Windows 11ではセットアップ時にMicrosoftアカウントでのサインインが事実上必須になっています。
Windows 11 Homeは以前から必須でしたが、Windows 11 ProもOOBEでMicrosoftアカウント入力が求められるようになって久しいです。
目次
Microsoftアカウントでのサインインは本当に困るのか?
この仕様はIntuneを導入している企業であれば問題ない(回避策や活用の幅が広い)のですが、そうでないSOHO/中小企業にとっては悩みの種なんですよね。
特にこちらから指示しなければ、個人のMicrosoftアカウントでサインインするリスクを抱えています。
一応Windows 11 25H2でもMicrosoftアカウントでのサインインをバイパスする方法があるのですが、Microsoftとしてはバイパス手段を段階的に塞ぐ方向で動いており、Insider Previewではバイパス手段が徐々にりようできなくなってきています。
Windows 11 25H2ではまだ一部の方法が利用できるものの、今後一般的なセットアップではローカルアカウントが利用できない未来も見え始めています。
ここで一度立ち止まって考えてほしいんですが、「ローカルアカウントでセットアップできないと困る!」は事実なのでしょうか。ローカルアカウントが利用できないことは情シスにとって「辛い話」なんでしょうか。
Microsoft Entra ID環境は実は無償で利用できる
Windows 11 Proをセットアップすると、個人用Microsoftアカウントサインインとは別に、組織/会社用Microsoftアカウントでサインインする方法も取れます。
この組織/会社用MicrosoftアカウントがMicrosoft Entra ID(旧Azure AD)のことを指しているのですが、実はMicrosoft Entra IDって有償ライセンスが無くても利用できるMicrosoft Entra ID Freeがあるんです。
Microsoft Entra ID環境の構築手順については、弊ブログの同人誌「ゼロからはじめるMicrosoft EntraID環境の構築」で解説しているので、環境構築手順は今回解説しませんが、無償のMicrosoft Entra ID環境でアカウントを作成し、Windows 11セットアップ時に利用する手順を紹介します。
さて、今回はテストユーザーとしてユーザープリンシパル名(ドメイン名を含めたEntra IDアカウント)として、testuser01@contoso.comを作成してみます。
アカウント作成は非常に簡単で、ユーザープリンシパル名と表示名、パスワードを入力して「レビューと作成」をクリックし、最後に確認画面が表示されるのであとは作成するだけ。
ブラウザだけでアカウント作成が完結するので、「Entra IDってなんだか難しそうだなぁ」と思っている場合、思いのほか肩透かしを食らいます。
基本的な設定であれば、他のSaaSを管理している方であれば案外簡単に作成できちゃうんです。
Entra IDアカウントでWindows 11をセットアップしてみよう
さて、作成したEntra IDアカウントを使ってWindows 11をセットアップしてみましょう。
今回はWindows 11 Proでセットアップしているので、OOBEで個人用か職場または学校用として設定するか選べる画面が表示されるので、「職場または学校用」としてセットアップすると、「職場または学校向けに設定しましょう」と表示されるので、先ほど作成したEntra IDアカウントを入力して「次へ」をクリックし、初期設定パスワードでサインインしてみます。
すると、パスワードの更新画面が表示されるので、ここで従業員が個人用のパスワードを設定してくれるので、セットアップ後にパスワード再設定を案内する必要が無いので地味に運用負荷を低減してくれます。
サインインが完了すると、Windows Hello for Businessの設定画面が表示されます。今回のようにOOBEでEntra IDアカウントでPCをセットアップすると、Microsoft Entra ID Joinという仕組みで、Entra IDテナントにデバイスが登録されます。
Microsoft Entra ID Joinはデフォルト設定でWindows Hello for Businessが既定でONになっており、セットアップ時に必ずPINを設定する必要があります。
Windows Hello for Businessを無効化するには、Intuneを使ってWindows Hello for Businessを無効化するしか回避方法が無いため、人によってはこの仕様が一番大きなデメリットとしてとらえがちです。
デフォルトでは、数字のPINしか設定できないのですが、「英字と記号を含める」にチェックを入れれば、パスワードと同様の運用が可能なので、PINでのサインインをさせたくない場合は「英字と記号を含める」にチェックを入れると良いでしょう。
ここまで完了すると、Windows 11のデスクトップが表示され、セットアップが完了します。
ぱっと見はローカルアカウントと変わりありませんが、ターミナルでwhoamiを実行すると、「azuread\testuser01」と表示されていることが分かります。
再起動してみると、ログイン画面にEntra IDアカウントのユーザープリンシパル名が表示されていますが、ログイン自体はセットアップ時に設定したPINを入力してログインする形で、ローカルアカウントを使っているときとサインインのユーザー体験は大きく変わることはありません。
なお、貸与PCにWindows Helloに対応した生体認証対応デバイスが搭載されていれば、PINではなく生体認証でPCにログインが可能になるメリットがあります。。
【最大のメリット】BitLocker回復キーの個別回収が不要に!
さて、Entra IDアカウントでセットアップすると、パスワードサインインではなくWindows Hello for Businessでのサインインが強制されるデメリットを紹介しました。
ですが、Entra IDアカウントを使ってセットアップして得られるメリットは、このデメリットが霞むくらい大きなものが得られます。
それがBitLocker回復キーの個別回収が不要な点です。
ローカルアカウントでキッティングされた端末でBitLockerを有効化する際、回復キーのバックアップが必須でシステムドライブ以外にファイルとして保存するか、回復キーを印刷するかのどちらかしか選べませんでした。
ですが、Entra IDアカウントでセットアップした端末では、「Entra IDアカウントに保存」オプションが選択できます。
従業員に配布するキッティングマニュアルに、BitLocker有効化時に「Entra IDアカウントに保存」を実施するよう指示すれば、従業員から個別でBitLocker回復キーの回収が不要になります。
BitLocker回復キーはセットアップしたPCに紐づく形でBitLocker回復キーが保存されており、Microsoft Entra管理センターの「デバイス | すべてのデバイス」で対象のPCを利用者のユーザープリンシパル名や、シリアルナンバーで検索します。
すると検索結果に大正端末が表示されるのでそちらをクリックし、「BitLocker keys」から回復キーを情シスが確認できるようになっています。
BitLockerを有効化しても回復キーの管理が非常に煩雑なので、BitLockerを有効化しない企業も中にはあるかと思いますが、従業員が端末を紛失した際にストレージが暗号化されていないため、漏洩するリスクが非常に高いあまりよろしくない状況でした。
ですが、Entra IDアカウントでPCをセットアップすれば、BitLockerの回復キーをEntra IDで管理できるため、管理性が向上し安心してBitLockerを有効化できる、という大きなメリットを享受できるわけです。
とはいえ手動でキッティングはつらい
今回Entra IDアカウントを使ってWindows 11のセットアップを実施してみましたが、あくまでEntra IDアカウントでログインできるだけであって、それ以外の設定に関しては手動で行わなければならず情シスのPCキッティングの負荷は依然として高いままです。
Intuneがあれば自動でキッティングできるものの、ライセンスが高いので導入は難しい……という情シスの方におススメなのが、USBメモリ1本で出来る自動キッティング「プロビジョニングパッケージ」を使ったキッティングがおすすめです。
Entra IDアカウントではなく、ローカルアカウントでのサインインもプロビジョニングパッケージで実現可能ですので、正攻法でローカルアカウントキッティングされたい方は、ぜひ一度プロビジョニングパッケージの導入を検討してみてほしいです。
また、今回技術書典20でこのプロビジョニングパッケージのリファレンスガイドを新刊として、「USBメモリ1本で始める!プロビジョニングパッケージリファレンスガイド」を頒布することになりました。
有償ライセンスなしで自動キッティングする方法に興味がある方はぜひ技術書典20でお求めいただければ幸いです!
また、4/12(日)に池袋サンシャインシティで同時開催されるオフラインイベントにも、「え18 しょぼんブログ」でサークル参加していますので、ご都合つく方はぜひぜひオフラインイベントにも参加してみてください。
技術書典20 新刊情報
タイトル:「USBメモリ1本で始める!プロビジョニングパッケージリファレンスガイド」
頒布価格:2,000円(紙+電子セット)
対象読者:ppkgの基本は分かっているが、各設定項目の詳細を把握したい方
想定環境:MDMなし・SOHO/SMB・Windows 11 25H2実機検証済み
頒布先
技術書典(オンラインマーケット)
技術書典(オフラインマーケット)
サークルスペース:え18
サークル名:しょぼんブログ
BOOTH
