ゼロから分かる「Autopilot」の使い方 設定フローとライセンスを解説：PC管理をクラウドシフト

Windows 10、Windows 11PCのユーザー企業なら、Windows Autopilotでキッティングのコストを大幅に削減できる。Autopilotの基本から導入や運用のコツ、利用可能なライセンスまで、その全容を解説する。

[土肥正弘，キーマンズネット]

　PCに各種ソフトウェアをインストールし、利用部門がすぐに使える状態にする「キッティング」は、IT部門にとって重荷となる作業の一つだ。

　しかし、「Windows 10」「Windows 11」PCのユーザー企業なら、PCの初期セットアップをクラウド経由で実行できる「Windows Autopilot」（以下、Autopilot）によって、人的リソースと時間コストを大幅に削減できるだろう。本稿ではAutopilotの基本から導入や運用のコツ、利用可能なライセンスまで、その全容を解説する。

従来のキッティング手順やその問題点

　企業がPCを調達する場合、PCベンダーやリセラーからOSがプリインストールを一括購入する場合が多い。しかし、組織が標準で使用するアプリケーションやドライバ、セキュリティ機能といった細かい設定まではされていないことがある。

キッティング手順例

　手作業でキッティングする場合、手元にPCを用意し、基本的に次のような作業を実施する。順番は組織のシステムによって異なることがある。

（1）ログインユーザーを作成

（2）ホスト名やIPアドレスなどの設定

（3）業務アプリケーションや標準的に利用するドライバーなどをインストール

（4）必要なソフトウェアのライセンス認証（アクティベーション）

（5）セキュリティ設定／電源（省エネルギー）設定／ブラウザ設定など

（6）最新のOS機能更新プログラムや品質更新プログラムの適用

（7）「Active Directory」を利用している場合はドメインへの登録

（8）PCに管理用ラベルを貼り付けるなどして管理台帳に記入。場合によってはIT資産管理ツールなどに登録

　多数のPCを短時間でキッティングする場合は、クローニングツールを利用して標準PCの構成イメージをエンドユーザーに配布したり、ネットワークを通じてイメージを適用したりするのが一般的だ。

　クローニングツールを利用する際、イメージ配布後に生じる構成変更や機能更新プログラム適用のたびに、新しいイメージを作成する必要がある。テレワーク全盛の今、新規調達およびリプレースPCを社内に設置して、常に管理者が出社してクローニング作業し、テレワーカーが受け取るために出社するのは不合理だ。

　解決策としてアウトソーシングサービスを利用する手がある。PCベンダーなどがPC構成や設定を肩代わりしてくれるのは便利だが、構成変更や更新対応の負荷は変わらず高く、何よりコストがかかる。

PC管理をクラウドシフトするAutopilotの基本

　PCのセットアップを手間をかけずに自動で実行する仕組みがMicrosoftのAutopilotだ。テレワーカーであれば従業員の自宅にPCを送りAutopilotを実行するだけで、エンドユーザーのセルフサービスでポリシーに準拠したPCのセットアップが可能になる。管理者もエンドユーザーも負担が少なく、コストも抑えられる可能性がある。

