En juin dernier, Microsoft annonçait l’arrivée d’un nouveau service à destination de Windows 10 appelé Windows AutoPilot. Ce dernier a pour vocation de simplifier et moderniser le déploiement et la gestion des machines Windows 10. Le but est de rendre une machine opérationnelle dès sa sortie du carton sans avoir à effectuer une remasterisation avec l’image de l’entreprise.
Disponible dès Windows 10 1703 (Creators Update) et avec des améliorations dans les versions suivantes (Windows 10 1709, etc.), l’administrateur peut enregistrer la machine dans le service de manière à personnaliser et automatiser l’expérience Out of the Box (OOBE). La configuration se fait donc depuis le Cloud puisque la machine contacte le service Windows AutoPilot Deployment pour savoir si elle doit appliquer un profil de déploiement. Ce service s’apparente à ce que l’on peut connaître avec les périphériques iOS avec le programme Apple Device Enrollment Program (DEP).
Windows AutoPilot se limite aujourd’hui à la personnalisation de l’expérience de post installation (OOBE) et a pour principal objectif de joindre la machine à un domaine. Une fois cette opération réalisée, la machine peut être enregistrée automatiquement dans la solution d’administration afin de d’appliquer les éléments nécessaires : Conversion en édition Entreprise, Paramètres de configuration, Personnalisations, Applications (Office 365, etc.), profil WiFi, Profil VPN, etc. Toute la configuration se fait sans nécessiter un redémarrage ou une action très avancée de l’utilisateur.
Ce processus réduit donc un des éléments les plus chronophage et couteux du service Informatique : La Masterisation. Il permet de :
- S’affranchir de la gestion d’un master: Avec Windows 10 et le cycle de publication plus fréquent, il devient difficile de faire évoluer le master de l’entreprise.
- S’affranchir de la gestion des drivers : C’est souvent un des éléments les plus consommateur en temps. Les administrateurs doivent valider les drivers des nouveaux modèles ou revalider les drivers des modèles existants lorsqu’une nouvelle version de Windows 10 est publiée. L’utilisation de l’image OEM garantit que les drivers associés, ont été testés par le fabricant.
- D’intégrer de nouveaux modèles plus aisément et de faciliter les approches BYOD/CYOD: Que ce soit pour le BYOD ou des entreprises qui ont un nombre de filiales autonomes importantes, Windows AutoPilot permet plus facilement de gérer ces approches.
- Réduire le temps de mise à disposition en faisant livrer le périphérique directement à l’utilisateur sans avoir à repasser par le service Informatique.
- S’assurer que le périphérique est toujours à jour: Le fabricant OEM qui livre une machine, met à disposition la dernière version de Windows 10.
On distingue deux scénarios :
- Self Employee : Ce scénario implique l’utilisateur sur des actions très limitées : Configuration des options régionales (Clavier, etc.), connexion au réseau Wifi et authentification avec son compte utilisateur. C’est ce scénario que nous détaillerons dans ce billet.
- Plug & Forget : Ce scénario revient à brancher la machine afin qu’elle se configure sans interaction de l’utilisateur et ne plus avoir à s’en soucier. Il peut être utilisé pour des machines industrielles ou en mode Kiosk.
Note : Ce scénario n’est toujours pas disponible à date d’écriture de l’article.
Cet article s’attache à détailler l’intégration entre Microsoft Intune et Windows AutoPilot.
Prérequis Généraux à Windows AutoPilot
De manière à utiliser Windows AutoPilot, vous devez valider les prérequis suivants :
- Un tenant Azure Active Directory.
- Des licences Azure AD Premium P1 ou P2 pour notamment permettre la jointure automatique à la solution d’administration.
- Une solution d’administration de périphériques mobiles (MDM) telle que Microsoft Intune.
Côté périphérique, vous devez valider les éléments suivants :
- Le périphérique doit être préinstallé avec Windows 10 1703 ou plus en édition Pro, Enterprise ou Education.
- Le périphérique doit disposer d’un accès à Internet (WiFi, câble Ethernet, etc.). A date d’écriture de cet article (Janvier 2018), les réseaux qui nécessitent une configuration proxy posent des problèmes. Ce scénario n’a pas été pris en compte dans l’expérience OOBE, Microsoft travaille pour adresser ce cas d’usages. Vous devez donc autoriser les URLs (Ports HTTPS et HTTP) suivantes :
- https://go.microsoft.com
- https://login.microsoftonline.com
- https://login.live.com
- https://account.live.com
- https://signup.live.com
- https://licensing.mp.microsoft.com
- https://licensing.md.mp.microsoft.com
- ctldl.windowsupdate.com
- download.windowsupdate.com
- Vous devez ajouter les URLs suivantes si la machine est jointe à Microsoft Intune.
