Iscrizione Windows Autopilot

Cosa si intende per Windows Autopilot?

Windows Autopilot è un'offerta di Microsoft basata su cloud che automatizza la configurazione di nuovi dispositivi Windows 10/11 per prepararli all'uso produttivo. Non è necessario reinstallare il dispositivo Windows 10/11, ma Windows Autopilot utilizza l'immagine esistente sul dispositivo.

Relution supporta l'iscrizione automatica tramite Windows Autopilot e i dispositivi Windows 10/11 possono essere inventariati in Relution in modo rapido e semplice attraverso questo percorso. Quindi, è possibile applicare i criteri e installare le apps sui dispositivi Windows 10/11 tramite Relution.

Quali sono i requisiti per utilizzare Windows Autopilot?

Windows Autopilot può essere utilizzato con Windows 10/11 Professional, Enterprise o Education versione 1709 o successiva. Richiede un Istanza Azure con Azure Active Directory (ADD) e l'abbonamento ad Azure AD Premium P2. Per la configurazione in Azure, l'utente deve avere il ruolo di amministratore globale. Durante la messa in funzione dei dispositivi Windows 10/11 deve essere disponibile una connessione a Internet.

Come funziona Windows Autopilot durante la messa in funzione di un dispositivo Windows 10/11?

Quando il dispositivo Windows 10/11 avvia l'esperienza Out-of-the-Box (OOBE), il sistema rileva automaticamente che deve essere configurato tramite Windows Autopilot se esiste una connessione di rete. Il dispositivo invia il proprio ID a Microsoft e verifica se è stato registrato in Autopilot per un ambiente Azure AD. L'utente deve quindi accedere alla pagina di login di Microsoft con le proprie credenziali. L'accesso completa l'iscrizione a Relution e crea un account utente per l'utente Azure AD sul dispositivo.

Quali sono i vantaggi dell'utilizzo di Windows Autopilot?

L'obiettivo di Windows Autopilot è evitare il complicato processo di caricamento individuale dei nuovi dispositivi Windows 10/11 con un'immagine creata internamente. Al contrario, i dispositivi dovrebbero trasformarsi in un dispositivo preconfigurato nel modo più indipendente possibile. In questo modo si minimizza l'impegno richiesto per la creazione dell'immagine e si riduce il tempo necessario per la registrazione fisica e il provisioning dei dispositivi. Azure deve essere configurato una sola volta e l'iscrizione automatica funziona fino alla scadenza della data di validità della chiave client segreta definita (vedere sotto).

Come impostare Azure per utilizzare Windows Autopilot in Relution?

Nelle impostazioni di Relution, in -> "Organizzazione" -> "Azure Active Directory", una guida supporta l'impostazione e il collegamento di Azure AD e Relution:

1. Aggiungere un'applicazione MDM

Il passo 1 consiste nel creare una nuova applicazione MDM in Azure e completarla con i dettagli della guida Relution.

Innanzitutto, il dominio del server di reluzione corrispondente deve essere aggiunto in Azure AD sotto "Nomi di dominio personalizzati". Questa operazione può richiedere un po' di tempo. Per ulteriori informazioni, consultare la Documentazione Microsoft

Alla voce "Mobilità (MDM e MAM)" si aggiunge e si attiva l'applicazione MDM desiderata:

1. Selezionate il riquadro "Applicazione MDM On-Premises" in basso a destra.

2. Assegnare il nome

3. Fare clic su "Aggiungi".

Ora configurate la nuova applicazione MDM utilizzando le informazioni ricavate dalla guida Relution al punto 1:

1. Area utenti MDM -> selezionare "Tutti" (tutti gli utenti possono eseguire un'iscrizione automatica)

2. URL alle condizioni d'uso MDM -> inserire da Relution: https://serverurl/api/v1/devices/windows/termsOfUse (Microsoft richiede questo URL prima di ogni registrazione, ma non viene richiamata alcuna pagina web).

