トピック
「Windows Autopilot」で、PCもスマホのように手軽に“機種変”しよう
~買ったPCを箱から出してすぐに環境が再現可能
- 提供:
- 日本マイクロソフト株式会社
2021年6月30日 06:55
業務で使うPCの新規セットアップにかかる手間を省きたい、というのはシステム管理者にとってもユーザーにとっても悩みの種の1つだ。実はMicrosoftの「Windows Autopilot」(以下、Autopilot)を使うことで、そうした問題を一気に解決できることをご存じだろうか? 昨今だとスマートフォンの機種変が非常にスムーズ(ケーブルを繋ぐだけでデータが移動でき、最近だとクラウドにログインするだけで結構なアプリケーションデータの復元が可能)なことを考えると、「なんで同じことがPCでできないのか?」と思う方は少なくないだろう。
新型コロナの収束の時期が見えない昨今、当初よりテレワーク期間が延び、そして今後も続きそうということもあり、慌ててテレワークのためにPCを追加したり、当初の想定よりも大規模なテレワーク環境が必要になって対応に追われたりした、というシステム管理者の方は多いかと思う。だが、テレワーク以前であっても、従業員に渡す作業用PCの環境整備は決して楽ではなかった。テレワークが推奨されている中でわざわざ出社するのは、それだけで手間だし、しかも利用者は社内ではなくテレワーク中だったりすると、その利用者の所に送り届けるという手間も発生する。
数台~十数台ならまだ対応できる範囲だろうが、数百とか数千台を超えるオーダーだと、チームを組んでマシンのセットアップ→必要な情報の設定→業務アプリケーションのインストール→利用者に引き渡し、という作業を行なうことになるが、テレワーク環境下はでこうした作業がさらに難しくなる。だが、そういった状況において、Autopilotを導入すると、下手をするとスマートフォンより簡単にマシンのセットアップが可能となるのだ。
PCでスマホのような機種変を実現するAutopilot
Autopilotという名称はまだあまり普及しているとは言えないし、正しく理解されている方も少ないかもしれない。実際筆者も、名前のせいで、最初に聞いたときは「自動車向けのナビゲーションとか自動運転向けのソフトウェアか?」と思ったほどだ。
Autopilotを使うと何が可能か? という話は以下の画像が分かりやすい。
企業のシステム管理者が、新しい機材をハードウェアベンダー、あるいはパートナー企業に発注すると、そこから直接利用者の所に機材が到着する。利用者は自分で開梱して電源を入れ、ネットワークに繋いでログオンするだけで、自動的にソフトや環境のセットアップが行なわれ、利用できる環境が整う。あとはそのままユーザーが使うだけだ。なお、図1の4と5については、1~3の工程と同時進行するもので、エンドユーザーは意識する必要はない。
何かトラブルがあったら初期状態にリセットするのも簡単だ(エンドユーザーが行なうこともできるし、管理者がリモートで行なうこともできる)。初期化するとソフトウェア的には、PCがメーカーから届いたのと同じ状況になる。最終的に使い終わるまでこの環境が維持されるわけで、昨今のスマートフォン並み、あるいはスマートフォンよりも簡単にセットアップが可能である。
後でもう少し具体的な手順をご紹介するが、エンドユーザーは自分の(会社の)メールアドレスを入れるだけで、後は勝手にセットアップが進行して使えるマシンが用意される。しかもセットアップした機材を受け取るために会社まで出勤しなくても済むというのは、テレワークが強く推奨されている昨今では非常に便利であろう。何かあった時に、すぐに初期状態に戻せるというのも心強いはずだ。
管理者は、自分でPCを開梱してセットアップを行なう手間から解放される。新しいPCを追加する際に管理者がやるべきことは、ユーザーに届くようにPCを発注することと、そのユーザーをAutopilotに登録することだけである。もちろん、購入後にPCが故障したら代替機の発注とかの必要はあるし、あるいは利用者のニーズに応じてリモートから初期化を行なうなんてケースもあるだろうから、以降の作業がゼロになるわけではないが、大幅に軽減される。
加えて言えば、これらも全てリモートで可能で、テレワーク状態のまま作業が行なえることになる。ニューノーマルと呼ばれる新しいワークスタイルが、Autopilotを利用して構築できるわけだ。
Autopilot利用の流れ
もう少し具体的にAutopilotを利用したPC導入の流れを模式的に紹介したのが以下の図だ。ちなみに、これはMDM(Mobile Device Management)サービスとしてMicrosoft Endpoint Managerに含まれるMicrosoft Intuneも組み合わせた場合である。
まずエンドユーザーの立場から言えば、PCが必要とシステム部に連絡すると、システム部経由でハードウェアベンダーないしパートナー企業に連絡が届き、その後、PCが直接エンドユーザーの所に届く(1)。ユーザーはこれを開梱し、電源を入れてネットワークに繋いだ後、自分の会社のアカウントでログインするだけである(2)。すると、自動的にAutopilotのDeployment Serviceに接続、必要な設定や、なんならアプリケーションのインストールまで全て実施してくれる(3)。この作業が終わると、ユーザーの手元に届いたPCは全ての準備が完了しており、ただちに仕事を始められるわけだ。
