Windows Autopilot

В ПО Endpoint Manager 2021.1 SU1 было добавлено новое удобное и мощное приложение, Windows Autopilot. Приложение Windows Autopilot используется для настройки новых или переназначения существующих устройств. Приложение Autopilot не является полноценным средством подготовки. Ожидается, что ОС Windows 10/11 уже установлена, а ПО Windows (OOBE) готово к запуску во время следующего включения устройства.

Во время подготовки устройств приложением Windows Autopilot есть два основных этапа:

  1. Автоматическое использование выбранных параметров настройки, которые обычно отображаются для пользователя, например, выбор региона или раскладки клавиатуры.

  2. Подписка устройств в Windows MDM, установка любых сконфигурированных приложений, применение политик и подключение к Active Directory.

После выполнения действий, представленных в предварительных условиях и инструкциях установки, вы можете начать использовать возможности приложения Autopilot для ПО Endpoint Manager. Принцип работы:

  1. Создайте группы Azure AD, которые содержат устройства для развертывания из приложения Autopilot. Если вы хотите выбрать все устройства для приложения Autopilot, вы можете пропустить это действие.

  2. Создайте профиль развертывания, определяющий настройки типа подключения к домену, способ подготовки устройств, взаимодействие с конечным пользователем и назначение группы AD.

  3. Если нужно развернуть приложения, как часть профиля развертывания, создайте определения приложений.

  4. Импортируйте устройства, получив файл .CSV с аппаратными хэшами, или непосредственно введите хэши устройств OEM-производителей в системе Tenant для ПО Azure AD вашей организации. Добавьте импортированные устройства в группу устройств Azure AD, содержащую профиль развертывания.

  5. Синхронизируйте ваши изменения с ПО Azure AD. После синхронизации устройств с AD они станут готовы к развертыванию.

Перед использованием поддержки приложения Autopilot для Endpoint Manager в вашей организации необходимо получить лицензию Azure Active Directory P1 или выше и выполнить представленные действия конфигурации: Обзор управления мобильными устройствами Windows.

В ПО Azure необходимо убедиться в отсутствии установки ПО Intune MDM. Вы можете проверить это, открыв Azure Active Directory в ПО Mobility (MDM и MAM) и выбрав Microsoft Intune. Области действия Область действия пользователя MDM (MDM user scope) и Область действия пользователя MAM (MAM user scope) должны иметь значение None.

Для работы приложения Autopilot для Endpoint Manager и развертывания приложений нужна лицензия Microsoft Intune. Имейте в виду, что вследствие использования данного способа интеграции приложения Autopilot для Endpoint Manager с продуктами Microsoft не нужно открывать пользовательский интерфейс Intune во время изменения конфигураций приложения Autopilot.

После настройки ПО Azure AD необходимо указать учетные данные Tenant для Microsoft Azure: ИД каталога (Tenant) (Directory (tenant) ID), ИД приложения (клиент) (Application (client) ID) и Секрет клиента (Client secret).

Если вы будете использовать услуги OEM-производителя, который выполняет для вас предварительную подготовку (белая перчатка) новых устройств, вам также необходимо предоставить ваш ИД приложения MDM (MDM application ID). В среде Azure необходимо использовать проверенный домен, указываемый в URI-адресе ИД приложения, и данный домен может быть связан только с одним Tenant для Azure.

Для идентификации ИД приложения MDM:
  1. В браузере выполните вход в портал Azure AD.
  2. Используйте раскрывающееся меню на левой стороне экрана для перехода в Azure Active Directory.
  3. Выберите Изменить (MDM и MAM) (Mobility (MDM and MAM)) в левой стороне меню.
  4. Откройте ваше приложение Ivanti MDM.
  5. Нажмите Доступные настройки приложения MDM (On-premises MDM application settings).
  6. См. поле ИД приложения Application (клиент), содержащее ИД приложения MDM.

Для устройств, которые должны подключаться как к локальному каталогу Active Directory, так и к Azure Active Directory, нужна конфигурации гибридного подключения. В этом случае вам также нужно указать учетные данные для локальной учетной записи Active Directory, у которой есть разрешения для создания учетной записи компьютера в назначенном подразделении (организационное подразделение) профиля развертывания.

Для ввода информации конфигурации Azure AD:

  1. Нажмите Сервис > Управление современными устройствами > Windows Autopilot (Tools > Modern Device Management > Windows Autopilot).

  2. Нажмите Настройки учетных данных (Credential settings).

  3. На странице Настройки учетных данных введите ваши учетные данные. Используйте кнопку Проверить учетные данные (Check credentials) для проверки учетных данных и разрешений.

Профили подготовки приложения Autopilot предназначены для использования с группами Azure AD. Иначе, если вы планируете использовать один профиль подготовки для всех устройств, вы можете выбрать Все устройства (All devices) в качестве цели, после чего вам не придется конфигурировать группы.