　ユーザー操作は非常にシンプルで、設定した社内ポリシーの違反や作業中のサポート依頼、問い合わせを減らすことができ、PC管理の手間も削減可能だ。

ユーザー視点：画面で分かる“簡単すぎる”セットアップ

　Windows 10のセットアップ手順を、ユーザー目線と管理者目線に分け、画面キャプチャーを用いて解説する。

　セットアップの際は組織で使用しているAzure Active Directory（以下、Azure AD）のアカウント情報が求められるので注意が必要だ。

（1）エンドユーザーはPCベンダーから届いたPCを箱から取り出し電源につなぐ

（2）電源をONすると起動画面のOOBE（Out-Of-Box Experience）が表示される。必要に応じて言語やロケール（地域）、キーボードを選択する

図1　ロケール選択（左）とキーボード選択（右）（出典：日本マイクロソフトのYouTube）

（3）インターネットの接続設定をする。無線接続の場合は画面に表示されるWi-Fiネットワークを選び、セキュリティキーを入力して接続する

（4）所属組織で使用しているAzure ADのメールアドレスとパスワードを入力する

図2　メールアドレス入力（左）とパスワード入力（右）（出典：日本マイクロソフトのYouTube）

　ユーザー操作はこれだけだ。PCにはクラウドから必要なデータが自動でダウンロードされキッティングは完了する。

　このようなセットアップは「ゼロタッチキッティング」とも呼ばれる。ユーザーのタッチ数は非常に少なく、操作ミスや恣意的なセットアップがされるのを防げる。初回セットアップの画面は、ユーザー企業の社名やロゴ表示が可能だ。

管理者目線：MDMツールでPC構成を管理

　セットアップの裏側では、ユーザー企業とPCベンダー（OEMベンダーやリセラー含む）、PCとクラウドサービスの間で、次のようなやりとりがされている。

（1）ユーザー企業のIT管理者がPCを発注時、PCベンダーにAutopilotを使う旨を伝える。ほとんどの企業向けPCベンダーはAutopilotに対応している

（2）ユーザー企業のIT管理者は、PC構成情報をデバイス管理ツールであるMDMツール（Intuneや他のMDMツールなど）を利用して作成し、ユーザーに割り当てる。ユーザー作成やグループ登録、必要なライセンス、セキュリティ設定などをする。設定は「プロファイル」と呼ばれ、プロファイルにのっとってPCがセットアップされる

MDMツールでIntuneを用いる場合

　「Windows登録」メニューにAutopilotの設定画面（Windows Autopilot Deploymentプログラム）がある。「デプロイ プロファイル」を選び、表示される各種設定項目を設定できる。Azure AD参加の種類や、セットアップ画面（OOBE画面）の表示項目などを設定できる。

図3　Autopilot設定画面の例（出典：日本マイクロソフトのYouTube）

（3）PCベンダーは出荷するPCに固有のハードウェアID（ハードウェアハッシュ）を取得する。Autopilotのユーザー企業用テナントをクラウドに登録し、PCをユーザー向けに発送する。ユーザー企業側の操作は必要ない

（4）エンドユーザーは受け取った箱を開け、上述のセットアップをする

（5）セットアップ中はPCのAzure ADやActive Directoryへの参加、MDMへの登録やデバイスの構成、グループ割り当て、OOBEコンテンツのカスタマイズが自動的に実行される。

　PC構成の標準化は運用管理の向上やセキュリティ強化につながる。標準的なプロファイルを作成しておけば、必要な変更だけを加えて再利用することも可能だ。標準構成プロファイルや業務チームなどに応じたプロファイルを複数定義しておけば、PCキッティングにまつわるほとんどの作業がAutopilotによって自動化でき、運用管理負荷を大きく削減可能だ。

Autopilotを利用するためのライセンス

　AutopilotはWindows 10／11と「Windows Holographic バージョン2004」で利用できる。次のサブスクリプションライセンスが条件だ。

• Microsoft 365 Business Premium
• Microsoft 365 F1、F3
• Microsoft 365 A1、A3、A5
• Microsoft 365 Enterprise E3、E5。Windows、EMS Microsoft 365（Azure ADおよび Intune）が含まれる
• Enterprise Mobility + Security E3、E5。必要な全てのAzure ADとIntuneの機能が含まれる
• Intune for Education。全ての必要なAzure AD、Intune機能が含まれる。
• Azure Active Directory Premium P1、P2 と Microsoft Intune（または代替 MDM サービス）

導入後の注意点

　デバイスIDがPCキッティングの鍵になっている点に注意が必要だ。PCが子会社や廃棄PCの再利用などで別組織に転用された場合、元の組織で設定されたプロファイルでPCが自動構成されるためだ。

　OSの再インストールをしてもデバイスIDは変わらないので、Autopilotが利用できないようにデバイスIDを削除しておく必要がある。これはIntuneのAutopilot設定画面で実行できる。転用の可能性がある場合や廃棄時は完全な情報削除が必須だ。