Windows Autopilot

Endpoint Manager 2021.1 SU1 offre une nouvelle expérience Windows Autopilot, plus fluide et plus puissante. Windows Autopilot vous aide à configurer de nouveaux périphériques et à réaffecter les périphériques existants. Autopilot n'est pas un outil de provisioning complet. Il s'attend à ce que Windows 10/11 soit déjà installé, et que l'installation Windows Out-Of-Box Experience (OOBE) soit prête à l'exécution au prochain allumage du périphérique.

Lorsque Windows Autopilot provisionne un périphérique, il le fait en deux phases principales :

  1. Application automatique des options d'installations sélectionnées, normalement visibles pour l'utilisateur, comme la région ou la disposition de clavier choisie.

  2. Inscription du périphérique dans Windows MDM, installation des applications configurées, application des stratégies et intégration du périphérique à Active Directory.

Une fois que vous avez suivi les étapes de la section Prérequis et installation, vous pouvez commencer à exploiter la prise en charge d'Autopilot dans Endpoint Manager. Voici comment cela fonctionne :

  1. Créez des groupes Azure AD contenant les périphériques à cibler pour le déploiement Autopilot. Pour cibler tous les périphériques pour Autopilot, sautez cette étape.

  2. Créez un profil de déploiement définissant des paramètres de type de jointure de domaine, le mode de provisionnement du périphérique, l'expérience utilisateur final et les groupes AD affectés.

  3. Pour déployer des applications dans le cadre d'un profil de déploiement, créez une définition d'application.

  4. Importez des périphériques, en vous procurant un fichier .CSV contenant des hachages matériels de périphérique ou en demandant à un partenaire OEM insérer directement les hachages dans le locataire Azure AD de votre entreprise. Ajoutez les périphériques importés à un groupe de périphériques Azure AD doté d'un profil de déploiement.

  5. Synchronisez vos changements avec Azure AD. Une fois les périphériques synchronisés avec AD, ils sont prêts pour le déploiement.

Avant de pouvoir utiliser la prise en charge d'Autopilot dans Endpoint Manager, votre entreprise a besoin d'une licence Azure Active Directory P1 ou supérieure, et vous devez réaliser les étapes d'installation décrites ici : « Prise en main de la gestion des périphériques Windows ».

Dans Azure, vérifiez qu'Intune MDM n'est pas activé. Pour le vérifier, consultez Azure Active Directory, sous Mobilité (gestion des données de référence et gestion des applications mobiles) et cliquez sur Microsoft Intune. Les options Portée de l'utilisateur GDR et Portée de l'utilisateur Gestion des applications mobiles doivent être configurées sur Aucun.

L'implémentation Autopilot d'Endpoint Manager ne nécessite pas de licence Microsoft Intune pour le déploiement des applications. Attention, en raison de la façon dont Endpoint Manager Autopilot s'intègre avec Microsoft, vous ne devez pas utiliser l'interface utilisateur Intune pour modifier vos configurations Endpoint Manager Autopilot.

Une fois que vous avez terminé la configuration d'Azure AD, vous devez entrer vos références d'authentification de locataire Microsoft Azure, à savoir les valeurs ID d'annuaire (locataire), ID d'application (client) et Secret client.

Si vous prévoyez de travailler avec un OEM qui préprovisionne les nouveaux périphériques (White Glove) pour vous, il faut aussi remplir le champ ID d'application MDM. Dans Azure, vous devez utiliser un domaine vérifié pour URI d'ID d'application et ce domaine ne peut appartenir qu'à un seul locataire Azure.

Pour trouver votre ID d'application MDM
  1. Dans un navigateur, connectez-vous au portail Azure AD.
  2. Utilisez le menu déroulant, à gauche de l'écran, pour accéder à Azure Active Directory.
  3. Sélectionnez Mobilité (gestion des données de référence et gestion des applications mobiles) dans le menu de gauche.
  4. Cliquez sur votre application MDM Ivanti.
  5. Cliquez sur Paramètres d’application GPM locale.
  6. Le champ ID d'application (client) contient l'ID d'application MDM.

