Modo controlado pelo usuário do Windows Autopilot

O modo controlado pelo usuário do Windows Autopilot permite configurar novos dispositivos Windows para transformá-los automaticamente do estado de fábrica para um estado pronto para uso. Esse processo não exige que o pessoal de TI toque no dispositivo.

O processo é simples. Os dispositivos podem ser enviados ou distribuídos ao usuário final diretamente com as seguintes instruções:

  1. Retire o dispositivo da caixa, conecte-o à fonte de alimentação e ligue-o.
  2. Se ele usar vários idiomas, escolha um idioma, uma localidade e um teclado.
  3. Conecte-o a uma rede com ou sem fio com acesso à Internet. Se estiver usando o wireless, primeiro conecte-se à rede wi-fi.
  4. Especifique seu endereço de email e a senha da sua conta corporativa.

O restante do processo é automatizado. O dispositivo executa as seguintes etapas:

  1. Ingresse na organização.
  2. Registre-se no Microsoft Intune ou outro serviço MDM.
  3. Obtenha a configuração conforme definida pela organização.

Você pode suprimir quaisquer outros prompts durante a experiência fora de caixa (OOBE). Para obter mais informações sobre as opções disponíveis, consulte Configurando perfis do Autopilot.

Importante

Se você usar Serviços de Federação do Active Directory (AD FS) (ADFS), haverá um problema conhecido que pode permitir que o usuário final entre com uma conta diferente da atribuída a esse dispositivo.

O modo controlado pelo usuário do Windows Autopilot dá suporte a Microsoft Entra junção e Microsoft Entra dispositivos híbridos ingressados. Para obter mais informações sobre essas duas opções de junção, confira os seguintes artigos:

As etapas do processo controlado pelo usuário são as seguintes:

  1. Depois que o dispositivo se conecta a uma rede, o dispositivo baixa um perfil do Windows Autopilot. O perfil define as configurações usadas para o dispositivo. Por exemplo, define os prompts suprimidos durante o OOBE.

  2. O Windows verifica se há atualizações OOBE críticas. Se houver atualizações disponíveis, elas serão instaladas automaticamente. Se necessário, o dispositivo será reiniciado.

  3. O usuário é solicitado para Microsoft Entra credenciais. Essa experiência personalizada do usuário mostra o Microsoft Entra nome do locatário, logotipo e texto de entrada.

  4. O dispositivo junta Microsoft Entra ID ou Active Directory, dependendo das configurações do perfil do Windows Autopilot.

  5. O dispositivo é registrado no Intune ou em outro serviço MDM configurado. Dependendo de suas necessidades organizacionais, esse registro também ocorre:

    • Durante o processo de junção Microsoft Entra, usando o registro automático do MDM.

    • Antes do processo de ingresso no Azure Active Directory.

  6. Se configurado, ele exibirá a esp (página de registro status).

  7. Depois que as tarefas de configuração do dispositivo forem concluídas, o usuário será conectado ao Windows usando as credenciais fornecidas anteriormente. Se o dispositivo for reiniciado durante o processo esp do dispositivo, o usuário deverá reentrada em suas credenciais. Esses detalhes não persistem após a reinicialização.

  8. Após a entrada, a página de status do registro é exibida para tarefas de configuração direcionadas ao usuário.

Se algum problema for encontrado durante esse processo, consulte Solução de problemas do Windows Autopilot.

Para obter mais informações sobre as opções de ingresso disponíveis, consulte as seguintes seções:

Modo controlado pelo usuário para Microsoft Entra junção

Para concluir uma implantação controlada pelo usuário usando o Windows Autopilot, siga estas etapas de preparação:

  1. Verifique se os usuários que executam implantações de modo controlado pelo usuário podem ingressar em dispositivos para Microsoft Entra ID. Para obter mais informações, consulte Configurar configurações de dispositivo na documentação Microsoft Entra.

  2. Crie um perfil do Autopilot para o modo controlado pelo usuário com as configurações desejadas.

    • No Intune, esse modo é escolhido explicitamente quando você cria o perfil.

    • No Microsoft Store para Empresas e no Partner Center, o modo controlado pelo usuário é o padrão.

  3. Se você usar o Intune, crie um grupo de dispositivos no Microsoft Entra ID e atribua o perfil do Autopilot a esse grupo.

Para cada dispositivo implantado usando a implantação controlada pelo usuário, essas etapas extras são necessárias:

  • Adicione o dispositivo ao Windows Autopilot. Você pode fazer essa etapa de duas maneiras:

  • Atribua um perfil do Autopilot ao dispositivo:

    • Se você usar o Intune e Microsoft Entra grupos de dispositivos dinâmicos, essa atribuição poderá ser feita automaticamente.

