Cos’è Windows Autopilot?


Windows Autopilot è un’offerta basata su cloud di Microsoft con cui i nuovi dispositivi Windows 10/11 possono essere impostati automaticamente per prepararli all’uso produttivo. Il dispositivo Windows 10/11 non deve essere reinstallato, ma Windows Autopilot utilizza l’immagine esistente sul dispositivo.

Relution supporta la registrazione automatica tramite Windows Autopilot e i dispositivi Windows 10/11 possono essere inventariati rapidamente e facilmente in Relution tramite questo percorso. Relution può quindi essere utilizzato per applicare politiche e installare applicazioni sui dispositivi Windows 10/11.

Quali sono i requisiti per usare Windows Autopilot?

Windows Autopilot può essere utilizzato con Windows 10/11 Professional, Enterprise o Education dalla versione 1709. Un istanza Azure con un abbonamento Azure Active Directory (AAD) e Azure AD Premium P2 è richiesto. Per impostare in Azure, l’utente deve avere il ruolo di amministratore globale possedere. Una connessione internet deve essere disponibile quando si mettono in funzione i dispositivi Windows 10/11.



Come funziona Windows Autopilot quando si mette in funzione un dispositivo Windows 10/11?

Quando si avvia la Out-of-the-Box-Experience (OOBE) del dispositivo Windows 10/11, il sistema rileva automaticamente che deve essere configurato tramite Windows Autopilot se esiste una connessione di rete. Il dispositivo trasmette il suo ID a Microsoft e controlla se è stato registrato in Autopilot per un ambiente AzureAD. L’utente deve poi accedere alla pagina di login di Microsoft con le sue credenziali. L’iscrizione a Relution viene eseguita e un account utente per l’utente Azure AD:in viene creato sul dispositivo.



Quali sono i vantaggi di usare Windows Autopilot?

Lo scopo di Windows Autopilot è di evitare il processo ingombrante di caricare individualmente i nuovi dispositivi Windows 10/11 con un’immagine creata internamente; invece, i dispositivi dovrebbero trasformarsi in un dispositivo preconfigurato nel modo più indipendente possibile. Questo minimizza lo sforzo per la creazione dell’immagine e riduce il tempo richiesto per la registrazione fisica e il provisioning dei dispositivi. Azure deve essere impostato solo una volta per questo e la registrazione automatica funziona fino alla data di validità definita della secret client key che scade (vedi sotto).



Come è impostato Azure per utilizzare Windows Autopilot in Relution?

Nelle impostazioni di Relution sotto -> “Organizzazione” -> “Azure Active Directory”, una guida supporta la configurazione e il collegamento di Azure AD e Relution:



1.Aggiungere l’applicazione MDM

Nella fase 1, una nuova applicazione MDM viene creata in Azure e completata con le informazioni della Relution Guide.



In primo luogo, il dominio del server di rilocazione corrispondente deve essere aggiunto in Azure AD sotto “Nomi di domini personalizzati”. Questo può richiedere del tempo. Ulteriori informazioni possono essere trovate nella Documentazione Microsoft



L’applicazione MDM desiderata viene poi aggiunta e attivata sotto “Mobilità (MDM e MAM)”:


  1. Seleziona il riquadro “On-Premises MDM Application” in basso a destra

  2. Assegnare il nome

  3. Clicca “Aggiungi”



Ora configura la nuova applicazione MDM usando le informazioni della Relution Guide nel passo 1:

  1. Area utenti MDM -> selezionare “Tutti” (tutti gli utenti possono eseguire un’iscrizione automatica).

  2. URL alle condizioni d’uso MDM -> inserire da Relution: https://serverurl/api/v1/devices/windows/termsOfUse (Microsoft chiede questo URL prima di ogni iscrizione, ma non viene chiamata nessuna pagina web).

  3. URL per la determinazione MDM -> Inserire l’URL del server da Relution

  4. Clicca “Salvare”



2. Effettuare le impostazioni dell’applicazione MDM

Dopo che la nuova applicazione MDM è stata creata, le impostazioni dell’applicazione MDM locale possono essere fatte in Azure. È imperativo che le seguenti informazioni siano trasferite da Azure alla Relution Guide nel passo 2:

  1. ID applicazione (client)

  2. ID della directory (tenant)

  3. Valore della chiave segreta del cliente



Ora clicca su “Application ID URI” nelle impostazioni dell’applicazione MDM locale in Azure per modificare:



Poi inserite l’URL del server corrispondente nella seguente vista per “Application ID URI”:



Poi, una “Chiave segreta del cliente (Client secret)” deve essere aggiunta sotto “Certificati e segreti”:

  1. Clicca su “Nuova chiave client segreta” nella scheda “Chiavi client segrete”

  2. Nella finestra di dialogo “add secret client keys”, inserite una descrizione e la validità

  3. Clicca “Aggiungi”

Nota: se il periodo di validità è scaduto, non c’è più una connessione e Relution non può più comunicare con Azure. In questo caso, è necessario generare una nuova secret client key per l’applicazione in Azure e trasferirla nuovamente a Relution.


La nuova voce viene quindi visualizzata nella lista sotto la scheda “secret client keys”.

Nota: il “valore” corrispondente viene visualizzato solo una volta e deve essere copiato e trasferito a Relution.



3. Configurare i permessi API

Nel passo 3 delle istruzioni di Relution, i permessi API sono ora configurati:


Nota: nuovi permessi potrebbero dover essere aggiunti qui in seguito se nuove funzioni vengono aggiunte a Windows Autopilot da Microsoft in futuro.

