Partager via


Mode piloté par l’utilisateur Windows Autopilot

Le mode piloté par l’utilisateur De Windows Autopilot permet à un nouvel appareil Windows d’être configuré pour le transformer automatiquement de son état d’usine à un état prêt à l’emploi. Ce processus ne nécessite pas que le personnel informatique touche l’appareil.

Le processus est simple. Les appareils peuvent être expédiés ou distribués directement à l’utilisateur final en suivant les instructions suivantes :

  1. Déballez l’appareil, branchez-le et mettez-le sous tension.
  2. S’il utilise plusieurs langues, sélectionnez une langue, des paramètres régionaux et un clavier.
  3. Connectez-le à un réseau sans fil ou câblé avec un accès à Internet. Si vous utilisez une connexion sans fil, connectez-vous d’abord au réseau Wi-Fi.
  4. Spécifiez un compte d’adresse de messagerie et un mot de passe pour le organization.

Le reste du processus est automatisé. L'appareil effectue les étapes suivantes :

  1. Rejoignez l'organisation.
  2. Inscrivez-vous à Microsoft Intune ou à un autre service de gestion des appareils mobiles (GPM).
  3. Soyez configuré tel que défini par l’organisation.

D’autres invites peuvent être supprimées pendant l’expérience OOBE (out-of-box experience). Pour plus d’informations sur les options disponibles, consultez Configurer des profils Windows Autopilot.

Importante

Si Services ADFS (ADFS) est utilisé, il existe un problème connu qui peut permettre à l’utilisateur final de se connecter avec un compte différent de celui affecté à cet appareil.

Le mode piloté par l’utilisateur De Windows Autopilot prend en charge Microsoft Entra jonction et Microsoft Entra appareils joints hybrides. Pour plus d’informations sur ces deux options de jointure, consultez les articles suivants :

Les étapes du processus axé sur l'utilisateur sont les suivantes :

  1. Une fois que l’appareil se connecte à un réseau, il télécharge un profil Windows Autopilot. Le profil définit les paramètres utilisés pour l'appareil. Par exemple, définir les invites supprimées pendant l 'OOBE.

  2. Windows vérifie les mises à jour critiques de l' OOBE. Si des mises à jour sont disponibles, elles sont automatiquement installées. Si nécessaire, l'appareil redémarre.

  3. L’utilisateur est invité à fournir Microsoft Entra informations d’identification. Cette expérience utilisateur personnalisée affiche le nom du locataire, le logo et le texte de connexion Microsoft Entra.

  4. L’appareil rejoint Microsoft Entra ID ou Active Directory, en fonction des paramètres de profil Windows Autopilot.

  5. L'appareil s'inscrit à Intune ou à un autre service MDM configuré. Selon les besoins de l’organisation, cette inscription se produit soit :

    • Pendant la Microsoft Entra processus de jointure, à l’aide de l’inscription automatique MDM.

    • Avant le processus de jonction d'Active Directory.

  6. S’il est configuré, il affiche la page status d’inscription (ESP).

  7. Une fois les tâches de configuration de l'appareil terminées, l'utilisateur est connecté à Windows à l'aide des informations d'identification qu'il a fournies précédemment. Si l’appareil redémarre pendant le processus ESP de l’appareil, l’utilisateur doit réenterer ses informations d’identification. Ces détails ne persistent pas après le redémarrage.

  8. Après la connexion, la page d'état de l'inscription s'affiche pour les tâches de configuration ciblées sur l'utilisateur.

Si des problèmes sont détectés pendant ce processus, consultez Vue d’ensemble de la résolution des problèmes liés à Windows Autopilot.

Pour plus d'informations sur les options de jointure disponibles, consultez les sections suivantes :

Mode piloté par l’utilisateur pour Microsoft Entra jointure

Pour effectuer un déploiement piloté par l’utilisateur à l’aide de Windows Autopilot, procédez comme suit :

  1. Assurez-vous que les utilisateurs effectuant des déploiements en mode piloté par l’utilisateur peuvent joindre des appareils à Microsoft Entra ID. Pour plus d’informations, consultez Configurer les paramètres de l’appareil dans la documentation Microsoft Entra.

  2. Créez un profil Windows Autopilot pour le mode piloté par l’utilisateur avec les paramètres souhaités.

    • Dans Intune, ce mode est explicitement choisi lors de la création d’un profil.

    • Dans Microsoft Store pour Entreprises et l’Espace partenaires, le mode piloté par l’utilisateur est la valeur par défaut.

  3. Si vous utilisez Intune, créez un groupe d’appareils dans Microsoft Entra ID et affectez le profil Windows Autopilot à ce groupe.

Pour chaque appareil déployé à l’aide d’un déploiement piloté par l’utilisateur, ces étapes supplémentaires sont nécessaires :

  • Ajoutez l’appareil à Windows Autopilot. Cette étape peut être effectuée de deux manières :

  • Affectez un profil Windows Autopilot à l’appareil :

    • Si vous utilisez Intune et Microsoft Entra groupes d’appareils dynamiques, cette affectation peut être effectuée automatiquement.

