、Autopilotに対応させておけ ば、自動的にハードウェアIDを収集し、 Autopilot対応デバイスとして登録されま す。 SCCMを利用中(SCCMで管理されている 端末)の場合は、SCCM経由で登録するこ とも可能です。 A d v a n c e p r e p a r a t i o n 17参考:https://docs.microsoft.com/en-us/windows/deployment/windows-autopilot/add-devices#automatic-registration-of-existing-devices
  18. 18. Exiting Device利用中端末のAutopilot化 また、Windows 7/8.1をご利用中で、かつ、SCCMをご利用中の場 合、SCCMのタスクシーケンスを利用してWindows10をインストー ルしつつAutopilot化することも可能です。 SCCM 1810以降の場合、タスクシーケンスのテンプレートに Autopilot用テンプレートが準備されていますので、テンプレートを利 用して展開いただくと簡単に展開することが可能です。
 また、Autopilot化のためにSCCMとIntuneを連携する
 「Co-management」構成である必要はありません。 ただし、本構成場合は、「クリーンインストールのみ」となりますの で、データはOneDrive等に予め退避しておく必要があります。 A d v a n c e p r e p a r a t i o n 18参考:https://docs.microsoft.com/en-us/windows/deployment/windows-autopilot/add-devices#automatic-registration-of-existing
  19. 19. 考え方編 Way of thinking 19
  20. 20. ・ポリシーはGPOの置き換えではない ・所有者に気をつける ・グループの考え方 ・割り当ての考え方 考え方編 W a y o f t h i n k i n g Contents i20 20
  21. 21. ポリシーはGPOの 置き換えではない W a y o f t h i n k i n g 「IntuneのポリシーはGPOと同じことができるのか」とよ くお話をいただきます。 Intuneのポリシー(プロファイル)には「管理用テンプレ ート」が一部搭載されていますので、かなり近づいている 部分もありますが、完全に置き換えるものではありませ ん。 また、ポリシーを考える基準としては「どのポリシーを使 用するか」といった視点ではなく、「何を制御したいの か」と行った視点から考えることをオススメします。 ※ポリシー(プロファイル)はあくまでも手段である。 また、設計書には「なんのためにその設定をしたのか」を 必ず明記しておきましょう。 21 管理用テンプレート
  22. 22. 所有者 W a y o f t h i n k i n g Intuneでは最初にデバイスを登録したアカウントを「ユー ザーによって登録済み(Enrolled by User)」アカウント として認識/登録します。 基本的には1アカウント5台までの登録となりますので、 例えば「管理者が事前にまとめて管理者アカウントを使っ てデバイスを登録する」といったことはできません。
 ※White Gloveは事前にサインインが不要なため、本制限 にはひっかかりません。 また、現時点でIntuneに登録されたデバイスを削除しない 限り変更する方法はありません。 尚、Bitlockerを使用する場合、回復パスワードはIntune 管理者か登録済みユーザーのみ確認することができます。 22
  23. 23. グループの考え方 W a y o f t h i n k i n g Azure ADやIntuneで設定可能なグループ。 Intuneではこのグループを元に、ポリシーの適用先やアプリケ ーションの配布対象を決定します。 オンプレADのOU/GPOのように、ポリシーやアプリケーショ ンの対象を考慮してグループを作成してください。 ただし、まずはすべてのユーザーを含むグループとすべてのデ バイスを含むグループを作成し、その後、ポリシー/アプリケ ーションを意識したグループを作成しましょう。 23
  24. 24. 割り当ての考え方 W a y o f t h i n k i n g 前ページで記載したとおり、ポリシーの適用先やアプリケーシ ョンの配信対象はグループを対象とします。 グループには「ユーザー」と「デバイス」を登録できますが、 各種設定の割り当てには「ユーザー」を利用することをオス スメします。 ※「デバイス」がダメというわけではない。 特に制御系(USB利用不可等)はユーザーに紐づけておくと 意図しないデータの書き出しを防ぐことができます。 ※書き出し用の端末を準備するのであれば不要 逆にWhite Gloveを使うときは「デバイス」をうまく使ってく ださい。 24
