Mode piloté par l’utilisateur de Windows Autopilot

S’applique à

  • Windows 10, version 1809 ou ultérieure

Windows le mode piloté par l’utilisateur autopilot vous permet de configurer de nouveaux appareils Windows 10 pour les transformer automatiquement de leur état d’usine dans un état prêt à l’emploi. Ce processus ne nécessite pas que le personnel informatique touche l’appareil.

Le processus est simple afin que tout le monde puisse l’exécuter. Les appareils peuvent être expédiés ou distribués directement à l’utilisateur final avec des instructions simples :

  1. Convertissez l’appareil, branchez-le et activez-le.
  2. Choisissez une langue (uniquement requise lorsque plusieurs langues sont installées), des paramètres régionaux et le clavier.
  3. Connecter à un réseau sans fil ou câblé avec accès à internet. Si vous utilisez Wireless, l’utilisateur doit établir le lien Wi-Fi.
  4. Spécifiez votre adresse de messagerie et votre mot de passe pour votre compte d’organisation.

Le reste du processus est automatisé, comme l’appareil :

  1. Rejoint l’organisation.
  2. Inscrit dans Intune (ou un autre service MDM)
  3. Est configurée comme défini par l’organisation.

Toutes les invites supplémentaires pendant l’expérience OOBE (out-of-Box Experience) peuvent être supprimées. consultez Configuration des profils AutoPilot pour les options disponibles.

Windows le mode piloté par l’utilisateur autopilot prend en charge les appareils Azure Active Directory et hybrides Azure Active Directory joints. Pour plus d’informations sur ces deux options de jointure, consultez qu’est-ce qu’une identité d’appareil.

Le processus exécuté par l’utilisateur est le suivant :

  1. après vous être connecté à un réseau, l’appareil télécharge un profil autopilot Windows. Le profil définit les paramètres utilisés pour l’appareil. Par exemple, définissez les invites supprimées pendant l’OOBE.
  2. Windows 10 recherche les mises à jour OOBE critiques. Si des mises à jour sont disponibles, elles sont automatiquement installées (en redémarrant si nécessaire).
  3. l’utilisateur est invité à fournir des informations d’identification Azure Active Directory. Cette expérience utilisateur personnalisée montre le nom de client Azure AD, le logo et le texte de connexion.
  4. l’appareil rejoint Azure Active Directory ou Active Directory, selon les paramètres du profil autopilot Windows.
  5. L’appareil est inscrit dans Intune (ou d’autres services MDM configurés). En fonction des besoins de votre organisation, cette inscription se produit :
    • durant le processus de jonction de Azure Active Directory à l’aide de l’inscription automatique MDM
    • ou avant le processus de jonction de Active Directory.
  6. Si elle est configurée, la page d’état d’inscription (ESP) s’affiche.
  7. une fois les tâches de configuration de l’appareil terminées, l’utilisateur est connecté à Windows 10 à l’aide des informations d’identification qu’il a fournies précédemment. (Si l’appareil redémarre pendant le processus ESP de l’appareil, l’utilisateur doit entrer à nouveau ses informations d’identification, car ces détails ne sont pas conservés au cours des redémarrages.)
  8. Après la connexion, la page d’état d’inscription s’affiche pour les tâches de configuration ciblées par l’utilisateur.

si des problèmes sont détectés au cours de ce processus, consultez la Windows documentation sur la résolution des problèmes liés à autopilot .

Pour plus d’informations sur les options de jointure disponibles, consultez les sections suivantes :

mode piloté par l’utilisateur pour la jointure Azure Active Directory

pour effectuer un déploiement piloté par l’utilisateur à l’aide d’Windows autopilot, suivez ces étapes de préparation :

  1. Assurez-vous que les utilisateurs qui effectuent des déploiements en mode piloté par l’utilisateur peuvent joindre des appareils à Azure Active Directory. pour plus d’informations, consultez configurer les paramètres de l’appareil dans la documentation Azure Active Directory.
  2. Créez un profil AutoPilot pour le mode piloté par l’utilisateur avec les paramètres souhaités. dans Microsoft Intune, ce mode est choisi explicitement lors de la création du profil. avec Microsoft Store pour Entreprises et l’espace partenaires, le mode piloté par l’utilisateur est la valeur par défaut et n’a pas besoin d’être sélectionné.
  3. si vous utilisez Intune, créez un groupe d’appareils dans Azure Active Directory et affectez le profil autopilot à ce groupe.

