最近、Windows AutoPilot (以下、AutoPilot) というパソコンのキッティングを自動化する仕組みが機能的に充実してきたこともあり、現場での実用に向けて弄りまわしております。
AutoPilot はそれ単体ではなく、Azure Active Directory と Microsoft Intune を組み合わせて運用するのですが、一度設定を作りこんでしまえばとにかく便利です。
【AutoPilot を使用した場合の主なキッティング手順】
1. 端末固有識別情報 (CSV ファイル) の入手
2. Intune に 1 の CSV ファイルをアップロード
3. 2 を行うことで Intune にデバイスが登録されるので、その登録されたデバイスを用意したセキュリティグループに追加
4. あとは対象端末の電源を入れて設定が馴染むまで放置
具体的な初期設定の方法は hikky さんのブログがわかりやすいので、これから AutoPilot を触ってみようと思われる方は是非一度ご覧ください。
【Autopilot 自己展開モードを検証してみた】
https://blog.intracker.net/archives/1859
さて、基本的にはここまでで ひと通りの共通設定があたったデバイスが完成するのですが、実際にエンドユーザーに使ってもらう前にもう少し細かい調整を入れることがあると思います。
その人だけが使うアプリのインストールであったり、ドライバのインストールであったり。
Intune にもアプリの配信機能はありますので、対応しているインストーラーであれば上記の流れに組み込むことができますが、できないものも当然あるので手動でのインストールおよび設定が必要ものは多少なりとも毎回出てくると思います。
ですが、AutoPilot でキッティングしたデバイスは基本的に標準ユーザーで仕上がる上に SmartScreen の設定の変更がブロックされており、[アプリを入手する場所の選択] が “Microsoft Store のみ (推奨)” から変更できなくしてあるため、先ほどいったようなキッティングの延長となる作業を行うのにとても不便です。
この設定は通常であれば Intune の [デバイス構成 – プロファイル] で Windows 10 用のデバイス制限プロファイルにて設定できたのですが、現時点 (2019年6月) では何等かの事情により項目自体が削除されており UI 上での設定変更ができなくなっていました。
その旨、Microsoft サポートに問い合わせたところ、今のところは Windows 向けのカスタム ポリシーを使って設定してくださいとのことでした。
その方法を以下に記します。
■ Windows 向けのカスタム ポリシーを作成する
1. Azure Portal より Intune を選択後、[デバイス構成] – [プロファイル] を選択します。
2. [+ プロファイルの作成] をクリックし、以下の構成を実施します。
名前 : わかりやすい任意名称
プラットフォーム : Windows 10 以降
プロファイルの種類 : カスタム
3. 続けて “OMA-URI のカスタム設定” の画面へと遷移したことを確認します。
4. [追加] をクリックし、以下の OMA- URI の設定をそれぞれ 1 つづつ追加し、合計 2 エントリー分追加します。
1 つ目 の OMA-URI 設定
***********************
名前 : わかりやすい任意名称
説明 : 任意
OMA-URI : ./Vendor/MSFT/Policy/Config/Browser/AllowSmartScreen
データ型 : 整数
値 : 0
2 つ目 の OMA-URI 設定
***********************
名前 : わかりやすい任意名称
説明 : 任意
OMA-URI : ./Vendor/MSFT/Policy/Config/SmartScreen/EnableAppInstallControl
データ型 : 整数
値 : 0
5. “OMA-URI のカスタム設定” に上記 2 エントリー分追加されましたら、[OK] – [作成] とクリックします。
6. 本新規作成したポリシーを割り当てします。
設定は以上です。
尚、設定の値についてはつぎのサイトを参照ください。
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows-defender-smartscreen/windows-defender-smartscreen-available-settings
SmartScreen については本来セキュリティ上あった方がいいものですので、デバイスがエンドユーザーに渡る際には ON に戻すことをお忘れなく。
この方法を使えば他の色々な痒いところにもさらに手が届くようになりますね。