ゼロタッチキッティングによるテレワーク環境下のWindows 10デバイス展開の自動化と運用効率化

リモートワーク 自動化 Azure コーポレート

f:id:vasilyjp:20200915091906j:plain

デバイスに関わる全国の情シスの皆様、日々の業務お疲れ様です。コーポレートエンジニアリング部ファシリティチームの佐藤です。いわゆる”情シス”と呼ばれる役割のチームに所属し、社内インフラ(PCやネットワーク機器)の管理・運用に携わっております。

今回はこのリモートワークが普及してきた中で情シスが解決したい課題の1つである貸与デバイスのキッティング、特に管理者が端末に一切触れずにキッティングを完了できる ゼロタッチキッティング を実現するまでの話を紹介します。

ゼロタッチキッティング導入前の状況

ZOZOグループではWindows 10およびMacのPC端末が数多く存在します。我々ZOZOテクノロジーズの情シスも日々デバイス関連の対応に尽力しています。

1つ大きな課題として、社員(以下、ユーザーと呼びます)へPC端末を貸与して、社内規定のポリシーに従って正しく利用を開始してもらうための運用確立 というものがあります。

ゼロタッチキッティング導入前は、Windows端末のキッティングを オンプレミスActive Directory参加によるHybrid Azure AD参加 で対応しておりました。以下の通り、仕組みとしては単純でオンプレミスActive DirectoryドメインへPCを参加させると、GPO(グループ・ポリシー・オブジェクト)にて自動でIntune(現在はMicrosoft Endpoint Configuration Manager(MEM)に統合されているため、以降はMEMと記載します)へ登録されるというものです。 image 以前は当たり前のように会社へ出社して、当たり前のように情シスがその場で設定してユーザーへ手渡すという運用となっていました。

しかし。。。

テレワーク環境への対応と対策

2020年4月、新型コロナウィルス感染症拡大による緊急事態宣言の発令前に当社は強制在宅勤務が開始されました。そのような状況下で既存のオンプレミスActive Directory環境だけを用いてのキッティング運用では、ユーザーが即利用可能になるレベルでのPC配布には無理がありました。

問題点を挙げるときりがありません。

  • そもそもオフィスに行けないため、情シスからユーザーへ直接PCを手渡しすることができない
  • そもそも情シスメンバーもオフィスに行けないため、オフィスに配送されたPCを社内LANに繋ぐことができない
    • PCは一度社内LANに接続することで、MEMへの登録、規定ソフトのインストールを実施していました
  • そもそもオフィスに行けないため、ユーザーアカウントでのログインができない

結論としては オフィスを訪れないとキッティングできない 状態でした。

このことから考え方を180度変えて、ユーザーがオフィスに来なくてもPCがセットアップできるようにするしかないという決断に至りました。そのため新しくHybrid Azure AD参加からAzure AD参加でのキッティング運用に取り掛かりました! image

ここで少しネタバレをしますと、このような状況になる前、情シスの内部でAzure AD参加やAutopilotの検証やプレビュー版の動作確認などを行っておりました。そのためMEMやAzure ADでの動作や条件付きアクセスに伴うセキュリティ関連の設定などはすでにある程度把握済みであったため、強制在宅勤務への対応にすばやく切り替えられました。

Azure AD参加によるキッティング

ZOZOテクノロジーズではPCのキッティング方式を Azure AD参加を利用したユーザー主導のキッティング へ移行しました。

具体的な手順は以下の通りです。

  1. Windows 10端末を初期化された状態で、ユーザーの自宅へ配送する
  2. 情シスはユーザーがキッティングを実施する前に、ユーザーアカウントを用意し、適切な構成プロファイルやアプリが導入されるためのグループへユーザーアカウントの追加作業を行う
  3. ユーザーは自宅で手順書を参照しながらキッティングを開始し、情シスは必要に応じてサポートを行う
  4. Azure ADへの参加完了後、自動でMEMへの登録や構成プロファイル、アプリケーションがバックグラウンドで導入されるため、自宅から業務ができる環境の構築が完了

image

Azure AD参加のキッティングへ移行することによって ユーザーがオフィスへ訪れることなくキッティングが完了する という目的を達成しました。

もちろん、その結果として貸与デバイスに「Azure AD参加端末」と「Hybrid Azure AD参加端末」が混在することになり、多くの運用方法の修正やIntuneの追加設定作業が発生しました。

Azure AD端末の運用で解決した主な事例を紹介します。

Azure AD参加端末のローカル管理者グループの編集

この課題は構成プロファイルで解決しました。

構成プロファイルの種類で「カスタム」を選択し、OMA-URI の設定にて以下の値を変更することでローカル管理者グループの編集が可能となります。

./Device/Vendor/MSFT/Policy/Config/RestrictedGroups/ConfigureGroupMembership

Azure AD参加端末はあくまでワークグループ端末になるため、GPOでのポリシーの適用が不可になります。そのため一括でのポリシー変更はMEMでの構成プロファイル機能を使用します。まだまだGPOと同じようなきめ細かいポリシー設定はできませんが、カスタム設定(OMA-URI)を使用することで設定範囲を広げることができます。

