Windows 10 EOS後のPC更改を"ゼロタッチ"で
Windows 10のサポートが2025年10月14日に終了し、多くの中小企業がWindows 11へのPCリプレイス真っ最中です。ここで従来のキッティング(情シスが1台ずつ手作業でセットアップ)からゼロタッチ運用に切り替えると、情シス工数を大幅削減できます。
本記事ではMicrosoft Intune + Windows Autopilotで、新品PCを箱から出して電源投入するだけで業務開始できる仕組みの実装手順を解説します。
ゼロタッチで何が変わるか
| 項目 | 従来キッティング | Autopilotゼロタッチ |
|---|---|---|
| 情シス作業時間/台 | 2〜4時間 | 10〜30分(自動化) |
| 配送先 | 情シスが受取→配送 | 販売店から利用者へ直送 |
| アプリ配布 | 手動インストール | Intune経由で自動配布 |
| 設定統一性 | 担当者による揺れあり | テンプレで完全均一 |
| 在宅勤務対応 | 集荷・受渡が煩雑 | 自宅で直接セットアップ可能 |
導入前提
- ライセンス:Microsoft 365 Business Premium、E3/E5、またはIntune Plan 1単体+Entra ID P1以上
- アイデンティティ:Entra ID(Microsoft Entra ID)が構築済み
- Intune構成:MDMオーソリティがIntuneに設定済み
- 対応デバイス:TPM 2.0搭載、Autopilot対応ハードウェアID登録可能なメーカー製PC
- ネットワーク:初回接続時にインターネット接続必須
ゼロタッチ運用の全体フロー
- ①デバイス調達:ベンダーからPC購入、ハードウェアハッシュ情報をMicrosoft/ベンダー経由で登録
- ②Autopilotプロファイル作成:IntuneでセットアップエクスペリエンスとEntra ID参加方法を定義
- ③グループ割当:デバイスを対応グループへ動的割当(タグで部門識別)
- ④アプリ・ポリシーをグループに配布:構成プロファイル、アプリ、証明書、Wi-Fiなど
- ⑤ユーザーへ直送:PCを開封→電源ON→Entra IDでサインイン→自動セットアップ
- ⑥監視・レポート:Autopilotレポートで進捗・失敗を追跡
Autopilotプロファイルの設計ポイント
- 展開モード:ユーザードリブン(個人用)/Self-deploying(共用)/Pre-provisioning(ベンダー側で仕上げ)
- 参加タイプ:Entra参加 または ハイブリッドEntra参加(オンプレADあり)
- OOBE設定:EULA、プライバシー設定、Cortana、Windows Helloの表示/非表示
- 自動名前付け:PC名を連番や部門識別子で自動命名
- ユーザーアカウント種別:標準/管理者
アプリ配布の実装
Intuneで以下3タイプのアプリを配布します。
- Microsoft Store for Business:M365アプリ、Teams、Edge
- Win32アプリ:社内業務アプリ、Chrome、PDFリーダー等(.intunewinパッケージ化)
- Line of Business(LOB)アプリ:MSIパッケージの業務アプリ
必須アプリはAutopilot中に配布完了を待たせ、任意アプリはバックグラウンド配布にすることでユーザーの待ち時間を最小化します。
セキュリティ設定
- BitLocker自動暗号化:サイレント暗号化、復旧キーはEntra IDに保存
- Windows Hello for Business:初回サインイン時にPIN設定
- Defender for Endpoint:EDR自動有効化
- コンプライアンスポリシー:OSバージョン、BitLocker有効、最新パッチの条件
- 条件付きアクセス:コンプライアンス準拠デバイスのみM365アクセス許可
ハードウェアハッシュ登録の3パターン
| パターン | 方法 | 適したケース |
|---|---|---|
| OEM登録 | 購入時に販売店/メーカーが登録 | 大口購入、DELL・Lenovo・HPなど対応ベンダー |
| Partner Center経由 | MSパートナーベンダーが登録 | MSパートナーから購入時 |
| 手動登録 | PowerShellでハッシュ取得→CSVアップロード | 小ロット、既存PC再利用 |
パイロット検証の進め方
- Phase1:情シス2〜3台で手順検証
- Phase2:特定部門(10〜20台)で本番手順検証
- Phase3:全社展開
- 各Phaseでチェック項目:ドメイン参加成功、アプリ配布完了、BitLocker有効、Wi-Fi自動接続、業務アプリ起動確認
⚠️ 失敗しやすい落とし穴
OEM登録されていないPCを急遽追加発注した際、ハッシュ未登録でAutopilotが走らない事象が発生しがち。購入プロセスに「Autopilot登録済み」を必ず明記しましょう。
BTNコンサルティングの支援
BTNでは、Intune初期構築、Autopilotプロファイル設計、アプリのIntune化、在宅勤務対応の運用設計、在庫管理まで支援します。「情シス365」でキッティング運用代行も可能です。
まとめ
Autopilotゼロタッチ運用は、従来キッティングと比較して情シス工数を90%削減できます。Windows 10 EOS後のPC更改タイミングこそが、Intune + Autopilot導入の最適なきっかけです。在宅勤務・拠点分散が進む今、このPC調達プロセスへの投資は半年以内に元が取れます。