今回のコラムは、当社IIMヒューマン・ソリューション株式会社(以下IHS)が進めている大手企業様のプロジェクト事例(Windows 10からWindows 11への移行)です。現場エンジニアへのインタビュー形式でお届けします。
目次
Windows 11への移行プロジェクトを要件定義から
<Q>プロジェクトの概要を教えてください
<A>
お客様は大手のユーザー系企業様です。
このような企業グループのPC環境(PC 4,000台以上)において、2025年にサポートが終了するWindows 10からWindows 11への入れ替えを、2022年10月から当社が手掛けています。
<Q>どのようなスケジュールですか?
<A>
1年間ほどのプロジェクトです。
2022年10月から1カ月間は要件定義でした。11月から基本設計と弊社環境での実機を使った検証です。2023年の1月からお客様環境(Azure ADとIntune)でのテストと検証に入っています。
PCの配布は2023年の7月から10月末までを予定しています。全グループ企業が対象で、PCが4,300台あるので、配布期間も相応に長くなっています。
<Q>プロジェクトの特徴は?
<A>
クラウド上で予め設定する「ゼロタッチキッティング」を進めています。・・・実際のところ、私たちはたくさんタッチするんですけどね(笑)
※ゼロタッチキッティングとは:PCなどのデバイスをユーザーが受け取る前にクラウド上で個々の設定を準備しておき、デバイスの配布後にユーザーがインターネットに接続次第、自動的にセットアップを行うキッティングの手法です。ユーザーは迅速にデバイスの使用を開始できます。
お客様は以前、MECM(Microsoft Endpoint Configuration Manager)でPCのディスクを丸ごとコピー&クローリングするという手法でWindows PCをキッティングしておりました。今回も当初はマスターイメージのUSBを作り、MECMで進める予定でした。
しかし、予期せず物理サーバーの納品が遅れる状況となり、別の手法が必要となりました。
そこで「折角の機会なので、新しい技術で進めたい」という追加のご要望もあり、オンプレADを廃止し、Azure ADやMicrosoft Intuneで管理する方針が決まりました。そして初期キッティングはWindows Autopilotで、詳細の設定はIntuneで進めることが決まりました。
国内外の環境をAzure ADに統合。オンプレADを廃止
<Q>Azure ADの利用は、一般的ですか?
<A>
まだまだオンプレADは使われています。AzureとオンプレのハイブリッドADという方向にする場合も多いです。
<Q>今回、オンプレADを廃止したのはなぜですか?
<A>
もともとお客様はAzure ADも使っており、テナント(組織で使用するユーザーアカウントやアプリなどのオブジェクトをまとめるグループのようなもの)はある状態でしたが、連携をしていませんでした。
Intuneも少し使っていました。長期出張者が海外で利用するPCは、オンプレADと疎通が取れなくなるので、オンプレADとは連携はせず、Azure ADと連携して管理していました。
そのような環境を活かして、日本の企業も含めて、今回の設定値を使ったり、Intuneを使ったりして、すべてAzure ADで管理していきましょう、となりました。
<Q>様々なグループ企業や部署との調整を、どのように管理していきましたか?
<A>
スコープを切りました。各社ごと、部署ごとの個別の要件は、スコープ外にしました。「基本の設定はこちらです。この設定でないとこのプロジェクトは進めません。標準外のアプリを使います、基本の設定をいじりたい、という場合には、各グループや各部署で、PCの配布後の個別の設定をお願いします」という形で進めました。
今は、標準のPCがあり、その要件での設計が決まっており、確認を進めています。ただし、標準と言っても5種あります。標準ノートPC(日本語)、標準ノートPC(英語)、標準デスクトップPC、共用ノートPC、共用デスクトップPCです。まだまだ設計が残っており対応中のものもありますね。
<Q>オンプレAD x MECMに比べ、Azure ADは使いやすいですか?