Les périphériques qui ont besoin de se connecter à la fois à un annuaire Active Directory sur site et à un annuaire Azure Active Directory nécessitent une configuration de jointure hybride. Dans ce cas, vous devez aussi entrer les références d'authentification d'un compte Active Directory sur site doté des permissions nécessaires pour créer un compte d'ordinateur dans l'OU (Unité organisationnelle) définie dans le profil de déploiement.

Pour entrer les informations de configuration Azure AD

  1. Cliquez sur Outils > MDM (Gestion des périphériques modernes) > Windows Autopilot.

  2. Cliquez sur Paramètres de référence d'authentification.

  3. Dans la page Paramètres de référence d'authentification, entrez vos références. Utilisez le bouton Vérifier les références d'authentification pour vous assurer que ces références fonctionnent et que les permissions sont correctes.

Les profils de provisioning Autopilot sont affectés à des groupes Azure AD. Autre solution : si vous prévoyez d'utiliser un seul profil de provisioning pour tous les périphériques, vous pouvez choisir comme cible Tous les périphériques. Ainsi, vous n'aurez pas besoin de configurer des groupes.

La page Groupes affiche les groupes disponibles dans Azure, et vous permet d'ajouter ou de supprimer des groupes.

Si vous créez un groupe en vue de l'utiliser dans un profil de déploiement, vous devez choisir le type de groupe Sécurité. Les membres du groupe doivent disposer d'un hachage matériel de périphérique dans Azure pour recevoir un profil de déploiement.

Si vous prévoyez d'utiliser un seul profil de déploiement, vous n'avez pas besoin de créer ni de configurer des groupes. Au lieu de cela, vous pouvez cliquer sur l'option Tous les périphériques sous Créer un profil de déploiement > Affectation de groupes.

La liste des groupes affiche jusqu'à 100 groupes. S'il existe plus de 100 groupes à afficher, cliquez sur Charger plus au bas de l'écran. Cela ajoute à la liste les 100 groupes suivants. Utilisez le champ Rechercher pour filtrer les groupes visibles. Pour trouver un groupe spécifique, entrez son nom et cliquez sur Tout rechercher.

Pour créer un groupe Azure AD

  1. Dans la fenêtre Autopilot, cliquez sur Groupes.

  2. Cliquez sur Créer. Pour en savoir plus sur les options de cet écran, reportez-vous à « À propos de la page Créer un groupe Azure AD ».

  3. Dans la page Créer un groupe Azure AD, entrez le nom du groupe AD voulu. Ce champ est requis.

  4. Entrez la description du groupe.

  5. Remplissez le champ Surnom d'e-mail.

  6. Choisissez une entrée Type d'appartenance au groupe :

  • Utilisez Affecté pour que l'appartenance aux groupes et les permissions soient affectées séparément à chaque utilisateur.

  • Utilisez Périphérique dynamique pour que l'appartenance aux groupes soit définie automatiquement en fonction des règles de périphérique. Cette option ouvre le générateur de règle dynamique d'appartenance.

  • Utilisez Utilisateur dynamique pour que l'appartenance aux groupes soit définie automatiquement en fonction des règles d'utilisateur. Cette option ouvre le générateur de règle dynamique d'appartenance.

  1. Si vous choisissez un type d'appartenance de groupe dynamique, utilisez l'outil Générateur de règle dynamique d'appartenance.

  2. Cliquez sur Enregistrer.

Les profils de déploiement sont des modèles de provisioning qui définissent les paramètres suivants :

  • Type de jointure de domaine

  • Processus de provisioning des périphériques

  • Expérience utilisateur final

  • Affectation de groupes

Pour créer un profil de déploiement

  1. Dans la fenêtre Autopilot, cliquez sur Profils de déploiement.

  2. Cliquez sur Créer.

  3. Dans la page Bases, entrez un nom et une description pour le profil. Cliquez sur Suivant.

  4. Dans la page Expérience clé en main (OOBE - Out-of-Box Experience), configurez le type de déploiement, le type de compte et les préférences de langue/région. Cliquez sur Suivant.