  25. 25. 設定/運用編 Configuration / Operation 25
  26. 26. ・登録ステータスを有効活用 ・複数人で利用する端末の注意点 ・ポータルサイトアプリは必須 ・なんでも配信できると思わない ・困った時のPowershell ・初期化のタイミングに気をつける ・証明書にも気をつける ・FU/QU配信 設定/運用編 C o n f i g u r a t i o n / O p e r a t i o n Contents 26
  27. 27. Configuration登録ステータスを有効活用 登録ステータスを利用すると、設定完了までユーザーに 端末を操作させることを防げます。 登録ステータスではデバイス、ユーザーそれぞれにポリ シーが幾つ当たっているかや、アプリケーションのイン ストール状況(数のみ)を表示させることができます。 また、Autopilot失敗時に通知する内容をカスタマイズす ることもでき、失敗時にHelpdeskへ連絡するように表示 させるようなことも可能です。 C o n f i g u r a t i o n / O p e r a t i o n 27
  28. 28. Configuration複数人で使う端末の注意点 共有端末等、1台の端末を複数人で利用する場合は、 条件付きアクセスにご注意ください。 条件付きアクセスの設定で「ブロック」にしている場 合、 そのデバイスにサインインしたことがあるユーザーのうち 1人でも30日間(既定)サインインがないと、全員条件 付きアクセス対象のアプリケーション等にサインインで きなくなります。 ブロックされた場合はIntuneの管理画面からどのアカウ ントが非準拠になっているか確認し、対象アカウントで サインインいただき、Intuneと同期、その後非準拠から 準拠になることでサインイン可能となります。 C o n f i g u r a t i o n / O p e r a t i o n 28
  29. 29. Configurationポータルサイトアプリは必須 Windows Storeにて公開中のポータルサイトアプリは必 ずインストールしましょう。 ポータルサイトアプリでは、デバイスの状態や同期、管理 者が配信しているストアアプリを表示でき、一般ユーザ ー権限でもこれらを実行/インストールすることが可能に なります。 ただし、Intune経由で本アプリを強制インストールさせ るには「Windows Store for Business」とIntuneを同 期させることが必要になります。 C o n f i g u r a t i o n / O p e r a t i o n 29
  30. 30. Configurationポータルサイトアプリは必須 C o n f i g u r a t i o n / O p e r a t i o n 30Windows Storeから配信しようとすると「必須」が選択できない 参考:https://docs.microsoft.com/ja-jp/intune/windows-store-for-business
  31. 31. Configurationなんでも配信できると思わない 2018年10月に追加されたWin32アプリの 配信によって、msi、ユニバーサルアプリの 配信に加えてWin32アプリ(exe)の配信も 可能となりました。 とはいえ、インストールはコマンドラインで の実行となるため、基本的にはサイレントイ ンストールに対応している必要があります。 そのため、すべてのアプリケーションを配信 できるわけではありません。 C o n f i g u r a t i o n / O p e r a t i o n 31
  32. 32. Powershell困った時のPowershell exeやmsiを配信したいが、単純にインスト ールさせるだけではなく、インストール前後 に設定を変更したい場合等はPowershallが 利用できます。 やり方次第では社内ファイルサーバーにイン ストーラーを配置しておき、そこからダウ ンロード、インストールさせるようなことも 可能です。 2019年5月のIntuneアップデートにより、 「ユーザー」のみではなく、「デバイス」に 対して配信も可能になりました。 C o n f i g u r a t i o n / O p e r a t i o n 32
  33. 33. Configuration初期化のタイミングに気をつける 運用を考える上で必要な「端末の再利用」 Autopilotには「Autopilot Reset」というリ セット機能がありますが、本機能ではIntune 上のデバイスは削除されません。 そのため、退職等で端末の利用者を変更する 場合はIntuneコンソール上で「ワイプ」を実 行することをおすすめします。 ワイプを使わず手動でデバイスを削除する場 合は、「端末を初期化」→「Intuneデバイス 削除」の順番に実施しましょう。 C o n f i g u r a t i o n / O p e r a t i o n 33
