Configuration réseau requise pour Windows Autopilot
Windows Autopilot dépend de différents services Basés sur Internet. L’accès à ces services doit être fourni pour qu’Autopilot fonctionne correctement. Dans le cas le plus simple, l’activation des fonctionnalités appropriées peut être obtenue en veillant à ce que les conditions suivantes soient remplies :
- Assurez la résolution de noms DNS (Domain Name Services) pour les noms DNS Internet.
- Autoriser l’accès à tous les hôtes via le port 80 (HTTP), 443 (HTTPS) et 123 (UDP/NTP).
Une configuration supplémentaire peut être nécessaire pour accorder l’accès aux services requis dans les environnements qui :
- Avoir un accès Internet plus restrictif.
- Exiger l’authentification avant que l’accès à Internet puisse être obtenu.
Remarque
L’authentification intelligente carte et basée sur un certificat n’est pas prise en charge pendant OOBE. Pour plus d’informations, consultez Cartes à puce et authentification basée sur les certificats.
Conditions requises pour le service
Pour plus d’informations sur chacun de ces services et leurs exigences spécifiques, consultez ces détails.
service Windows Autopilot Deployment
Une fois qu’une connexion réseau est en place, chaque appareil Windows contacte le service Windows Autopilot Deployment. Les URL suivantes sont utilisées :
https://ztd.dds.microsoft.comhttps://cs.dds.microsoft.comhttps://login.live.com
Windows Activation
Windows Autopilot nécessite des services d’activation Windows. Pour plus d’informations sur les URL qui doivent être accessibles pour les services d’activation, consultez Échec de l’activation ou de la validation Windows avec le code d’erreur 0x8004FE33.
Identifiant Microsoft Entra
Microsoft Entra ID valide les informations d’identification de l’utilisateur, et l’appareil peut également être joint à Microsoft Entra ID. Pour plus d’informations, voir Service web d’URL et d’adresses IP Office 365.
Microsoft Intune
Une fois authentifié, Microsoft Entra’ID déclenche l’inscription de l’appareil dans le service de gestion des appareils mobiles (MDM) Intune. Pour plus d’informations sur les exigences de communication réseau d’Intune, consultez les articles suivants :
- Configuration requise pour le réseau Intune et bande passante.
- Points de terminaison réseau pour Microsoft Intune.
Collecte automatique des diagnostics d’appareils Autopilot
Pour diagnostics de pouvoir charger correctement à partir du client, assurez-vous que l’URL lgmsapeweu.blob.core.windows.net n’est pas bloquée sur le réseau. Les diagnostics sont disponibles pendant 28 jours avant d’être supprimés.
Pour plus d’informations, consultez Collecter des diagnostics à partir d’un appareil Windows.
Windows Update
Pendant le processus OOBE et après la configuration du système d’exploitation Windows, le service Windows Update récupère les mises à jour nécessaires. En cas de problèmes de connexion à Windows Update, consultez résolution des problèmes Windows Update.
Si Windows Update est inaccessible, le processus Autopilot continue, mais les mises à jour critiques ne sont pas disponibles.
Optimisation de la distribution
Autopilot contacte le service d’optimisation de la distribution lors du téléchargement des applications et des mises à jour. Ce contact établit un partage d’égal à égal du contenu afin que seuls quelques appareils doivent le télécharger à partir d’Internet.
- Windows Mises à jour.
- Applications du Microsoft Store et mises à jour d’applications.
- Office Mises à jour.
- Applications Win32 Intune.
Si le service d’optimisation de la distribution est inaccessible, le processus Autopilot continue avec les téléchargements d’optimisation de la distribution à partir du cloud sans pair à pair.
Synchronisation du protocole NTP (Network Time Protocol)
Lorsqu’un appareil Windows démarre, il communique avec un serveur de temps réseau pour s’assurer que l’heure sur l’appareil est correcte. Vérifiez que le port UDP 123 vers time.windows.com est accessible.
DNS (Domain Name System)
Pour résoudre les noms DNS de tous les services, l’appareil communique avec un serveur DNS, généralement fourni via DHCP. Ce serveur DNS doit être en mesure de résoudre les noms Internet.
Données de diagnostic
La collecte de données de diagnostic est activée par défaut. Pour désactiver Windows Analytics et les fonctionnalités diagnostics associées, consultez Gérer les données de diagnostic d’entreprise.
Si l’appareil ne peut pas envoyer de données de diagnostic, le processus Autopilot continue. Toutefois, les services qui dépendent de données de diagnostic, tels que Analytique de bureau, ne fonctionnent pas.