Pour chaque appareil qui sera déployé à l’aide d’un déploiement piloté par l’utilisateur, les étapes supplémentaires suivantes sont nécessaires :

  • assurez-vous que l’appareil a été ajouté à Windows autopilot. l’ajout d’un appareil à Windows autopilot peut être effectué de deux manières :
  • Assurez-vous qu’un profil AutoPilot a été attribué à l’appareil :
  • si vous utilisez Intune et Azure Active Directory des groupes d’appareils dynamiques, cette attribution peut être effectuée automatiquement.
  • si vous utilisez Intune et Azure Active Directory des groupes d’appareils statiques, ajoutez manuellement l’appareil au groupe d’appareils.
  • si vous utilisez d’autres méthodes (par exemple, Microsoft Store pour Entreprises ou l’espace partenaires), attribuez manuellement un profil autopilot à l’appareil.

mode piloté par l’utilisateur pour la jointure Azure Active Directory hybride

Windows le pilotage automatique nécessite que les appareils soient Azure Active Directory joints. Si vous disposez d’un environnement Active Directory local, vous pouvez joindre des appareils à votre domaine local. Pour joindre les appareils, vous devez configurer des appareils AutoPilot pour qu’ils soient joints hybridement à Azure Active Directory (Azure AD).

Configuration requise

pour effectuer un déploiement hybride Azure AD joint par l’utilisateur à l’aide de Windows autopilot :

  • un profil autopilot Windows pour le mode piloté par l’utilisateur doit être créé et
    • Azure ad hybride jointe doit être spécifié sous la forme de l’option sélectionnée sous joindre pour Azure AD comme dans le profil AutoPilot.
  • si vous utilisez Intune, un groupe d’appareils dans Azure Active Directory doit exister avec le profil autopilot Windows affecté à ce groupe.
  • Si vous utilisez Intune, créez et attribuez un profil de jonction de domaine. Un profil de configuration de jonction de domaine comprend des informations sur le domaine Active Directory local
  • L’appareil doit être en mesure d’accéder à Internet. pour plus d’informations, consultez la Windows configuration réseau requisepour autopilot.
  • Le connecteur Intune pour Active Directory doit être installé.
    • Remarque : le connecteur Intune effectue une jointure AD local. Par conséquent, les utilisateurs n’ont pas besoin de l’autorisation AD-Join local. Cela suppose que le connecteur est configuré pour effectuer cette action pour le compte de l’utilisateur.
  • Si vous utilisez un Proxy, l’option des paramètres Proxy de WPAD doit être activée et configurée.

Outre les exigences de base pour les jonction Azure AD Hybride pilotées par l’utilisateur mentionnées ci-dessus, les exigences supplémentaires suivantes s’appliquent à un scénario local :

  • l’appareil doit exécuter Windows 10, version 1809 ou version ultérieure.
  • L’appareil doit avoir accès à un contrôleur de domaine Active Directory. Elle doit être connectée au réseau de l’organisation. Elle doit être en mesure de résoudre les enregistrements DNS pour le domaine Active Directory et le contrôleur de domaine Active Directory. Elle doit être en mesure de communiquer avec le contrôleur de domaine pour authentifier l’utilisateur.

mode piloté par l’utilisateur pour la jonction d’Azure Active Directory hybride avec prise en charge VPN (version préliminaire)

Conseil

Quand nous échangeons avec nos clients qui utilisent Microsoft Endpoint Manager pour déployer, gérer et sécuriser leurs appareils clients, nous avons souvent des questions concernant la cogestion des appareils et les appareils joints à Azure Active Directory (Azure AD) hybride. De nombreux clients confondent ces deux sujets. La cogestion est une option de gestion, tandis qu’Azure AD est une option d’identité. Pour plus d’informations, consultez Comprendre les scénarios d’Azure AD hybride et de cogestion. Ce billet de blog vise à clarifier la jonction Azure AD Hybride et la cogestion, comment elles fonctionnent ensemble et quelles sont leurs différences.

