![エンタープライズIT [COLUMNS]](https://ent.iij.ad.jp/wp-content/themes/liquid-smart-child/img/logo.svg){kind=logo}
IIJでは、デジタルワークプレ…
#6 「Windows AutopilotとVPNでPCのゼロタッチプロビジョニング」をやってみた
執筆・監修者ページ/掲載記事:3件
IIJでは、デジタルワークプレース実現の様々なベストプラクティスを公開しています。中でもご要望の多いパターンを、エンジニアが実際に試してみる本企画。今回はゼロトラストの課題を解決する「Windows AutopilotとVPNでPCをゼロタッチプロビジョニングする」方法を取り上げます。詳しい解説と失敗しないためのポイントも聞きました。
「テレワークのために出社する」大いなる矛盾を解消する
今回やってみるのは「Windows AutopilotとVPNでPCをゼロタッチプロビジョニングする」方法ですね。
会社から新たなPCを支給する際には、そのPCを会社のポリシーに沿って使えるようにするため、プロビジョニングという作業が必要です。この作業は情報システム部門が一括して行ったり、プロビジョニング業者に依頼することが多いでしょう。ところが、「Windows Autopilot」を使えば、PCのユーザ自身でプロビジョニングを行うことができるのです。Windows AutopilotはWindows 10以降のOSに備わっている機能で、デバイスのセットアップと事前構成を自動で行うものです。
VPNとの組み合わせが今回のポイントになりますね。
テレワークでは、オンプレミスのActive Directory(オンプレAD)と同一ネットワークへPCを接続してドメイン参加することができません。そこで今回は、まずインターネットを介してAzure ADへの参加、及びAutopilotを利用したプロビジョニングを行います。その過程でVPNクライアントの導入を行い、VPNを通じてオンプレADのドメインに参加させます。VPNを介してオンプレADのドメイン参加までの過程を「ゼロタッチプロビジョニング」としています。
ユーザ自身がプロビジョニングを行えれば、プロビジョニング作業の大幅な効率化が見込めますね。
コロナ禍をきっかけにテレワークが普及しましたが、業務部門がテレワークで使うPCをプロビジョニングするために、PC管理者や情報システム部門が出社する。そんな矛盾が発生しています。
VPNを使ってプロビジョニングを実行できれば、管理者がわざわざ出社する必要はなくなります。ユーザ自身でプロビジョニングを行うため、管理者が一台一台プロビジョニング作業を行う必要もありません。情報システム部門の働き方改革にもつながるでしょう。
事前準備
今回は、VPNにIIJフレックスモビリティサービス/ZTNA(以下、フレックスモビリティ)を使います。フレックスモビリティは、PCにクライアントソフトをインストールして利用するVPNサービスです。
リモートアクセスからオンプレADへドメイン参加させるには、Windowsログオン前にVPN接続を確立していることが条件になります。フレックスモビリティならこの条件をクリアすることができます。
Windows Autopilotを実行するためには、管理者側で以下の準備と設定が必要です。
①端末ポリシーの設定と配布
②アプリケーション配布登録
③Hybrid Azure AD Joinが可能な構成準備
④Intuneコネクタ導入
詳細は「補足1:事前準備」をご覧ください。
【ポイントと注意事項】
以上の準備を行うことで、図1のような連携が可能になります。
ユーザのPCは、初回起動時にインターネットを介してAzure ADへ参加することで、Microsoft Intuneと連動してWindows Autopilotが実行されます。これによりVPNクライアントがPCに導入されます。そのVPNクライアント(以下、Mobilityクライアント)によってVPN接続が確立し、オンプレAD参加が可能になります。
図1:Windows Autopilotの実行環境
事前設定
事前準備が完了したら、Autopilotを利用するための事前設定を行います。
①Autopilotプロファイルの作成
②Windows登録ステータス プロファイルの作成
③Mobility管理コンソールの自動接続設定
④AzureADへデバイス登録
⑤デバイス・ユーザへIntuneポリシー配布
詳細は「補足2:構成」をご覧ください。
【ポイントと注意事項】
「①Autopilotプロファイルの作成」では、図2のように設定します。初期設定時にAD接続をスキップしエラーを回避させ、VPN接続後にドメイン参加を行わせるようにします。「AD接続の確認をスキップする(プレビュー)」は「はい」にすることがポイントです。
図2:Windows Autopilotのプロファイル設定画面
(クリックすると拡大表示します)
「②Windows登録ステータス プロファイルの作成」では、必要なアプリケーションとして、フレックスモビリティのクライアントを指定します。具体的には「これらの必要なアプリがユーザーまたはデバイスに割り当てられている場合、それらがインストールされるまでデバイスの使用をブロックします」で「選択」を選び、Mobilityクライアントを選択します(図3)。
図3:Windows登録ステータス プロファイル設定
(クリックすると拡大表示します)
指定したアプリケーションのインストールコマンドを設定します。詳細は フレックスモビリティのマニュアルをご覧ください。
図4:Mobilityクライアントの配信設定
(クリックすると拡大表示します)
更に、初期設定で導入するアプリケーションも合わせて選択します。ただし、アプリケーションを選択しすぎると、ダウンロードに時間がかかってしまうので必要最小限にとどめましょう。