    • Se você usar o Intune e Microsoft Entra grupos de dispositivos estáticos, adicione manualmente o dispositivo ao grupo de dispositivos.

    • Se você usar outros métodos, como Microsoft Store para Empresas ou Partner Center, atribua manualmente um perfil do Autopilot ao dispositivo.

Dica

Se o estado final pretendido do dispositivo for o cogerenciamento, você poderá configurar o registro de dispositivo no Intune para habilitar o cogerenciamento, o que acontece durante o processo do Autopilot. Esse comportamento direciona a autoridade de carga de trabalho de maneira orquestrada entre o Configuration Manager e o Intune. Para obter mais informações, consulte Como se registrar no Autopilot.

Modo controlado pelo usuário para Microsoft Entra junção híbrida

Importante

A Microsoft recomenda implantar novos dispositivos como nativos da nuvem usando Microsoft Entra junção. A implantação de novos dispositivos como Microsoft Entra dispositivos de junção híbrida não é recomendada, inclusive por meio do Autopilot. Para obter mais informações, consulte Microsoft Entra ingressado vs. Microsoft Entra híbrido ingressado em pontos de extremidade nativos da nuvem: qual opção é certa para sua organização.

O Windows Autopilot exige que os dispositivos sejam Microsoft Entra ingressados. Se você tiver um ambiente Active Directory local, poderá ingressar dispositivos ao seu domínio local. Para ingressar nos dispositivos, configure dispositivos Autopilot para serem associados ao híbrido para Microsoft Entra ID.

Dica

À medida que a Microsoft conversa com clientes que estão usando Microsoft Intune e Microsoft Configuration Manager para implantar, gerenciar e proteger seus dispositivos cliente, muitas vezes recebemos perguntas sobre o cogerenciamento de dispositivos e Microsoft Entra dispositivos híbridos ingressados. Muitos clientes confundem esses dois tópicos. O cogerenciamento é uma opção de gerenciamento, enquanto Microsoft Entra ID é uma opção de identidade. Para obter mais informações, consulte Entender cenários híbridos de Microsoft Entra e cogerenciamento. Esta postagem no blog visa esclarecer Microsoft Entra junção híbrida e cogerenciamento, como eles trabalham juntos, mas não são a mesma coisa.

Você não pode implantar o cliente Configuration Manager ao provisionar um novo computador no modo controlado pelo usuário do Windows Autopilot para Microsoft Entra junção híbrida. Essa limitação se deve à alteração de identidade do dispositivo durante o processo de junção Microsoft Entra. Implantar o Configuration Manager cliente após o processo do Autopilot. Consulte Métodos de instalação do cliente no Configuration Manager para obter opções alternativas para instalar o cliente.

Requisitos para o modo controlado pelo usuário com Microsoft Entra ID híbrida

  • Crie um perfil do Windows Autopilot para o modo controlado pelo usuário.

    No perfil do Autopilot, em Ingressar no Microsoft Entra ID como, selecione Microsoft Entra híbrido ingressado.

  • Se você usar o Intune, precisará de um grupo de dispositivos no Microsoft Entra ID. Atribua o perfil do Windows Autopilot ao grupo.

  • Se você usar o Intune, crie e atribua um perfil de Ingresso de Domínio. Um perfil de configuração de Ingresso no Domínio inclui informações de domínio do Active Directory local.

  • O dispositivo precisa acessar a Internet. Para obter mais informações, confira os requisitos de rede.

  • Instale o Conector do Intune para Active Directory.

    Observação

    O Conector do Intune une o dispositivo ao domínio local. Os usuários não precisam de permissões para ingressar dispositivos no domínio local. Esse comportamento pressupõe que você configure o conector para essa ação em nome do usuário. Para obter mais informações consulte Aumentar o limite de conta de computador na Unidade Organizacional

  • Se você usar um proxy, habilite e configure a opção Configurações do Proxy do WPAD.

Além desses requisitos principais para a junção híbrida Microsoft Entra orientada pelo usuário, os seguintes requisitos extras se aplicam a dispositivos locais:

  • O dispositivo tem uma versão atualmente com suporte do Windows.

  • O dispositivo está conectado à rede interna e tem acesso a um controlador de domínio do Active Directory.

    • Ele precisa resolve os registros DNS para o domínio e os controladores de domínio.

    • Ele precisa se comunicar com o controlador de domínio para autenticar o usuário.

