Microsoft Intune × Autopilot で Windows 11 を統合管理する実装ガイド2026｜情シスのゼロタッチ展開設計

Windows 10 のサポート終了（2025年10月）を契機に、Windows 11 への刷新と同時に端末管理を Intune + Autopilot に寄せる企業が増えている。背景は3つ：

社外端末（テレワーク・BYOD）の増加で社内AD中心の管理が限界
キッティング外注費が1台あたり 1〜3 万円で、数百台規模なら数百万円コストになる
Entra ID / Microsoft 365 連携で Intune のコストメリットが出るライン

本記事では、従業員 100〜500名規模の企業を想定し、Autopilot + Intune で情シスの開梱作業をゼロに近づける実装手順と、既存ADからの段階移行の落とし穴まで整理した。

対象読者は、Microsoft 365 E3/E5 を契約済み、または導入検討中の情シス・エンジニアだ。

Intune × Autopilot で何が変わるか

Before（従来のキッティング）

情シスが端末を開梱・サインイン・ソフト導入・設定調整
1台あたり 30分〜2時間の作業
遠隔拠点への発送時は到着後に現地IT対応者が作業
故障交換時も同じ作業を繰り返し

After（Autopilot + Intune）

ベンダーから従業員自宅に直送
従業員が開梱し、Entra ID で初回サインイン
自動で組織ポリシー適用・アプリ配布・暗号化
情シスは配布状況をコンソールで監視するだけ

実績の目安（従業員200名規模）：

キッティング作業時間：月80時間 → 月5時間
端末到着から利用開始まで：2〜5日 → 30〜60分
故障交換：2日 → 当日中

セクションまとめ： Autopilot + Intune でキッティング作業が激減。情シス工数が設計・監視・改善に振り替わる。

必要なライセンスと前提条件

ライセンス要件

項目	必須/推奨	主な用途
Microsoft 365 E3	最小構成	Entra ID P1、Intune Plan 1、Windows 11 Enterprise
Microsoft 365 E5	推奨	Defender for Endpoint・Purview・高度な条件付きアクセス
Intune Plan 2	オプション	リモートヘルプ、拡張エンドポイント分析

中堅企業の現実解：

営業部門のエンドユーザー：E3
情シス・経営層・重要データを扱う従業員：E5
混在ライセンスで総コストを抑える

前提条件

Entra ID テナントが開設されている
Intune ライセンスが有効
端末購入ルートで Autopilot 対応ベンダーを選択（Dell / HP / Lenovo / Microsoft 等、主要各社対応）
端末購入時にハードウェアハッシュを Autopilot に事前登録してもらう

セクションまとめ： Microsoft 365 E3 が最小ライン、E5 でセキュリティ機能が本格稼働。端末購入ルートの選定が Autopilot 成否を分ける。

ゼロタッチ展開の全体フロー

ステップ1：ベンダー・購入ルートの確定

OEM（Dell / HP / Lenovo / Microsoft Surface 等）とAutopilotハッシュ事前登録の契約
購入注文時にAutopilot 対応フラグを指定
ベンダー側から Intune テナントにハードウェアハッシュが自動登録される

ステップ2：Autopilot プロファイル作成

Intune 管理センター → デバイス → Windows Autopilot 展開プロファイル
プロファイル内容：

- 展開モード（Self-Deploying / User-Driven / Pre-provisioned）

- 初回セットアップでスキップする項目（OOBE の簡略化） - 企業ブランドのデバイス名ルール

ステップ3：配布グループ割り当て

ハードウェアハッシュが登録されたデバイスを 動的グループでまとめる（例：`購入日 > 2026-04-01`）
Autopilot プロファイルをグループに割り当て

ステップ4：ポリシー・アプリの自動配布

Intune 構成プロファイル（Wi-Fi・プロキシ・BitLocker等）が自動適用
Microsoft Store for Business / Win32アプリが自動インストール
PowerShell スクリプトで追加設定