- Le périphérique doit être enregistré auprès du service AutoPilot (voir les étapes suivantes de l’article)
Afin de permettre la jointure à Azure Active Directory, ouvrez le portail Azure Active Directory avec un compte Global Administrator du tenant. Puis naviguez dans Azure Active Directory – Devices – Device settings. Validez que l’option Users may join devices to Azure AD est soit sur All soit sur Selected avec un groupe d’utilisateurs qui feront l’objet de votre démarche d’hybridation.
De manière que le périphérique puisse être géré et configuré par votre solution d‘administration, vous devez activer la jointure automatique lors de la jointure à Azure Active Directory. Pour ce faire toujours dans le portail Azure Active Directory avec un compte Global Administrator du tenant, naviguez dans Azure Active Directory – Mobility (MDM and MAM). Cliquez sur Add Application et cherchez Microsoft Intune (ou votre outil MDM).
Validez que l’option MDM user scope est soit sur All soit sur Selected avec un groupe d’utilisateurs qui pourront utiliser le service AutoPilot avec la jointure automatique à Microsoft Intune.
Cliquez sur Save.
Vous pouvez aussi configurer la personnalisation de votre annuaire avec le nom de l’entreprise. Pour cela dans le portail Azure Active Directory avec un compte Global Administrator, naviguez dans Users and groups – Company branding. Cliquez sur Configure.
Note : Vous pouvez ajouter autant de langues que vous souhaitez. Windows AutoPilot respecte ces langues en fonction de la langue du système d'exploitation installé.
Sur la page suivante, vous devez renseigner les éléments suivants :
- Banner Logo
- User name hint pour spécifier à l’utilisateur quel type d’adresse il doit renseigner.
- Sign-in page text pour ajouter des éléments supplémentaires lors de la connexion.
- Square logo image
En outre, vous pouvez aussi spécifier le nom du tenant dans Azure Active Directory – Properties Ce nom est utilisé sur les pages de connexion :
Préparation de Windows AutoPilot et de Microsoft Intune
Commencez par vous connecter au Microsoft Store for Business. Si ce n’est pas déjà fait, validez le contrat de licence afin de procéder à la création de votre espace Microsoft Store for Business.
Ouvrez ensuite le portail Microsoft Intune et naviguez dans Device enrollment – Windows enrollment – Deployment Profiles.
Procédez à la création d’un profil. Nommez le profil et choisissez le type de jointure que vous souhaitez. A date de création de cet article (Janvier 2018), seule la jointure Azure Active Directory est disponible.
Note : Microsoft a annoncé la jointure à des domaines Active Directory pour les prochaines versions de Windows 10.
Choisissez ensuite si vous souhaitez afficher les paramètres de vie privée et le contrat de licence utilisateur (EULA). Sélectionnez le type de compte utilisateur (Standard ou Administrateur) qui sera créé :
Sauvegardez et créez le profil.
Vous devez ensuite créer toutes les stratégies de déploiement de configuration ou d’applications nécessaires pour paramétrer la machine selon vos besoins.
Intégration des machines au service Windows AutoPilot
On distingue deux façons d’intégrer les machines au service Windows AutoPilot :
- Intégration faite par le fabricant (OEM, revendeur, etc.). Lorsque vous achetez le matériel, le revendeur intègre directement les identifiants des machines sur votre tenant Azure Active Directory. Ceci vous permet ensuite d’associer les profils que vous souhaitez aux machines. Ce scénario est disponible pour les fabricants suivants : Dell, HP, Lenovo, Microsoft, Panasonic, Toshiba, et Fujitsu.
- Récupération sur des machines existantes ou via un fichier fourni par le fabricant OEM. Dans ce cas de figure, c’est à l’administrateur d’effectuer l’opération d’intégration dans le service Windows AutoPilot et votre tenant Azure Active Directory.
Pour la première option, vous devez vous rapprocher auprès de votre revendeur.