На странице Группы (Groups) отображаются доступные группы в ПО Azure, и вы можете добавлять или переименовывать их на этой странице.

Если вы создаете группу для использования с профилем развертывания, вы должны выбрать тип группы - безопасная. Участники группы должны иметь аппаратный хэш устройства в Azure для получения профиля развертывания.

Если вы собираетесь использовать один профиль развертывания, вам не нужно создавать или конфигурировать группы. Вместо этого установите параметр Все устройства (All devices) в диалоге Создать профиль развертывания > Назначение групп (Create deployment profile > Group assignment).

В списке групп может отображаться до 100 групп. Если у вас более 100 групп, нажмите внизу Загрузить еще (Load more). Это добавит в список следующие 100 групп. Используйте поле Найти (Find) для фильтрации списка групп. Если нужно найти определенную группу, введите имя группы и нажмите Поиск (все) (Search all).

Для создания группы Azure AD:

  1. В окне Autopilot нажмите Группы (Groups).

  2. Нажмите "Создать". Для получения дополнительной информации о доступных параметрах см. страницу Страница 'Создание группы Azure AD'.

  3. На странице Создание группы Azure AD (Create Azure AD group) введите для группы AD нужное Имя (Name). Это необходимо.

  4. Введите Описание (Description) для группы.

  5. Введите Почтовый псевдоним (Mail nickname).

  6. Выберите Тип участия в группе (Group membership type):

  • Используйте Назначено (Assigned), если нужно, чтобы участие и разрешения назначались индивидуально для каждого пользователя.

  • Используйте параметр Динамическое устройство (Dynamic device), если нужно, чтобы участие назначалось автоматически на основе правил устройства. Этот параметр открывает конструктор средства динамического создания правил участия.

  • Используйте параметр Динамический пользователь (Dynamic user), если нужно, чтобы участие назначалось автоматически на основе правил пользователя. Этот параметр открывает конструктор средства динамического создания правил участия.

  1. Если вы выберете тип участия в динамической группе, используйте средство создания динамических правил участия.

  2. Нажмите Сохранить (Save).

Профили развертывания - это шаблоны подготовки, определяющие настройки для следующего:

  • Тип подключения к домену

  • Процесс подготовки устройств

  • Взаимодействие с пользователями

  • Назначение групп

Для создания профиля развертывания:

  1. В окне Autopilot нажмите Профили развертывания (Deployment profiles).

  2. Нажмите Создать (Create).

  3. На странице Основы (Basics) введите Имя (Name) и Описание (Description). Нажмите Далее (Next).

  4. На странице Готовые настройки (Out-of-box-experience), сконфигурируйте тип развертывания, тип учетной записи и настройки языка/региона. Нажмите Далее (Next).

  5. На странице Статус конечного пользователя (End-user status) сконфигурируйте действия страницы статуса и обработки ошибок. Нажмите Далее (Next).

  6. На странице Назначение групп (Group assignment) выберите вид назначения профиля - Нет устройств (No devices), Все устройства (All devices) или Выбранные группы (Selected groups). Нажмите Далее (Next).

  7. На странице Обзор (Overview) проверьте свой выбор и нажмите Создать профиль (Create profile).

Есть несколько способов импорта информации аппаратных хэшей устройств в приложение Autopilot для Endpoint Manager.

  • Используйте сценарий PowerShell для извлечения информации устройства и формирования формата .CSV. Например, см. ссылку сценария на данной странице в документации Microsoft.

  • Извлеките вручную информацию устройства непосредственно из него, как это представлено здесь.

  • OEM-производитель может предложить вам файл .CSV для приобретенных устройств.

  • OEM-партнер может непосредственно ввести хэши устройств в приложении Tenant Azure AD для вашей организации.

В окне Autopilot нажмите Устройства (Devices).

Любые вносимые изменения для участия в группе не вступят в силу, пока не будет нажата кнопка Синхронизация (Sync) на странице Устройства (Devices). Это может занять 15 минут или более для каждого устройства - зависит от быстроты обработки изменений в ПО Azure. Нажмите кнопку Обновить (Refresh) для обновления списка из ПО Azure.

Нажмите устройство в списке для отображения информации и групп, в которые входит это устройство. Параметр Показать устройства Autopilot (Show Autopilot devices) используется для отображения импортированных устройств Autopilot. Параметр Показать устройства Azure (Show Azure devices) используется для отображения вида устройств Azure.

В версии 2022 SU3 и новее после выбора устройства из списка для этого устройства Azure можно редактировать значения Тег группы (Group tag) и Отображаемое имя (Display name). Если вы редактируете устройство, оно будет отображаться с зеленым текстом, пока изменения не будут синхронизированы с Azure.