3. URL per la determinazione MDM -> Inserire l'URL del server da Relution

4. Fare clic su "Salva".

2. Effettuare le impostazioni dell'applicazione MDM

Dopo la creazione della nuova applicazione MDM, è possibile effettuare le impostazioni dell'applicazione MDM locale in Azure. In questo caso, è obbligatorio trasferire i seguenti dettagli da Azure alla guida Relution nel passaggio 2:

1. ID applicazione (client)

2. ID della directory (tenant)

3. Valore della chiave segreta del client

Ora nelle impostazioni dell'applicazione MDM on-premises in Azure, fate clic su "Application ID URI" per modificarlo:

Inserire quindi l'URL del server corrispondente nella vista seguente per "Application ID URI":

Successivamente, in "Certificati e segreti" è necessario aggiungere una "chiave segreta del cliente (Client Secret)":

1. Fare clic su "Nuova chiave client segreta" nella scheda "Chiavi client segrete".

2. Nella finestra di dialogo Aggiungi chiave client segreta, specificare una descrizione e la validità.

3. Fare clic su "Aggiungi"

Nota: Quando il periodo di validità scade, non esiste più una connessione e Relution non può più comunicare con Azure. In questo caso, è necessario generare una nuova chiave client segreta per l'applicazione in Azure e trasferirla nuovamente a Relution.

Successivamente, la nuova voce verrà visualizzata nell'elenco sotto la scheda "chiavi client segrete".

Nota: Il "valore" corrispondente viene visualizzato solo una volta e deve essere copiato e trasferito a Relution.

3. Configurare le autorizzazioni API

Al punto 3 delle istruzioni di Relution, vengono ora configurate le autorizzazioni API:

Nota: Potrebbe essere necessario aggiungere nuove autorizzazioni in un secondo momento se in futuro Microsoft aggiungerà nuove funzionalità per Windows Autopilot.

Le seguenti impostazioni devono essere effettuate in Azure:

1. In "Autorizzazioni API" -> "Autorizzazioni configurate" fate clic su "Aggiungi autorizzazione".

2. Nella finestra di dialogo "Richiedi autorizzazioni API" in "API Microsoft" selezionate "Microsoft Graph".

3. Fare clic sul riquadro "Autorizzazioni dell'applicazione" nella finestra di dialogo

4. Sotto "Utente" selezionate "Utente.Leggi.Tutto".

5. Selezionare "Gruppo" in "Gruppo.Leggi.Tutti".

6. Alla voce "Dispositivo" selezionare "Dispositivo.ReadWrite.All".

Confermare la selezione con "Aggiungi autorizzazioni".

Per le nuove autorizzazioni API aggiunte, inizialmente viene visualizzato un punto esclamativo come stato. L'amministratore deve acconsentire una volta affinché Microsoft Graph conceda le autorizzazioni. Successivamente, lo stato viene visualizzato con un segno di spunta verde per "Concesso" e le autorizzazioni vengono concesse:

4. Definire l'URI di reindirizzamento

Il passo 4 della guida Relution configura l'URI di reindirizzamento in Azure:

1. Sotto "Autenticazione" -> fare clic su "Aggiungi piattaforma".

2. Nella finestra di dialogo "Configura piattaforma", selezionare il riquadro "Web".

1. Nella sottopagina "Web" -> "Aggiungi URI di reindirizzamento" inserire l'URL del server.

2. Rimuovere la casella di controllo "Token ID".

3. Fare clic su "Salva"

5. Verificare le impostazioni predefinite di Azure e completare la configurazione

Le seguenti voci devono essere configurate in "Dispositivi" -> "Impostazioni dispositivo":

• Tutti gli utenti possono includere i dispositivi in Azure AD.

• Tutti gli utenti possono registrare i propri dispositivi in Azure AD.

• Rispettare il numero massimo di dispositivi per utente

Questo completa la configurazione in Azure.

