• セキュリティグループの作成

  ハードウェア ハッシュを登録するユーザーを管理するために、セキュリティグループを作成します。

  • Intune 管理センター (intune.microsoft.com) にアクセスします。

    Microsoft Entra 管理センター の公式サイト

    
    

  • Intune の管理者または全体管理者でサインインします。

  • 左部のナビゲーションから[グループ] – [すべてのグループ] – [新しいグループ] の順にクリックします。

  • 新しいグループが表示されたら、[グループの種類] が“セキュリティ”であることを確認します。

  • [グループ名] に適切な名称を入力し、[メンバーシップの種類] が“割り当て済み”であることを確認します。ここでは、[グループ名] に “ Device_Registration_Permission_SecG ” と入力しました。

  • [メンバーが選択されていません] をクリックし、対象のユーザーを選択します。ここでは、“テスト 一郎” を選択しました。最後に [選択] をクリックします。

  • [作成] をクリックします。

• カスタムロールの作成

  Intune には、役割 (ロール) ベースのアクセス制御（ RBAC ）が実装されています。
  RBAC は、ユーザーに割り当てたロールに基づいてアクセス権限を管理する仕組みです。作業ごとに必要な権限を定義することで、柔軟かつ効率的にアクセス制御を実現できます。

  • 左部のナビゲーションから [テナントの管理] – [ロール] の順にクリックします。

  • [+ 作成] – [ Intune の役割] の順にクリックします。

  • カスタム ロールの追加ウィザードが表示されます。基本タブで [名前] に適切な名称を入力し、[次へ] をクリックします。ここでは[名前] に“ Device_Registration_Permission ” と入力しました。

  • アクセス許可タブで [ Enrollment programs ] を展開し、[ Create device ] および [ Read device ] を[はい] に変更し、[次へ] をクリックします。

  • スコープ タグ タブが表示されたら、構成を変更せずに[次へ] をクリックします。

  • 確認および作成タブが表示されたら、内容を確認し[作成] をクリックします。

  • 作成した Intune のカスタム ロールをクリックします。

  • [割り当て] をクリックします。

  • [+ 割り当て] をクリックします。

  • ロール割り当ての追加ウィザードが表示されます。基本タブで [名前] に適切な名称を入力し、[次へ] をクリックします。ここでは、[名前] に “ Device_Registration_Permission_Role_ Assignment ” と入力しました。

  • 管理者グループタブで [グループを追加] をクリックし、先ほどの手順で作成したセキュリティグループを選択します。ここでは、“ Device_Registration_Permission_SecG ” を選択しました。最後に [選択] をクリックします。

  • [次へ] をクリックします。

  • スコープ グループ タブで[グループを追加] をクリックし、先ほどの手順で作成したセキュリティグループを選択します。ここでは、“ Device_Registration_Permission_SecG ” を選択しました。最後に [選択] をクリックします。

  • [次へ] をクリックします。

  • スコープ タグ タブが表示されたら、構成を変更せずに[次へ] をクリックします。

  • 確認および作成タブが表示されたら、内容を確認し[作成] をクリックします。

• OOBE 時にハードウェア ハッシュを登録

  このシナリオでは、修理に伴うマザーボードの変更と OS の再インストールにより、「新たにハードウェア ハッシュを登録する必要がある」という状況を想定しています。マザーボード変更後のデバイスは既存のハードウェア ハッシュと異なるため、再インストール後にアプリケーションやポリシーが適用されません。 Autopilot を確実に実行するために、 Intune へハードウェア ハッシュを登録する手順をご紹介します。

  • Windows デバイスを起動します。

  • [国または地域はこれでよろしいですか？] が表示されたら、Shift+F10 を押します。

  • コマンドプロンプトが起動したら、下記のコマンドを入力し、 PowerShell を呼び出します。
    PowerShell.exe -ExecutionPolicy Bypass

  • PowerShell コマンド プロンプトで下記のコマンドを入力します。
    Install-Script -name Get-WindowsAutopilotInfo -Force

  • PSGallery から NuGet をインストールすることに同意します。

  • PowerShell コマンド プロンプトで下記のコマンドを入力します。
    Set-ExecutionPolicy -Scope Process -ExecutionPolicy RemoteSigned

  • PowerShell コマンド プロンプトで下記のコマンドを入力します。
    Get-WindowsAutopilotInfo -Online

  • Microsoft Entra ID サインオン プロンプトが表示されます。権限を付与したユーザーでサインインします。

  • PowerShell コマンドプロンプトに 1 devices imported successfully. と表示されたら、無事にハードウェア　ハッシュが登録されました。

  • コマンド プロンプトで下記のコマンドを入力し、デバイスをシャットダウンします。
    ※注：プロファイルが割り当てられるまで約5分程度かかります。グループ タグを利用して対象デバイスを選定している場合はご注意ください。
    exit
    ShutDown /s /t 0
    

手順は以上です。

パシフィックネットは、確かな技術力をもとに、お客様に合った最適な環境をご提案・構築いたします。
ご質問やご相談がございましたら、お気軽に当社までご相談ください。

執筆者：水口 博文