Mode piloté par l’utilisateur Windows Autopilot

Le mode piloté par l’utilisateur De Windows Autopilot vous permet de configurer de nouveaux appareils Windows pour les transformer automatiquement de leur état d’usine à un état prêt à l’emploi. Ce processus ne nécessite pas que le personnel informatique touche l’appareil.

Le processus est simple. Les appareils peuvent être expédiés ou distribués directement à l’utilisateur final en suivant les instructions suivantes :

  1. Déballez l’appareil, branchez-le et mettez-le sous tension.
  2. S’il utilise plusieurs langues, choisissez une langue, des paramètres régionaux et un clavier.
  3. Connectez-le à un réseau sans fil ou câblé avec un accès à Internet. Si vous utilisez une connexion sans fil, connectez-vous d’abord au réseau Wi-Fi.
  4. Indiquez votre adresse e-mail et votre mot de passe pour votre compte d’organisation.

Le reste du processus est automatisé. L'appareil effectue les étapes suivantes :

  1. Rejoignez l'organisation.
  2. Inscrivez-vous à Microsoft Intune ou à un autre service MDM.
  3. Soyez configuré tel que défini par l’organisation.

Vous pouvez supprimer toutes les autres invites pendant l’expérience OOBE (out-of-box experience). Pour plus d’informations sur les options disponibles, consultez Configuration des profils Autopilot.

Importante

Si vous utilisez Services ADFS (ADFS), il existe un problème connu qui peut permettre à l’utilisateur final de se connecter avec un compte différent de celui affecté à cet appareil.

Le mode piloté par l’utilisateur De Windows Autopilot prend en charge Microsoft Entra jonction et Microsoft Entra appareils joints hybrides. Pour plus d’informations sur ces deux options de jointure, consultez les articles suivants :

Les étapes du processus axé sur l'utilisateur sont les suivantes :

  1. Une fois que l’appareil se connecte à un réseau, il télécharge un profil Windows Autopilot. Le profil définit les paramètres utilisés pour l'appareil. Par exemple, définir les invites supprimées pendant l 'OOBE.

  2. Windows vérifie les mises à jour critiques de l' OOBE. Si des mises à jour sont disponibles, elles sont automatiquement installées. Si nécessaire, l'appareil redémarre.

  3. L’utilisateur est invité à fournir Microsoft Entra informations d’identification. Cette expérience utilisateur personnalisée affiche le nom du locataire, le logo et le texte de connexion Microsoft Entra.

  4. L’appareil rejoint Microsoft Entra ID ou Active Directory, en fonction des paramètres de profil Windows Autopilot.

  5. L'appareil s'inscrit à Intune ou à un autre service MDM configuré. En fonction des besoins de votre organisation, cette inscription se produit soit :

    • Pendant la Microsoft Entra processus de jointure, à l’aide de l’inscription automatique MDM.

    • Avant le processus de jonction d'Active Directory.

  6. S’il est configuré, il affiche la page status d’inscription (ESP).

  7. Une fois les tâches de configuration de l'appareil terminées, l'utilisateur est connecté à Windows à l'aide des informations d'identification qu'il a fournies précédemment. Si l’appareil redémarre pendant le processus ESP de l’appareil, l’utilisateur doit réenterer ses informations d’identification. Ces détails ne persistent pas après le redémarrage.

  8. Après la connexion, la page d'état de l'inscription s'affiche pour les tâches de configuration ciblées sur l'utilisateur.

Si vous rencontrez des problèmes au cours de ce processus, consultez la section Dépannage de Windows Autopilot .

Pour plus d'informations sur les options de jointure disponibles, consultez les sections suivantes :

  • Microsoft Entra jonction est disponible si les appareils n’ont pas besoin de joindre un domaine Active Directory local.
  • Microsoft Entra jointure hybride est disponible pour les appareils qui doivent joindre à la fois Microsoft Entra ID et votre domaine Active Directory local.

Mode piloté par l’utilisateur pour Microsoft Entra jointure

Pour effectuer un déploiement piloté par l’utilisateur à l’aide de Windows Autopilot, procédez comme suit :

  1. Assurez-vous que les utilisateurs effectuant des déploiements en mode piloté par l’utilisateur peuvent joindre des appareils à Microsoft Entra ID. Pour plus d’informations, consultez Configurer les paramètres de l’appareil dans la documentation Microsoft Entra.

  2. Créez un profil Autopilot pour le mode piloté par l’utilisateur avec les paramètres souhaités.

    • Dans Intune, ce mode est explicitement choisi lorsque vous créez le profil.

    • Dans Microsoft Store pour Entreprises et l’Espace partenaires, le mode piloté par l’utilisateur est la valeur par défaut.

  3. Si vous utilisez Intune, créez un groupe d’appareils dans Microsoft Entra ID et attribuez le profil Autopilot à ce groupe.