Modo controlado pelo usuário para Microsoft Entra junção híbrida com suporte a VPN

Os dispositivos ingressados no Active Directory exigem conectividade com um controlador de domínio do Active Directory para muitas atividades. Essas atividades incluem validar as credenciais do usuário ao entrar e aplicar as configurações de política de grupo. O processo controlado pelo usuário do Autopilot para Microsoft Entra dispositivos híbridos ingressados valida que o dispositivo pode entrar em contato com um controlador de domínio pingando esse controlador de domínio.

Com a adição do suporte de VPN para esse cenário, você pode configurar o processo de junção híbrida Microsoft Entra para ignorar o marcar de conectividade. Essa alteração não elimina a necessidade de comunicação com um controlador de domínio. Em vez disso, para permitir a conexão com a rede da organização, o Intune fornece a configuração de VPN necessária antes que o usuário tente entrar no Windows.

Requisitos para o modo controlado pelo usuário com Microsoft Entra ID híbrida e VPN

Além dos principais requisitos para o modo controlado pelo usuário com Microsoft Entra junção híbrida, os seguintes requisitos extras se aplicam a um cenário remoto com suporte a VPN:

  • Uma versão com suporte no momento do Windows.

  • No Microsoft Entra perfil de junção híbrida do Autopilot, habilite a seguinte opção: Ignorar marcar de conectividade de domínio.

  • Uma configuração de VPN com uma das seguintes opções:

    • Pode ser implantado com o Intune e permite que o usuário estabeleça manualmente uma conexão VPN na tela de entrada do Windows.

    • Estabelece automaticamente uma conexão VPN conforme necessário.

A configuração de VPN específica necessária depende do software VPN e da autenticação que está sendo usada. Para soluções VPN de terceiros, essa configuração normalmente envolve a implantação de um aplicativo Win32 por meio de Extensões de Gerenciamento do Intune. Este aplicativo incluiria o software cliente VPN e qualquer informação de conexão específica. Por exemplo, nomes de host do ponto de extremidade VPN. Para obter detalhes de configuração específicos desse provedor, consulte a documentação do provedor de VPN.

Observação

Os requisitos de VPN não são específicos para o Autopilot. Por exemplo, se uma configuração vpn for implementada para habilitar redefinições remotas de senha, essa mesma configuração poderá ser usada com o Windows Autopilot. Essa configuração permitiria que um usuário entrasse no Windows com uma nova senha quando não estiver na rede da organização. Depois que o usuário entra e suas credenciais são armazenadas em cache, as tentativas de entrada subsequentes não precisam de conectividade, pois o Windows usa as credenciais armazenadas em cache.

Se o software VPN exigir autenticação de certificado, use o Intune para também implantar o certificado de dispositivo necessário. Essa implantação pode ser feita usando os recursos de registro de certificado do Intune, direcionando os perfis de certificado para o dispositivo.

Algumas configurações não têm suporte porque não são aplicadas até que o usuário entre no Windows:

  • Certificados de usuário
  • Plug-ins de VPN UWP não microsoft da Windows Store

Validação

Antes de tentar uma junção híbrida Microsoft Entra usando VPN, é importante confirmar que um modo controlado pelo usuário para Microsoft Entra processo de junção híbrida funciona em sua rede interna. Esse teste simplifica a solução de problemas certificando-se de que o processo principal funciona antes de adicionar a configuração de VPN.

Em seguida, confirme se você pode usar o Intune para implantar a configuração de VPN e seus requisitos. Teste esses componentes com um dispositivo existente que já está Microsoft Entra ingressado híbrido. Por exemplo, alguns clientes VPN criam uma conexão VPN por computador como parte do processo de instalação. Valide a configuração usando as seguintes etapas:

  1. Verifique se pelo menos uma conexão VPN por computador foi criada.

    Get-VpnConnection -AllUserConnection

  2. Tente iniciar manualmente a conexão VPN.

    RASDIAL.EXE "ConnectionName"

  3. Saia do Windows. Verifique se você pode ver o ícone "conexão VPN" na página de entrada do Windows.

  4. Mova o dispositivo da rede interna e tente estabelecer a conexão usando o ícone na página de entrada do Windows. Entre em uma conta que não tenha credenciais armazenadas em cache.

Para configurações de VPN que se conectam automaticamente, as etapas de validação podem ser diferentes.

Observação

Você pode usar uma VPN sempre ativa para esse cenário. Para obter mais informações, confira Implantar VPN sempre ativa.

Próximas etapas