Modalità guidata dall'utente di Windows Autopilot

La modalità guidata dall'utente di Windows Autopilot consente di configurare nuovi dispositivi Windows per trasformarli automaticamente dallo stato factory a uno stato pronto all'uso. Questo processo non richiede che il personale IT tocchi il dispositivo.

Il processo è semplice. I dispositivi possono essere spediti o distribuiti all'utente finale direttamente con le istruzioni seguenti:

  1. Disimballare il dispositivo, attaccarlo alla corrente e accenderlo.
  2. Se usa più lingue, scegliere una lingua, impostazioni locali e tastiera.
  3. Collegarlo a una rete wireless o cablata con accesso a Internet. Se si usa wireless, connettersi prima alla rete wi-fi.
  4. Specificare l'indirizzo di posta elettronica e la password per l'account aziendale.

Il resto del processo è automatizzato. Il dispositivo esegue la procedura seguente:

  1. Partecipare all'organizzazione.
  2. Eseguire la registrazione in Microsoft Intune o in un altro servizio MDM.
  3. Configurato come definito dall'organizzazione.

È possibile eliminare qualsiasi altra richiesta durante l'esperienza predefinita (Configurazione guidata). Per altre informazioni sulle opzioni disponibili, vedere Configurazione dei profili Autopilot.

Importante

Se si usa Active Directory Federation Services (ADFS), esiste un problema noto che può consentire all'utente finale di accedere con un account diverso da quello assegnato al dispositivo.

La modalità guidata dall'utente di Windows Autopilot supporta Microsoft Entra join e Microsoft Entra dispositivi aggiunti ibridi. Per altre informazioni su queste due opzioni di join, vedere gli articoli seguenti:

I passaggi del processo guidato dall'utente sono i seguenti:

  1. Dopo la connessione del dispositivo a una rete, il dispositivo scarica un profilo di Windows Autopilot. Il profilo definisce le impostazioni usate per il dispositivo. Ad esempio, definire i prompt soppressi durante la configurazione guidata.

  2. Windows verifica la presenza di aggiornamenti critici della Configurazione guidata. Se gli aggiornamenti sono disponibili, vengono installati automaticamente. Se necessario, il dispositivo viene riavviato.

  3. All'utente viene richiesto di Microsoft Entra credenziali. Questa esperienza utente personalizzata mostra il nome del tenant, il logo e il testo di accesso Microsoft Entra.

  4. Il dispositivo viene aggiunto Microsoft Entra ID o Active Directory, a seconda delle impostazioni del profilo di Windows Autopilot.

  5. Il dispositivo viene registrato in Intune o in un altro servizio MDM configurato. A seconda delle esigenze dell'organizzazione, questa registrazione viene eseguita:

    • Durante il processo di join Microsoft Entra, usando la registrazione automatica MDM.

    • Prima del processo di aggiunta ad Active Directory.

  6. Se configurato, visualizza la pagina dello stato della registrazione (ESP).

  7. Al termine delle attività di configurazione del dispositivo, l'utente viene connesso a Windows usando le credenziali fornite in precedenza. Se il dispositivo viene riavviato durante il processo ESP del dispositivo, l'utente deve immettere di nuovo le credenziali. Questi dettagli non vengono mantenuti dopo il riavvio.

  8. Dopo l'accesso, viene visualizzata la pagina di stato della registrazione per le attività di configurazione destinate all'utente.

Se si verificano problemi durante questo processo, vedere Risoluzione dei problemi di Windows Autopilot.

Per altre informazioni sulle opzioni di partecipazione disponibili, vedere le sezioni seguenti:

Modalità guidata dall'utente per Microsoft Entra join

Per completare una distribuzione guidata dall'utente usando Windows Autopilot, seguire questa procedura di preparazione:

  1. Assicurarsi che gli utenti che eseguono distribuzioni in modalità guidata dall'utente possano aggiungere dispositivi a Microsoft Entra ID. Per altre informazioni, vedere Configurare le impostazioni del dispositivo nella documentazione di Microsoft Entra.

  2. Creare un profilo Autopilot per la modalità guidata dall'utente con le impostazioni desiderate.

    • In Intune questa modalità viene scelta in modo esplicito quando si crea il profilo.

    • In Microsoft Store per le aziende e nel Centro per i partner, la modalità guidata dall'utente è l'impostazione predefinita.

  3. Se si usa Intune, creare un gruppo di dispositivi in Microsoft Entra ID e assegnare il profilo Autopilot a tale gruppo.

