MDMが無いからといって自動キッティングを諦めなくてもいい？プロビジョニングパッケージが結構すごい

「PCのセットアップを自動化したいけど、Intuneを導入するほどの規模でも予算でもない」

そう感じて、手作業でのキッティングを続けている情シスの方は多いのではないでしょうか。

実は、MDMがなくても「プロビジョニングパッケージ（ppkg）」を使えばWindowsの自動キッティングが実現できちゃうんです。

USBメモリにppkgを入れて挿すだけで、PC名の設定・ドメイン参加・各種ポリシーの適用が自動で完了する優れもので、ボリュームライセンスもマスタイメージも不要で、ハードウェアを問わず使えるのが大きな特徴と言えます。

技術書典18で入門書を頒布しました

実は技術書典18で、このプロビジョニングパッケージを使ったWindows 11の自動キッティングの流れを紹介する「USB1本で始める！ Windows 11自動キッティング入門」という同人誌を入門書の立ち位置で頒布しました。

頒布してみたところ、多くの方にご好評をいただいた一方で、あくまで触れられている内容は基礎的な部分のみに絞られており、ppkgで設定できる項目は既刊で扱っている内容以上のことが実現できます。

ppkgはWindows標準の無償ツール「Windows Configuration Designer（WCD）」で作成するんですが、WCDには「Common IT Pro settings」という、企業のIT管理者向けに選定された設定セットが用意されており、実務で必要な設定の大半がここに揃っています。

WCDにはAdvancedメニューの中に、Microsoftが企業のIT管理者がよく使う設定をまとめた「Common IT Pro settings」というセットがあります。

ただ、取り扱える内容が非常に多岐にわたっており、初めてppkgを利用する方や一人情シスの方にとっては少々ハードルが高い、のが正直なところ。

そこで、技術書典20では「USB1本で始める！ Windows 11自動キッティング入門」の続編の立ち位置として、「USBメモリ1本で始める！プロビジョニングパッケージリファレンスガイド」を新刊として頒布することにしてみました。

今回は「USB1本で始める！ Windows 11自動キッティング入門」で扱っている、Common IT Pro settingsの各項目で何ができるのか、簡単にまとめていますので技術書典20開催前にざっくり紹介してみたいと思います。

カテゴリ別に何ができるかざっくりチェック！

1、キッティングの土台を作る（Accounts／EditionUpgrade／OOBE）

まずは、ppkgを構成する上で基本となる設定群をまとめています。

例えば、「ComputerName」では%SERIAL%や%RAND:n%（n桁のランダム数字）のような環境変数を取り入れたPC名の自動生成ができるため、命名規則に沿ったコンピューター名を手入力無しで設定できます。

また、Active Directoryへのドメイン参加や、Entra ID Joinのバルク登録も行える設定項目も用意されています。

さらに、OOBE配下の「HideOobe」を使えば、初回セットアップ画面をスキップしてデバイスキッティングの自動化が実現できます。

ただし、いくつかの設定をセットで入れないと正しく動作しないため、意外と躓きやすい項目でもあります。

他にも「EditionUpgrade」では、Windows 11 ProからWindows 11 Enterpriseへのアップグレードや、MAK→KMSへのプロダクトキー切り替えも、スクリプトを使うことなくppkgで完結できたりもします。

2、証明書・Wi-Fi設定をまとめて配布する（Certificates／ConnectivityProfile）

新しいPCを社内ネットワークに接続する場合、毎回手作業で証明書をインポートしたり、社内Wi-Fiへの接続を手入力しなければなりませんが、ppkgを利用する事で一括配布できちゃうんです。

例えば、「Certificates」は以下では、CA証明書やクライアント証明書、信頼済みルート証明などの証明書をそれぞれ適切な証明書ストアに配置できます。

社内認証局の証明書配布に手間をかけている環境では特に効果の大きい設定群です。

「ConnectivityProfile」では、社内Wi-FiプロファイルやVPNプロファイルの自動配布を実現できます。

Wi-Fiプロファイルは「netsh wlan export profile」コマンドを使ってエクスポートしたXMLファイルを利用するため、手入力による設定ミスが起きません。

