Autopilot 登録用のデフォルト Windows プロファイルの構成

登録時に Windows エンドポイントにデプロイできる MDM サーバーでデフォルト Windows プロファイルを構成する方法について説明します。

このタスクについて

ポリシー・グループは、登録時に MDM エンドポイントに適用できる MDM・ポリシーとアプリケーションの集合です。

Autopilot デバイスの登録時に、ポリシーのセットを適用するポリシー・グループを作成するワークフローを以下に示します。

手順

  1. アプリケーションを事前ステージングします。MDM サーバーで事前にステージングされたアプリケーションをここに示します。アプリケーションの事前ステージングの方法については、「アプリケーションの事前ステージ」を参照してください。
  2. カスタム・ポリシーのアップロード。必要に応じて、 カスタム・ポリシー・コードを含む.xmlファイルをアップロードします。
    注: 任意で、 デバイス・ユーザーによる完全管理対象 (会社所有) デバイスの登録解除を制限するカスタム・ポリシーをアップロードできます。
  3. 必要に応じて、他の MDM ポリシー・タイプ (パスコード・ポリシー制限ポリシー証明書ポリシー など) を作成し、ポリシーを保存します。
    注: Windows のディスク暗号化ポリシーは、現時点ではポリシー・グループの一部として使用できません。
  4. ポリシー・グループを作成します。
    1. OS を選択します。オペレーティング・システムに Windows を選択します。
    2. ポリシーを追加します。「+」ボタンをクリックし、必要なカスタム・ポリシーとその他の MDM ポリシーをポリシー・グループに追加します。
      注: 一度に使用可能なパスコードまたは制限ポリシーは 1 つだけですが、複数の証明書ポリシーが使用可能です。
    3. アプリケーションを追加します。必要な事前ステージ済みアプリケーションをポリシー・グループに追加します。
    4. BigFix エージェントを追加します。
    5. グループに割り当てます。「 Autopilot 登録」を選択すると、デフォルト設定では、登録時にすべての Autopilot 登録済み デバイスにこのポリシー・グループがデプロイされます。
    6. ポリシー・グループを保存します。
  5. ポリシー・グループを選択し、ポリシー・グループを MDM サーバーにデプロイします。

タスクの結果

デフォルトのポリシー・グループが作成され、MDM サーバーにデプロイされます。Windows ファイルが Autopilot 登録で登録されると、このポリシー・グループに追加されたポリシーとアプリケーションが登録済みデバイスにデプロイされます。
デバイス・ユーザーによる完全管理対象 (会社所有) デバイスの登録解除を制限するカスタム・ポリシー
Windows デバイス・ユーザーが完全管理対象 (会社所有) デバイスを MDM から登録解除するのを制限するには、以下のコードを使用してカスタム・ポリシー .xml ファイルをアップロードし、それを MDM サーバーにデプロイするポリシー・グループに追加します。
<Replace>
<CmdID>20</CmdID>
<Item>
<Target>
<LocURI>./Vendor/MSFT/Policy/Config/Experience/AllowManualMDMUnenrollment</LocURI>
</Target>
<Meta>
<Format>int</Format>
<Type>text/plain</Type>
</Meta>
<Data>0</Data>
</Item>
</Replace>