Pour chaque appareil déployé à l’aide d’un déploiement piloté par l’utilisateur, ces étapes supplémentaires sont nécessaires :

  • Ajoutez l’appareil à Windows Autopilot. Vous pouvez effectuer cette étape de deux manières :

  • Affectez un profil Autopilot à l’appareil :

    • Si vous utilisez Intune et Microsoft Entra groupes d’appareils dynamiques, cette affectation peut être effectuée automatiquement.

    • Si vous utilisez Intune et Microsoft Entra groupes d’appareils statiques, ajoutez manuellement l’appareil au groupe d’appareils.

    • Si vous utilisez d’autres méthodes, comme Microsoft Store pour Entreprises ou l’Espace partenaires, affectez manuellement un profil Autopilot à l’appareil.

Conseil

Si l’état final prévu de l’appareil est la cogestion, vous pouvez configurer l’inscription des appareils dans Intune pour activer la cogestion, ce qui se produit pendant le processus Autopilot. Ce comportement dirige l’autorité de charge de travail de manière orchestrée entre Configuration Manager et Intune. Pour plus d’informations, consultez Comment s’inscrire avec Autopilot.

Mode piloté par l’utilisateur pour Microsoft Entra jointure hybride

Importante

Microsoft recommande de déployer de nouveaux appareils en tant que cloud natif à l’aide de Microsoft Entra jonction. Le déploiement de nouveaux appareils en tant que Microsoft Entra appareils de jointure hybride n’est pas recommandé, y compris via Autopilot. Pour plus d’informations, consultez Microsoft Entra joint ou Microsoft Entra joint hybride dans des points de terminaison natifs cloud : quelle option convient à votre organization.

Windows Autopilot nécessite que les appareils soient Microsoft Entra joints. Si vous disposez d'un environnement Active Directory sur site, vous pouvez joindre les appareils à votre domaine sur site. Pour joindre les appareils, configurez les appareils Autopilot pour qu’ils soient joints à des Microsoft Entra ID hybrides.

Conseil

Alors que Microsoft discute avec des clients qui utilisent Microsoft Intune et Microsoft Configuration Manager pour déployer, gérer et sécuriser leurs appareils clients, nous recevons souvent des questions sur la cogestion des appareils et Microsoft Entra appareils hybrides joints. De nombreux clients confondent ces deux sujets. La cogestion est une option de gestion, tandis que Microsoft Entra ID est une option d’identité. Pour plus d’informations, consultez Présentation des scénarios de cogestion et de Microsoft Entra hybrides. Ce billet de blog vise à clarifier Microsoft Entra jointure hybride et la cogestion, comment ils fonctionnent ensemble, mais ne sont pas la même chose.

Vous ne pouvez pas déployer le client Configuration Manager lors de l’approvisionnement d’un nouvel ordinateur en mode piloté par l’utilisateur Windows Autopilot pour Microsoft Entra jointure hybride. Cette limitation est due au changement d’identité de l’appareil pendant le processus de jointure Microsoft Entra. Déployez le client du gestionnaire de configuration après le processus Autopilot. Consultez Méthodes d’installation du client dans Configuration Manager pour obtenir d’autres options d’installation du client.

Configuration requise pour le mode piloté par l’utilisateur avec Microsoft Entra ID hybride

  • Créez un profil Windows Autopilot pour le mode piloté par l’utilisateur.

    Dans le profil Autopilot, sous Joindre à Microsoft Entra ID en tant que, sélectionnez Microsoft Entra jointure hybride.

  • Si vous utilisez Intune, vous avez besoin d’un groupe d’appareils dans Microsoft Entra ID. Affectez le profil Windows Autopilot au groupe.

  • Si vous utilisez Intune, créez et affectez un profil de jonction de domaine. Un profil de configuration Domain Joint comprend des informations sur le domaine Active Directory sur site.

  • L’appareil doit accéder à Internet. Pour plus d’informations, consultez la configuration réseau requise.

  • Installez le connecteur Intune pour Active Directory.

    Remarque

    Le connecteur Intune joint l’appareil au domaine local. Les utilisateurs n’ont pas besoin d’autorisations pour joindre des appareils au domaine local. Ce comportement suppose que vous configurez le connecteur pour cette action au nom de l’utilisateur. Pour plus d’informations, consultez la section Augmenter la limite du nombre de comptes d’ordinateur dans l’unité d’organisation.

  • Si vous utilisez un proxy, activez et configurez l’option Paramètres du proxy WPAD.

Outre ces exigences de base pour la jointure hybride Microsoft Entra pilotée par l’utilisateur, les exigences supplémentaires suivantes s’appliquent aux appareils locaux :

  • L’appareil dispose d’une version de Windows actuellement prise en charge.

  • L’appareil est connecté au réseau interne et a accès à un contrôleur de domaine Active Directory.

    • Il doit résoudre les enregistrements DNS pour le domaine et les contrôleurs de domaine.

    • Il doit communiquer avec le contrôleur de domaine pour authentifier l’utilisateur.

