Lire en anglais

Partager via


Mode piloté par l’utilisateur Windows Autopilot

Le mode piloté par l’utilisateur De Windows Autopilot permet à un nouvel appareil Windows d’être configuré pour le transformer automatiquement de son état d’usine à un état prêt à l’emploi. Ce processus ne nécessite pas que le personnel informatique touche l’appareil.

Le processus est simple. Les appareils peuvent être expédiés ou distribués directement à l’utilisateur final en suivant les instructions suivantes :

  1. Déballez l’appareil, branchez-le et mettez-le sous tension.
  2. S’il utilise plusieurs langues, sélectionnez une langue, des paramètres régionaux et un clavier.
  3. Connectez-le à un réseau sans fil ou câblé avec un accès à Internet. Si vous utilisez une connexion sans fil, connectez-vous d’abord au réseau Wi-Fi.
  4. Spécifiez un compte d’adresse de messagerie et un mot de passe pour l’organisation.

Le reste du processus est automatisé. L'appareil effectue les étapes suivantes :

  1. Rejoignez l'organisation.
  2. Inscrivez-vous à Microsoft Intune ou à un autre service de gestion des appareils mobiles (GPM).
  3. Soyez configuré tel que défini par l’organisation.

D’autres invites peuvent être supprimées pendant l’expérience OOBE (out-of-box experience). Pour plus d’informations sur les options disponibles, consultez Configuration des profils Autopilot.

Important

Si les services de fédération Active Directory (ADFS) sont utilisés, il existe un problème connu qui peut permettre à l’utilisateur final de se connecter avec un compte différent de celui affecté à cet appareil.

Le mode piloté par l’utilisateur De Windows Autopilot prend en charge la jonction Microsoft Entra et les appareils joints hybrides Microsoft Entra. Pour plus d’informations sur ces deux options de jointure, consultez les articles suivants :

Les étapes du processus axé sur l'utilisateur sont les suivantes :

  1. Une fois que l’appareil se connecte à un réseau, il télécharge un profil Windows Autopilot. Le profil définit les paramètres utilisés pour l'appareil. Par exemple, définir les invites supprimées pendant l 'OOBE.

  2. Windows vérifie les mises à jour critiques de l' OOBE. Si des mises à jour sont disponibles, elles sont automatiquement installées. Si nécessaire, l'appareil redémarre.

  3. L’utilisateur est invité à entrer les informations d’identification Microsoft Entra. Cette expérience utilisateur personnalisée affiche le nom, le logo et le texte de connexion du locataire Microsoft Entra.

  4. L’appareil rejoint l’ID Microsoft Entra ou Active Directory, en fonction des paramètres de profil Windows Autopilot.

  5. L'appareil s'inscrit à Intune ou à un autre service MDM configuré. Selon les besoins de l’organisation, cette inscription se produit soit :

    • Pendant le processus de jointure Microsoft Entra, à l’aide de l’inscription automatique MDM.

    • Avant le processus de jonction d'Active Directory.

  6. S’il est configuré, il affiche la page d’état d’inscription (ESP).

  7. Une fois les tâches de configuration de l'appareil terminées, l'utilisateur est connecté à Windows à l'aide des informations d'identification qu'il a fournies précédemment. Si l’appareil redémarre pendant le processus ESP de l’appareil, l’utilisateur doit réenterer ses informations d’identification. Ces détails ne persistent pas après le redémarrage.

  8. Après la connexion, la page d'état de l'inscription s'affiche pour les tâches de configuration ciblées sur l'utilisateur.

Si des problèmes sont détectés pendant ce processus, consultez Vue d’ensemble de la résolution des problèmes liés à Windows Autopilot.

Pour plus d'informations sur les options de jointure disponibles, consultez les sections suivantes :

  • La jonction Microsoft Entra est disponible si les appareils n’ont pas besoin de joindre un domaine Active Directory local.
  • La jointure hybride Microsoft Entra est disponible pour les appareils qui doivent joindre à la fois l’ID Microsoft Entra et le domaine Active Directory local.

Mode piloté par l’utilisateur pour la jointure Microsoft Entra

Pour effectuer un déploiement piloté par l’utilisateur à l’aide de Windows Autopilot, procédez comme suit :

  1. Assurez-vous que les utilisateurs effectuant des déploiements en mode piloté par l’utilisateur peuvent joindre des appareils à l’ID Microsoft Entra. Pour plus d’informations, consultez Configurer les paramètres de l’appareil dans la documentation Microsoft Entra.

  2. Créez un profil Autopilot pour le mode piloté par l’utilisateur avec les paramètres souhaités.

    • Dans Intune, ce mode est explicitement choisi lors de la création d’un profil.

    • Dans Le Microsoft Store pour Entreprises et l’Espace partenaires, le mode piloté par l’utilisateur est le mode par défaut.

  3. Si vous utilisez Intune, créez un groupe d’appareils dans l’ID Microsoft Entra et affectez le profil Autopilot à ce groupe.

Pour chaque appareil déployé à l’aide d’un déploiement piloté par l’utilisateur, ces étapes supplémentaires sont nécessaires :

  • Ajoutez l’appareil à Windows Autopilot. Cette étape peut être effectuée de deux manières :

  • Affectez un profil Autopilot à l’appareil :

    • Si vous utilisez Intune et des groupes d’appareils dynamiques Microsoft Entra, cette affectation peut être effectuée automatiquement.

    • Si vous utilisez des groupes d’appareils statiques Intune et Microsoft Entra, ajoutez manuellement l’appareil au groupe d’appareils.

    • Si vous utilisez d’autres méthodes, comme le Microsoft Store pour Entreprises ou l’Espace partenaires, attribuez manuellement un profil Autopilot à l’appareil.

Conseil

Si l’état final prévu de l’appareil est la cogestion, l’inscription des appareils peut être configurée dans Intune pour activer la cogestion, ce qui se produit pendant le processus Autopilot. Ce comportement dirige l’autorité de charge de travail de manière orchestrée entre Configuration Manager et Intune. Pour plus d’informations, consultez Comment s’inscrire avec Autopilot.

Mode piloté par l’utilisateur pour la jointure hybride Microsoft Entra

Important

Microsoft recommande de déployer de nouveaux appareils en tant que cloud natif à l’aide de la jonction Microsoft Entra. Le déploiement de nouveaux appareils en tant qu’appareils de jointure hybride Microsoft Entra n’est pas recommandé, notamment via Autopilot. Pour plus d’informations, consultez Jointure Microsoft Entra et Jointure hybride Microsoft Entra dans des points de terminaison natifs cloud : quelle option convient à votre organisation.

Windows Autopilot exige que les appareils soient joints à Microsoft Entra. Pour un environnement Active Directory local, les appareils peuvent être joints au domaine local. Pour joindre les appareils, configurez les appareils Autopilot pour qu’ils soient joints à l’ID Microsoft Entra hybride.

Conseil

Alors que Microsoft discute avec des clients qui utilisent Microsoft Intune et Microsoft Configuration Manager pour déployer, gérer et sécuriser leurs appareils clients, nous recevons souvent des questions sur la cogestion des appareils et les appareils joints hybrides Microsoft Entra. De nombreux clients confondent ces deux sujets. La cogestion est une option de gestion, tandis que l’ID Microsoft Entra est une option d’identité. Pour plus d’informations, consultez Présentation des scénarios hybrides microsoft Entra et de cogestion. Ce billet de blog vise à clarifier la jointure et la cogestion hybrides Microsoft Entra, comment ils fonctionnent ensemble, mais ne sont pas la même chose.

Le client Configuration Manager ne peut pas être déployé lors de l’approvisionnement d’un nouvel ordinateur en mode piloté par l’utilisateur Windows Autopilot pour la jointure hybride Microsoft Entra. Cette limitation est due au changement d’identité de l’appareil pendant le processus de jointure Microsoft Entra. Déployez le client du gestionnaire de configuration après le processus Autopilot. Consultez Méthodes d’installation du client dans Configuration Manager pour obtenir d’autres options d’installation du client.

Configuration requise pour le mode piloté par l’utilisateur avec l’ID Microsoft Entra hybride

  • Créez un profil Windows Autopilot pour le mode piloté par l’utilisateur.

    Dans le profil Autopilot, sous Joindre à l’ID Microsoft Entra en tant que, sélectionnez Jointure hybride Microsoft Entra.

  • Si vous utilisez Intune, un groupe d’appareils est nécessaire dans l’ID Microsoft Entra. Affectez le profil Windows Autopilot au groupe.

  • Si vous utilisez Intune, créez et attribuez un profil de jonction de domaine. Un profil de configuration Domain Joint comprend des informations sur le domaine Active Directory sur site.

  • L’appareil doit accéder à Internet. Pour plus d’informations, consultez la configuration réseau requise.

  • Installez le connecteur Intune pour Active Directory.

    Notes

    Le connecteur Intune joint l’appareil au domaine local. Les utilisateurs n’ont pas besoin d’autorisations pour joindre des appareils au domaine local. Ce comportement suppose que le connecteur est configuré pour cette action au nom de l’utilisateur. Pour plus d’informations, consultez la section Augmenter la limite du nombre de comptes d’ordinateur dans l’unité d’organisation.

  • Si vous utilisez un proxy, activez et configurez l’option paramètres du proxy WPAD (Web Proxy Auto-Discovery Protocol).

En plus de ces exigences de base pour la jointure hybride Microsoft Entra pilotée par l’utilisateur, les exigences supplémentaires suivantes s’appliquent aux appareils locaux :

  • L’appareil dispose d’une version de Windows actuellement prise en charge.

  • L’appareil est connecté au réseau interne et a accès à un contrôleur de domaine Active Directory.

    • Il doit résoudre les enregistrements DNS pour le domaine et les contrôleurs de domaine.

    • Il doit communiquer avec le contrôleur de domaine pour authentifier l’utilisateur.

Mode piloté par l’utilisateur pour la jonction hybride Microsoft Entra avec prise en charge VPN

Les appareils joints à Active Directory nécessitent une connectivité à un contrôleur de domaine Active Directory pour de nombreuses activités. Ces activités incluent la validation des informations d’identification de l’utilisateur lors de la connexion et l’application des paramètres de stratégie de groupe. Le processus autopilot piloté par l’utilisateur pour les appareils joints hybrides Microsoft Entra valide que l’appareil peut contacter un contrôleur de domaine en effectuant un test ping sur ce contrôleur de domaine.

Avec l’ajout de la prise en charge vpn pour ce scénario, le processus de jointure hybride Microsoft Entra peut être configuré pour ignorer la vérification de la connectivité. Cette modification n’élimine pas la nécessité de communiquer avec un contrôleur de domaine. Au lieu de cela, pour autoriser la connexion au réseau de l’organisation, Intune fournit la configuration VPN nécessaire avant que l’utilisateur tente de se connecter à Windows.

Configuration requise pour le mode piloté par l’utilisateur avec ID Microsoft Entra hybride et VPN

En plus des exigences de base pour le mode piloté par l’utilisateur avec jointure hybride Microsoft Entra, les exigences supplémentaires suivantes s’appliquent à un scénario distant avec prise en charge vpn :

  • Version de Windows actuellement prise en charge.

  • Dans le profil de jointure hybride Microsoft Entra pour Autopilot, activez l’option suivante : Ignorer la vérification de la connectivité du domaine.

  • Une configuration VPN avec l’une des options suivantes :

    • Peut être déployé avec Intune et permet à l’utilisateur d’établir manuellement une connexion VPN à partir de l’écran de connexion Windows.

    • Établit automatiquement une connexion VPN en fonction des besoins.

La configuration VPN spécifique requise dépend du logiciel VPN et de l’authentification utilisés. Pour les solutions VPN non-Microsoft, cette configuration implique généralement le déploiement d’une application Win32 via les extensions de gestion Intune. Cette application inclut le logiciel client VPN et toutes les informations de connexion spécifiques. Par exemple, les noms d’hôte de point de terminaison VPN. Pour plus d’informations sur la configuration spécifique à ce fournisseur, consultez la documentation du fournisseur VPN.

Notes

La configuration vpn requise n’est pas spécifique à Autopilot. Par exemple, si une configuration VPN est implémentée pour activer les réinitialisations de mot de passe à distance, cette même configuration peut être utilisée avec Windows Autopilot. Cette configuration permet à un utilisateur de se connecter à Windows avec un nouveau mot de passe lorsqu’il n’est pas sur le réseau de l’organisation. Une fois que l’utilisateur se connecte et que ses informations d’identification sont mises en cache, les tentatives de connexion suivantes n’ont pas besoin de connectivité, car Windows utilise les informations d’identification mises en cache.

Si le logiciel VPN nécessite une authentification par certificat, utilisez Intune pour déployer également le certificat d’appareil requis. Ce déploiement peut être effectué à l’aide des fonctionnalités d’inscription de certificat Intune, en ciblant les profils de certificat sur l’appareil.

Certaines configurations ne sont pas prises en charge, car elles ne sont pas appliquées tant que l’utilisateur ne se connecte pas à Windows :

  • Certificats utilisateur
  • Plug-ins VPN UWP non-Microsoft à partir du Windows Store

Validation

Avant de tenter une jointure hybride Microsoft Entra à l’aide d’un VPN, il est important de vérifier que le mode piloté par l’utilisateur pour le processus de jointure hybride Microsoft Entra fonctionne sur le réseau interne. Ce test simplifie la résolution des problèmes en s’assurant que le processus principal fonctionne avant d’ajouter la configuration VPN.

Ensuite, vérifiez qu’Intune peut être utilisé pour déployer la configuration VPN et ses exigences. Testez ces composants avec un appareil existant qui est déjà joint à Microsoft Entra hybride. Par exemple, certains clients VPN créent une connexion VPN par machine dans le cadre du processus d’installation. Validez la configuration en procédant comme suit :

  1. Vérifiez qu’au moins une connexion VPN par ordinateur est créée.

    Get-VpnConnection -AllUserConnection
    
  2. Essayez de démarrer manuellement la connexion VPN.

    RASDIAL.EXE "ConnectionName"
    
  3. Déconnectez-vous de Windows. Vérifiez que l’icône de connexion VPN s’affiche sur la page de connexion Windows.

  4. Déplacez l’appareil hors du réseau interne et essayez d’établir la connexion à l’aide de l’icône sur la page de connexion Windows. Connectez-vous à un compte qui n’a pas d’informations d’identification mises en cache.

Pour les configurations VPN qui se connectent automatiquement, les étapes de validation peuvent être différentes.

Notes

Un VPN always on peut être utilisé pour ce scénario. Pour plus d’informations, consultez Déployer un VPN always-on.

Étapes suivantes