  34. 34. Configuration初期化のタイミングに気をつける もし先に「Intuneデバイスの削除」を実施し てしまうと端末にサインインできなくなりま す。 その場合はサインイン画面でShift 押しなが ら再起動で初期化可能となります。 ただし、ドライブに対してBitlockerが有効な 場合は回復キーが必要となりますので、ご注 意ください。 ※Intune上のデバイスを削除すると回復キー は表示されなくなる この場合、対処法はOS再インストールのみと なります。 C o n f i g u r a t i o n / O p e r a t i o n 34 追記:別途ご指摘いただきましたが、 AzureADデバイス側に回復キーが 残っておりましたので、Intuneデバイ ス側ではなく、AzureADデバイス側 で確認可能です。 大変失礼いたしました。
  35. 35. Configuration証明書にも気をつける Autopilotは無線LANにも対応しています。 ※White Gloveは有線LANのみ ただし、エンタープライズでよくある「無線 LANの認証に証明書が必要」な場合、事前 に証明書をインポートさせることができま せんので、ご注意ください。 また、同じくADFSの認証に証明書を使用し ている場合、使用する証明書によっては事 前にインポートできませんので、合わせてご 注意ください。 C o n f i g u r a t i o n / O p e r a t i o n 35
  36. 36. ConfigurationQU/FU配信 Windows10をIntuneで管理する場合、QU/ FUは「Windows Update For Business」 で管理することになります。 そのため、WSUSやSCCMのように「QU/ FU」を完全に抑制することはできませんの で、「更新リング」をうまく活用して、適用 タイミングをコントロールしましょう。 なお、合わせて「配信の最適化」を利用す ることをオススメします。 「配信の最適化」はQU/FUだけでなく、 Intuneで配信されたアプリケーションにも 対応しています。 C o n f i g u r a t i o n / O p e r a t i o n 36
  37. 37. ConfigurationQU/FU配信 「配信の最適化」は設定次第ではインターネット経 由でコンテンツを取得しますので、ダウンロードモー ドの設定には十分お気を付けください。 また、ダウンロードモードのLANでは、グローバル IPをキーとしてグループ化しますので、環境によって は拠点間でデータのやり取りが発生します。 こちらも併せてご注意ください。 なお、Microsoft社のケーススタディでは「ドメイン (グループ)」を採用しているようです。 https://www.microsoft.com/en-us/itshowcase/adopting-windows-as-a- service-at-microsoft C o n f i g u r a t i o n / O p e r a t i o n 37参考:https://docs.microsoft.com/ja-jp/windows/deployment/update/waas-delivery-optimization-reference#download-m ダウンロードモード一覧
  38. 38. その他 other 38
  39. 39. ・ホスト名のランダム値 ・リモートアクセス ・Hybridからの移行 ・Intune Enrollment ・Proplus失踪 その他 O t h e r Contents 39
  40. 40. ホスト名のランダム値 O t h e r Autopilotのプロファイル設定にてデバイス名のテンプレート に「%RAND:x%」や「%SERIAL%」を指定することでホスト 名の重複を防ぐことができます。 ただしデバイス名のテンプレートでは「連番」をつけることは できません。
 「連番」をつける場合は展開後にPowershell等を利用して変 更することをおすすめします。 また、「%RAND:x%」を使用してホスト名の一部にランダム 値を割り当てる場合、このランダム値が重複する可能性があり ます。 そのため、ランダム値の桁数はできるだけ多くすることをおす すめします。 40
  41. 41. リモートアクセス あれこれ O t h e r Intuneでは「TeamViewer」を連携することでリモートアクセ スすることが可能ですが、ライセンスはIntuneとは別に必要と なります。 Office 365proplusのSkypeやTeamsを使って画面共有する こともできますし、レジストリやOMA-URIを利用して Remote Desktopを有効化することも可能です。 また、イントラネット限定かつ専用サーバーが必要になります が、Intel AMTの機能を利用してハードウェアレベルでリモー トアクセスすることも可能です。 ※端末がIntel AMTに対応している必要あり Intel AMT:https://downloadcenter.intel.com/ja/ product/23549 41