Mode piloté par l’utilisateur pour Microsoft Entra jointure hybride avec prise en charge VPN

Les appareils joints à Active Directory nécessitent une connectivité à un contrôleur de domaine Active Directory pour de nombreuses activités. Ces activités incluent la validation des informations d’identification de l’utilisateur lors de la connexion et l’application des paramètres de stratégie de groupe. Le processus autopilot piloté par l’utilisateur pour Microsoft Entra appareils joints hybrides valide que l’appareil peut contacter un contrôleur de domaine en effectuant un test ping sur ce contrôleur de domaine.

Avec l’ajout de la prise en charge vpn pour ce scénario, vous pouvez configurer le processus de jointure hybride Microsoft Entra pour ignorer la connectivité case activée. Cette modification n’élimine pas la nécessité de communiquer avec un contrôleur de domaine. Au lieu de cela, pour autoriser la connexion au réseau de l’organization, Intune fournit la configuration VPN nécessaire avant que l’utilisateur tente de se connecter à Windows.

Configuration requise pour le mode piloté par l’utilisateur avec Microsoft Entra ID hybride et VPN

En plus des exigences de base pour le mode piloté par l’utilisateur avec Microsoft Entra jointure hybride, les exigences supplémentaires suivantes s’appliquent à un scénario distant avec prise en charge vpn :

  • Version prise en charge de Windows actuellement prise en charge.

  • Dans le Microsoft Entra profil de jointure hybride pour Autopilot, activez l’option suivante : Ignorer la connectivité de domaine case activée.

  • Une configuration VPN avec l’une des options suivantes :

    • Peut être déployé avec Intune et permet à l’utilisateur d’établir manuellement une connexion VPN à partir de l’écran de connexion Windows.

    • Établit automatiquement une connexion VPN en fonction des besoins.

La configuration VPN spécifique requise dépend du logiciel VPN et de l’authentification utilisés. Pour les solutions VPN tierces, cette configuration implique généralement le déploiement d’une application Win32 via les extensions de gestion Intune. Cette application inclut le logiciel client VPN et toutes les informations de connexion spécifiques. Par exemple, les noms d’hôte de point de terminaison VPN. Pour plus d’informations sur la configuration spécifique à ce fournisseur, consultez la documentation de votre fournisseur VPN.

Remarque

La configuration vpn requise n’est pas spécifique à Autopilot. Par exemple, si une configuration VPN est implémentée pour activer les réinitialisations de mot de passe à distance, cette même configuration peut être utilisée avec Windows Autopilot. Cette configuration permet à un utilisateur de se connecter à Windows avec un nouveau mot de passe lorsqu’il n’est pas sur le réseau du organization. Une fois que l’utilisateur se connecte et que ses informations d’identification sont mises en cache, les tentatives de connexion suivantes n’ont pas besoin de connectivité, car Windows utilise les informations d’identification mises en cache.

Si le logiciel VPN nécessite une authentification par certificat, utilisez Intune pour déployer également le certificat d’appareil requis. Ce déploiement peut être effectué à l’aide des fonctionnalités d’inscription de certificat Intune, en ciblant les profils de certificat sur l’appareil.

Certaines configurations ne sont pas prises en charge, car elles ne sont pas appliquées tant que l’utilisateur ne se connecte pas à Windows :

  • Certificats utilisateur
  • Plug-ins VPN UWP non-Microsoft à partir du Windows Store

Validation

Avant de tenter une jointure hybride Microsoft Entra à l’aide d’un VPN, il est important de vérifier qu’un mode piloté par l’utilisateur pour Microsoft Entra processus de jointure hybride fonctionne sur votre réseau interne. Ce test simplifie la résolution des problèmes en s’assurant que le processus principal fonctionne avant d’ajouter la configuration VPN.

Ensuite, vérifiez que vous pouvez utiliser Intune pour déployer la configuration VPN et ses exigences. Testez ces composants avec un appareil existant déjà Microsoft Entra joint hybride. Par exemple, certains clients VPN créent une connexion VPN par machine dans le cadre du processus d’installation. Validez la configuration en procédant comme suit :

  1. Vérifiez qu’au moins une connexion VPN par ordinateur est créée.

    Get-VpnConnection -AllUserConnection

  2. Essayez de démarrer manuellement la connexion VPN.

    RASDIAL.EXE "ConnectionName"

  3. Déconnectez-vous de Windows. Vérifiez que vous pouvez voir l’icône « Connexion VPN » sur la page de connexion Windows.

  4. Déplacez l’appareil hors du réseau interne et essayez d’établir la connexion à l’aide de l’icône sur la page de connexion Windows. Connectez-vous à un compte qui n’a pas d’informations d’identification mises en cache.

Pour les configurations VPN qui se connectent automatiquement, les étapes de validation peuvent être différentes.

Remarque

Vous pouvez utiliser un VPN always on pour ce scénario. Pour plus d’informations, consultez Déployer un VPN always-on.

Étapes suivantes