Вы можете установить приложения в качестве части развертывания конфигурации агента. Во время назначения приложений устройству профиль развертывания должен быть назначен группе Azure Active Directory, в которую входит устройство. Добавляемые приложения загружаются в хранилище BLOB-объектов Azure.

Файлы приложений должны находиться на главном сервере в папке ManagementSuite\landesk\files. Поддерживаемые форматы: .exe, .msi и .intunewin. Для процесса загрузки также нужно, чтобы средство подготовки Microsoft, Win32 Content Prep Tool (IntuneWinAppUtil.exe), находилось в этой же папке. Загрузка файла выполняется во время сохранения вами изменений в конце работы программы настройки.

Для получения дополнительной информации о загрузке программы подготовки данных (Content Prep Tool) см. страницу Страница 'Приложения > Основы'.

Во время подготовки устройства Autopilot приложение проверяет наличие программ, которые, возможно, ему потребуется установить. Если правила требований выполнены, приложения будут загружены из хранилища BLOB-объектов Azure, расшифрованы и установлены по одному.

Для установки приложения в качестве части профиля развертывания:

  1. В окне Autopilot нажмите Приложения (Applications).

  2. Нажмите "Создать". Если вы используете версию 2022 SU2 или более позднюю, нажмите кнопку Создать обычное приложение (Create generic app). Если вам нужно установить приложение Microsoft 365, см. раздел Установка приложений Microsoft 365 (2022 SU2).

  3. На странице Основы (Basics) введите Имя (Name) и Описание (Description).

  4. На странице Действия установки (Install behavior) нажмите Выберите файл пакета (Select package file) и выберите нужный файл.

  5. Если необходимо, выполните настройку команды установки и выберите, должно ли приложение быть установлено с использованием системной учетной записи или записи выполнившего вход пользователя.

  6. Выберите Перезагрузить принудительно после установки (Force reboot after install), если это необходимо для приложения. Нажмите Далее (Next).

  7. На странице Требования (Requirements) можно добавить правила, указывающие, нужно ли устанавливать приложение. Это необязательно. Нажмите Далее (Next).

  8. На странице Правила обнаружения (Detection rules) можно добавить правила, которые помогут определить правильность установки приложения. Это необязательно. Нажмите Далее (Next).

  9. На странице Назначения групп (Group assignment) выберите группы Azure, которые получат приложение. Нажмите Далее (Next).

  10. На странице Обзор (Overview) проверьте конфигурацию и по готовности нажмите Создать приложение (Create application). Следите за процессом загрузки на главной странице Приложения (Applications).

В окне Autopilot нажмите Статус установки приложения (Application install status).

На странице состояния установки приложения отображается информация об успешной/неудачной установке приложения для каждого устройства. Нажатие установки в этом списке отобразит подробную информацию об установке, которая может помочь в устранении неисправностей.

Приложения могут иметь правила обнаружения в качестве части своей конфигурации. Эти правила могут использоваться для определения успешной установки приложения. Если правило обнаружения и код возврата установщика приложения были отмечены как успешные, состояние установки приложения будет иметь значение Установлено (Installed).

После проверки статуса установки вы можете пометить установки приложений, которые вас устраивают - Разрешено (Resolved). Нажмите Применить разрешенное (Apply resolved) для применения выбранного. Это удаляет данные приложения из вида списка по умолчанию. Пометка установки приложения как разрешенной или неразрешенной используется для организации списка, поэтому ее не нужно делать, если в этом нет необходимости.

В дальнейшем, если вы решите изменить статус установки, это можно сделать, поменяв статус фильтра Разрешено (Resolved) на Не разрешено (Unresolved) и отменить установку параметров в столбце Разрешено (Resolved).

Предварительная подготовка устройств позволяет ИТ-службам, производителям устройств или реселлерам запускать на устройствах процедуры установки Windows и конфигурации устройств Autopilot, а также предварительно устанавливать приложения, если это необходимо. После этого ОС блокируется, и устройство может быть передано конечному пользователю.

Когда конечный пользователь включит устройство и подключится к сети, ему будет предложен интерфейс установки Windows, в котором тот сможет выбрать раскладку клавиатуры и, возможно, язык, если это допускает профиль развертывания, а затем после выполнения входа для него будет отображена страница статуса и представлен процесс подготовки.

Длительность этого этапа зависит от наличия приложений, которые нужно установить пользователю, и времени для выполнения их установки. Если процесс не потребует установки приложений, на это уйдет менее минуты. Ожидается, что большинство приложений будет установлено во время предварительной подготовки, поэтому для пользователя этот процесс должен быть быстрым.

Для предварительной подготовки требуются аппаратные средства с поддержкой TPM 2.0. Вы также должны ввести идентификатор приложения Azure MDM, как это описывается в разделе Подписка Azure AD.

См. следующую страницу для получения информации о последовательности действий предварительной подготовки: https://docs.microsoft.com/en-us/mem/autopilot/pre-provision#scenarios.