  42. 42. リモートアクセス あれこれ O t h e r PowershellでRDPとFW有効化(sample) # Allow this to Run Set-ExecutionPolicy Bypass -Force # Enable RDP Set-ItemProperty -Path "HKLM: SystemCurrentControlSetControlTerminal Server" - Name "fDenyTSConnections" ‒Value 0 # Open Firewall Enable-NetFirewallRule -DisplayGroup "Remote Desktop" 42 OMA-URIでRDP有効化 • OMA-URI: ./Device/Vendor/MSFT/Policy/Config/ RemoteDesktopServices/ AllowUsersToConnectRemotely • Date type: String • Value: <enabled />
  43. 43. Intune Enrollment O t h e r 以前は端末の登録に使用されていた「Microsoft Intune Enrollment」 ※今は使われていないはず Azure AD上にこれが残っているとAutopilotが失敗すること があります。 特にHybrid AzureAD Joinの場合、Autopilot実行中にイベン トログに以下のエラーがよく表示されます。 [microsoft-windows-moderndeployment-diagnostics- provider/autopilot]に[0x81036501]が記録される。 この場合、「Microsoft Intune Enrollment」を削除すればエ ラーが表示されなくなります。 43
  44. 44. Proplus失踪事件 O t h e r Surface Laptop等、端末購入時にOffice 365 Proplusがプレ インストールされている機種の場合、IntuneでProplus配信する とプレインストールされているProplusがアンインストールされ ることがあります。 これは、プレインストールされているProplusの更新チャネルが 毎月であり、配信しようとしているProplusの更新チャネルが毎 月以外の場合に起こりえます。 Proplusの更新チャネル変更はレジストリ変更で可能ですが、
 レジストリ変更後にアップデートが必要です。 そして、このアップデートでは再インストールが実施されます。 この挙動により、Proplusのアップデート時にプレインストール のProplusがアンインストールされ、その次の配信のタイミング で再度Proplusがインストールされます。 44
  45. 45. オマケ bonus 45
  46. 46. ・Powershellのログ ・イベントログあれこれ ・通常のOOBEでAzureADjoinとの比較 ・リセット時の挙動 浅めのDeep Dive b o n u s Contents 46
  47. 47. Deep DivePowershell ログファイルの保存場所  C:ProgramDataMicrosoftIntuneManagementExtensionLogs  IntuneManagementExtension.logを参照 ポリシーの確認頻度  既定では60分間隔 ポリシーの強制確認方法  Windowsサービス「Microsoft Intune Management Extension」を再起動する 複数のPowershellが登録されている場合、実行される順番は?  ランダムです エージェントは32Bit?64Bit?  32Bitです。32Bitプロセスからx64デバイスにレジストリキーを作成すると、  レジストリ内の「WOW6432Node」にリダイレクトされるため、レジストリの取り扱いにはご注意を。 B O N U S 47
  48. 48. Deep DivePowershell 機密情報はPowershellに記載しないこと  実行するPowershellスクリプト自体は実行後に削除されますが、前項の 
  「IntuneManagementExtension.log」にはスクリプトの内容が全て記録されます。  ログは端末にサインインしている全ユーザーが表示可能なため、実行内容にパスワード等が記載されていると、  ログからパスワードが漏洩します。 失敗した場合のスクリプト実行の再試行間隔  現在の再試行間隔は60分ごとです。この手順は3回に限られています。  実行回数は以下のレジストリキーで確認可能です。
