Windows mode autopilot piloté par l’utilisateur

S’applique à

Versions actuellement prises en charge de :

  • Windows 10
  • Windows 11

Windows mode autopilot piloté par l’utilisateur vous permet de configurer de nouveaux appareils Windows pour les transformer automatiquement de leur état d’usine à un état prêt à l’emploi. Ce processus ne nécessite pas que le personnel informatique touche l’appareil.

Le processus est simple. Les appareils peuvent être expédiés ou distribués directement à l’utilisateur final avec les instructions suivantes :

  1. Déballez l’appareil, branchez-le et mettez-le sous tension.
  2. S’il utilise plusieurs langues, choisissez une langue, des paramètres régionaux et un clavier.
  3. Connectez-le à un réseau sans fil ou câblé avec un accès à Internet. Si vous utilisez le sans fil, connectez-vous d’abord au réseau Wi-Fi.
  4. Indiquez votre adresse e-mail et votre mot de passe pour votre compte d’organisation.

Le reste du processus est automatisé. L’appareil effectue les étapes suivantes :

  1. Rejoignez l’organisation.
  2. Inscrivez-vous à Microsoft Intune ou à un autre service GPM.
  3. Soyez configuré tel que défini par l’organisation.

Vous pouvez supprimer toutes les autres invites pendant l’expérience OOBE (Out-of-Box Experience). Pour plus d’informations sur les options disponibles, consultez Configuration des profils Autopilot.

Important

Si vous utilisez Services ADFS (ADFS), il existe un problème connu qui peut permettre à l’utilisateur final de se connecter avec un compte différent de celui affecté à cet appareil.

Windows mode autopilot piloté par l’utilisateur prend en charge Azure Active Directory (Azure AD) et les appareils hybrides joints à Azure AD. Pour plus d’informations sur ces deux options de jointure, consultez Qu’est-ce qu’une identité d’appareil ?

Les étapes du processus piloté par l’utilisateur sont les suivantes :

  1. Une fois connecté à un réseau, l’appareil télécharge un profil Autopilot Windows. Le profil définit les paramètres utilisés pour l’appareil. Par exemple, définissez les invites supprimées pendant OOBE.

  2. Windows vérifie les mises à jour OOBE critiques. Si des mises à jour sont disponibles, elles sont installées automatiquement. Si nécessaire, l’appareil redémarre.

  3. L’utilisateur est invité à entrer des informations d’identification Azure AD. Cette expérience utilisateur personnalisée montre le nom, le logo et le texte de connexion du locataire Azure AD.

  4. L’appareil joint Azure AD ou Active Directory, en fonction des Windows paramètres de profil Autopilot.

  5. L’appareil s’inscrit à Intune ou à un autre service GPM configuré. En fonction des besoins de votre organisation, cette inscription se produit :

    • Pendant le processus de jointure Azure AD à l’aide de l’inscription automatique MDM.

    • Avant le processus de jointure Active Directory.

  6. Si elle est configurée, elle affiche la page d’état d’inscription (ESP).

  7. Une fois les tâches de configuration de l’appareil terminées, l’utilisateur est connecté Windows à l’aide des informations d’identification qu’il a fournies précédemment. Si l’appareil redémarre pendant le processus ESP de l’appareil, l’utilisateur doit renvoyer ses informations d’identification. Ces détails ne sont pas conservés après le redémarrage.

  8. Après la connexion, la page d’état de l’inscription s’affiche pour les tâches de configuration ciblées par l’utilisateur.

Si des problèmes sont détectés au cours de ce processus, consultez Windows résolution des problèmes Autopilot.

Pour plus d’informations sur les options de jointure disponibles, consultez les sections suivantes :

  • La jonction Azure AD est disponible si les appareils n’ont pas besoin de joindre un domaine Active Directory local.
  • La jonction Azure AD hybride est disponible pour les appareils qui doivent joindre Azure AD et votre domaine Active Directory local.