Vous ne pouvez pas déployer le client Configuration Manager lors de l’approvisionnement d’un nouvel ordinateur en mode piloté par l’utilisateur de Windows Autopilot pour la jonction Azure AD hybride. Cette limitation est due à la modification de l’identité de l’appareil pendant le processus de jonction d’Azure AD. Déployez le client Configuration Manager après le processus Autopilot. Pour obtenir d’autres options d’installation du client , consultez Méthodes d’installation du client dans Configuration Manager .

Les appareils joints à Active Directory nécessitent une connectivité à un contrôleur de domaine Active Directory pour de nombreuses activités. Ces activités incluent la connexion des utilisateurs (validation des informations d’identification de l’utilisateur) et stratégie de groupe application. par conséquent, le processus de jonction Azure AD Hybride pilotée par l’utilisateur Windows autopilot confirme que l’appareil est en mesure de contacter un contrôleur de domaine Active Directory en exécutant une commande ping sur ce contrôleur de domaine.

Avec l’ajout de la prise en charge VPN pour ce scénario, vous pouvez configurer le processus de jonction Azure AD Hybride pour ignorer la vérification de la connectivité. Cela n’élimine pas le besoin de communiquer avec un contrôleur de domaine Active Directory. Au lieu de cela, pour autoriser la connexion au réseau de l’organisation, Intune fournit la configuration VPN nécessaire avant que l’utilisateur tente de se connecter à Windows.

Configuration requise

En plus des exigences de base pour la jointure de Azure AD hybride basée sur l’utilisateur mentionnées ci-dessus, les exigences supplémentaires suivantes s’appliquent à un scénario distant de jonction Azure AD Hybride avec la prise en charge VPN :

  • Une version prise en charge de Windows 10 :
    • Windows 10 1903 + mise à jour Cumulative du 10 décembre (KB4530684, build de système d’exploitation 18362,535) ou version ultérieure
    • Windows 10 1909 + mise à jour Cumulative du 10 décembre (KB4530684, build de système d’exploitation 18363,535) ou version ultérieure
    • Windows 10 2004 ou version ultérieure
  • Activez la case à cocher « Ignorer la vérification de la connectivité du domaine » dans le profil AutoPilot jonction Azure AD Hybride.
  • Une configuration VPN qui :
    • peut être déployé avec Intune et permet à l’utilisateur d’établir manuellement une connexion VPN à partir de l’écran d’ouverture de session Windows, ou
    • un qui établit automatiquement une connexion VPN en fonction des besoins.

La configuration VPN spécifique requise dépend du logiciel VPN et de l’authentification utilisés. Pour les solutions VPN tierces (non-Microsoft), cela implique généralement le déploiement d’une application Win32 (contenant le logiciel client VPN lui-même et toutes les informations de connexion spécifiques, par exemple, les noms d’hôte de point de terminaison VPN) par le biais des extensions de gestion Intune. Pour plus d’informations sur la configuration de ce fournisseur, consultez la documentation de votre fournisseur VPN.

Notes

les exigences du VPN ne sont pas spécifiques à Windows autopilot. par exemple, si vous avez déjà implémenté une configuration VPN pour activer les réinitialisations de mot de passe à distance, où un utilisateur doit se connecter à Windows avec un nouveau mot de passe lorsqu’il n’est pas sur le réseau de l’organisation, cette même configuration peut être utilisée avec Windows autopilot. Une fois que l’utilisateur s’est connecté pour mettre en cache ses informations d’identification, les tentatives d’ouverture de session suivantes n’ont pas besoin de connectivité, car les informations d’identification mises en cache peuvent être utilisées.

