Windows Autopilot

Endpoint Manager 2021.1 SU1 introduce una nueva experiencia de Windows Autopilot, optimizada y más potente. Windows Autopilot le ayuda a configurar nuevos dispositivos o a reasignar los existentes. Autopilot no es una herramienta de autoaprovisionamiento total. Se espera que Windows 10/11 ya esté instalado, y que la configuración de la experiencia inmediata de Windows (OOBE, por sus siglas en inglés) esté lista para ejecutarse la siguiente vez que se encienda el dispositivo.

Cuando Windows Autopilot aprovisiona un dispositivo, hay dos fases principales:

  1. Aplicación automática de elecciones de ajustes seleccionados que normalmente se mostrarían al usuario, como selección de región o de teclado.

  2. Inscribir el dispositivo en Windows MDM, instalar las aplicaciones configuradas, aplicar políticas y unir el dispositivo a Active Directory.

Después de completar los pasos de Prerrequisitos e instalación, puede empezar a usar el soporte de Autopilot de Endpoint Manager. Aquí le explicamos cómo funciona:

  1. Cree grupos de Azure AD que contengan dispositivos que desee abordar para el despliegue de Autopilot. Si quiere bordar todos los dispositivos para Autopilot, puede omitir este paso.

  2. Cree un perfil de despliegue que defina los ajustes del tipo de unión de dominio, cómo se aprovisionará el dispositivo, la experiencia del usuario final y la asignación del grupo de AD.

  3. Si quiere desplegar aplicaciones como parte de un perfil de despliegue, cree una definición de aplicación.

  4. Importar dispositivos obteniendo un archivo .CSV con los hashes de hardware del dispositivo o haciendo que un socio de OEM introduzca directamente los hashes del dispositivo en el abonado de Azure AD de su organización. Agregar los dispositivos importados a un grupo de dispositivos de Azure AD que tenga un perfil de despliegue.

  5. Sincronice los cambio con Azure AD. Cuando los dispositivos se sincronizan con AD, estarán listos para el despliegue.

Antes de usar el soporte de Autopilot de Endpoint Manager, si empresa necesita una licencia de Azure Active Directory P1 o superior, y debe completar los pasos de configuración que se describen aquí: Empezar a usar la gestión de dispositivos de Windows.

En Azure, asegúrese de que Intune MDM no está habilitado. Puede verificar esto comprobando en Azure Active Directory desde Mobilidad (MDM y MAM) y haciendo clic en Microsoft Intune. El Ámbito de usuario de MDM y el Ámbito de usuario de MAM debe ajustarse como Ninguno.

La implementación de Autopilot de Endpoint Manager requiere una licencia de Microsoft Intune para el despliegue de la aplicación. Tenga en cuenta que, debido al modo en que Endpoint Manager Autopilot se integra con Microsoft, no debe usar la interfaz de usuario de Intune para modificar las configuraciones de Endpoint Manager Autopilot.

Una vez completada la configuración de Azure AD, debe proporcionar sus credenciales de abonado de Microsoft Azure, que constan de la ID de Directory (abonado), la ID de la aplicación (cliente) y el Secreto de cliente.

Si va a trabajar con un OEM que preaprovisiona (guante blanco) nuevos dispositivos por usted, también debe proporcionar su ID de aplicación de MDM. En Azure, debe usar un dominio verificado en la URI de ID de aplicación, y este dominio solo puede pertenecer a un abonado de Azure.

Para localizar la ID de aplicación de MDM
  1. En un explorador, inicie sesión en el portal de Azure AD.
  2. Utilice el menú ampliable de la izquierda de la pantalla para acceder a Azure Active Directory.
  3. Seleccione Mobility (MDM y MAM) en el menú de la izquierda.
  4. Haga clic sobre la aplicación MDM de Ivanti.
  5. Haga clic en Configuración de la aplicación MDM de las instalaciones.
  6. El campo ID de la aplicación (cliente) contiene la ID de la aplicación MDM.

Los dispositivos que necesitan conectarse a un Active Directory en las instalaciones y a uno Azure Active Directory requieren una configuración de unión híbrida. En este caso, también debe proporcionar credenciales para una cuenta de Active Directory en las instalaciones, que tenga permisos para crear una cuenta del equipo en la UO (unidad organizativa) designada del perfil de despliegue.

Para introducir la información de configuración de Azure AD

  1. Haga clic en Herramientas > Administración de dispositivos modernos > Windows Autopilot.

  2. Haga clic en Ajustes de credenciales.

  3. En la página Ajustes de credenciales, introduzca sus credenciales. Utilice el botón Comprobar credenciales para asegurarse de que las credenciales funcionan y que los permisos son correctos.

Los perfiles de autoaprovisionamiento de Autopilot se asignan a los grupos de Azure AD. Como alternativa, si tiene intención de tener un único perfil de aprovisionamiento para todos los dispositivos, puede elegir Todos los dispositivos como destino y no necesitará configurar grupos.

