Inscription à Windows Autopilot

Qu'entend-on par Windows Autopilot?

Windows Autopilot est une offre de Microsoft basée sur le cloud qui automatise la configuration des nouveaux appareils Windows 10/11 afin de les préparer à une utilisation productive. Le périphérique Windows 10/11 ne doit pas être réinstallé, mais Windows Autopilot utilise l'image existante sur le périphérique.

Relution prend en charge l'inscription automatique via Windows Autopilot et les périphériques Windows 10/11 peuvent être rapidement et facilement inventoriés dans Relution via ce chemin. Ensuite, les politiques peuvent être appliquées et les apps peuvent être installées sur les appareils Windows 10/11 via Relution.

Quelles sont les conditions requises pour utiliser Windows Autopilot?

Windows Autopilot peut être utilisé avec Windows 10/11 Professionnel, Entreprise ou Éducation version 1709 ou ultérieure. Il nécessite une Azure Instance avec un Azure Active Directory (ADD) et un abonnement Azure AD Premium P2 est requis. Pour la mise en service dans Azure, l'utilisateur doit posséder le rôle d'administrateur global. Une connexion Internet doit être disponible lors de la mise en service des appareils Windows 10/11.

Comment fonctionne Windows Autopilot lors de la mise en service d'un appareil Windows 10/11?

Lorsque le périphérique Windows 10/11 démarre l'expérience Out-of-the-Box-Experience (OOBE), le système détecte automatiquement qu'il doit être configuré via Windows Autopilot si une connexion réseau existe. Le périphérique soumet son ID à Microsoft et vérifie s'il a été enregistré dans Autopilot pour un environnement Azure AD. L'utilisateur doit ensuite se connecter à la page de connexion de Microsoft avec ses informations d'identification. L'ouverture de session complète l'inscription dans Relution et crée un compte utilisateur pour l'utilisateur Azure AD sur le dispositif.

Quels sont les avantages de l'utilisation de Windows Autopilot ?

L'objectif de Windows Autopilot est d'éviter le processus fastidieux de chargement individuel des nouveaux appareils Windows 10/11 avec une image créée en interne. Au lieu de cela, les appareils doivent se transformer en un appareil préconfiguré de manière aussi indépendante que possible. Cela minimise l'effort nécessaire à la création de l'image et réduit le temps nécessaire à l'enregistrement physique et au provisionnement des appareils. Azure ne doit être configuré qu'une seule fois pour cela, et l'inscription automatique fonctionne jusqu'à ce que la date de validité de la clé client secrète définie expire (voir ci-dessous).

Comment configurer Azure pour utiliser Windows Autopilot dans Relution?

Dans les paramètres de Relution, sous -> "Organisation" -> "Azure Active Directory", un guide permet de configurer et de lier Azure AD et Relution :

1. Ajouter une application MDM

L'étape 1 consiste à créer une nouvelle application MDM dans Azure et à la compléter avec les détails du guide de Relution.

Tout d'abord, le domaine du serveur de relution correspondant doit être ajouté dans Azure AD sous "Custom domain names". Cela peut prendre un certain temps. Pour plus d'informations, consultez la documentation Microsoft.

Sous "Mobilité (MDM et MAM)", l'application MDM souhaitée est ensuite ajoutée et activée :

1. Sélectionnez la tuile "On-Premises MDM Application" en bas à droite.

2. Attribuez un nom

3. Cliquez sur "Ajouter".

Configurez maintenant la nouvelle application MDM en utilisant les informations du guide de Relution de l'étape 1 :

1. Zone utilisateur MDM -> sélectionnez "All" (tous les utilisateurs peuvent effectuer une inscription automatique).

2. URL des conditions d'utilisation du MDM -> entrez à partir de Relution : https://serverurl/api/v1/devices/windows/termsOfUse (Microsoft demande cette URL avant chaque inscription, mais aucune page Web n'est appelée).