6. Selezionare le opzioni del servizio Relution e completare la configurazione

Al punto 5 delle istruzioni di Relution, è possibile scegliere se gli utenti e i gruppi di Azure AD devono essere sincronizzati con Relution:

Con "Salva" si completa la configurazione e il collegamento di Azure AD in Relution.

Come aggiungere i dispositivi Windows 10/11 a Microsoft Store for Business e Azure AD?

Per utilizzare il Microsoft Store for Business, è necessario un conto.

Nota: il Microsoft Store for Business sarà disattivato nel primo trimestre del 2023. Relution fornirà una propria soluzione in futuro.

I nuovi dispositivi possono essere acquistati e registrati tramite un partner. In questo modo, i dispositivi vengono depositati automaticamente nel Microsoft Store for Business e in Azure AD e non devono essere inseriti manualmente.

Tuttavia, i dispositivi che sono già stati messi in funzione possono essere aggiunti manualmente. A tal fine è necessario un file CSV che viene creato sul dispositivo tramite Powershell Script. Il file CSV viene poi caricato tramite "Aggiungi dispositivi" e i dispositivi aggiunti devono essere resettati.

I dispositivi appariranno quindi nell'elenco dei dispositivi e dovranno essere associati a un profilo configurato.

Quali impostazioni sono necessarie in anticipo per una Out-of-the-Box-Experience (OOBE) in Microsoft?

In Microsoft Store for Business, i profili possono ora essere applicati ai dispositivi aggiunti.

1. In "Impostazioni" -> scheda "Distribuisci" -> fare clic su "Aggiungi strumento di gestione" e selezionare l'applicazione MDM per nome.

2. "Fare clic su "Attiva" (se non è già stata attivata).

3. Nota: Se nell'elenco sono presenti altre applicazioni, queste devono essere disattivate.

Quindi selezionare "Dispositivi" -> "Distribuzione autopilota" -> "Crea nuovo profilo":

A questo punto è necessario fornire le seguenti informazioni per il nuovo profilo di implementazione dell'Autopilota:

1. Assegnare i nomi

2. Saltare le impostazioni della privacy: facoltativo

3. Disabilita la creazione di un account amministratore locale sul dispositivo: opzionale (se la casella di controllo è selezionata, verrà creato un account utente standard, altrimenti un account amministratore).

4. Ignora i termini di licenza del software Microsoft: facoltativo

5. Confermare gli input con "Crea".

Ora i profili creati possono essere applicati ai dispositivi:

Come vengono sincronizzati in Relution i dispositivi Windows 10/11 memorizzati per un'ulteriore gestione e configurazione?

In "Auto enrollment", i dispositivi Windows 10/11 vengono aggiunti tramite il pulsante "Synchronize" di Relution. Un dispositivo non deve essere registrato in questo momento.

Nota: Solo quando un dispositivo Windows 10/11 compare nell'elenco, è possibile eseguire una registrazione automatica tramite Windows Autopilot.

Come fa un dispositivo Windows 10/11 a iscriversi automaticamente a Relution in seguito?

Dopo aver resettato il dispositivo o durante l'avvio iniziale, la connessione di rete viene stabilita nell'OOBE. A questo punto il dispositivo comunica con Azure e scarica il profilo Autopilot. Viene quindi visualizzata la schermata di accesso all'account Microsoft.

Dopo che l'utente ha inserito le proprie credenziali, avviene la comunicazione con Relution. Viene prima chiamato l'endpoint delle condizioni d'uso e poi avviene l'iscrizione a Relution.

Se l'utente è depositato in Relution e se esiste un'iscrizione automatica per il dispositivo, l'iscrizione viene eseguita. Il dispositivo Windows 10/11 viene quindi inserito nell'inventario dei dispositivi dell'organizzazione in Relution e può essere ulteriormente configurato tramite i criteri di Windows.