【事例】Windows 10から11への移行
（ゼロタッチキッティング）

＜A＞

お客様は大手のユーザー系企業様です。

このような企業グループのPC環境（PC 4,000台以上）において、2025年にサポートが終了するWindows 10からWindows 11への入れ替えを、2022年10月から当社が手掛けています。

Windows 11の導入は企業の大きな課題

＜A＞

1年間ほどのプロジェクトです。
2022年10月から1カ月間は要件定義でした。11月から基本設計と弊社環境での実機を使った検証です。2023年の1月からお客様環境（Azure ADとIntune）でのテストと検証に入っています。

PCの配布は2023年の7月から10月末までを予定しています。全グループ企業が対象で、PCが4,300台あるので、配布期間も相応に長くなっています。

＜A＞

クラウド上で予め設定する「ゼロタッチキッティング」を進めています。・・・実際のところ、私たちはたくさんタッチするんですけどね（笑）

※ゼロタッチキッティングとは：PCなどのデバイスをユーザーが受け取る前にクラウド上で個々の設定を準備しておき、デバイスの配布後にユーザーがインターネットに接続次第、自動的にセットアップを行うキッティングの手法です。ユーザーは迅速にデバイスの使用を開始できます。

お客様は以前、MECM（Microsoft Endpoint Configuration Manager）でPCのディスクを丸ごとコピー＆クローリングするという手法でWindows PCをキッティングしておりました。今回も当初はマスターイメージのUSBを作り、MECMで進める予定でした。

しかし、予期せず物理サーバーの納品が遅れる状況となり、別の手法が必要となりました。

そこで「折角の機会なので、新しい技術で進めたい」という追加のご要望もあり、オンプレADを廃止し、Azure ADやMicrosoft Intuneで管理する方針が決まりました。そして初期キッティングはWindows Autopilotで、詳細の設定はIntuneで進めることが決まりました。

＜A＞

まだまだオンプレADは使われています。AzureとオンプレのハイブリッドADという方向にする場合も多いです。

Azureで国内外の環境を統合

＜A＞

もともとお客様はAzure ADも使っており、テナント（組織で使用するユーザーアカウントやアプリなどのオブジェクトをまとめるグループのようなもの）はある状態でしたが、連携をしていませんでした。

Intuneも少し使っていました。長期出張者が海外で利用するPCは、オンプレADと疎通が取れなくなるので、オンプレADとは連携はせず、Azure ADと連携して管理していました。

そのような環境を活かして、日本の企業も含めて、今回の設定値を使ったり、Intuneを使ったりして、すべてAzure ADで管理していきましょう、となりました。

＜A＞

スコープを切りました。各社ごと、部署ごとの個別の要件は、スコープ外にしました。「基本の設定はこちらです。この設定でないとこのプロジェクトは進めません。標準外のアプリを使います、基本の設定をいじりたい、という場合には、各グループや各部署で、PCの配布後の個別の設定をお願いします」という形で進めました。

今は、標準のPCがあり、その要件での設計が決まっており、確認を進めています。ただし、標準と言っても5種あります。標準ノートPC（日本語）、標準ノートPC（英語）、標準デスクトップPC、共用ノートPC、共用デスクトップPCです。まだまだ設計が残っており対応中のものもありますね。

＜A＞

一長一短があると思います。
良いところは、管理画面が分かりやすいところです。オンプレADに無いような、例えば「構成プロファイル＞ユーザーグループへの割り当て」が「成功した数」「エラーの数」「競合の数」「適用できなかった数」のレポートを確認できる画面が、Azure ADにはあります。

扱いづらいのは、Azure ADは設定できる階層が浅いことです。オンプレADの管理は、階層ごとの設定分けができました。Azure ADの場合、例えばBitLockerの設定を割り当てますよ、というのを、2階層くらいまでしかできません。

紐づけているグループの中で、入れる・入れないが発生したり、制限する・制限しない、が二重で起きた時に、設定値が競合している・競合していない、というのを一つ一つ見ていかないとなりません。

この点、今回は複雑な階層で管理しなくて良かったので、問題ありませんでした。スコープを切り、基本のPCや標準のプロファイルなどを5種類で管理できるように進めたからです。

＜A＞

Azure ADであれば、Intuneは必須です。ハイブリッドADのオンプレとAzureであれば、グループポリシーオブジェクトで制限できますが、Azure AD側になると、そのような設定はIntuneで行うことになります。

「Microsoft Storeアプリを使えないようにしましょう」とか、「こういうアプリケーションをキッティングの時から入れましょう」、「自動的に配布しましょう」、などは、Intuneの機能を使用して設定します。

Intune admin画面

＜A＞

それは一般的ではありません。Autopilotで設定できることには限りがあります。
PCを初めて開いて「ログインしました」となるまでに、居住地、言語、キーボードのタイプ、セキュリティなどをポチポチと設定していきますが、Autopilotで設定できるのは、そこまでです。

Intuneでは、そのほかの例えば「BitLockerの有効化」「タイムゾーンの設定」「システムのタイムアウト」など、これまでオンプレでも設定していたものを入れられます。これをAutopilotに入れることもできます。

Intuneでは、Autopilotを走らせているところに、そのような構成プロファイルをどのような段階で入れるか、を設定することもできます。初期キッティングの10個分くらいはAutopilotで設定して、その後にAzure ADと接続した後に、先ほどの構成プロファイルを全部落とす、みたいなことも可能です。

＜A＞

当初、初期キッティングはUSBのマスタで実施する予定でした。しかしサーバーが間に合わない状況となり、どうやるのかという話になった時に、Autopilotがあるから使ってみようよ、となった経緯があります。

正直なところ、お客様も私たちも認識の違いがありました。Autopilotは何でもできるイメージがありました。しかし、蓋を開けてみたら、できることが限られていました。

そのため、Intuneでの設定やアプリケーションの配布が7割、8割を占めていて。それを始めるまでがAutopilotになっています。

なお、自分達で設定をしている一般企業では、Autopilotはあまり使いません。Autopilotを使うのは、初期キッティングだけして納品するような会社だと思います。私たちもあまり聞いたことがなく、初めての経験となりました。