La página de Grupos muestra los grupos disponibles en Azure y puede agregar o eliminar los grupos de esta página.

Si va a crear un grupo para usarlos con un perfil de despliegue, debe usar el tipo de grupo Seguridad. Los miembros del grupo deben tener un hash de hardware de dispositivo en Azure para recibir un perfil de despliegue.

Si va a usar un único perfil de despliegue, no necesita crear ni configurar grupos. En su lugar, puede seleccionar la opción Todos los dispositivos en Crear perfil de despliegue > Asignación de grupo.

La lista de grupos muestra hasta 100 grupos. Si hay más de 100 grupos que se pueden mostrar, haga clic en Cargar más en la parte inferior. Esto añade los siguientes 100 grupos a la lista. Utilice el cuadro Buscar para filtrar los grupos visibles. Si quiere buscar un grupo específico, introduzca el nombre del grupo y haga clic en Buscar todo.

Para crear un grupo de Azure AD

  1. En la ventana de Autopilot, haga clic en Grupos.

  2. Haga clic en Crear. Para obtener más información sobre las opciones que hay aquí, consulte Página Acerca de Crear grupo de Azure AD.

  3. En la página Crear grupo de Azure AD, introduzca el Nombre de grupo AD que desee. Esto es obligatorio.

  4. Introduzca una Descripción de grupo.

  5. Introduzca un Nombre de usuario de correo.

  6. Seleccione un Tipo de pertenencia a grupo:

  • Utilice Asignado cuando quiera que la pertenencia y los permisos se asignen individualmente a cada usuario.

  • Utilice Dispositivo dinámico si quiere que la pertenencia se asigne automáticamente según las reglas del dispositivo. Esta opción abre el generador de reglas de pertenencia dinámica.

  • Utilice Usuario dinámico si quiere que la pertenencia se asigne automáticamente según las reglas de usuarios. Esta opción abre el generador de reglas de pertenencia dinámica.

  1. Si elige un tipo de pertenencia a un grupo dinámico, utilice el Generador de reglas de pertenencia dinámica.

  2. Haga clic en Guardar.

Los perfiles de despliegue son plantillas de aprovisionamiento que definen ajustes para:

  • Tipo de unión de dominio

  • Proceso de aprovisionamiento de dispositivos

  • Experiencia del usuario final

  • Asignación de grupo

Para crear un perfile de despliegue

  1. En la ventana de Autopilot, haga clic en Perfiles de despliegue.

  2. Haga clic en Crear.

  3. En la página Básicos, introduzca un Nombre y una Descripción para el perfil. Haga clic en Siguiente.

  4. En la página Experiencia inmediata, configure el tipo de despliegue, el tipo de cuenta y las preferencias de idioma/región. Haga clic en Siguiente.

  5. En la página Estado de usuario final, configure el comportamiento de la página de estado y la gestión de errores. Haga clic en Siguiente.

  6. En la página Asignación de grupos, seleccione si el perfil se debe asignar a Sin dispositivos, Todos los dispositivos o Grupos seleccionados. Haga clic en Siguiente.

  7. En la página Descripción general, revise sus selecciones y haga clic en Crear perfil.

Hay varias maneras de importar la información de hash de hardware del dispositivo a Autopilot de Endpoint Manager.

  • Utilice la secuencia de comandos de PowerShell para extrare información del dispositivo y colocarla en formato .CSV. Por ejemplo, consulte el enlace de la secuencia de comandos en esta página de la documentación de Microsoft.

  • Extraiga manualmente la información del dispositivo directamente desde el dispositivo, tal y como se describe aquí.

  • Un socio de OEM le proporciona un archivo .CSV de dispositivos comprados.

  • Un socio de OEM introduce directamente hashes del dispositivo en el abonado de Azure AD de su organización.

En la ventana de Autopilot, haga clic en Dispositivos.

Los cambios que lleve a cabo en la membresía del grupo no tendrán efecto hasta que haga clic en el botón Sincronizar de la página Dispositivos. Esto puede durar 15 minutos o más por dispositivo, según la rapidez con que Azure pueda procesar los cambios. Haga clic en el botón Actualizar para actualizar la lista de Azure.

Haga clic en un dispositivo de la lista para ver los detalles y una lista de grupos a los que pertenezca ese dispositivo. La opción Mostrar dispositivos de Autopilot muestra dispositivos de Autopilot importados. La opción Mostrar dispositivos de Azure muestra los dispositivos que vería en la vista de Dispositivos de Azure.

En la versión 2022 SU3 y posteriores, al hacer clic en un dispositivo de la lista se puede editar la Etiqueta de grupo de Azure de ese dispositivo y Nombre en pantalla. Si edita un dispositivo, éste se mostrará en texto verde hasta que sus cambios se hayan sincronizado con Azure.

Puede instalar aplicaciones como parte de un perfil de despliegue Cuando se asignan aplicaciones a un dispositivo, el perfil de despliegue debe estar asignado a un grupo de Azure Active Directory al que pertenezca el dispositivo. Las aplicaciones que agregue se cargan al almacén de blobs de Azure.