<A>
一長一短があると思います。
良いところは、管理画面が分かりやすいところです。オンプレADに無いような、例えば「構成プロファイル>ユーザーグループへの割り当て」が「成功した数」「エラーの数」「競合の数」「適用できなかった数」のレポートを確認できる画面が、Azure ADにはあります。
扱いづらいのは、Azure ADは設定できる階層が浅いことです。オンプレADの管理は、階層ごとの設定分けができました。Azure ADの場合、例えばBitLockerの設定を割り当てますよ、というのを、2階層くらいまでしかできません。
紐づけているグループの中で、入れる・入れないが発生したり、制限する・制限しない、が二重で起きた時に、設定値が競合している・競合していない、というのを一つ一つ見ていかないとなりません。
この点、今回は複雑な階層で管理しなくて良かったので、問題ありませんでした。スコープを切り、基本のPCや標準のプロファイルなどを5種類で管理できるように進めたからです。
Intune x Autopilotでキッティングの自動化を実現
<Q>Azure ADの利用は、一般的ですか?
<A>
Azure ADであれば、Intuneは必須です。ハイブリッドADのオンプレとAzureであれば、グループポリシーオブジェクトで制限できますが、Azure AD側になると、そのような設定はIntuneで行うことになります。
「Microsoft Storeアプリを使えないようにしましょう」とか、「こういうアプリケーションをキッティングの時から入れましょう」、「自動的に配布しましょう」、などは、Intuneの機能を使用して設定します。
<Q>IntuneでAutopilotを使うのは、一般的ですか?
<A>
それは一般的ではありません。Autopilotで設定できることには限りがあります。
PCを初めて開いて「ログインしました」となるまでに、居住地、言語、キーボードのタイプ、セキュリティなどをポチポチと設定していきますが、Autopilotで設定できるのは、そこまでです。
Intuneでは、そのほかの例えば「BitLockerの有効化」「タイムゾーンの設定」「システムのタイムアウト」など、これまでオンプレでも設定していたものを入れられます。これをAutopilotに入れることもできます。
Intuneでは、Autopilotを走らせているところに、そのような構成プロファイルをどのような段階で入れるか、を設定することもできます。初期キッティングの10個分くらいはAutopilotで設定して、その後にAzure ADと接続した後に、先ほどの構成プロファイルを全部落とす、みたいなことも可能です。
<Q>Autopilotを使わなくてもIntuneだけで入れられるのでは?
<A>
当初、初期キッティングはUSBのマスタで実施する予定でした。しかしサーバーが間に合わない状況となり、どうやるのかという話になった時に、Autopilotがあるから使ってみようよ、となった経緯があります。
正直なところ、お客様も私たちも認識の違いがありました。Autopilotは何でもできるイメージがありました。しかし、蓋を開けてみたら、できることが限られていました。
そのため、Intuneでの設定やアプリケーションの配布が7割、8割を占めていて。それを始めるまでがAutopilotになっています。
なお、自分達で設定をしている一般企業では、Autopilotはあまり使いません。Autopilotを使うのは、初期キッティングだけして納品するような会社だと思います。私たちもあまり聞いたことがなく、初めての経験となりました。
業務のデジタル化(効率化・自動化)支援サービス
弊社は下記の取り組みを行っております。ぜひご利用ください。
〇 デジタル推進サロン『AOYUZU -Salon de Digital-』
ブリヂストン、出光興産のCDOを歴任してDXの第一人者と言える三枝氏がモデレーターを務め、毎回異なる企業のデジタル担当者のお話をお伺いしていくオンラインサロンです。詳細はこちら
〇 無料セミナー
業務のデジタル化(効率化・自動化)に関し、無料セミナーを毎月5回開催し、動画でのノウハウ提供も開始しております。Microsoft 365のPower Platform、WinActorなどのRPAツールの活用ノウハウを無料で提供しております。詳細はこちら
〇 Microsoft 365関連サービス
「Power Platform SE(PPS)による内製化支援サービス」詳細はこちら
「Microsoft 365」とは|特徴、導入のメリット、費用や管理・運用について、IIMヒューマンソリューションによる導入のメリットや事例はこちら
〇 導入事例 一覧
JALインフォテック様、コニカミノルタ様、官公庁系研究所様、PayPay銀行(旧 ジャパンネット銀行)様、フルキャストホールディングス様、鹿島建物総合管理様、そのほか多数の導入事例をご紹介しております。詳細はこちら