Le seguenti impostazioni devono essere fatte in Azure:

    1. Sotto "API Permissions" -> "Configured Permissions" -> clicca "Add Permission"
    2. Nella finestra di dialogo "Request API permissions" e "Microsoft APIs" -> "Microsoft Graph" selezionate




    3. Cliccate sul riquadro "application permissions" nella finestra di dialogo



    4. Sotto "User" -> "User.Read.All" selezionare



    5. Selezionare "Group.Read.All" sotto "Group"



    6. Selezionare "Device" -> "Device.ReadWrite.All".


Confermare la selezione con “Add permissions”.



Inizialmente viene visualizzato un punto esclamativo come stato delle nuove autorizzazioni API aggiunte. Un amministratore deve acconsentire una volta per Microsoft Graph per ricevere infine i permessi. Lo stato viene quindi visualizzato con un segno di spunta verde per “Granted” e i permessi sono concessi:



4. Definire l’URI di reindirizzamento

Il passo 4 della guida Relution configura l’URI di reindirizzamento in Azure:


  1. Clicca sotto “Autenticazione” -> Aggiungi piattaforma

  2. Nella finestra di dialogo “Configure Platform”, seleziona il riquadro “Web”



  1. Inserisci l’URL del server nella sottopagina sotto “Web” -> “Add redirection URI”

  2. Rimuovere la casella di controllo “token ID”

  3. Clicca “Salva”



5. Controlla le impostazioni predefinite di Azure e completa la configurazione

I seguenti punti devono essere configurati in “Dispositivi” -> “Impostazioni dispositivo”:

  • Tutti gli utenti sono autorizzati a montare dispositivi in Azure AD
  • Tutti gli utenti sono autorizzati a registrare i loro dispositivi per Azure AD
  • Si deve rispettare il numero massimo di dispositivi per utente



Questo completa la configurazione in Azure.

6. Selezionare le opzioni del servizio Relution e completare la configurazione

Nel passo 5 delle istruzioni di Relution, è possibile scegliere facoltativamente se gli utenti di Azure AD e i gruppi di Azure AD devono essere sincronizzati con Relution:


Salva completa la configurazione e il collegamento di Azure AD in Relution.



Come vengono aggiunti i dispositivi Windows 10/11 al Microsoft Store for Business e Azure AD?

Per utilizzare il Microsoft Store for Business, un account è richiesto.

Nota: il Microsoft Store for Business sarà spento nel primo trimestre del 2023. Relution fornirà la propria soluzione per questo in futuro.

I nuovi dispositivi possono essere acquistati e registrati tramite un partner. In questo modo, i dispositivi sono automaticamente memorizzati nel Microsoft Store for Business e in Azure AD e non devono essere inseriti manualmente.

Tuttavia, i dispositivi che sono già stati messi in funzione possono anche essere aggiunti manualmente. Questo richiede un file CSV che viene creato sul dispositivo tramite Powershell Script . Il file CSV viene poi caricato tramite “Add Devices” e i dispositivi aggiunti devono essere resettati.

I dispositivi appaiono quindi nell’elenco dei dispositivi e devono essere collegati a un profilo configurato.



Quali impostazioni devono essere fatte in anticipo per una Out-of-the-Box-Experience (OOBE) in Microsoft?

I profili possono ora essere applicati ai dispositivi aggiunti nel Microsoft Store for Business.

  1. Clicca su “Impostazioni” -> scheda “Distribuisci” -> “Aggiungi strumento di gestione” e seleziona l’applicazione MDM per nome

  2. Clicca su “Attiva” (se non ancora attivato)

  3. Nota: se ci sono altre applicazioni nella lista, devono essere disattivate.



Quindi selezionare “Devices” -> “Autopilot Provisioning” -> “Create New Profile”:



Ora le seguenti informazioni devono essere fornite per il nuovo profilo di distribuzione di Autopilot:

  1. Assegnare i nomi

  2. Salta le impostazioni della privacy: opzionale

  3. Disabilita la creazione dell’account di amministratore locale sulla macchina: opzionale (se la casella è selezionata, viene creato un account utente predefinito, altrimenti viene creato un account di amministratore).

  4. Salta i termini di licenza del software Microsoft: opzionale​

  5. Confermare le voci con “Create”



Ora i profili creati possono essere applicati alle unità:



Come vengono sincronizzati i dispositivi Windows 10/11 memorizzati in Relution per un’ulteriore gestione e configurazione?

Sotto “Auto-iscrizioni”, i dispositivi Windows 10/11 vengono aggiunti tramite il pulsante “Synchronise” in Relution. Un dispositivo non deve essere ancora iscritto a questo punto.

Nota: solo quando un dispositivo Windows 10/11 appare nella lista, si può effettuare l’iscrizione automatica tramite Windows Autopilot con esso.



Come fa un dispositivo Windows 10/11 a iscriversi automaticamente a Relution dopo?

Dopo il reset dell’unità o durante la prima messa in funzione, la connessione di rete viene stabilita nell’OOBE. Una volta fatto questo, l’unità comunica con Azure e scarica il profilo Autopilot. Viene quindi visualizzata la schermata di accesso per l’account Microsoft. Dopo che l’utente ha inserito le sue credenziali, avviene la comunicazione con Relution. L’endpoint delle condizioni d’uso viene chiamato per primo, e poi avviene l’iscrizione a Relution. Se l’utente è depositato in Relution e c’è un’iscrizione automatica per il dispositivo, l’iscrizione avrà luogo. Successivamente, il dispositivo Windows 10/11 appare nell’inventario dei dispositivi dell’organizzazione corrispondente in Relution e può essere ulteriormente configurato tramite i criteri di Windows.

Gestione dei dispositivi mobili e delle applicazioni con Relution

Gratuito per un massimo di 5 dispositivi e 5 applicazioni per sempre. Non sono richieste informazioni sul pagamento.