Per ogni dispositivo distribuito usando la distribuzione guidata dall'utente, sono necessari questi passaggi aggiuntivi:

  • Aggiungere il dispositivo a Windows Autopilot. È possibile eseguire questo passaggio in due modi:

  • Assegnare un profilo Autopilot al dispositivo:

    • Se si usa Intune e Microsoft Entra gruppi di dispositivi dinamici, questa assegnazione può essere eseguita automaticamente.

    • Se si usa Intune e Microsoft Entra gruppi di dispositivi statici, aggiungere manualmente il dispositivo al gruppo di dispositivi.

    • Se si usano altri metodi, ad esempio Microsoft Store per le aziende o il Centro per i partner, assegnare manualmente un profilo Autopilot al dispositivo.

Consiglio

Se lo stato finale previsto del dispositivo è la co-gestione, è possibile configurare la registrazione del dispositivo in Intune per abilitare la co-gestione, che si verifica durante il processo Autopilot. Questo comportamento indirizza l'autorità del carico di lavoro in modo orchestrato tra Configuration Manager e Intune. Per altre informazioni, vedere Come eseguire la registrazione con Autopilot.

Modalità guidata dall'utente per Microsoft Entra join ibrido

Importante

Microsoft consiglia di distribuire nuovi dispositivi come nativi del cloud usando Microsoft Entra join. La distribuzione di nuovi dispositivi come Microsoft Entra dispositivi di join ibridi non è consigliata, anche tramite Autopilot. Per altre informazioni, vedere Microsoft Entra aggiunto a e Microsoft Entra aggiunto ibrido negli endpoint nativi del cloud: l'opzione più adatta per l'organizzazione.

Windows Autopilot richiede che i dispositivi siano Microsoft Entra aggiunti. Se si dispone di un ambiente Active Directory locale, è possibile aggiungere i dispositivi al dominio locale. Per aggiungere i dispositivi, configurare i dispositivi Autopilot per l'aggiunta ibrida a Microsoft Entra ID.

Consiglio

Mentre Microsoft comunica con i clienti che usano Microsoft Intune e Microsoft Configuration Manager per distribuire, gestire e proteggere i propri dispositivi client, spesso vengono poste domande relative alla co-gestione dei dispositivi e Microsoft Entra dispositivi aggiunti ibridi. Molti clienti confondono questi due argomenti. La co-gestione è un'opzione di gestione, mentre Microsoft Entra ID è un'opzione di identità. Per altre informazioni, vedere Informazioni sugli scenari ibridi di Microsoft Entra e co-gestione. Questo post di blog ha lo scopo di chiarire Microsoft Entra join ibrido e la co-gestione, come interagiscono, ma non sono la stessa cosa.

Non è possibile distribuire il client Configuration Manager durante il provisioning di un nuovo computer in modalità guidata dall'utente di Windows Autopilot per Microsoft Entra join ibrido. Questa limitazione è dovuta alla modifica dell'identità del dispositivo durante il processo di aggiunta Microsoft Entra. Distribuire il client di Configuration Manager dopo il processo Autopilot. Vedere Metodi di installazione client in Configuration Manager per le opzioni alternative per l'installazione del client.

Requisiti per la modalità guidata dall'utente con Microsoft Entra ID ibrido

  • Creare un profilo di Windows Autopilot per la modalità guidata dall'utente.

    Nel profilo Autopilot selezionare Microsoft Entra join ibrido in Join to Microsoft Entra ID as (Join to Microsoft Entra ID as).

  • Se si usa Intune, è necessario un gruppo di dispositivi in Microsoft Entra ID. Assegnare il profilo Windows Autopilot al gruppo.

  • Se si usa Intune, creare e assegnare un profilo di aggiunta al dominio. Un profilo di configurazione Aggiunta a un dominio include informazioni sul dominio Active Directory locale.

  • Il dispositivo deve accedere a Internet. Per altre informazioni, vedere i requisiti di rete.

  • Installare Intune Connector per Active Directory.

    Nota

    Il connettore Intune aggiunge il dispositivo al dominio locale. Gli utenti non hanno bisogno delle autorizzazioni per aggiungere i dispositivi al dominio locale. Questo comportamento presuppone che il connettore venga configurato per questa azione per conto dell'utente. Per maggiore informazioni, consultare Aumentare il limite dell'account computer nell'unità organizzativa.

  • Se si usa un proxy, abilitare e configurare l'opzione Impostazioni proxy WPAD.

Oltre a questi requisiti di base per l'aggiunta ibrida Microsoft Entra guidata dall'utente, i requisiti aggiuntivi seguenti si applicano ai dispositivi locali:

  • Il dispositivo ha una versione attualmente supportata di Windows.

  • Il dispositivo è connesso alla rete interna e ha accesso a un controller di dominio Active Directory.

    • Deve risolvere i record DNS per il dominio e i controller di dominio.

    • Deve comunicare con il controller di dominio per autenticare l'utente.