Nous allons donc nous concentrer sur la seconde option. Vous pouvez récupérer les informations nécessaires sur des machines existantes dès lors qu’elles sont équipées de Windows 10 1703. En effet, la récupération d’information se fait via un script qui utilise des classes WMI qui ne sont présentes qu’à partir de cette version de Windows. Il est surement possible de passer par des solutions intermédiaires telles que Windows To Go (Windows PE ne comprend pas les classes WMI nécessaires) pour récupérer l’information sur des systèmes antérieurs (Windows 7, Windows 8, etc.)
Pour ce faire sur la machine cible ou une machine de rebonds, récupérez le script adéquat. Il vous suffit de lancer une invite PowerShell en tant qu’administrateur et d’exécuter les commandes suivantes :
Install-Script -Name Get-WindowsAutoPilotInfo
Validez les trois questions visant à changer la variable d’environnement, le provider NuGet et l’installation dans le répertoire.
Exécutez ensuite la commande suivante :
PowerShell -ExecutionPolicy Bypass -File “C:\Program Files\WindowsPowerShell\Scripts\Get-WindowsAutoPilotInfo.ps1” -ComputerName <NomDeLaMachine> -OutputFile <CheminVersLeFichier.csv>
Note : Si vous faites la récupération à distance, vous devez avoir les exceptions Firewall adéquate et WinRM doit être correctement configuré.
Un fichier CSV est généré avec :
- Le numéro de série du périphérique
- L’identifiant Produit de Windows
- Le Hash Matériel
Une fois le fichier récupéré, vous devez vous connecter sur le Microsoft Store for Business. Naviguez dans Manage – Devices. Cliquez sur Add devices et sélectionnez le fichier que vous avez généré :
Lors de l’ajout, vous pouvez ajouter les périphériques à un groupe de déploiement. Ceci permet par exemple de ranger les machines par service ou par filiale :
Le périphérique est ensuite rajouté au service :
Vous devez ensuite valider sa synchronisation avec Microsoft Intune. Connectez-vous au portail et naviguez dans Device enrollment – Windows enrollment – Devices. Cliquez sur Sync. Notez que la synchronisation a lieu automatiquement à intervalle régulier.
Une fois le ou les périphériques remontés, vous pouvez les assigner au profil que nous avons créé précédemment via le bouton Assign Profile.
Le périphérique assigné, la synchronisation entre Microsoft Intune et AutoPilot fait remonter l’information dans le portail Microsoft Store for Business :
Note : vous pouvez obtenir l’état de la machine en cliquant sur l’enregistrement.
Expérience Utilisateur
Une fois l’opération effectuée, vous devez syspréper la machine sur laquelle vous avez récupérer les informations.
Note : Sysprep ne conserve pas la jointure à Azure Active Directory et à la solution d’administration de périphériques mobiles (MDM).
Lorsque le périphérique démarre, l’utilisateur est invité à sélectionner les options régionales et linguistiques ainsi qu’éventuellement un second clavier.
Si vous disposez d’une carte réseau Wifi et que Internet n’est pas déjà détecté, l’utilisateur est invité à se connecter à un réseau WiFi. Si vous avez déjà une connexion Internet via un cable Ethernet par exemple, l’écran n’est pas affiché :
L’utilisateur arrive ensuite sur la mire de connexion qui peut être personnalisée comme vu précédemment. Il est invité à s’authentifier avec son compte pour effectuer la jointure à Azure Active Directory :
Si votre système d'exploitation dispose d'une autre langue et que vous avez renseigné la langue adéquate dans la personnalisation de votre tenant, vous verrez la personnalisation associée apparaître sur l'écran de connexion :
Le processus effectue ensuite la jointure à Azure Active Directory et à la solution d’administration. Les différentes sont descendues dans la foulée.
Microsoft prépare un écran donnant l’état d’enregistrement avec :
- Les stratégies à appliquer
- Les applications à déployer
Note : Cet écran est en cours de préparation et devrait arriver dans les prochains mois.
Expérience côté IT
Côté IT, on peut voir apparaître le périphérique dans Azure Active Directory et Microsoft Intune :
Dans la partie Windows AutoPilot de Microsoft Intune, on peut voir l’état d’enregistrement et la date de dernier contact du service :
L’administrateur peut éventuellement faire un redéploiement de la machine à distance.
Dépannage
Michael Niehaus a posté deux très bon billets pour parler du dépannage de Windows AutoPilot:
- Troubleshooting Windows AutoPilot (level 100/200)
- Troubleshooting Windows AutoPilot (level 300/400)
- Troubleshooting Windows AutoPilot: Sample ETW Traces
Bon Déploiement !