    • Si vous utilisez Intune et Microsoft Entra groupes d’appareils statiques, ajoutez manuellement l’appareil au groupe d’appareils.

    • Si vous utilisez d’autres méthodes, comme Microsoft Store pour Entreprises ou l’Espace partenaires, affectez manuellement un profil Windows Autopilot à l’appareil.

Conseil

Si l’état final prévu de l’appareil est la cogestion, l’inscription de l’appareil peut être configurée dans Intune pour activer la cogestion, ce qui se produit pendant le processus Windows Autopilot. Ce comportement dirige l’autorité de charge de travail de manière orchestrée entre Configuration Manager et Intune. Pour plus d’informations, consultez Comment s’inscrire avec Windows Autopilot.

Mode piloté par l’utilisateur pour Microsoft Entra jointure hybride

Importante

Microsoft recommande de déployer de nouveaux appareils en tant que cloud natif à l’aide de Microsoft Entra jonction. Le déploiement de nouveaux appareils en tant que Microsoft Entra appareils de jointure hybride n’est pas recommandé, notamment via Windows Autopilot. Pour plus d’informations, consultez Microsoft Entra joint ou Microsoft Entra joint hybride dans des points de terminaison natifs cloud : quelle option convient à votre organization.

Windows Autopilot nécessite que les appareils soient Microsoft Entra joints. Pour un environnement Active Directory local, les appareils peuvent être joints au domaine local. Pour joindre les appareils, configurez les appareils Windows Autopilot pour qu’ils soient joints à Microsoft Entra ID.

Conseil

Alors que Microsoft discute avec des clients qui utilisent Microsoft Intune et Microsoft Configuration Manager pour déployer, gérer et sécuriser leurs appareils clients, nous recevons souvent des questions sur la cogestion des appareils et Microsoft Entra appareils hybrides joints. De nombreux clients confondent ces deux sujets. La cogestion est une option de gestion, tandis que Microsoft Entra ID est une option d’identité. Pour plus d’informations, consultez Présentation des scénarios de cogestion et de Microsoft Entra hybrides. Ce billet de blog vise à clarifier Microsoft Entra jointure hybride et la cogestion, comment ils fonctionnent ensemble, mais ne sont pas la même chose.

Le client Configuration Manager ne peut pas être déployé lors de l’approvisionnement d’un nouvel ordinateur en mode windows Autopilot piloté par l’utilisateur pour Microsoft Entra jointure hybride. Cette limitation est due au changement d’identité de l’appareil pendant le processus de jointure Microsoft Entra. Déployez le client Configuration Manager après le processus Windows Autopilot. Consultez Méthodes d’installation du client dans Configuration Manager pour obtenir d’autres options d’installation du client.

Configuration requise pour le mode piloté par l’utilisateur avec Microsoft Entra ID hybride

  • Créez un profil Windows Autopilot pour le mode piloté par l’utilisateur.

    Dans le profil Windows Autopilot, sous Joindre à Microsoft Entra ID en tant que, sélectionnez Microsoft Entra jointure hybride.

  • Si vous utilisez Intune, un groupe d’appareils est nécessaire dans Microsoft Entra ID. Affectez le profil Windows Autopilot au groupe.

  • Si vous utilisez Intune, créez et attribuez un profil de jonction de domaine. Un profil de configuration Domain Joint comprend des informations sur le domaine Active Directory sur site.

  • L’appareil doit accéder à Internet. Pour plus d’informations, consultez la configuration réseau requise.

  • Installez le connecteur Intune pour Active Directory.

    Remarque

    Le connecteur Intune pour Active Directory joint l’appareil au domaine local. Les utilisateurs n’ont pas besoin d’autorisations pour joindre des appareils au domaine local. Ce comportement suppose que le connecteur est configuré pour cette action au nom de l’utilisateur. Pour plus d’informations, consultez Augmenter la limite de compte d’ordinateur dans l’unité d’organisation (UO).

  • Si vous utilisez un proxy, activez et configurez l’option paramètres du proxy WPAD (Web Proxy Auto-Discovery Protocol).

Outre ces exigences de base pour la jointure hybride Microsoft Entra pilotée par l’utilisateur, les exigences supplémentaires suivantes s’appliquent aux appareils locaux :

  • L’appareil dispose d’une version de Windows actuellement prise en charge.

  • L’appareil est connecté au réseau interne et a accès à un contrôleur de domaine Active Directory.

    • Il doit résoudre les enregistrements DNS pour le domaine et les contrôleurs de domaine.

    • Il doit communiquer avec le contrôleur de domaine pour authentifier l’utilisateur.