3. URL pour la détermination MDM -> Entrez l'URL du serveur depuis Relution

4. Cliquez sur "Enregistrer".

2. Effectuer les réglages de l'application MDM

Après la création de la nouvelle application MDM, les paramètres de l'application MDM locale peuvent être effectués dans Azure. Ici, il est obligatoire que les détails suivants soient transférés d'Azure au guide de Relution à l'étape 2 :

1. ID de l'application (client)

2. ID du répertoire (locataire)

3. Valeur de la clé secrète du client

Maintenant, dans les paramètres de l'application MDM sur site dans Azure, cliquez sur "Application ID URI" pour modifier :

Saisissez ensuite l'URL du serveur correspondant dans la vue suivante pour "Application ID URI" :

Ensuite, une "Clé secrète du client (Secret du client)" doit être ajoutée sous "Certificats & Secrets" :

1. Cliquez sur "New secret client key" dans l'onglet "Secret client keys".

2. Dans la boîte de dialogue d'ajout de la clé secrète du client, spécifiez une description et la validité.

3. Cliquez sur "Ajouter"

Remarque: Lorsque la période de validité expire, il n'y a plus de connexion et Relution ne peut plus communiquer avec Azure. Dans ce cas, une nouvelle clé secrète client doit être générée pour l'application dans Azure et transférée à nouveau à Relution.

Après cela, la nouvelle entrée sera affichée dans la liste sous l'onglet "clés secrètes du client".

Remarque: La "valeur" correspondante n'est affichée qu'une fois maintenant et doit être copiée et transférée à Relution.

3. Configurez les autorisations de l'API

À l'étape 3 des instructions de Relution, les autorisations de l'API sont maintenant configurées :

Remarque: Il se peut que de nouvelles permissions doivent être ajoutées ici ultérieurement si de nouvelles fonctionnalités sont ajoutées par Microsoft pour Windows Autopilot à l'avenir.

Les réglages suivants doivent être effectués dans Azure :

1. Sous "API Permissions" -> "Configured Permissions", cliquez sur "Add Permission".

2. Dans la boîte de dialogue "Demander des autorisations API", sous "API Microsoft", sélectionnez "Microsoft Graph".

3. Cliquez sur la tuile "autorisations d'application" dans la boîte de dialogue.

4. Sous "Utilisateur", sélectionnez "Utilisateur.Lire.Tout".

5. Sélectionnez "Groupe" sous "Groupe.lire.tout".

6. Sous "Device", sélectionnez "Device.ReadWrite.All".

Confirmez la sélection en cliquant sur "Add permissions".

Pour les autorisations API nouvellement ajoutées, un point d'exclamation s'affiche initialement comme état. Un administrateur doit donner son accord une fois pour que Microsoft Graph accorde finalement les permissions. Ensuite, l'état s'affiche avec une coche verte pour "Accordé" et les autorisations sont accordées :

4. Définir l'URI de redirection

L'étape 4 du guide de la Relution configure l'URI de redirection dans Azure :

1. Sous "Authentification" -> cliquez sur "Ajouter une plate-forme".

2. Dans la boîte de dialogue "Configurer la plate-forme", sélectionnez la tuile "Web".

1. Sur la page secondaire sous "Web" -> "Ajouter une URI de redirection", entrez l'URL du serveur.

2. Enlevez la case à cocher "ID tokens".

3. Cliquez sur "Enregistrer".

5. Vérifier les paramètres par défaut d'Azure et terminer la configuration

Les éléments suivants doivent être configurés sous "Devices" -> "Device settings" :

• Tous les utilisateurs sont autorisés à inclure des dispositifs dans Azure AD.

• Tous les utilisateurs sont autorisés à enregistrer leurs appareils dans Azure AD.

• Le nombre maximum de dispositifs par utilisateur doit être respecté.

Ceci termine la configuration dans Azure.

