皆さん、こんにちは。
今回は、Windows Autopilot (Microsoft Intune) ネタを紹介したいと思います。
組織のポリシーにもよりますが、Windows Autopilot でデバイスをセットアップする際に、multifactor authentication (MFA) を有効化している組織が多いのではないでしょうか。multifactor authentication (MFA) を有効化した場合、Microsoft Authenticator アプリを使うようになると思いますが、組織によっては、Microsoft Authenticator アプリが使えない (正確には、従業員に社用携帯電話を配布しておらず、かといって、プライベートの携帯電話に Microsoft Authenticator アプリのインストールを強要出来ない場合など) があります。その場合、Windows Autopilot によるデバイス セットアップは非常に難しいです。
そんな時に、Temporary Access Pass (TAP) というソリューションを使ってみようというのが今回の記事です。
Temporary Access Pass (TAP) については、大先輩の国井さんがブログ記事にまとめてくれていますので、そちらを参照ください。
結論からお伝えすると、Windows Autopilot の最中でも Temporary Access Pass (TAP) は使用可能で、Windows Autopilot の最中に設定することになる、Windows Hello for Business 設定最中に求められる MFA も Temporary Access Pass (TAP) の一時パスを使用することが出来ます。
では、具体的に見ていきましょう。
<Windows Autopilot 最中に multifactor authentication (MFA) が求められるとは?>
Windows Autopilot 最中に、multifactor authentication (MFA) が求められるケースは様々なパターンがあります。
まず、デバイスを Windows Autopilot にて登録する際の最初にログインする下記の画面です。
この画面で、ユーザー情報を入力後、下記の画面が表示されるケースがあります。
これは、テナントの設定等により、上記の画面が表示されます。
一例ですが、下記の設定が関連します。
Microsoft Entra ID ポータル > デバイス > デバイスの設定
[Microsoft Entra を使用してデバイスを登録または参加させるには、多要素認証が必要です] が [はい] の場合に、上記の Windows Autopilot によるデバイス登録の際に、MFA が必須になります。
また、Windows Autopilot のデバイス登録後に、Windows Hello for Business の設定の際にも MFA が必要になり、下記の画面が表示されます。
<MFA が求められると何が問題?>
冒頭でもお伝えしましたが、Windows Autopilot によりセットアップしたデバイスを使うユーザーが Microsoft Authenticator アプリを使用出来る (スマートフォンを保有しており、そのスマートフォンを利用出来る) のであれば良いのですが、組織により、利用ユーザーがすべて Microsoft Authenticator アプリを使用出来るとは限りません。
そのため、Windows Autopilot によるデバイス セットアップだけのために (そうでない場合もあるかと思いますが)、スマートフォンを用意するのはコストや管理面を考えると現実的ではありません。
<ではどうするか?>
その際に、Temporary Access Pass (TAP) というソリューションを利用しようというのが一例です。
Temporary Access Pass (TAP) は名前の通り、一時的に利用出来るパスワードを発行してくれる仕組みです。
具体的には、上記のステップにて、MFA を求められていたところに TAP のパスワードを入力して Microsoft Authenticator アプリを使用しないでデバイス セットアップを行います。
<Temporary Access Pass (TAP) の事前設定>
- Microsoft Entra ID ポータルを開き、セキュリティ > 認証方法 > 一時アクセス パス を開きます。
- [有効化およびターゲット] にて、[有効にする] にチェックを入れ、必要に応じて、TAP を有効化するグループを選択します。
※ この例では、[TAP-Users] というセキュリティ グループに含まれるユーザーのみ TAP を有効化します。
- 次に [構成] に移り、TAP の詳細設定を行っていきます。TAP の有効期限などの設定を行います。[一時使用を必須にする] は [いいえ] を選択します。これは、Windows Autopilot デバイス登録の際に、デバイス登録とその後の Windows Hello for Business設定の際も TAP のパスワードを使用したいためです。組織のセキュリティ ポリシーと照らし合わせて設定してください。
- これで、事前設定は終わりです。
<Temporary Access Pass (TAP) を使って、Windows Autopilot デバイス登録をしてみよう>
まず、Windows Autopilot で利用するアカウントにて、Windows Autopilot 開始前に TAP のパスワードを発行する作業を実施します。
- Microsoft Entra ID ポータルを開き、ユーザー > 対象ユーザーを検索して対象ユーザーを開く > 認証方法 に移動します。
- 上部から、[認証方法の追加] を選択します。
- その後、右側の画面にて、[方法の選択] を [一時アクセス パス] を選択して、必要な設定を行います。[一時使用] は [いいえ] を選択します。
その後、下部の [追加] を選択します。
- 下記のように、一時的なパスワードが発行されます。[OK] を選択する前にパスワードをメモしてください。[OK] を選択するとパスワードを閲覧出来なくなります。
- これで、TAP のパスワード発行が出来ました。
次に、Windows Autopilot でセットアップするデバイスに移ります。
先ほどと同じく、下記の画面でメール アドレス (UPN) を入力します。
メール アドレス (UPN) 入力後、下記の画面が表示されます。
一時アクセス パス (TAP) を要求されるので、先ほど発行したパスワードを入力します。
無事、Windows Autopilot が始まりました。
その後、求められる Windows Hello for Business のセットアップの際にも Temporary Access Pass (TAP) のパスワードが利用出来ます。
<まとめ>
Windows Autopilot の採用を検討している組織も多いかと思います。その際に問題になる MFA 問題について取り上げました。Temporary Access Pass (TAP) が一つのソリューションになれば良いかと思います。是非、皆さんの環境でもトライしてみてください。