Dans les cas où l’authentification par certificat est requise par le logiciel VPN, le certificat d’ordinateur nécessaire doit également être déployé via Intune. Ce déploiement peut être effectué à l’aide des fonctionnalités d’inscription de certificats Intune, en ciblant les profils de certificat sur l’appareil.

Les certificats utilisateur ne sont pas pris en charge, car ils ne peuvent pas être déployés tant que l’utilisateur n’est pas connecté. en outre, étant donné qu’ils ne sont pas installés tant que l’utilisateur ne se connecte pas, les plug-ins VPN UWP non-Microsoft fournis par le Windows Store ne sont pas pris en charge.

Validation

Avant de tenter une jointure Azure AD hybride à l’aide d’un VPN, il est important de vérifier qu’un processus de jonction Azure AD Hybride piloté par l’utilisateur peut être exécuté sur le réseau de l’organisation. Cette confirmation simplifie la résolution des problèmes en veillant à ce que le processus de base fonctionne avant d’ajouter la configuration VPN supplémentaire requise.

Ensuite, vérifiez que la configuration VPN (application Win32, certificats et toute autre exigence) peut être déployée à l’aide d’Intune sur un appareil existant qui a déjà été associé à une Azure AD hybride. Par exemple, certains clients VPN créent une connexion VPN par ordinateur dans le cadre du processus d’installation. Par conséquent, vous pouvez valider la configuration en procédant comme suit :

  • À partir de PowerShell, vérifiez qu’au moins une connexion VPN par ordinateur a été créée à l’aide de la commande « VpnConnection-Alluserconnection sert ».
  • Essayez de démarrer manuellement la connexion VPN à l’aide de la commande : RASDIAL.EXE « ConnectionName »
  • déconnectez-vous et vérifiez que l’icône « connexion VPN » est visible sur la page d’ouverture de session Windows.
  • déplacez l’appareil hors du réseau d’entreprise et essayez d’établir la connexion à l’aide de l’icône de la page de connexion Windows. Connectez-vous à un compte qui n’a pas d’informations d’identification mises en cache.

Pour les configurations VPN qui se connectent automatiquement, les étapes de validation peuvent être différentes.

Notes

Always On VPN peut être utilisé pour ce scénario. Pour plus d’informations, consultez la documentation déployer Always on VPN . Notez qu’Intune ne peut pas encore déployer le profil VPN par ordinateur nécessaire.

pour valider le processus, assurez-vous que la mise à jour cumulative de Windows 10 nécessaire a été installée sur Windows 10 1903 ou Windows 10 1909. Vous pouvez installer manuellement la mise à jour au cours d’OOBE en téléchargeant d’abord le dernier cumulatif à partir de https://catalog.update.microsoft.com . Procédez comme suit :

  1. Appuyez sur MAJ + F10 pour ouvrir une invite de commandes.
  2. Insérez une clé USB contenant la mise à jour téléchargée.
  3. Installez la mise à jour à l’aide de la commande (en remplaçant le nom de fichier réel) : WUSA.EXE . msu/quiet
  4. Redémarrez l’ordinateur à l’aide de la commande : shutdown.exe/r/t 0

ou, vous pouvez démarrer Windows Update pour installer les dernières mises à jour :

  1. Appuyez sur MAJ + F10 pour ouvrir une invite de commandes.
  2. Exécutez la commande « Start MS-Settings : »
  3. Accédez au nœud « mettre à jour la sécurité & » et recherchez les mises à jour.
  4. Redémarrez après l’installation des mises à jour.

Instructions pas à pas

consultez déployer des appareils hybrides Azure AD joints à l’aide d’Intune et Windows autopilot.

Essai de la jointure hybride AutoPilot sur VPN dans votre laboratoire Azure