Autopilote

Introduction #

Windows Autopilot est une offre de Microsoft basée sur le cloud qui automatise la configuration de nouveaux appareils Windows 10/11 afin de les préparer à une utilisation en production. Les périphériques Windows 10/11 n’ont pas besoin d’être réinstallés, Windows Autopilot utilise l’image existante sur les périphériques. Relution supporte l’enrôlement automatique via Windows Autopilot et donc les périphériques Windows 10/11 peuvent être rapidement et facilement inventoriés dans Relution via ce chemin.

Conditions requises pour l’utilisation de Windows Autopilot #

Actuellement seulement possible en utilisant votre propre serveur Relution

Windows Autopilot peut être utilisé avec Windows 10/11-Professionnel, -Entreprise ou -Éducation à partir de la version 1709. Une instance Azure avec un abonnement Azure Active Directory (AAD) et Azure AD Premium P2 est nécessaire. Pour l’installation dans Azure, l’utilisateur doit avoir le rôle Global Administrator. Une connexion internet doit être disponible lors de la mise en service des appareils Windows 10/11.

[Conditions de licence →] (https://docs.microsoft.com/de-de/mem/autopilot/licensing-requirements)

Comment cela fonctionne lors du démarrage des appareils Windows 10/11 #

Lors du démarrage de l’expérience “Out Of The Box Experience” (OOBE) des appareils Windows 10/11, s’il y a une connexion réseau existante, le système détecte automatiquement qu’elle doit être configurée via Windows Autopilot. Les appareils soumettent leur identifiant à Microsoft et vérifient s’il a été enregistré dans Autopilot pour un environnement Azure AD. Ensuite, l’utilisateur doit se connecter à la page de connexion de Microsoft avec ses informations d’identification. La connexion l’inscrira dans Relution et créera un compte utilisateur pour l’utilisateur Azure AD sur les appareils.

Avantages de Windows Autopilot #

Le but de Windows Autopilot est d’éviter la tâche fastidieuse de charger individuellement les nouveaux appareils Windows 10/11 avec une image créée en interne. Au lieu de cela, les appareils devraient se transformer en appareils préconfigurés de la manière la plus indépendante possible. Cela minimise l’effort requis pour la création de l’image et réduit le temps nécessaire à l’enregistrement physique et à l’approvisionnement des appareils. Azure n’a besoin d’être configuré qu’une seule fois pour cela, et l’inscription automatique fonctionne jusqu’à ce que la date de validité définie de la clé client secrète expire (voir ci-dessous). s

Lier Azure AD et Relution #

Dans le portail Relution, sous Settings > Organization > Azure Active Directory, vous trouverez des instructions pour vous aider à configurer et à lier Azure AD et Relution.

Ajout de l’application MDM #

Tout d’abord, créez une nouvelle application MDM dans Azure et complétez-la avec les détails du guide Relution.

Ajoutez le domaine du serveur Relution correspondant dans Azure AD sous names of custom domains. Cette opération peut prendre un certain temps. Pour plus d’informations, voir la documentation Microsoft.

[Documentation Microsoft →] (https://docs.microsoft.com/de-de/azure/active-directory/fundamentals/add-custom-domain)

Sous “Mobilité (MDM et MAM)”, l’application MDM souhaitée est ensuite ajoutée et activée :

1. Sélectionnez la tuile On-Premises MDM Application en bas à droite.
2. Attribuez un nom.
3. Cliquez sur Add.

La nouvelle application MDM est maintenant configurée avec les informations du guide Relution de l’étape :

1. Sélectionnez “All” pour “MDM User Area” (tous les utilisateurs peuvent effectuer l’enrôlement “Autopilot”).
2. Saisissez l’URL des “Conditions d’utilisation MDM” de Relution :

https://serverurl/api/v1/devices/windows/termsOfUse

Microsoft demandera cette URL avant chaque inscription, aucune page web ne sera accessible

3. Dans URL for MDM determination, entrez l’URL du serveur de Relution.
4. Cliquez sur “Sauvegarder”.

Paramétrage de l’application MDM #

Une fois la nouvelle application MDM créée, les paramètres de l’application MDM sur site peuvent être définis dans Azure. Ici, il est obligatoire que les détails suivants soient transférés d’Azure vers le guide Relution à l’étape 2 :

1. Identification de l'application (Client).
2. Identification du répertoire (client).
3. Valeur de la `clé secrète du client.

Maintenant, dans les paramètres de l’application MDM sur site dans Azure, cliquez sur Application ID URI pour modifier.

Ensuite, entrez l’URL du serveur correspondant dans la vue suivante pour Application ID URI.

Ensuite, ajoutez une Clé Client Secrète (Client Secret) sous Certificats & Secrets :

1. Cliquez sur New secret client key dans l’onglet Secret client keys.
2. Dans la boîte de dialogue, Add secret client key entrez une description et la validité.
3. Cliquez sur Add.

Lorsque la période de validité expire, il n’y a plus de connexion et Relution ne peut pas communiquer avec Azure. Dans ce cas, une nouvelle clé client secrète doit être créée pour l’application dans Azure et retransmise à Relution.

Après cela, la liste sous l’onglet secret client keys montrera la nouvelle entrée.

La Valeur associée n’est affichée qu’une seule fois maintenant et il est obligatoire de la copier et de la transférer dans Relution.

Configuration des autorisations API #

À l’étape 3 des instructions de Relution, les autorisations API sont maintenant configurées :

Il se peut que de nouvelles autorisations doivent être ajoutées ici plus tard, si de nouvelles fonctionnalités sont ajoutées par Microsoft pour Windows Autopilot à l’avenir.