6. Sélectionnez les options de service de Relution et terminez la configuration

À l'étape 5 des instructions de Relution, vous pouvez choisir si les utilisateurs et les groupes Azure AD doivent être synchronisés avec Relution :

En cliquant sur "Enregistrer", vous terminez la configuration et la liaison d'Azure AD dans Relution.

Comment ajouter des appareils Windows 10/11 à Microsoft Store for Business et Azure AD?

Pour utiliser le Microsoft Store for Business, un compte est nécessaire.

Remarque: Le Microsoft Store for Business sera désactivé au cours du premier trimestre de 2023. Relution fournira sa propre solution pour cela à l'avenir.

Les nouveaux appareils peuvent être achetés et enregistrés par l'intermédiaire d'un partenaire. De cette manière, les appareils sont automatiquement déposés dans le Microsoft Store for Business et dans Azure AD et ne doivent pas être saisis manuellement.

Toutefois, les appareils qui ont déjà été mis en service peuvent également être ajoutés manuellement. Pour cela, il faut créer un fichier CSV sur l'appareil via Powershell Script. Le fichier CSV est ensuite téléchargé via "Ajouter des appareils" et les appareils ajoutés doivent être réinitialisés.

Les appareils apparaissent alors dans la liste des appareils et doivent être associés à un profil configuré.

Quels sont les paramètres requis à l'avance pour une Out-of-the-Box-Experience (OOBE) chez Microsoft?

Dans Microsoft Store for Business, les profils peuvent désormais être appliqués aux appareils ajoutés.

1. Sous "Paramètres" -> onglet "Distribuer" -> cliquez sur "Ajouter un outil de gestion" et sélectionnez l'application MDM par son nom.

2. "Cliquez sur "Activer" (si ce n'est pas déjà fait)

3. Remarque: S'il y a d'autres applications dans la liste, elles doivent être désactivées.

Sélectionnez ensuite "Devices" -> "Autopilot deployment" -> "Create new profile":

Maintenant, les informations suivantes doivent être fournies pour le nouveau profil de déploiement Autopilot :

1. Attribuer des noms

2. Passer les paramètres de confidentialité: facultatif

3. Désactiver la création d'un compte administrateur local sur l'appareil : facultatif (si la case est cochée, un compte utilisateur standard sera créé, sinon un compte administrateur).

4. Ignorer les conditions de licence du logiciel Microsoft: facultatif

5. Confirmer les entrées en cliquant sur "Créer".

Les profils créés peuvent maintenant être appliqués aux appareils:

Comment les appareils Windows 10/11 enregistrés sont-ils synchronisés dans Relution pour une gestion et une configuration ultérieures?

Sous "Inscription automatique", les périphériques Windows 10/11 sont ajoutés via le bouton "Synchroniser" dans Relution. Un périphérique ne doit pas être inscrit à ce moment-là.

Remarque: Ce n'est que lorsqu'un appareil Windows 10/11 apparaît dans la liste qu'une inscription automatique via Windows Autopilot peut être effectuée avec lui.

Comment un appareil Windows 10/11 s'inscrit-il automatiquement dans Relution par la suite?

Après la réinitialisation de l'appareil ou lors du démarrage initial, la connexion réseau est établie dans l'OOBE. Une fois cette opération effectuée, le dispositif communique avec Azure et télécharge le profil Autopilot. L'écran de connexion du compte Microsoft apparaît alors.

Une fois que l'utilisateur a saisi ses informations d'identification, la communication avec Relution a lieu. Le point de terminaison des conditions d'utilisation est appelé en premier, puis l'inscription à Relution a lieu.

Si l'utilisateur est inscrit dans Relution et qu'une inscription automatique existe pour le périphérique, l'inscription est exécutée. Ensuite, le périphérique Windows 10/11 apparaît dans l'inventaire des périphériques de l'organisation concernée dans Relution et peut être configuré plus en détail via les stratégies Windows.