また、インストール後に再起動が自動で行われるアプリケーションは、ここでは除外することをおすすめします。Autopilot中に再起動が実施されると、処理が中断され、進まなくなることがあるためです。
「③Mobility管理コンソールの自動接続設定」ではフレックスモビリティのMobility管理コンソールを開いて、図5のように「接続のデフォルト」を選択。「デフォルト接続モード」から「起動時に接続」を選択します。これにより、Windowsログオン前にVPN接続を確立することができます。
図5:Mobility管理コンソールの設定画面
動作を確認(Windows Autopilotを実行する)
これまでの準備と設定は管理者側の作業ですが、ここからはユーザ側の作業になります。プロビジョニングするPCをネットワークにつないだら、早速Windows Autopilotを実行してみましょう。手順は以下の通りです。
①ネットワークに接続した状態でPCをリセットすると、Microsoftアカウントのサインインが求められます(図6)。アカウントを入力し「次へ」をクリックすると、自動で設定が開始されます。
図6:Microsoftアカウントのサインイン画面
②AutopilotによってMobilityクライアントがインストールされ、認証画面が表示されますが、このタイミングでのVPN接続は不要なためスキップをクリックします。
図7:Mobilityクライアントの資格情報入力画面
③図8のようにWindowsログオン画面に進むので、ドメインアカウントを入力してサインインします。フレックスモビリティのポリシーによっては、このタイミングで図7のMobilityクライアントの資格情報の入力を求められることがあります。慌てずに適切な情報を入力し「OK」を選択します。
図8:Windowsログオン画面
④図9の画面が表示され、Windows Autopilotのセットアップが再開されます。
図9:Windows Autopilotのセットアップ再開画面
⑤ドメイン参加が完了するとAzureADの資格情報が求められるので、入力して「次へ」をクリックします(図10)。
図10:Azure ADの資格情報入力画面
⑥図11の画面が表示されるので、「組織がデバイスを管理できるようにする」にチェックが入っていることを確認し「OK」をクリックします。
図11:デバイス管理の選択画面
⑦図12の画面が表示されたら「完了」をクリックします。これで設定は完了です。
図12:完了確認画面
Windows Autopilotが完了すると、デスクトップ画面に切り替わります。デスクトップ画面が表示されたら、Windows Autopilotのセットアップは成功です。難しい設定は必要ない、ゼロタッチプロビジョニングを実現できました。あとは設定したアプリケーションが正常に動作するか確認してみましょう。問題なければ、すぐに業務を開始できます。
図13:デスクトップ画面の表示
まとめと解説
ユーザ側のWindows Autopilotの設定は思った以上に簡単ですね。
管理者側でHybrid Azure AD Joinやプロファイル作成など事前の準備と設定は必要になりますが、ユーザが行う作業は基本的に画面の指示に従っていくだけです。ITに詳しくないユーザでも戸惑うことなく作業を進めていけるでしょう。
どんなVPNサービスでも実行できるのですか。
ポイントはWindowsログオン前にVPN接続を確立していることです。確立したVPN接続を利用して、Active Directoryへのドメイン参加が可能になります。VPNサービス自体は他社も提供していますが、フレックスモビリティはWindowsログオン前にVPN接続を確立することができます。Hybrid Azure AD join構成でのWindows Autopilotの利用に適したVPNサービスと言えるでしょう。
テレワーク環境を整備するための作業が大きく変わりますね。
これまでは、調達したPCを一旦会社に集約してプロビジョニングを行い、それをユーザ一人ひとりに支給する。そんなスキームが一般的だったと思います。Windows Autopilotを使えば、調達したPCを直接ユーザに配布し、ユーザ自身でプロビジョニングを行ってもらう。そんな運用が可能になります。
PC管理者や情報システム部門はプロビジョニングのために出社する必要がなくなり、各PCへのポリシー設定も効率化できます。ユーザもPCが届いたら、その日のうちにゼロタッチプロビジョニングでPCを使えるようになります。
コロナ禍以降も働き方改革やダイバーシティ確保のため、テレワークを推進する企業は多いでしょう。テレワーク前提のIT環境を考える上で、Windows Autopilotは有効な一手となりそうです。
補足1:事前準備
| ① | 端末ポリシーの設定と配布 |
|
|---|---|---|
| ② | アプリケーション配布登録 |
|
| ③ | Hybrid Azure AD Joinが可能な構成準備 |
|
| ④ | Intuneコネクタ導入 |
|
補足2:構成
| ① | Autopilotプロファイルの作成 |
|
|---|---|---|
| ② | Windows登録ステータス プロファイルの作成 |
|
| ③ | Mobility管理コンソールの自動接続設定 |
|
| ④ | AzureADへデバイス登録 |
|
| ⑤ | デバイス・ユーザへIntuneポリシー配布 |
|
「ゼロトラスト」と共に読み解く
次世代リモートアクセスの
ガイドブックを差し上げます
- 「クラウド型リモートアクセス」サービス無料ガイドブック
(PDF:16ページ) - 快適性とゼロトラストセキュリティを両立するその秘密や、他社サービスとの比較をガイドブックで詳しく解説
- 今さら聞けない「ゼロトラスト」基本の“キ”
(PDF:16ページ) - ゼロトラストの本質をきちんと理解できていますか?
基本的な7つの原則をやさしく解説