  5. Dans la page État de l'utilisateur final, configurez le comportement des pages d'état et la gestion des erreurs. Cliquez sur Suivant.

  6. Dans la page Affectation de groupes, indiquez si le profil doit être affecté à Aucun périphérique, à Tous les périphériques ou à Groupes sélectionnés. Cliquez sur Suivant.

  7. Dans la page Présentation, passez vos choix en revue et cliquez sur Créer un profil.

Vous disposez de plusieurs méthodes pour importer les informations de hachage matériel des périphériques dans Endpoint Manager Autopilot.

  • Utiliser un script Powershell pour extraire les informations de périphérique et les placer dans un fichier .CSV. Pour consulter un exemple, cliquez sur le lien de script de cette page de documentation Microsoft.

  • Extraire manuellement les informations de périphérique directement depuis le périphérique, comme indiqué ici.

  • Vous adresser à un partenaire OEM, qui vous fournit un fichier .CSV des périphériques achetés.

  • Vous adresser à un partenaire OEM, qui entre directement des hachages de périphérique dans le locataire Azure AD de votre entreprise.

Dans la fenêtre Autopilot, cliquez sur Périphériques.

Les changements que vous apportez aux membres des groupes prennent effet uniquement lorsque vous cliquez sur le bouton Synchro dans la page Périphériques. L'opération peut prendre 15 minutes (voire plus) par périphérique, selon la vitesse à laquelle Azure peut traiter les changements. Cliquez sur le bouton Actualiser pour mettre à jour la liste d'Azure.

Cliquez sur un périphérique dans la liste pour afficher ses détails et la liste des groupes dont il est membre. L'option Afficher les périphériques Autopilot affiche les périphériques Autopilot importés. L'option Afficher les périphériques Azure affiche les périphériques présents dans la vue Périphériques d'Azure.

Dans les versions 2022 SU3 et supérieures, quand vous cliquez sur un périphérique dans la liste, vous pouvez modifier les valeurs Azure Balise de groupe et Nom d'affichage de ce périphérique. Si vous modifiez un périphérique, il apparaît sous forme de texte vert jusqu'à ce que les changements aient été synchronisés avec Azure.

Vous pouvez installer des applications au sein d'un profil de déploiement. Lorsque vous affectez des applications à un périphérique, le profil de déploiement doit être affecté à un groupe Azure Active Directory dont le périphérique est membre. Les applications que vous ajoutez sont téléchargées vers le stockage Blob Azure.

Le fichier d'application doit se trouver dans le dossier ManagementSuite\landesk\files du serveur principal. Les formats pris en charge sont .exe, .msi et .intunewin. Le processus de téléchargement exige également que le même dossier contienne l'outil Microsoft de préparation de contenu Win32, IntuneWinAppUtil.exe. Le téléchargement du fichier se produit lorsque vous enregistrez les changements à la fin de l'assistant.

Pour en savoir plus sur l'endroit où télécharger l'outil de préparation de contenu, reportez-vous à « À propos de la page Applications > Bases.

Lors du provisionnement d'un périphérique Autopilot, ce périphérique recherche les applis qu'il peut avoir besoin d'installer. Si les règles d'exigences sont respectées, il télécharge ces applis depuis le stockage Blob Azure, les décrypte et installe chaque application l'une après l'autre.

Pour installer des applications au sein d'un profil de déploiement

  1. Dans la fenêtre Autopilot, cliquez sur Applications.

  2. Cliquez sur Créer. Si vous utilisez la version 2022 SU2 ou supérieure, cliquez sur le bouton Créer une appli générique. Pour installer une application Microsoft 365, reportez-vous à « Installation d'applis Microsoft 365 Apps (2022 SU2) ».