またほかにもMicrosoft Exchangeアカウントの自動構成も設定できます。

3、デバイスサインイン設定とパスワードポリシーを整える（Authentication／WindowsLogon／DeviceLock）

続いてはデバイスへのサインイン方法と認証動作を制御する設定群です。

自動キッティングに直結するため、実務での重要度が特に高いカテゴリともいえます。

例えば、「Authentication」は以下の「PreferredAadTenantDomainName」を設定すると、Entra IDのサインイン画面で、ユーザーがユーザー名部分（Active DirectoryでいうところのSAMAccountName）だけ入力すればよくなります。

毎回「@contoso.com（例）」まで入力しなくても良いので、社内ユーザーにとっては地味に嬉しい改善が実現できます。

「WindowsLogon」では、初回サインイン時の「こんにちは」画面の表示制御や、更新プログラム適用後の自動サインインなども設定できます。

「OverrideShellProgram」項目を設定すると、explorer.exeを軽量シェルに置き換え、キオスク端末を自動でキッティングすることも可能です。

他にも、「DeviceLock」では、パスワードの最小文字数や、複雑さの要件、サインイン失敗回数上限といった、デバイスパスワードポリシーの強制をMDMなしで適用できます。

4、MDMなしでセキュリティ基盤を固める（BitLocker／Defender／DeviceGuard）

「MDMがなければセキュリティポリシーは諦めるしかない」と思っている方もいるかもしれませんが、ppkgでもかなりのことができます。

「BitLocker」ではXTS-AES 128／256ビットなど暗号化アルゴリズムの指定が可能です。

「Security」配下の「RequireDeviceEncryption」と組み合わせることで、BitLocker未適用のデバイスへのサインインを制限できます。

「Defender」配下の設定は項目が多く、リアルタイム保護・クラウド保護・スキャンスケジュール・スキャン除外パスの設定まで細かく制御できます。

社内の業務アプリが誤検知される場合、除外設定もここで入れられます。

「DeviceGuard」と「VirtualizationBasedTechnology」では、VBS（仮想化ベースセキュリティ）やHVCI（メモリ整合性）の有効化も設定できます。

ハードウェア要件（TPM 2.0・UEFI・Secure Boot）を満たしていればppkgで有効化可能です。

ただし一度有効にすると無効化に手間がかかる設定もあるため、事前の確認が重要です。

5、Windows Updateの動作を組織に合わせて制御する（Update／DeliveryOptimization）

情シスが最もよく触れる設定群のひとつです。本章の設定項目数は全章の中で最も多く、細かい制御が可能です。
「AllowAutoUpdate」では、更新の自動ダウンロード・インストール・再起動のタイミングをWCDのドロップダウンから選択できます。

「ActiveHoursStart／End」でアクティブ時間を設定しておけば、業務時間中に突然再起動がかかることを防げます。

「DeferQualityUpdatesPeriodInDays」で月例パッチを数日遅らせてから適用する運用も簡単に設定できます。

WSUSを使っている環境では、「DisableDualScan」の設定が特に重要で、これを見落とすとWSUSを向いているはずのPCがWindows Updateにも問い合わせてしまいます。

筆者も過去の大規模展開でこの設定に手を焼いた経験があります。

「DeliveryOptimization」を使えば、同一ネットワーク内のP2P配信が有効になります。

1台がMicrosoftから更新を取得したら残りはそのデバイスから取得できるため、回線帯域の節約に効果があり、複数台を管理するSOHO・SMB環境で特に有効です。

6、スタートメニュー・電源・プライバシーを組織仕様に統一する（Start／Experience／Power／Search）

ユーザー体験に直結する設定群です。「余分な機能を見せない」「電源設定を統一する」「プライバシー制御を組織ポリシーに合わせる」といった企業展開のニーズに対応します。

