皆さん、おはようございます。
今回は、2024/11/09 (土曜日) に開催された、第 10 回 EMS 勉強会で発表した内容の解説記事となります。本記事の公開が遅くなり、申し訳ございません。
第 10 回 EMS 勉強会では、「ひと目でわかるIntune 第3版」の発売記念イベントを実施し、私はゲストで呼んでいただき、登壇させていただきました。
当日使用した資料を下記に貼っておきますね。
本記事では、当日お伝えした、グループ タグを用いた動的な Windows Autopilot 展開について、当日はお伝えできなかった部分も含めて紹介します。
<導入>
まず、純粋な Windows Autopilot では、デバイス セットアップの時に動的にこのデバイスは IT ユーザー向け、人事向け、ファイナンス向け等のように分類することは難しいです。そのため、組織規模が大きかったり、展開するシナリオが多岐に渡るケース等の場合考慮が必要となります。
その際に、デバイスを Autopilot Registration する際に付与できる、グループ タグ (Group tag) にて、動的に Windows Autopilot デバイス プロファイルを割り当てたり、アプリケーションを動的に割り当てる方法について紹介します。
<概念>
では、実際にはどうするかというと、グループ タグを定義して、そのグループ タグを持つデバイスを動的デバイス グループを作成し、割り当てるというものになります。
例えば、以下の例では、グループ タグに応じて、Windows 更新プログラムの更新リングを割り当てています。
<リング アプローチ>
リングという言葉が出てきましたので、リング (Ring) についても紹介したいと思います。
上記のスクリーン ショットにあるように、組織全体のマシンを各リングで分割し、徐々に組織全体のマシンに展開していくという概念になります。組織によっては、Wave であったり、Phase というキーワードを使っているところもあると思います。
規模が大きな組織の場合、何かを展開する際に、一回の展開 (割り当て) では、何か問題があった際の影響等を考えるとできない場合があります。その際の考え方と思っていただければと思います。
<グループ タグの設計>
イベント当日もお伝えさせていただきましたが、グループ タグは現時点では、残念ながら各デバイスに “一個” しか定義できません。そのため、工夫してグループ タグを割り当てる必要があります。
お勧めとしては、複数の意味を持つグループ タグを設定したい場合は、”-” でつないでグループ タグを表現するのが良いと思います。(“_” とかでも大丈夫です)
例 : “AAD” というタグと “Ring 0” というタグを設定したい場合
AAD-Ring0
例 : “AAD” というタグと “JP” というタグと “Ring0” を設定したい場合
AAD-JP-Ring0
上記はあくまで例なので、タグを設定したい数だけ設定していただければと思います。
<グループ タグの割り当て方法>
Autopilot Registration の際に、グループ タグのオプションを付けてあげるだけです。
一例ですが、PowerShell を用いた手動による登録の場合。
Set-ExecutionPolicy -Scope Process -ExecutionPolicy RemoteSigned Install-Script -Name Get-WindowsAutopilotInfo -Force Get-WindowsAutopilotInfo -Online -GroupTag “グループ タグ名”
Get-WindowsAutopilotInfo -Online -GroupTag AAD-Ring0
<グループ タグに応じた動的デバイス グループ>
この運用の重要な点である、動的デバイス グループについてですが、デバイスに割り当てたグループ タグを基にデバイス グループを作成することにより、初めて Windows Autopilot デバイス プロファイルやアプリケーション等を割り当てることができます。
グループ作成の際、[メンバーシップの種類] を [動的デバイス] を選択ください。
そして、[動的クエリ] は下記のような構文で記載します。
例 : グループ タグが AAD のデバイスを含めるグループのルール
(device.devicePhysicalIds -any _ -contains “[ZTDId]”) -and (device.devicePhysicalIds -any _ -contains “[OrderID]:AAD”)
例 : グループ タグが AAD で始まり、Ring0 の場合のグループのルール
(device.devicePhysicalIds -any _ -contains “[ZTDId]”) -and (device.devicePhysicalIds -any _ -contains “[OrderID]:AAD”) -and (device.devicePhysicalIds -any _ -contains “Ring0”)
タグが増えても上記の例の応用でカバーできると思います。
<動的デバイス グループの割り当て>
最後に、作成した動的デバイス グループを対象に割り当てします。
例えば、”AAD” のタグが設定されている場合は、Windows Autopilot の Microsoft Entra joined 展開のデバイス プロファイルを割り当てるため、デバイス プロファイルの割り当てに、”AAD” のタグが含まれている動的デバイス グループを割り当てる。
例えば、”Ring0″ のタグが設定されている場合は、Windows 更新プログラムの更新リングの Ring 0 用のポリシーを割り当てるため、”Ring0″ のタグが含まれている動的デバイス グループを割り当てる。
<さいごに>
今回紹介した方法にて、Windows Autopilot によるデバイス展開手法の幅が広がれば幸いです。皆さんも本内容を参考にして自組織の運用に落とし込んでいただければと思います。
グループ タグを用いた運用を行うと、各デバイスの概要画面で、グループ タグをチェックできたら良いなと思うと思います。私が以前フィードバックした内容があるので、良いと思った方は是非投票いただけると幸いです。
イメージとしては、下記のような画面表示になればと思います。
(※ 下記スクリーン ショットはデザイン イメージです)
Display Group Tag information in device overview screen
それでは、快適な Windows Autopilot ライフを!