  3. Dans la page Bases, entrez un nom et une description.

  4. Dans la page Comportement d'installation, cliquez sur Sélectionner un fichier de paquet et naviguez jusqu'au fichier voulu.

  5. Personnalisez, si nécessaire, le champ Commande d'installation, puis indiquez si l'application doit s'installer sous le compte System ou sous celui de l'utilisateur connecté.

  6. Sélectionnez Forcer le redémarrage après l'installation si l'application le nécessite. Cliquez sur Suivant.

  7. Dans la page Exigences, vous pouvez ajouter des règles pour déterminer si l'application doit être installée. Ces options sont facultatives. Cliquez sur Suivant.

  8. Dans la page Règles de détection, vous pouvez ajouter des règles servant à déterminer si l'application a été installée avec succès. Ces options sont facultatives. Cliquez sur Suivant.

  9. Dans la page Affectation de groupe, sélectionnez les groupes Azure qui doivent recevoir l'application. Cliquez sur Suivant.

  10. Dans la page Présentation, passez votre configuration en revue et cliquez sur Créer une application lorsque vous êtes prêt. Surveillez l'avancement du téléchargement dans la page Applications principale.

Dans la fenêtre Autopilot, cliquez sur État d'installation des applications.

La page d'état d'installation des applications affiche des informations de succès/échec de l'installation des applications pour chaque périphérique. Cliquez sur une installation dans la liste pour afficher des informations d'installation détaillées pouvant servir au dépannage.

Les applis peuvent inclure dans leur configuration des règles de détection. Ces règles vérifient si une application a été installée avec succès. Si la règle de détection et le code retour du programme d'installation de l'application indiquent tous deux un succès, le statut d'installation de l'application est Installé.

Une fois que vous avez vérifié l'état d'installation, vous pouvez marquer les installations d'application qui vous conviennent de la mention Résolu. Cliquez sur Appliquer Résolu pour appliquer vos choix. Cela supprime ces applications de la vue de liste par défaut. Le marquage d'une application de la mention Résolu ou Non résolu ne fait rien, sauf vous aider à garder votre liste en ordre, alors vous n'avez pas besoin de suivre cette procédure si cela ne vous intéresse pas.

Ultérieurement, si vous changez d'avis concernant un état d'installation, vous pouvez changer le filtre État Résolu et Non résolu, et effacer la sélection de la colonne de liste Résolu.

Le préprovisioning d'un périphérique permet au département IT, à un fabricant de périphérique ou à un revendeur de faire passer ce périphérique par les phases Configuration Windows et Configuration des périphériques dans Autopilot, tout en préinstallant des applications si nécessaire. À l'issue de cette procédure, l'OS est de nouveau scellé et le périphérique peut être livré à l'utilisateur final.

Lorsque cet utilisateur final allume le périphérique et se connecte à un réseau, il voit apparaître une interface de configuration Windows où il peut choisir une disposition de clavier et une langue (si le profil de déploiement l'autorise). Ensuite, après la connexion, il voit la page d'état de l'utilisateur final et peut passer à la phase utilisateur du provisioning.

La durée de la phase utilisateur dépend du nombre d'applis utilisateur à installer et du temps qu'il faut pour les installer. Si aucune application n'est installée, le processus de configuration peut prendre moins d'une minute. Normalement, la plupart des applis sont installées pendant le préprovisioning, pour que le processus soit rapide pour l'utilisateur.

Le préprovisioning nécessite un matériel physique avec TPM 2.0. Vous devez également avoir entré un ID d'application Azure MDM, comme l'explique la section « Inscription Azure AD ».

Consultez cette page pour en savoir plus sur le workflow de préprovisioning par un technicien : https://docs.microsoft.com/en-us/mem/autopilot/pre-provision#scenarios.