「AllowWindowsConsumerFeatures」を無効化すると、OOBE後にClipchamp・Xbox・Microsoft To Doなどのコンシューマー向けアプリが自動インストールされるのを抑止できます。

機能更新後にこれらが再インストールされるのを防ぐためにも有効な設定です。

「Start」配下ではスタートメニューのレイアウトをJSONで指定して固定できます。

展開直後から特定のアプリをスタートにピン留めしておきたい場合にも使えます。

電源メニューから「シャットダウン」や「スリープ」を非表示にする設定もここに含まれています。

「Power」配下ではバッテリー駆動時とAC接続時でそれぞれスリープ・ディスプレイオフまでの時間や、カバーを閉じたときの動作を個別に設定できます。

会社支給のノートPCで電源設定がバラバラという状況を一気に解消できます。

7、アプリ・Bluetooth・カメラを制御する（ApplicationManagement／Bluetooth／Camera／Games）

「許可するアプリを絞りたい」「Bluetoothの接続先を制限したい」「カメラを使わせたくない」という、共有PCや情報漏洩対策でよく求められる設定群です。

「ApplicationManagement」配下では、Microsoft Storeへのアクセス制限・開発者モードの制御・MSIインストーラーの昇格権限制御などが設定できます。

サイドロード（Store以外からのアプリインストール）の許可・禁止もここで設定できます。

「Bluetooth」配下では「ServicesAllowedList」にUUIDを列挙することで、接続を許可するBluetoothプロファイルをホワイトリスト指定できます。

キーボード・マウスは許可しつつファイル転送（OPP）はブロック、といった設定が可能です。

「Camera」配下の「AllowCamera」ではデバイスカメラの使用を一括で無効化できます。

情報漏洩対策として、共有PCや個人情報を取り扱う部署などでカメラを使わせたくない場合に有効です。

8、テレメトリ・OneDrive・アプリ展開を制御する（System／UniversalAppInstall）

Windowsが診断データをどの程度Microsoftに送るか、OneDriveの同期をどう扱うか、Storeアプリをどう展開するかを制御する設定群です。

「AllowTelemetry」では診断データの送信レベルを制御します。

ProエディションではWCDで設定できる最小値が「必須の診断データのみ」です。EnterpriseはさらにOFFにすることもできます。

「DisableOneDriveFileSync」ではOneDriveの同期機能を無効化できます。

社内ポリシーでクラウドストレージへのファイル同期を禁止している環境での活用が想定されます。

「UniversalAppInstall」ではStoreアプリをOOBE中にデバイス全体またはユーザーコンテキストでインストールできます。

展開直後から特定のアプリを入れておきたい場合に使える設定です。

まとめ

Common IT Pro settingsで設定できる主なカテゴリを一通り紹介しました。Intuneなしのppkg単体でも、これだけの設定が制御できます。

ただし、各設定項目を実際に使いこなすには「この値は何を意味するのか」「どのタイミングで適用されるのか」「Windows 11 25H2で廃止された設定はどれか」といった詳細情報が必要です。

WCDの画面には説明が少なく、日本語の資料もほとんど存在しないのが現状です。

今回、Common IT Pro settingsの全設定項目を対応エディション・適用タイミング・デフォルト値・設定値の意味とともに解説したリファレンス本を「技術書典20」で頒布します！

辞典スタイルで必要な設定をすぐに引けるよう整理しており、Windows 11 25H2での実機検証をもとに廃止済みの設定や注意が必要な動作についても明記しています。

技術書典20 新刊情報

タイトル：「USBメモリ1本で始める！プロビジョニングパッケージリファレンスガイド」

頒布価格：2,000円（紙+電子セット）

対象読者：ppkgの基本は分かっているが、各設定項目の詳細を把握したい方

想定環境：MDMなし・SOHO/SMB・Windows 11 25H2実機検証済み

新刊プレビュー