Intune で Windows 10 デバイス用のカスタム設定を使用する

image

Windows Updateの制御

この課題はWindows 10 更新リングで解決しました。

更新リングの作成によりWindows Update for Business からの Windows 10 ソフトウェア更新プログラムのインストールを制御しました。品質更新または機能更新プログラムの延期日数や自動更新時の動作の設定が可能になり、個別のPC対応は不要となります。

Azure AD参加端末はあくまでワークグループ端末になるため、GPOでのポリシーの適用が不可になるため、WSUSによる更新プログラム制御はできません。

この状態では、Windows 10は更新プログラムが適用可能時期になると累積更新や機能更新プログラムを即適用してしまうため一律でバージョン固定を行う必要があります。

更新リングでは品質も機能も延期期間の設定がそれぞれ指定できるため、適用時期のタイミングを日数にて制御することができます。

WSUSのように特定の更新プログラムに対しての個別での制御は不可になりますのでご注意ください。

Windows 10 更新プログラムの展開リングの構築

image

「Azure AD参加端末」と「Hybrid Azure AD参加端末」が混在した環境での問題の切り分けとして大事なことは、その端末がどのオンプレ環境へ依存しているのかを考えることです。

例としては、WSUSでできたことをどうすればMEMで同じように再現できるのかなどを柔軟に検討することです。

もともとAzure AD参加について検証やテストを実施していたことで、大きな混乱や問題が発生することなくこのキッティングを開始することができました。事前検証は大事だなと感じました。

Azure AD参加型キッティングに残る課題

2020年9月現在もいまだ在宅勤務期間は続き、新しい働き方の流れが進む中で情シスのPCキッティングも新しい様式へ変化していくことになります。この期間でAzure AD 参加を利用したユーザー主導のキッティングを進めてきましたが、この方式では完全な自動化にはなっていないのが現状でした。

現状では、ユーザーがキッティングを開始するタイミングで、我々情シスも都度サポート対応が必要になります。また、アプリやプロファイルが適用されるタイミングが端末やネットワーク環境によって異なり、キッティングの進捗確認が困難でもあります。

上記の課題があるので、このキッティング方式についてはユーザーが自由なタイミングでキッティングが開始できず、情シスとのスケジュール確認や連絡などが業務のボトルネックとなりました。いつでもどこでも安定したキッティング環境を提供できるようにするため、我々情シスはキッティングに関して多くの情報と検証を進めました。

ホワイトグローブ(White Glove)の導入

前述の課題を解決するために我々はWindows 10 バージョン1903 からサポートされる ホワイトグローブ(White Glove)展開 を新たに採用しました。

ホワイトグローブ展開とは、Windows 10のセットアップのうちユーザーに関連する一部を除く大部分のセットアップをOEMベンダーと情シスの手元で完了させておく展開方式です。

ホワイトグローブ展開の主な流れは以下の通りです。

  1. OEMベンダーからキッティングセンターにPCが配送される
  2. OEMベンダーが配送したPCのデバイスIDをパートナーインビテーションを許可したZOZOグループのクラウドに登録する
  3. 情シスはデバイスの登録を確認後、適切なプロファイルおよびアプリが展開されるグループへ割り当てを行う
  4. キッティングセンターにて、ホワイトグローブ展開のためのセットアップを各PCにて実施する(これによりプロファイルやアプリなどがPCへ登録される)
  5. ユーザーの自宅へPCが配送されるため、ユーザーはPCを起動しAzure ADアカウントで初回ログインする
  6. ユーザーの個別設定のみ登録が開始され、ユーザーは即座に業務ができる状態となる image

これでOEMベンダーおよびキッティングセンターでクラウド登録からPCの基本設定などが完結するため、ホワイトグローブ展開でキッティング運用を行うと情シスの作業が少なくなりました。

また、社内の貸与デバイスでどのPCがホワイトグローブ展開でキッティングを行ったのかも、Azure ADのデバイス一覧でアイコンにて確認することができます。 image ホワイトグローブ展開でのポイントとしては、ホワイトグローブ展開を設定する端末は初回起動時にインターネット接続されていない状態にすることです。

インターネット接続状態で起動すると即時でMicrosoftアカウントでのログインを求める画面になりますが、インターネット未接続の状態で起動すれば通常の言語選択の画面になるので、Windowsキーを5回押してホワイトグローブ展開設定の画面に遷移することができます。

まとめ

ホワイトグローブ展開の採用でWindows 10端末のキッティング運用がスムーズになり、実際に利用していただくユーザーへの負担を大幅に減らすことができました。

もちろんこれでキッティングに関しての課題が無くなった訳ではありませんが、コーポレートエンジニアリング部ではどのような状況にも対応できるように新しいサービスや技術をいち早くキャッチアップできるように日々努めていく所存です。

また社内にはWindows 10端末以外にもMacやモバイルデバイスなども存在し、今後も増えていくことが想定されるため、そちらのゼロタッチキッティングにも取り掛かっていきます。

さいごに

ZOZOテクノロジーズでは、社内の課題をITの力で解決する仲間を募集中です。WindowsとMacはもちろんiPhoneやiPadなど様々なデバイスを効率よく管理と制御することにどんどんチャレンジできます!

ご興味のある方は、下記のリンクからぜひご応募ください!

tech.zozo.com

カテゴリー