ステップ5：従業員による初回セットアップ

従業員が開梱、電源ON、Wi-Fi 接続
Entra ID で組織アカウントをサインイン
15〜30 分で業務利用可能な状態に

セクションまとめ： 5ステップで「ベンダー直送 → 従業員開梱 → 業務利用開始」が30分で完結する。情シスの開梱作業はゼロ。

設定の4階層

Intune のポリシーは大きく4階層で構成する。各階層の守備範囲を明確にしないと設定が重複・矛盾する。

階層1：構成プロファイル

Wi-Fi、VPN、メール、プロキシ、BitLocker、証明書
OS 設定（ロック画面、スタートメニュー、エクスプローラー）
「端末がどう動くか」を規定

階層2：コンプライアンスポリシー

端末が組織基準を満たしているかの判定条件
パスワード要件、BitLocker 有効、OS バージョン最低値
条件付きアクセスの入力になる

階層3：アプリ配布

Microsoft Store for Business / Win32 アプリ
必須アプリ / 推奨アプリ / ブラックリスト
業務アプリの自動展開

階層4：PowerShell / Proactive Remediation スクリプト

構成プロファイルで賄えない特殊設定
定期的な健全性チェック
自動修復

運用のベストプラクティス：

階層1〜3で賄えるものは階層4に書かない（スクリプト依存を最小化）
テストグループでパイロット → 本番グループに段階展開
変更履歴を運用ドキュメントに残す（後任者が迷わない）

セクションまとめ： 4階層の守備範囲を明確に分ければ、設定の重複と矛盾を避けられる。スクリプト依存は最小化。

Intune × Autopilot のゼロタッチ展開設計はGXOにご相談ください

既存AD環境からの段階移行、Autopilot プロファイル設計、アプリパッケージ化、パイロット展開まで一貫支援します。「キッティング外注を減らしたい」「社外端末管理を一元化したい」という情シス課題を具体的に解消します。

Intune導入の無料相談を予約する

※ 営業電話はしません | オンライン対応可 | 相談だけでもOK

既存AD からの段階移行パターン

多くの企業は Active Directory + グループポリシーで端末管理をしている。Intune への移行は一気に切り替えるのではなく、3段階で進めるのが現実解。

パターン1：ハイブリッド参加（過渡期）

端末を Entra Hybrid Joined に設定
AD + Entra ID の両方から管理
既存のGPOが引き続き有効
新規デバイスは Intune 管理、既存は引き続きSCCM/GPO

メリット： 既存GPO資産を捨てずに移行できる デメリット： 管理が二重化し、運用負荷が増える期間がある

パターン2：co-management（共存）

Configuration Manager（SCCM）+ Intune の併用
ワークロードを機能単位で Intune に段階移管
「コンプライアンスポリシーだけ Intune」「アプリ配布は SCCM のまま」等

メリット： 段階的な学習・検証が可能 デメリット： 両システムの費用・ライセンス負担

パターン3：完全クラウド化（理想系）

AD / SCCM を廃止、Entra ID + Intune のみ
Entra Joined デバイスのみ
新規構築・大規模刷新時に一気に移行

メリット： 運用がシンプル、場所を問わない管理 デメリット： 既存GPO資産の再実装が必要

推奨ロードマップ：

Phase 1（3〜6ヶ月）：ハイブリッド参加で新規端末から Intune化
Phase 2（6〜12ヶ月）：co-management で既存端末のワークロード移管
Phase 3（1〜2年）：完全クラウド化