Les paramètres suivants doivent être définis dans Azure :

1. Sous API Permissions > Configured Permissions, cliquez sur Add Permission.
2. Sélectionnez Microsoft Graph sous Microsoft APIs dans la boîte de dialogue Request API Permissions.

3. Dans l’étape suivante, sélectionnez la tuile Application permissions.

4. Sélectionnez User.Read.All pour User.

5. Sélectionnez Group.ReadWrite.All pour `Group.

6. Sélectionnez Device.ReadWrite.All pour Device et confirmez la sélection avec Add Permissions !

Pour les permissions API nouvellement ajoutées, un point d’exclamation est initialement affiché comme statut. Les administrateurs doivent donner leur accord une fois pour que Microsoft Graph reçoive enfin les autorisations. Ensuite, le statut est affiché avec une coche verte pour Granted et les permissions sont accordées.

Définition de l’URI de redirection #

L’étape 4 du guide Relution configure l’URI de redirection dans Azure :

1. Sous Authentication, cliquez sur Add Platform.
2. Dans la boîte de dialogue Configure Platform, la tuile Web doit être sélectionnée.

1. A l’étape suivante, sous Web, il faut entrer l’URL du serveur dans Add redirection URI.
2. Décochez la case ID tokens.
3. Cliquez sur Save.

Passez en revue les paramètres par défaut d’Azure et terminez l’installation #

Sous Devices > Device Settings, les éléments suivants doivent être configurés :

• Tous les utilisateurs sont autorisés à monter des appareils dans Azure AD.
• Tous les utilisateurs sont autorisés à enregistrer leurs appareils dans Azure AD.
• Le nombre maximum d’appareils par utilisateur doit être respecté.

L’installation dans Azure est terminée.

Sélection des options du service Relution et fin de l’installation #

Dans les instructions de Relution, à l’étape 5, vous pouvez encore choisir si les utilisateurs Azure AD et les groupes Azure AD doivent être synchronisés avec Relution :

Cliquer sur Save termine la configuration et la liaison de Azure AD dans Relution.

Ajout de périphériques Windows 10/11 #

Ces étapes remplacent les étapes précédemment requises dans le Microsoft Store for Business.

Les nouveaux appareils peuvent être achetés et enregistrés par l’intermédiaire d’un partenaire. De cette manière, les appareils sont automatiquement enregistrés dans le portail Intune et dans Azure AD et ne doivent pas être saisis manuellement.

Les appareils déjà enregistrés peuvent être ajoutés manuellement au portail Entra. Vous aurez besoin d’un fichier CSV pour cela, qui peut être créé avec un script Powershell. Ensuite, le fichier doit être téléchargé sur le portail Intune. https://intune.microsoft.com

Le fichier peut être créé avec ce script Powershell :

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
New-Item -Type Directory -Path "C:\NHWID" (nouvel élément)
Set-Location -Path "C:\NHWID"
$env:Path += ";C:\NProgram Files\NWindowsPowerShell\NScripts"
Set-ExecutionPolicy -Scope Process -ExecutionPolicy RemoteSigned
Install-Script -Name Get-WindowsAutopilotInfo
Get-WindowsAutopilotInfo -OutputFile AutopilotHWID.csv

Powershell doit être exécuté en tant qu’administrateur.

Dans le portail Azure, vous devez passer à Devices > Rechercher “Enrollment” et le sélectionner > Faire défiler la fenêtre de droite > sélectionner “Devices”. Cliquez sur le bouton “Import” et téléchargez le fichier.

Préparation de l’Out Of The Box Experience (OOBE) chez Microsoft #

Un profil doit maintenant être créé.

Pour ce faire, revenez à l’outil de recherche de fonctions. Cliquez sur Devices à gauche > Entrez ‘Registration’ dans la recherche > Faites défiler la liste jusqu’en bas à droite > Cliquez sur ‘Deployment profiles’.

1. Cliquez sur “Créer un profil”.
2. Sélectionnez “Windows PC”.
3. Saisissez un nom.
4. Cliquez sur “Suivant”.
5. Cliquez sur “Suivant”.
6. Sélectionnez “Ajouter des groupes” ou “Ajouter tous les appareils”.
7. Cliquez sur “Suivant”.
8. Cliquez sur “Créer”.

Les appareils sont maintenant connectés au profil.

Synchroniser les appareils Windows 10/11 stockés dans Relution #

Sous Appareils > Inscription automatique, les appareils Windows 10/11 sont ajoutés à Relution via le bouton Synchroniser. Les périphériques ne doivent pas être enrôlés pour le moment.

Uniquement lorsque les périphériques Windows 10/11 apparaissent dans l’aperçu, un enrôlement automatique via Windows Autopilot peut être effectué.

Enrôlement automatique des appareils Windows 10/11 dans Relution #

Après avoir réinitialisé les appareils ou lors du démarrage initial, la connexion réseau est établie dans l’OOBE. Une fois cela fait, les appareils communiquent avec Azure et téléchargent le profil Autopilot.

L’écran de connexion au compte Microsoft apparaît alors. Une fois que les utilisateurs ont saisi leurs informations d’identification, la communication avec Relution s’établit. Le point de terminaison des conditions d’utilisation est appelé en premier, puis l’inscription à Relution a lieu.

Si les utilisateurs sont inscrits dans Relution et qu’il existe des inscriptions automatiques pour les périphériques, les inscriptions sont effectuées. Ensuite, les appareils Windows 10/11 apparaissent dans l’inventaire des appareils de l’organisation Relution correspondante et peuvent être configurés davantage par le biais de configurations et d’actions de stratégie Windows.

Veuillez ne pas supprimer le compte de l’appareil avec lequel l’appareil a été enregistré.