2022年11月2日(水)に開催された、IIJ様主催の「情報システム部門の皆様向けに、できるだけ価値のある情報をお届けすることを目的とした勉強会型のセミナー」に、PCセットアップをテーマとして、弊社の山崎が登壇いたしました。

150名以上のお申し込みをいただき、大変ご好評をいただきましたので、内容をアフターレポートに纏め、講演資料のダウンロードと動画を視聴いただけるよう本記事を公開いたします。

講演資料、講演動画はこちら

（ページ最下部にジャンプします。）

今回の講演内容の背景

現在、業務利用するPCのセットアップ工数に頭を悩ませている情報システム部門の方も多いのではないでしょうか。またリモートワークが増えたことにより、情報システム部門としても、出社しての作業を減らしたいという声も多くなっています。

そこで今回、弊社の山崎が、サードパーティ製品を利用したAutopilotによるWindowsセットアップの自動化と実運用の現実解について、自社事例をご紹介いたしました。

サードパーティのUEM(MDM)を利用したAutopilotを介した端末セットアップの自動化に関する情報は、大変少ないのが現状です。

「ゼロタッチキッティング」のワードはよく聞かれるようになりましたが、実際には全く人手を介さない運用は難しく、クララでは実運用における現実的な線を模索しながら環境構築を行いました。実体験に基づいたリアルな事例をぜひご覧ください。

※十分に検証を行い、本番環境に適用している内容となりますが、ライセンスの考え方やサービス仕様は変更されることがありますので、実際にご利用の際は、販売代理店や専門業者に最新の情報をご確認いただき、皆様自身で、適切に、ご判断ください。

 

今回の検証を実施したユースケース（弊社の事例）

弊社の状況

• サードパーティ製のUEM(MDM)を利用
• • UEM(MDM)がAutopilotをサポート

 

• クラウドのIdPを利用し、オンプレADと共存
  • オンプレADとWSUSでWindowsUpdateを管理、からクラウド移行

 

• Microsoft 365は、Officeソフト利用がメイン
  • Microsoft 365 Basic / Apps for business / Standard
    あるいは、MS365は未保有(ライセンス買い切りやOpenValue)

 

• 月数回、数台の新規/交換PCキッティングを実施

 

UEM(MobileIron)の導入目的

• デバイス統合管理
  • マルチデバイス管理(Win,iPhone,Mac)
  • Excelによる資産台帳管理の撤廃(システム化)
  • 端末の状態や情報のリアルタイム管理

 

• オンプレAD依存の軽減(解消)
  • デバイス構成(ポリシー)管理のクラウド化
  • パッチ適用(WindowsUpdate)のオンプレAD非依存化

 

• キッティング自動化
  • Windows Autopilotによるゼロタッチデプロイの実現
  • iPhone&MacのADE連携によるゼロタッチデプロイの実現

導入効果

• 業務効率化・コスト削減
  • 年間1,360,000円の人的コスト削減
  • 定性的な業務効率化を実現

• 利用者の利便性の向上
  • SSL-VPNトラフィック負荷の軽減
  • 柔軟なソフトウェア管理の実現

Autopilotを取り巻くインフラ環境：サービス間の関連性

▼前提

弊社はOktaをメインディレクトリとして運用しており、オンプレのActive Directoryへプロビジョニング同期をしています。

そして「MobileIron」へは、OktaをマスタとしてAzureADへ同期、そこからさらにMobileIronへと、多段階のプロビジョニング同期を実施しています。

 

弊社の環境上での連携の流れ

(1)Autopilotの各種設定の書き込み参照は、MobileIron上の画面から行いますが、内部的には、IntuneのDBに書き込み、その内容を参照している状態です。

 

(2)AzureAD上にMobileIronのアプリをいれ、セキュリティグループ等の設定を踏まえて、端末がどこのMDMと連携するのかUEMと連携するのかを割り当てる。

 