Mode piloté par l’utilisateur pour Microsoft Entra jointure hybride avec prise en charge VPN

Les appareils joints à Active Directory nécessitent une connectivité à un contrôleur de domaine Active Directory pour de nombreuses activités. Ces activités incluent la validation des informations d’identification de l’utilisateur lors de la connexion et l’application des paramètres de stratégie de groupe. Le processus windows Autopilot piloté par l’utilisateur pour Microsoft Entra appareils joints hybrides valide que l’appareil peut contacter un contrôleur de domaine en effectuant un test ping sur ce contrôleur de domaine.

Avec l’ajout de la prise en charge vpn pour ce scénario, le processus de jointure hybride Microsoft Entra peut être configuré pour ignorer le case activée de connectivité. Cette modification n’élimine pas la nécessité de communiquer avec un contrôleur de domaine. Au lieu de cela, pour autoriser la connexion au réseau de l’organization, Intune fournit la configuration VPN nécessaire avant que l’utilisateur tente de se connecter à Windows.

Configuration requise pour le mode piloté par l’utilisateur avec Microsoft Entra ID hybride et VPN

En plus des exigences de base pour le mode piloté par l’utilisateur avec Microsoft Entra jointure hybride, les exigences supplémentaires suivantes s’appliquent à un scénario distant avec prise en charge vpn :

  • Version de Windows actuellement prise en charge.

  • Dans le Microsoft Entra profil de jointure hybride pour Windows Autopilot, activez l’option suivante : Ignorer la connectivité de domaine case activée.

  • Une configuration VPN avec l’une des options suivantes :

    • Peut être déployé avec Intune et permet à l’utilisateur d’établir manuellement une connexion VPN à partir de l’écran de connexion Windows.

    • Établit automatiquement une connexion VPN en fonction des besoins.

La configuration VPN spécifique requise dépend du logiciel VPN et de l’authentification utilisés. Pour les solutions VPN non-Microsoft, cette configuration implique généralement le déploiement d’une application Win32 via des extensions de gestion Intune. Cette application inclut le logiciel client VPN et toutes les informations de connexion spécifiques. Par exemple, les noms d’hôte de point de terminaison VPN. Pour plus d’informations sur la configuration spécifique à ce fournisseur, consultez la documentation du fournisseur VPN.

Remarque

La configuration vpn requise n’est pas spécifique à Windows Autopilot. Par exemple, si une configuration VPN est implémentée pour activer les réinitialisations de mot de passe à distance, cette même configuration peut être utilisée avec Windows Autopilot. Cette configuration permet à un utilisateur de se connecter à Windows avec un nouveau mot de passe lorsqu’il n’est pas sur le réseau du organization. Une fois que l’utilisateur se connecte et que ses informations d’identification sont mises en cache, les tentatives de connexion suivantes n’ont pas besoin de connectivité, car Windows utilise les informations d’identification mises en cache.

Si le logiciel VPN nécessite une authentification par certificat, utilisez Intune pour déployer également le certificat d’appareil requis. Ce déploiement peut être effectué à l’aide des fonctionnalités d’inscription de certificat Intune, en ciblant les profils de certificat sur l’appareil.

Certaines configurations ne sont pas prises en charge, car elles ne sont pas appliquées tant que l’utilisateur ne se connecte pas à Windows :

  • Certificats utilisateur
  • Plug-ins VPN UWP non-Microsoft à partir du Windows Store

Validation

Avant de tenter une jointure hybride Microsoft Entra à l’aide d’un VPN, il est important de vérifier que le mode piloté par l’utilisateur pour Microsoft Entra processus de jointure hybride fonctionne sur le réseau interne. Ce test simplifie la résolution des problèmes en s’assurant que le processus principal fonctionne avant d’ajouter la configuration VPN.

Ensuite, vérifiez Intune peut être utilisé pour déployer la configuration VPN et ses exigences. Testez ces composants avec un appareil existant déjà Microsoft Entra joint hybride. Par exemple, certains clients VPN créent une connexion VPN par machine dans le cadre du processus d’installation. Validez la configuration en procédant comme suit :

  1. Vérifiez qu’au moins une connexion VPN par ordinateur est créée.

    Get-VpnConnection -AllUserConnection
    
  2. Essayez de démarrer manuellement la connexion VPN.

    RASDIAL.EXE "ConnectionName"
    
  3. Déconnectez-vous de Windows. Vérifiez que l’icône de connexion VPN s’affiche sur la page de connexion Windows.

  4. Déplacez l’appareil hors du réseau interne et essayez d’établir la connexion à l’aide de l’icône sur la page de connexion Windows. Connectez-vous à un compte qui n’a pas d’informations d’identification mises en cache.

Pour les configurations VPN qui se connectent automatiquement, les étapes de validation peuvent être différentes.

Remarque

Un VPN always on peut être utilisé pour ce scénario. Pour plus d’informations, consultez Déployer un VPN always-on.

Étapes suivantes