El archivo de la aplicación debe estar en la carpeta ManagementSuite\landesk\files del servidor central. Los formatos compatibles son .exe, .msi y .intunewin. El proceso de carga también requiere que la herramienta de preparación de contenido de Win32 de Microsoft e IntuneWinAppUtil.exe estén en la misma carpeta. La carga de archivos se produce cuando guarda los cambio al final del asistente.

Para obtener más información sobre dónde descargar la herramienta Prep contenido, consulte la página Página Acerca de las aplicaciones > Básicas.

Cuando un dispositivo de Autopilot se está aprovisionando, el dispositivo busca las aplicaciones que el dispositivo puede necesitar instalar. Si las reglas que son requisito se cumplen, se descargan las aplicaciones del almacén de blobs de Azure, se descifran y se instala cada aplicación de una en una.

Para instalar una aplicación como parte de un perfil de despliegue

  1. En la ventana de Autopilot, haga clic en Aplicaciones.

  2. Haga clic en Crear. Si usa la versión 2022 SU2 o posterior, haga clic en el botón Crear aplicación genérica. Si desea instalar una aplicación de Microsoft 365, consulte Instalación de aplicaciones de Microsoft 365 (2022 SU2).

  3. En la página Básicos, introduzca un Nombre y una Descripción.

  4. En la página Comportamiento de la instalación, haga clic en Seleccionar archivo del paquete y busque el archivo que desee.

  5. Personalice el comando Instalar, si lo necesita, y seleccione si la aplicación se instalará en la cuenta del Sistema o en la del usuario activo.

  6. Seleccione Forzar reinicio tras la instalación: si la aplicación lo requiere. Haga clic en Siguiente.

  7. En la página Requisitos, puede agregar reglas que determinen si la aplicación se debe instalar. Estas son opcionales. Haga clic en Siguiente.

  8. En la página Reglas de detección, puede agregar reglas que le ayuden a determinar si la aplicación se ha instalado correctamente. Estas son opcionales. Haga clic en Siguiente.

  9. En la página Asignación de grupos, seleccione qué grupos de Azure deben recibir la aplicación. Haga clic en Siguiente.

  10. En la página Descripción general, revise la configuración y haga clic en Crear aplicación cuando esté listo/a. Monitorice el progreso de carga en la página principal de Aplicaciones.

En la ventana de Autopilot, haga clic en Estado de instalación de la aplicación.

La página de estado de instalación de la aplicación muestra la información de éxito/fallo en la instalación de la aplicación de cada dispositivo. Si hace clic en la instalación de esta lista, se muestra información de instalación detallada que pueda ayudar a resolver problemas.

Las aplicaciones pueden tener reglas de detección como parte de su configuración. Estas reglas ayudan a identificar si una aplicación se instaló correctamente. Si el código de retorno de una regla de detección y del instalador de la aplicación son correctos, el Estado de instalación de la aplicación se Instalará.

Después de revisar el estado de la instalación, puede marcar las instalaciones de aplicaciones con las que esté satisfecho como Resuelta. Haga clic en Aplicar resuelto para aplicar su selección. Esto elimina aquellas aplicaciones de la vista de lista predeterminada. Marcar la instalación de una aplicación como resuelta o no resuelta solo le ayuda a mantener la lista organizada, para que no tenga que hacer esto si no le interesa.

Más adelante, si cambia de idea sobre el estado de instalación, puede cambiar el filtro de Estado resuelto a Sin resolver y borrar la selección en la columna de la lista Resuelto.

El preaprovisionamiento de un dispositivo permite a TI, o a un distribuidor, ejecutar el dispositivo a través de la configuración de Windows y a configurar porciones de Autopilot, junto con la preinstalación de aplicaciones, en caso necesario. Después de esto, el SO se publica y el dispositivo se puede enviar al usuario final.

Cuando el usuario final enciende el dispositivo y se conecta a una red, verá una interfaz de configuración de Windows donde podrán seleccionar el diseño del teclado y, seguramente, el idioma, si el perfil de despliegue lo permite. A continuación, cuando inicien sesión, verán la página de estado del usuario final y pasarán por la fase de aprovisionamiento del usuario.

La duración del tiempo de la fase de usuario depende de si hay aplicaciones de usuarios para instalar y de lo que tarden en instalarse. Si no se va a instalar ninguna aplicación, el proceso de configuración puede durar menos de un minuto. Se espera que la mayoría de aplicaciones se hayan instalado durante el preaprovisionamiento, por lo que esto debería ser un proceso rápido para el usuario.

El preaprovisionamiento requiere hardware físico con TPM 2.0. También debe haber introducido la ID de aplicación de MDM de Azure tal y como se describe en Inscripción en Azure AD.

Consulte esta página para obtener información sobre el flujo de trabajo de preaprovisionamiento del técnico: https://docs.microsoft.com/en-us/mem/autopilot/pre-provision#scenarios.