(3)実際のキッティングの流れは、PCでMicrosoftアカウントでログインをすると、Azure ADに連携し、Azure ADより、端末情報がMobileIronへと流れ、その後、セットアップのポリシー・構成等の制御が、MobileIronより行われ、必要な情報がPCへ落ちてくる。

重要なポイント

(1)Intuneは必要

(2)オンプレミスのサーバへのアクセス：初回認証は作業必須。※

実際には、様々な方法でオンプレミスサーバへのアクセスについてもシームレスな連携を出来ないかと検証を試みましたが、結果、出来ないことがわかりました。

 

 

Autopilot環境構築時のハマり所

Autopilot経由でMobileIronに連携する設定は、試行錯誤の繰り返しでした。弊社のこの例が、情シスの皆さまの一助になればと思い、公開いたします。

• Autopilot経由でMobileIronに正しく連携する設定が大変
  • Azure ADのモビリティ (MDM および MAM)で連携先を指定
  • Azure ADのセキュリティグループを割り当て
    • ユーザーグループ
    • デバイスグループ

設定マニュアルもあるが、一回では正しく設定できなかった…意外と失敗します。正しく実施するには、相互関係性を正しく理解している必要があります。

 

• 事前プロビジョニングはサポートされていない。

動作保証は、Intune利用時のみ。（今後サポートされる可能性はあります。）

 

• ライセンス仕様として、Intuneライセンスが必要

サードパーティのUEM(MDM)を利用していてもAutopilotを利用する場合には、仕組み上、必要です。

（※ライセンス不要なのでは？と勘違いしやすいドキュメントもあったので混乱しましたが、ここはMicrosoft社に確認済みです。）

ただし、1ライセンスあればよい

キッティング自動化の勘所 

• Autopilotの役割は極一部、他はUEM側の制御
  • 切り分けて考えることが大事

 

• 構成ポリシーは新しい環境に合わせて最適化
  • 既存のオンプレ向けGPOを踏襲するだけではなく、新しい環境に必要なポリシーを反映することが大事

 

• OSやファームウェア(ドライバー)のアップデート
  • タイミングなどの制御はUEMからできる、がアップデートの実行は、ユーザー依存(ローカルマシン側の操作)

 

• ゼロタッチキッティング≒負荷分散
  • キッティングの自動化により手間は減り、効率化は実現できますが、Autopilotによる手離れの良さ＝ゼロタッチキッティングは、別の側面を見るとユーザー側の作業負荷が上がるとも言えますので、どのバランスで環境を整備するかは一考の余地ありです。

 

• ソフトウェアの自動インストールは各プログラムに依存
  • インストール後、アプリを起動して個別に設定するような項目を自動インストールの際に、コマンドラインなどで指定できるか。つまり、各ソフトウェアのインストールプログラムの作り次第です。

 

まとめ : 環境を作り終えて、今、思う事(感想)

 

サービス間の関係性やAutopilotの挙動を知る事が大事でした。

キッティング自動化でAutopilotが担っている役割は僅かであり、自動処理の大半は、UEM(MDM)側が担っており、利用するUEM(MDM)を深く理解することがポイントです。

ハマり所は多少ありますが、ポイントを押さえていれば、それほど難しいことはないので、まずは手を動かしてみることが肝要(動作させないと理解できないことも多い)。

 

「ゼロタッチキッティング」を完璧に実践しようとする場合、全自動化の実現には相当な準備コストが必要になります。また、情報システム部門の作業コストの削減の一部は、ユーザー側の作業コスト増につながるケースも考えられます。

そうした実情も踏まえて、まずは、7割の自動化を目標におくことが肝要だと思います。その7割の自動化を達成するだけでも、十分な費用対効果が得られるでしょう。

 

結論

 

完璧なゼロタッチキッティングは大変。
7割の自動化で十分な費用対効果が見込める効率化は、実現可能

 

講演資料＆講演動画

※MobileIronについて
2022年12月現在、Ivanti社に買収され、正式な製品名が「Ivanti Neurons for MDM」に変更されています。