管理者もそれほど手間がかからない。Autopilotを利用するにあたり、OSとアプリケーションがインストールされていれば、最低限
- 企業のデバイスであることの登録
- コンピュータ名の指定
- 利用者へのPCの割り当て
の3つが行なわれれば、それで足りる。このうち後半の2つの作業は、Intune経由で簡単に行なえる(4)。しかもある程度まとめて行なえる(例えばコンピュータ名の指定はパラメータを指定しての自動割当も可能)ため、それほど大きな手間ではない。管理者は、エンドユーザーから新しいPCが必要という連絡を利用者から受けたら、ベンダーなりパートナーなりに連絡してマシンの手配を行ない、そのタイミングで利用者へのPCの割当を設定するだけでよい。
企業のデバイスであることの登録はというと、これはベンダーあるいはパートナーが行なうので、基本的には管理者は何もする必要がない(5)。これは図2の(5)で示した通り、ユニークなIDをベンダーあるいはパートナーが、その企業のAutopilotデータベースに登録してくれる。最初の仕組みさえ整えば、あとは非常に省力化が行なえることがお分かりいただけよう。
余談であるがMicrosoft Intuneは、単にAutopilot向けのMDMサービスというだけではない。元々はMDMに加えてMAM(Mobile Application Service)の機能を持つもので、対象もWindows PCだけでなく、Mac、そしてスマートフォン(iOS/iPadOSとAndroid)など広範なデバイスに対して、
- 登録されているデバイスを確認し、組織のリソースにアクセスするデバイスのインベントリを取得する
- セキュリティおよび正当性を満たすような構成をする。例えばアンロック(いわゆる「脱獄」)されたデバイスをブロックすることも可能
- ユーザーがWi-FiあるいはVPNを利用する際の証明書の配布
- 準拠および非準拠のユーザー/デバイスに関するレポートの生成
- デバイスの紛失/盗難、あるいはそのデバイスが利用されなくなった場合に、組織のデータの削除
といった機能も提供する。これをAutopilotと組み合わせることで、新規導入や買い換え時以外でも、様々なデバイス管理を効率的に行なえるようになる。
Intuneとの組み合わせで、アプリの自動配布や、離職者のPCの再利用も簡単に
Autopilotそのものはある意味シンプルであり、MDMサービスと組み合わせるのが前提のものであるが、その分柔軟性に富んでいるとも言える。
先に書いたようにAutopilot+Intuneでデバイスの管理や、ユーザー管理が可能だが、これに加えてアプリケーションの配布も可能である。Microsoft Storeに登録しているモダンアプリであればそのまま自動配布が可能で、デスクトップ向けのWin32アプリケーションの場合は、、End Point Managerでアプリケーションをアップロードして、簡単なインストールスクリプトを記述する必要がある。後者についてはアプリケーションの作り方(特にインストールプログラムの作り方)にも依存するが、いわゆるサイレントインストールに対応したものであれば、それほど手間がかからない。
先の説明でも少し触れたが、そのデバイスを再利用する(例えば前の利用者が離職したので、そのPCを次のユーザーに転用したい)場合も、初期化ツールであるAutopilot Resetを使うことで、Azure ADへの参加とMDM登録、キーボード/言語/Wi-Fi設定などは保持しながら、全てのアプリケーションと設定、個人用ファイルの削除が簡単に行なえる。あとはそのPCを新しい利用者に(メールアドレスと一緒に)渡せば、その利用者に沿った形でPCの再構成ができる。
この作業はIntune経由で行なえる。Intune、紛失/盗難などの場合のデータ削除にも利用でき、特にリモートワークなどでPCが行方不明になるケースでの対応が、かなり容易になることもお分かりいただけよう。さらに言えば、紛失したPCが発見された場合は、もう一度Windows Autopilotの動作概要の図の(3)の手順を繰り返すだけで元の状態に戻る。エンドユーザーにとっても復旧までの時間がちょっと掛かるだけで、再び慣れたマシンが利用できる環境になるのは助かるはずだ。
Autopilotの利用に必要なもの
ここでAutopilotを利用するのに必要な要件をまとめておこう。AutopilotはWindows 10世代で新しく導入されたものなので、古いPCへの対応はできない。具体的に対応しているのはWindows 10 Version 1803以降が必須であり、Windows 10 Pro/Pro Education/Pro for Workstation/Enterprise/Education、またはWindows 10 Enterprise 2019 LTCS、のいずれかのエディションが必要である。逆に言うと、ビジネス用ということで、HomeあるいはStarter Editionは非対応である(これらはリモートでの管理がそもそもできない)。