Indicateur d'état de la connexion réseau (NCSI)
Windows doit être en mesure de dire que l’appareil peut accéder à Internet. Pour plus d’informations, consultez l’indicateur d’état de connexion réseau (NCSI).
*.msftconnecttest.com doit être résolu via DNS et accessible via HTTP.
Services de notifications Push Windows (WNS)
Ce service permet à Windows de recevoir des notifications d’applications et de services. Pour plus d’informations, consultez Microsoft Store.
Si les services WNS ne sont pas disponibles, le processus Autopilot se poursuit toujours sans notifications.
Microsoft Store, Microsoft Store pour Entreprises & Éducation
Les applications du Microsoft Store peuvent être envoyées (push) à l’appareil en les déclenchant via Intune (MDM). Des mises à jour d’applications et des applications supplémentaires peuvent également être nécessaires lorsque l’utilisateur se connecte pour la première fois. Pour plus d’informations, consultez Prérequis pour l’Microsoft Store pour Entreprises et l’éducation. (Il inclut également l’ID Microsoft Entra et les services de notification Windows).
Si le Microsoft Store n’est pas accessible, le processus Autopilot se poursuit toujours sans applications du Microsoft Store.
Microsoft 365
Dans le cadre de la configuration de l’appareil Intune, l’installation de Applications Microsoft 365 pour les grandes entreprises peut être nécessaire. Pour plus d’informations, voir URL et plages d’adresses IP Office 365. Cet article inclut tous les services Office, noms DNS et adresses IP. Il inclut également l’ID de Microsoft Entra et d’autres services susceptibles de chevaucher les services répertoriés précédemment.
Listes de révocation de certificats (CRL)
Certains de ces services doivent également case activée listes de révocation de certificats pour les certificats utilisés dans les services. Pour obtenir la liste complète, consultez Office 365 URL et plages d’adresses IP et chaînes de certificats Office 365.
Jonction Microsoft Entra hybride
Importante
Microsoft recommande de déployer de nouveaux appareils en tant que cloud natif à l’aide de Microsoft Entra jonction. Le déploiement de nouveaux appareils en tant que Microsoft Entra appareils de jointure hybride n’est pas recommandé, y compris via Autopilot. Pour plus d’informations, consultez Microsoft Entra joint ou Microsoft Entra joint hybride dans des points de terminaison natifs cloud : quelle option convient à votre organization.
L’appareil peut être Microsoft Entra joint hybride. L’ordinateur doit se trouver sur le réseau interne pour que Microsoft Entra jointure hybride fonctionne. Pour plus d’informations, consultez Mode piloté par l’utilisateur Windows Autopilot.
Mode auto-déploiement Autopilot et préprovisionnement Autopilot
Le processus d’attestation TPM nécessite l’accès à un ensemble d’URL HTTPS, qui sont uniques pour chaque fournisseur TPM. Vérifiez l’accès à ce modèle d’URL : *.microsoftaik.azure.net.
Les périphériques TPM du microprogramme, qui sont fournis uniquement par Intel, AMD ou Qualcomm, n’incluent pas tous les certificats nécessaires au démarrage et doivent être en mesure de les récupérer auprès du fabricant lors de la première utilisation. Les appareils avec des puces TPM discrètes sont fournis avec ces certificats préinstallés. Ces appareils incluent ceux de n’importe quel autre fabricant. Pour plus d’informations, consultez Recommandations de TPM.
Pour chaque fournisseur TPM de microprogramme, assurez-vous que l’URL appropriée est accessible afin que les certificats puissent être demandés avec succès. Par exemple :
- Intel:
https://ekop.intel.com/ekcertservice - Qualcomm:
https://ekcert.spserv.microsoft.com/EKCertificate/GetEKCertificate/v1 - AMD:
https://ftpm.amd.com/pki/aia
Paramètres du proxy
Le déploiement des paramètres de proxy pour Windows Autopilot doit être configuré sur le serveur proxy lui-même. L’implémentation de paramètres de proxy via une stratégie Intune n’est pas entièrement prise en charge, car elle peut entraîner des problèmes et un comportement inattendu avec les déploiements d’accès privilégié.
Prochaines étapes
Commentaires
Prochainement : Tout au long de l'année 2024, nous supprimerons progressivement les GitHub Issues en tant que mécanisme de retour d'information pour le contenu et nous les remplacerons par un nouveau système de retour d'information. Pour plus d’informations, voir: https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour