Configuration de réseau requise
Windows Autopilot dépend de différents services Basés sur Internet. L’accès à ces services doit être fourni pour qu’Autopilot fonctionne correctement. Dans le cas le plus simple, l’activation des fonctionnalités appropriées peut être obtenue en veillant à ce que les conditions suivantes soient remplies :
- Assurez la résolution de noms DNS (Domain Name Services) pour les noms DNS Internet.
- Autoriser l’accès à tous les hôtes via le port 80 (HTTP), 443 (HTTPS) et 123 (UDP/NTP).
Une configuration supplémentaire peut être nécessaire pour accorder l’accès aux services requis dans les environnements qui :
- Avoir un accès Internet plus restrictif.
- Exiger l’authentification avant que l’accès à Internet puisse être obtenu.
Conditions requises pour le service
Windows Autopilot s’appuie sur plusieurs types de services différents pour fonctionner correctement. Pour que ces services fonctionnent correctement, certaines configurations réseau doivent être effectuées. Ces services et leurs configurations réseau requises sont les suivants :
service Windows Autopilot Deployment
Une fois qu’une connexion réseau est en place, chaque appareil Windows contacte le service Windows Autopilot Deployment. Les URL suivantes sont utilisées :
https://ztd.dds.microsoft.com
https://cs.dds.microsoft.com
https://login.live.com
Windows Autopilot nécessite des services d’activation Windows. Pour plus d’informations sur les URL qui doivent être accessibles pour les services d’activation, consultez Échec de l’activation ou de la validation Windows avec le code d’erreur 0x8004FE33.
Identifiant Microsoft Entra
Microsoft Entra ID valide les informations d’identification de l’utilisateur. En outre, l’appareil est joint ou inscrit à Microsoft Entra ID pendant Windows Autopilot. Pour plus d’informations, voir Service web d’URL et d’adresses IP Office 365.
Une fois authentifié, Microsoft Entra ID déclenche l’inscription de l’appareil dans le service de gestion des appareils mobiles (GPM) Intune. Pour plus d’informations sur les exigences de communication réseau de Intune, consultez les articles suivants :
Collecte automatique des diagnostics d’appareils Autopilot
Pour diagnostics de pouvoir charger correctement à partir du client, assurez-vous que l’URL lgmsapeweu.blob.core.windows.net
n’est pas bloquée sur le réseau. Les diagnostics sont disponibles pendant 28 jours avant d’être supprimés.
Pour plus d’informations, consultez Collecter des diagnostics à partir d’un appareil Windows.
Pendant le processus OOBE (out-of-box experience) et après la configuration du système d’exploitation Windows, le service Windows Update récupère les mises à jour nécessaires. Si vous rencontrez des problèmes de connexion à Windows Update, consultez résolution des problèmes Windows Update.
Si Windows Update est inaccessible, le processus Autopilot continue, mais les mises à jour critiques ne sont pas disponibles.
Optimisation de la distribution
Autopilot contacte le service d’optimisation de la distribution lors du téléchargement des applications et des mises à jour. Ce contact établit un partage d’égal à égal du contenu afin que seuls quelques appareils doivent le télécharger à partir d’Internet.
- Windows Mises à jour.
- Mises à jour des applications et des applications du Microsoft Store.
- Office Mises à jour.
- Intune Applications Win32.
Si le service d’optimisation de la distribution est inaccessible, le processus Autopilot continue avec les téléchargements d’optimisation de la distribution à partir du cloud sans pair à pair.
Synchronisation du protocole NTP (Network Time Protocol)
Lorsqu’un appareil Windows démarre, il communique avec un serveur de temps réseau pour s’assurer que l’heure sur l’appareil est correcte. Vérifiez que le port UDP 123 vers time.windows.com
est accessible.
Pour résoudre les noms Internet de tous les services, l’appareil communique avec un serveur DNS, généralement fourni via DHCP. Ce serveur DNS doit être en mesure de résoudre les noms Internet.