  HKLMSOFTWAREMicrosoftIntuneManagementExtensionPoliciesUserGUIDScriptGUID 実行可能なスクリプトのサイズは?  200KBまでです。 スクリプトをスケジュールして実行は可能?  不可能です。必要に応じてタスクスケジューラーに登録してから実行させる等の仕組みを利用してください。 B O N U S 48
  49. 49. Deep DivePowershell スクリプト実行のタイムアウト値は?  10分です。※変更不可の模様 アプリケーションのインストールは管理者アカウント(システムアカウント)で実行させたいけど、サインイ ンしているユーザー名の情報が必要!  以下のようなPowershellでサインインしているアカウント情報を取得可能です。  $getusername = (Get-WMIObject -class Win32_ComputerSystem).username  $usern = $getusername -split ''  $userd = 'C:Users'+$usern[1] B O N U S 49
  50. 50. Deep Diveイベントログあれこれ Autopilotがうまく動かないときは「Shift+F10」でコマンドプロンプトを起動し、「eventvwr」コマンドでイベ ントビューアを起動します。 イベントビューアでは主に以下のログを確認しましょう。 • microsoft-windows-moderndeployment-diagnostics-provider/autopilot • microsoft-windows-devicemanagement-enterprise-diagnostics-provider • microsoft-windows-provisioning-diagnostics-provider/admin • microsoft-windows-aad-operational • microsoft-windows-assignedaccess-admin • microsoft-windows-assignedaccess-operational • microsoft-windows-shell-core-operational B O N U S 50
  51. 51. Deep Diveイベントログあれこれ B O N U S 51 • microsoft-windows-moderndeployment-diagnostics-provider/autopilot にjsonファイルがダウンロードされたログが表示されます。 SCCMを使用したWindows7/8.1からのAutopilot対応の際に、 タスクシーケンスでjsonファイルを指定しますが、 おそらく同じ物と思われますので、やろうと思えば 手動でできるんじゃないかと考えてます。
  52. 52. workstation通常のOOBEでAzureADJoin Autopilotを使わず、OOBEでAzure AD joinした場合の挙動 を確認しました。 サインイン画面でAzureADアカウントでサインイン後は Autopilotプロファイルがなくても、登録ステータスが表示 され、その後、OOBEに戻ります。 これは登録ステータスがユーザーに紐づいているからと思わ れます。 そのため、Autopilot化をしなくとも、Intuneのポリシー等 は割り当てられるため、OOBE部分を手動で実施する場合は 大差なさそうです。 そもそもAutopilotがOOBE部分の自動化が主のため、上記 挙動になると思われます。 D e e p D i v e 52
  53. 53. workstationリセット時の挙動 Autopilotと一言で言ってもいくつかのパターンがあります。 そこでそれぞれの手法でセットアップ後、Autopilotリセットをかけるとどんな挙動になるか確認してみました。 上記の通り、White Gloveの挙動も自己展開モードと同じ挙動になります。 D e e p D i v e 53 種類 初回実行時の挙動 リセット時の挙動 ユーザーモード NW接続後、AzureADアカウントでログオンする とAutopilotが実行され、デスクトップが表示 自己展開モードと同じ挙動になる 自己展開モード NW接続後Autopilotが実行され、サインイン画 面が表示 左同 White Glove 管理者:WGの青画面→デバイス設定→WGの 緑画面→シャットダウン ユーザー:起動→AzureADアカウントでサインイ ン→Autopilot実行→デスクトップ表示 自己展開モードと同じ挙動になる
  54. 54. 最後に lastly 54 54
  55. 55. lastlyこれまでご紹介したように、これ までのOS展開とはまた違う形の運 用を考慮する必要がありますが、 そこをクリアできれば運用はかな り楽になります。 lastly 最 後 に 55
  56. 56. lastly 本日ご紹介した内容が 少しでも皆様のお役に立てたので あれば光栄です。 lastly 最 後 に 56
  57. 57. それでは、 良きAutopilot Lifeを!! lastly 最 後 に 57

×