またAutopilotの機能を利用するためには、Azure AD(Azure Active Directory)とMDMであるIntuneが必要である。これらは、Microsoft 365 Enterprise Enterprise E3/E5、 Business Premiumを購入すれば利用可能である(その他の組み合わせでの購入は、図5を参照して欲しい)。
Windows Autopilotはクラウド上で構築されている。これにより、ユーザーはPCが届いたら「普通の」ネットワーク設定(自宅のWi-Fiアクセスポイントに繋ぐとか、有線LANがあるならEthernetケーブルを繋ぐとか)だけで環境が構築できるわけで、社内のオンプレミスサーバーに繋ぐためのVPN設定などから解放されることになる。ただこの環境でのユーザー認証のためにはクラウド上でAD(Active Directory)が稼働している必要があるため、現状従来のADを利用している場合には、Azure ADへの移行が必要になる。
もっとも、ADからAzure ADへの移行はそれほど難しくない。完全に一発で移動させるのは大変だが、とりあえずADとは別にAzure ADを同時利用し、その際にAzure AD Connectというサービスを使えば、ユーザー情報を両者間で連携できる。従来型のADにもメリットがある(社内からアクセスする分には通信費が掛からないし、帯域も確保しやすいというのがその最大のものだろう)が、ニューノーマルにおける新しいワークスタイルではそのメリットを発揮しにくく、むしろオンプレミスサーバを運用するコストや、外部からそのオンプレミスサーバにアクセスするための通信費がかかり、しかも帯域が厳しいという、まるで逆のパターンに陥っているわけだ。クラウド環境でシングルサインイン認証を提供できるAzure ADへの移行は考慮する価値がある。
もう1つ条件がある。今度はハードウェアの方だ。Windows Autopilotを利用するためには、PCもAutopilot対応の製品を選ぶ必要がある。先の図で、利用者の手元にはPCベンダー、あるいはパートナーから製品が発送されると示されているが、この発送にあたって、ベンダーなりパートナーはそのPCのハードウェアIDをAutopilotに登録する作業が必要である(逆に言えば、そのハードウェアIDを使って登録やインストール作業が行なわれる)。そのため、AutopilotはハードウェアIDを持たない自作機や、エンドユーザーが自分で購入したPCをBYOD的に使うといったことには対応していない。
Autopilot対応PCはユニークなハードウェアIDを保有しているというのが唯一の違いであって、あとは通常のPCと差はない。
今こそが新しいワークスタイルへの移行の良い機会
Azure ADの利用とか何らかのMDMサービスが必要など一見ハードルが高そうに見えるAutopilotではあるが、いずれは新しいワークスタイルへビジネス環境を移行しいく必要があることを考えると、まだこれらを実施できていない企業にとっては、むしろ今はちょうど良い機会と捉えた方がいいかもしれない。
まだまだ新型コロナウイルスの影響は収まりそうにないし、収まったあとで旧来の勤務形態に完全に戻すかというとそれも難しいだろう。少なくともある程度のリモートワークは今後も続く、と考えた方が良いだろうし、こうした環境でのシステム管理を考えると、特に数千人規模の企業にとっては従来型の管理は遠からず破綻する。破綻する前に、Autopilotを利用した管理を考えてみてはいかがだろう?
Autopilot対応PCの購入問い合わせ窓口はこちら
・ホンモノリモートワーク | 横河レンタ・リース株式会社 (yrl.com)
・ホンモノリモートワーク|SB C&SのIT-EXchange(it-ex.com)
・せっかく導入するなら「ホンモノ リモートワーク」にしませんか? | 株式会社リコー (promo.ricoh)
・せっかく導入するなら「ホンモノ リモートワーク」にしませんか? | 大塚商会(otsuka-shokai.co.jp)
・オリックス・レンテック | ホンモノリモートワークの導入はオリックス・レンテックにおまかせ | ORIX Rentec Corporation
2021年版、テレワークを快適にする環境構築。PC選びのポイントをズバリ! 記事一覧
今こそ、のぞき見対策や紛失防止機能がノートPCに欲しい。ユーザー目線のリアルモバイル、日本HP「Elite Dragonfly G2」
〜さらに静⾳なのに⾼性能、セキュリティ対策も万全
箱を開けた状態で“Windows史上最強の安全性”が実現されている「Secured-Core PC」をじっくり解説
~大企業はもちろんIT専任者がいない中小企業でも手軽に安心して使える設計
「Windows Autopilot」で、PCもスマホのように手軽に“機種変”しよう
~買ったPCを箱から出してすぐに環境が再現可能