セクションまとめ： 既存AD からは「ハイブリッド → co-management → 完全クラウド」の3段階。無理な一気移行は障害・混乱の原因。

落とし穴10選

Autopilot ハッシュ未登録：端末購入時の指定漏れで、後から個別登録する羽目になる
Entra Hybrid Joined と Entra Joined の混在：条件付きアクセス・ポリシー適用の挙動が変わる
BitLocker 回復キー未退避：Intune 側への回復キー自動退避設定を怠ると、障害時に復旧できない
プロキシ設定の見落とし：社内Wi-Fi と外部ネットワークで挙動が変わり、初回セットアップが止まる
アプリ依存関係の未整理：Win32 アプリの依存関係（.NET、Visual C++ 等）が先にインストールされず失敗
Autopilot プロファイル割り当ての重複：複数プロファイルが同一デバイスに割り当たると初回セットアップ不安定
コンプライアンス条件の厳しすぎ：Day 1 で厳格すぎる条件を設定すると全端末が非準拠になる
ライセンス紐付けの失敗：ユーザーへのEntra ID ライセンス割り当てが Intune 展開前に漏れる
アプリ配布タイミング：必須アプリが ESP（Enrollment Status Page）でタイムアウト → 失敗扱い
ヘルプデスク事前周知：従業員の自宅開梱で初回セットアップが止まったとき、情シスに問い合わせが殺到

セクションまとめ： 落とし穴のほとんどは「事前設定漏れ」と「段階展開の怠り」。パイロット 20〜50 台で必ず検証する。

実装チェックリスト

[ ] Microsoft 365 E3/E5 のライセンス構成を確定した
[ ] 端末購入ルート（Autopilot 対応OEM）を選定した
[ ] Autopilot プロファイル（展開モード・OOBE 簡略化）を設計した
[ ] 構成プロファイル・コンプライアンス・アプリ・スクリプトの4階層を分けて設計した
[ ] 段階移行パターン（ハイブリッド → co-management → 完全クラウド）を選択した
[ ] パイロットグループ 20〜50 台で検証した
[ ] BitLocker 回復キーの Intune 自動退避を有効化した
[ ] ヘルプデスクへの FAQ と従業員向けマニュアルを準備した
[ ] ESP タイムアウトを考慮したアプリ配布順序を検証した

FAQ

Q1. オフラインで Autopilot は動きますか？

初回セットアップは オンライン前提です。Wi-Fi またはイーサネット接続が必要。オフライン環境では SCCM や従来のキッティングを選択します。

Q2. Autopilot 対応OEMはどれがコストパフォーマンスが良いですか？

用途によります。法人標準機なら Dell OptiPlex / Latitude、モバイルワーカーなら Surface Laptop、国産品質重視なら富士通 / NEC と各OEMに強みがあります。3社以上から見積を取るのが鉄則。

Q3. 既存のSCCM を全廃する必要がありますか？

段階移行中は co-management で併用可能です。最終的な全廃は Windows のバージョン管理・イメージ展開を Intune 側でまかなえる確信が持てた時点で判断します。

Q4. 社内独自業務アプリはどう配布しますか？

Win32 アプリ（.intunewin） 形式でパッケージ化して Intune 経由で配布します。依存関係・インストール検出条件・アンインストールロジックの設計が必要で、初期の学習コストがかかります。

Q5. BYOD（従業員の私物Windows PC）はどう管理しますか？

MAM（Mobile Application Management） を適用します。Microsoft 365 アプリのみ組織管理下に置き、端末全体の管理はしない方式です。個人端末でも業務データ保護が可能。

Q6. リモートワイプは本当に即時実行できますか？

Intune コンソールから「リモートワイプ」命令を発行すると、端末がオンラインになった時点で実行されます。オフライン中は待機状態。端末盗難時の最重要機能です。

参考情報

Microsoft Learn「Windows Autopilot」公式ドキュメント
Microsoft Learn「Intune 管理センター」
IPA「情報セキュリティ10大脅威 2026」
Microsoft 365 ライセンスガイド

Intune × Autopilot の導入・運用設計はGXOにご相談ください

「既存ADから何段階で移行するか」「キッティング外注をどこまで削れるか」「Windows 11 刷新と同時に進めるスケジュール」——情シス部門の意思決定をご支援します。オンラインを中心に全国対応可能です。