Modalità guidata dall'utente per Microsoft Entra join ibrido con supporto VPN

I dispositivi aggiunti ad Active Directory richiedono la connettività a un controller di dominio Active Directory per molte attività. Queste attività includono la convalida delle credenziali dell'utente al momento dell'accesso e l'applicazione delle impostazioni di Criteri di gruppo. Il processo guidato dall'utente di Autopilot per Microsoft Entra dispositivi aggiunti ibridi verifica che il dispositivo possa contattare un controller di dominio eseguendo il ping di tale controller di dominio.

Con l'aggiunta del supporto VPN per questo scenario, è possibile configurare il processo di join ibrido Microsoft Entra per ignorare il controllo della connettività. Questa modifica non elimina la necessità di comunicare con un controller di dominio. Invece, per consentire la connessione alla rete dell'organizzazione, Intune fornisce la configurazione VPN necessaria prima che l'utente tenti di accedere a Windows.

Requisiti per la modalità guidata dall'utente con Microsoft Entra ID ibrido e VPN

Oltre ai requisiti principali per la modalità guidata dall'utente con Microsoft Entra join ibrido, i requisiti aggiuntivi seguenti si applicano a uno scenario remoto con supporto VPN:

  • Versione attualmente supportata di Windows.

  • Nel Microsoft Entra profilo di join ibrido per Autopilot, abilitare l'opzione seguente: Ignorare il controllo della connettività del dominio.

  • Una configurazione VPN con una delle opzioni seguenti:

    • Può essere distribuito con Intune e consente all'utente di stabilire manualmente una connessione VPN dalla schermata di accesso a Windows.

    • Stabilisce automaticamente una connessione VPN in base alle esigenze.

La configurazione VPN specifica richiesta dipende dal software VPN e dall'autenticazione in uso. Per le soluzioni VPN di terze parti, questa configurazione prevede in genere la distribuzione di un'app Win32 tramite le estensioni di gestione di Intune. Questa app includerà il software client VPN e tutte le informazioni di connessione specifiche. Ad esempio, nomi host di endpoint VPN. Per informazioni dettagliate sulla configurazione specifiche di tale provider, vedere la documentazione del provider VPN.

Nota

I requisiti VPN non sono specifici di Autopilot. Ad esempio, se viene implementata una configurazione VPN per abilitare la reimpostazione remota della password, la stessa configurazione può essere usata con Windows Autopilot. Questa configurazione consente a un utente di accedere a Windows con una nuova password quando non si è nella rete dell'organizzazione. Dopo che l'utente ha eseguito l'accesso e le credenziali sono memorizzate nella cache, i tentativi di accesso successivi non richiedono la connettività perché Windows usa le credenziali memorizzate nella cache.

Se il software VPN richiede l'autenticazione del certificato, usare Intune per distribuire anche il certificato del dispositivo richiesto. Questa distribuzione può essere eseguita usando le funzionalità di registrazione dei certificati di Intune, indirizzando i profili certificato al dispositivo.

Alcune configurazioni non sono supportate perché non vengono applicate fino a quando l'utente non accede a Windows:

  • Certificati utente
  • Plug-in VPN UWP non Microsoft da Windows Store

Convalida

Prima di provare un Microsoft Entra join ibrido tramite VPN, è importante verificare che una modalità guidata dall'utente per Microsoft Entra processo di join ibrido funzioni nella rete interna. Questo test semplifica la risoluzione dei problemi assicurandosi che il processo principale funzioni prima di aggiungere la configurazione VPN.

Verificare quindi che sia possibile usare Intune per distribuire la configurazione VPN e i relativi requisiti. Testare questi componenti con un dispositivo esistente già Microsoft Entra aggiunto ibrido. Ad esempio, alcuni client VPN creano una connessione VPN per computer come parte del processo di installazione. Convalidare la configurazione seguendo questa procedura:

  1. Verificare che sia stata creata almeno una connessione VPN per computer.

    Get-VpnConnection -AllUserConnection

  2. Tentativo di avviare manualmente la connessione VPN.

    RASDIAL.EXE "ConnectionName"

  3. Disconnettersi da Windows. Verificare che sia possibile visualizzare l'icona "Connessione VPN" nella pagina di accesso di Windows.

  4. Spostare il dispositivo dalla rete interna e provare a stabilire la connessione usando l'icona nella pagina di accesso di Windows. Accedere a un account che non dispone di credenziali memorizzate nella cache.

Per le configurazioni VPN che si connettono automaticamente, i passaggi di convalida potrebbero essere diversi.

Nota

È possibile usare una VPN sempre attiva per questo scenario. Per altre informazioni, vedere Distribuire VPN always-on.

Passaggi successivi