Prise en main de Windows Autopilot depuis le Windows Store for Business

By | 31 juillet 2017

Microsoft a annoncé plus tôt ce mois ci un nouveau service Cloud : « Windows AutoPilot »

Windows AutoPilot est une suite de fonctionnalités conçues pour simplifier et moderniser le déploiement et la gestion des périphériques Windows 10 au travers d’Azure Active Directory et Intune. Le but est, à terme, de ne plus gérer de masters.

Les avantages principaux de Windows AutoPilot :

  • Utilisation de Microsoft Intune pour pousser les politiques de sécurité et le paramétrage sur le périphérique, l’installation du client Office 365 et d’autres applications sans interactions ni actions de la part du service Informatique ni même la masterisation périphérique.
  • Intégration de Windows Update for Business pour la gestion des Quality et Features Updates
  • L’upgrade automatique et sans redémarrage ni interaction utilisateur des périphériques Windows 10 Pro vers Windows 10 Entreprise au travers d’Azure Active Directory (Requiert une souscription Windows 10 Entreprise E3 ou E5).

Windows 10 1703 (Creator Update) est dores est déjà compatible avec ce service, cependant de nombreuses fonctionnalités seront ajoutées avec l’arrivée de Windows 10 1709 (Fall Creators Update) :

  • Déploiement « self-service » pour un périphériques joint à un domaine Active Directory (local) et managé par Microsoft Intune.
  • Amélioration de l’expérience pour le déploiement « self-service » notamment sur la possibilité d’assigner un utilisateur spécifique (principal) de l’organisation afin de personnaliser l’expérience utilisateur lors de la phase OOBE
  • Windows AutoPilot Reset – nouvelle fonctionnalité de réinitialisation du périphérique permettant de rapidement réinitialiser le périphérique. A la différence de « Fresh Start » actuellement disponible, Windows AutoPilot Reset conservera l’inscription du périphérique dans le MDM ainsi que dans Azure Active Directory.

Prequis pour utiliser Windows AutoPilot

  • Périphérique Windows 10 en version 1703 ou ultérieur
  • Le périphérique doit avoir un accès internet
  • Le périphérique doit être enregistré dans l’organisation
  • Azure Active Directory Premium P1 ou P2
  • Une solution MDM compatible
Périphérique Windows 10 en version 1703 ou ultérieur

Si le périphérique est livré par l’OEM en version 1703, aucune action complémentaire n’est nécéssaire. Windows AutoPilot est également compatible avec une réinstallation complète de Windows.

Le périphérique doit avoir accès à internet
  • Si le périphérique est connecté sur le réseau local via Ethernet, aucune interaction utilisateur n’est nécessaire et le déploiement Windows AutoPilot continue.
  • Si le périphérique n’est pas connecté ou se connecte sur un réseau sans fil, l’OOBE demandera de s’y connecter.
Le périphérique doit être enregistré dans l’organisation

Le provisionning des périphériques est réalisé au travers d’un fichier CSV à importer, celui-ci doit contenir :

  • Colonne 1: Device Serial Number
  • Colonne 2: Windows Product ID
  • Colonne 3: Hardware Hash

Pour obtenir le Device Serial Number, utiliser la query WMI suivante :

wmic bios get serialnumber

Pour obtenir le Windows Product ID, utiliser la commande PowerShell suivante :

Get-ItemPropertyValue "hklm:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\DefaultProductKey\" "ProductId"

Pour obtenir le Hardware Hash de votre périphérique, utiliser la query WMI suivante dans PowerShell :

$wmi = Get-WMIObject -Namespace root/cimv2/mdm/dmmap -Class MDM_DevDetail_Ext01 -Filter "InstanceID='Ext' AND ParentID='./DevDetail'"
$wmi.DeviceHardwareData | Out-File "$($env:COMPUTERNAME).txt"

Note : Michael Niehaus a publié un CmdLet sur GitHub  afin de faciliter l’export des informations

Azure Active Directory Premium P1 ou P2 est requis

Afin de pouvoir enregistrer automatiquement le périphérique au travers de l’enregistrement dans Azure Active Directory.

Solution de gestion MDM

Intune, Mobile Iron et Airwatch sont dores est déjà compatibles avec Windows Autopilot si ceux ci sont déclarés dans Azure Active Directory et le Business Store

Utilisation de Windows Autopilot dans le Business Store

Les étapes de configurations sont :

  1. Ajout des périphériques au travers du fichier .CSV
  2. En option, les grouper par services ou départements
  3. Création d’un profil de déploiement Windows Autopilot
  4. Assigner un profil de déploiement Windows Autopilot

Dans un premier temps, s’authentifier dans Business Store puis cliquer sur « Gérer » puis « Appareils »

Pour importer votre fichier, cliquer sur « Ajouter des périphériques » puis sélectionner le fichier .csv

Nommer le groupe de déploiement Windows AutoPilot puis cliquer sur « Ajouter »

Note : l’Upload des informations peut prendre quelques secondes…

Une fois l’Upload terminé, les périphériques apparaissent :

Une fois l’importation terminé, créer un nouveau profil de déploiement AutoPilot :

  1. Entrer un nom pour ce nouveau profil
  2. Activer « Ignorer les paramètres de confidentialité »
  3. Activer « Désactiver la création du compte administrateur local sur l’appareil »
  4. Cliquer sur « Créer »

Il faut maintenant assigner ce profil de déploiement à un périphérique ou un groupe de périphérique :

Une fois cette action réalisée, les utilisateurs seront invités à se connecter à Azure Active Directory lors de la phase OOBE de leurs périphériques.

Une fois le périphérique enregistré et géré par le MDM, celui-ci appliquera les politiques de sécurités aisni que les applications de l’utilisateurs.

Note : Aucune des étapes d’enregistrement ne nécessite que l’utilisateur soit sur le réseau local de l’entreprise