La collecte de données de diagnostic est activée par défaut. Pour plus d’informations, consultez Gérer les données de diagnostic d’entreprise.
Si l’appareil ne peut pas envoyer de données de diagnostic, le processus Autopilot continue. Toutefois, les services qui dépendent des données de diagnostic ne fonctionnent pas.
Indicateur d'état de la connexion réseau (NCSI)
Windows doit être en mesure de dire que l’appareil peut accéder à Internet. Pour plus d’informations, consultez l’indicateur d’état de connexion réseau (NCSI).
*.msftconnecttest.com
doit être résolu via DNS et accessible via HTTP.
Services de notifications Push Windows (WNS)
Ce service est utilisé pour permettre à Windows de recevoir des notifications d’applications et de services. Pour plus d’informations, consultez Microsoft Store.
Si les services WNS ne sont pas disponibles, le processus Autopilot se poursuit toujours sans notifications.
Les applications du Microsoft Store peuvent être envoyées à l’appareil en les déclenchant via Intune ou un autre service MDM. Des mises à jour d’applications et des applications supplémentaires peuvent également être nécessaires lorsque l’utilisateur se connecte pour la première fois. Pour plus d’informations, consultez Mettre à jour vers Intune’intégration au Microsoft Store sur Windows et FAQ : Prise en charge des expériences du Microsoft Store sur les appareils gérés.
Si le Microsoft Store n’est pas accessible, le processus Autopilot se poursuit toujours sans applications du Microsoft Store.
Dans le cadre de la configuration de l’appareil Intune, l’installation des applications Microsoft 365 pour entreprise peut être nécessaire. Pour obtenir une liste qui inclut tous les services Office, noms DNS, adresses IP, y compris les Microsoft Entra ID et autres services susceptibles de chevaucher les services répertoriés précédemment, consultez Office 365 URL et plages d’adresses IP.
Listes de révocation de certificats (CRL)
Certains de ces services doivent également case activée listes de révocation de certificats pour les certificats utilisés dans les services. Pour obtenir la liste complète, consultez Office 365 URL et plages d’adresses IP et chaînes de certificats Office 365.
Jonction Microsoft Entra hybride
L’appareil peut être Microsoft Entra joint hybride. L’ordinateur doit se trouver sur le réseau interne pour que Microsoft Entra jointure hybride fonctionne. Pour plus d’informations, consultez Mode piloté par l’utilisateur Windows Autopilot.
Mode auto-déploiement Autopilot et préprovisionnement Autopilot
Le processus d’attestation TPM nécessite l’accès à un ensemble d’URL HTTPS, qui sont uniques pour chaque fournisseur TPM. Vérifiez l’accès à ce modèle d’URL : *.microsoftaik.azure.net
.
Les périphériques TPM du microprogramme, qui sont fournis uniquement par Intel, AMD ou Qualcomm, n’incluent pas tous les certificats nécessaires au démarrage et doivent être en mesure de les récupérer auprès du fabricant lors de la première utilisation. Les appareils avec des puces TPM discrètes sont fournis avec ces certificats préinstallés. Ces appareils incluent ceux de n’importe quel autre fabricant. Pour plus d’informations, consultez Recommandations de TPM.
Pour chaque fournisseur TPM de microprogramme, assurez-vous que l’URL appropriée est accessible afin que les certificats puissent être demandés avec succès. Par exemple :
- Intel:
https://ekop.intel.com/ekcertservice
- Qualcomm :
https://ekcert.spserv.microsoft.com/EKCertificate/GetEKCertificate/v1
- AMD:
https://ftpm.amd.com/pki/aia
Le déploiement des paramètres de proxy pour Windows Autopilot doit être configuré sur le serveur proxy lui-même. L’implémentation de paramètres de proxy via Intune stratégie n’est pas entièrement prise en charge, car elle peut entraîner des problèmes et un comportement inattendu avec les déploiements d’accès privilégié.