Zenn
🦆

Windows11pro の手動セットアップ手順を整理しておく

に公開
windows11pro
idea

なぜ作成したのか

  • 諸事情で弊社にもWindows11proを導入することになったので手順をメモしておく

前提条件

  • Azure Entra ID Freeを利用(Microsoft 365ライセンスなし)
  • Entra IDにGoogle Workspaceと同じメールアドレスでアカウント登録済み
  • 利用者がMFAを設定してから端末利用開始予定
  • Surface Laptop 7(Windows 11 Pro)にGoogle ChromeとSlackをプリインストール
  • セットアップ中に情シスがMFAを回避したい

Azure Entra ID 側の事前準備

  1. ユーザーアカウントの作成・確認

    • Microsoft Entra IDポータル(entra.microsoft.com)にアクセス
    • 利用者用アカウント(例: taro.yamada@example.com)が存在するか確認
    • 無ければ新規作成(手動またはCSVインポート)

  2. MFA一時無効化の設定(初回セットアップのため)

    • Entra ID Freeでは「条件付きアクセス」が使用できないため、セキュリティの既定値(Security Defaults)を一時的に無効化する
    • 手順:
      1. Entra管理センター → 「プロパティ」
      2. 「セキュリティの既定値を管理する」
      3. 「セキュリティの既定値を有効にする」を オフ
    • ※情シスのMFAを残す場合、後述のユーザーごとのMFA設定で対応

  3. 対象ユーザーのMFA設定確認

    • Entra IDポータル → 「ユーザー」→ 該当ユーザーを選択
    • 「認証方法」から、現在のMFA状態を確認し、「強制しない」状態であることを確認

  4. アカウント初期パスワード確認・発行

    • 初回ログイン用に情シスがログインできるよう、初期パスワードを控える or 再設定

Surface Laptop 7 初期セットアップ手順(情シス)

  1. 電源オン → OOBE開始(初期起動)

  2. ネットワークに接続(Wi-Fi or 有線LAN)

  3. 「Microsoftアカウントでサインイン」画面で、利用者のアカウントを入力

    • 例:taro.yamada@example.com

  4. パスワード入力(初期パスワード)

  5. MFA要求が出た場合:

    • 「セキュリティ既定値を無効化」済みであれば、MFAはスキップされる

  6. ログイン完了後、ローカル環境セットアップ

    • Windows Updateの適用(必要に応じて)
    • Google Chromeのインストール
    • Slackのデスクトップアプリインストール
      • オプション:winget install Google.Chrome / winget install SlackTechnologies.Slack

  7. 設定の初期化や管理ポリシーが必要な場合は手動で反映

    • 例:画面ロック設定、ブラウザのデフォルト、スリープ時間など

  8. 情シスアカウント(ローカルor共通アカウント)を作成しておく(管理用途)※任意

  9. 利用者アカウントから一度サインアウト

利用者引き渡し手順

  1. 利用者が端末を受け取り、自分のMicrosoftアカウントでログイン
  2. Authenticatorアプリをスマホにインストール
  3. MFA初回登録のフローが開始されるので、QRコードを読み取り
  4. パスワード変更を求められたら、新しいパスワードに変更
  5. 正常にMFAとサインインが完了すれば準備完了

セットアップ完了後にすべきこと(Entra ID)

  • セキュリティ既定値を再度「有効」に戻す
    • 全社的にMFAが必須になるので、運用ポリシーに注意
  • または、Entra ID P1以上にアップグレードすれば、条件付きアクセスで「特定グループ・IPだけMFA不要」にするような柔軟な制御が可能

補足ポイント

項目 ポイント
MFAの回避 Entra ID Freeでは条件付きアクセスが使えないため、「セキュリティの既定値を一時オフ」にするのが一般的
Google Workspace連携 既にメールアドレスが同一であれば、ユーザー管理の一本化も可能。SCIMなどの自動プロビジョニングはEntra P1以上で本格運用可能
Intuneによる管理 今後、アプリやポリシーを一括配布したい場合は、Microsoft Intuneの導入を検討(別ライセンス必要)

セキュリティの既定値ON/OFFの既存ユーザーへの影響

セキュリティの既定値の動作概要

セキュリティ既定値を 「有効」 にすると、以下が全ユーザーに一律で適用されます:

  1. 多要素認証(MFA)の強制
  2. レガシー認証のブロック
  3. 管理者ロールのアカウントに対する追加保護
  4. MFA初回登録の強制(14日以内)

状態変化とユーザー影響

ステップ 設定 影響内容
① 初期状態:有効 セキュリティ既定値 = 有効 - 全ユーザーにMFAが強制される
- まだMFA登録していないユーザーには「14日以内に登録」の猶予付きプロンプトが表示される
② 無効に変更 セキュリティ既定値 = 無効 - MFAの新規登録プロンプトが停止
- 登録済みMFAはそのまま有効(削除されない)
- ユーザーはMFAを求められなくなる
③ 再度有効に変更 セキュリティ既定値 = 有効 - MFA未登録ユーザーには再び登録プロンプトが表示される(最初から14日カウント開始)
- すでに登録済みユーザーは継続してMFAが求められる
- 一時的に無効化していた影響は元に戻る

具体的なユーザーケースの例

ユーザータイプ 再有効化後の動作
すでにMFA登録済 → そのままMFAが有効、ログイン時に認証が必要
一度もMFA登録していないユーザー → 再有効化後、ログイン時にMFA登録を再度促され、14日間の猶予が与えられる
登録済MFAだがAuthenticator削除 → 再登録を求められる(管理者対応が必要)

所感

  • HomeからProに移行できるチャンスではあるものの、それを十分に生かす環境が整っていないのがもどかしい気持ち
GitHubで編集を提案

Discussion