Mode piloté par l’utilisateur pour la jonction Azure AD

Pour effectuer un déploiement piloté par l’utilisateur à l’aide de Windows Autopilot, procédez comme suit :

  1. Assurez-vous que les utilisateurs qui effectueront des déploiements en mode piloté par l’utilisateur peuvent joindre des appareils à Azure AD. Pour plus d’informations, consultez Configurer les paramètres d’appareil dans la documentation Azure AD.

  2. Créez un profil Autopilot pour le mode piloté par l’utilisateur avec les paramètres souhaités.

    • Dans Intune, ce mode est explicitement choisi lorsque vous créez le profil.

    • Dans Microsoft Store pour Entreprises et l’Espace partenaires, le mode piloté par l’utilisateur est la valeur par défaut.

  3. Si vous utilisez Intune, créez un groupe d’appareils dans Azure AD et attribuez le profil Autopilot à ce groupe.

Pour chaque appareil que vous allez déployer à l’aide d’un déploiement piloté par l’utilisateur, ces étapes supplémentaires sont nécessaires :

  • Ajoutez l’appareil à Windows Autopilot. Vous pouvez effectuer cette étape de deux manières :

  • Affectez un profil Autopilot à l’appareil :

    • Si vous utilisez des groupes d’appareils dynamiques Intune et Azure AD, cette affectation peut être effectuée automatiquement.

    • Si vous utilisez Intune et des groupes d’appareils statiques Azure AD, ajoutez manuellement l’appareil au groupe d’appareils.

    • Si vous utilisez d’autres méthodes, comme Microsoft Store pour Entreprises ou l’Espace partenaires, attribuez manuellement un profil Autopilot à l’appareil.

Conseil

Si l’état final prévu de l’appareil est la cogestion, vous pouvez configurer l’inscription des appareils dans Intune pour activer la cogestion, ce qui se produit pendant le processus Autopilot. Ce comportement dirige l’autorité de charge de travail de manière orchestrée entre Configuration Manager et Intune. Pour plus d’informations, consultez Comment s’inscrire auprès d’Autopilot.

Mode piloté par l’utilisateur pour la jonction Azure AD hybride

Windows Autopilot exige que les appareils soient joints à Azure AD. Si vous disposez d'un environnement Active Directory sur site, vous pouvez joindre les appareils à votre domaine sur site. Pour joindre les appareils, configurez les appareils Autopilot pour qu’ils soient joints hybridement à Azure AD.

Conseil

Lorsque nous discutons avec nos clients qui utilisent Microsoft Endpoint Manager pour déployer, gérer et sécuriser leurs appareils clients, nous obtenons souvent des questions sur la cogestion des appareils et des appareils joints à Azure AD hybride. De nombreux clients confondent ces deux sujets. La cogestion est une option de gestion, tandis que Azure AD est une option d’identité. Pour plus d’informations, consultez Présentation d’Azure AD hybride et des scénarios de cogestion. Ce billet de blog vise à clarifier la jointure et la cogestion Azure AD hybrides, la façon dont elles fonctionnent ensemble, mais elles ne sont pas identiques.

Vous ne pouvez pas déployer le client Configuration Manager lors de l’approvisionnement d’un nouvel ordinateur en Windows mode autopilot piloté par l’utilisateur pour la jonction Azure AD hybride. Cette limitation est due au changement d’identité de l’appareil pendant le processus de jointure Azure AD. Déployez le client Configuration Manager après le processus Autopilot. Consultez les méthodes d’installation du client dans Configuration Manager pour obtenir d’autres options d’installation du client.

Configuration requise pour le mode piloté par l’utilisateur avec Azure AD hybride

  • Créez un profil Autopilot Windows pour le mode piloté par l’utilisateur.

    Dans le profil Autopilot, sous Joindre à Azure AD, sélectionnez Joint à Azure AD hybride.

  • Si vous utilisez Intune, vous avez besoin d’un groupe d’appareils dans Azure AD. Affectez le profil Autopilot Windows au groupe.

  • Si vous utilisez Intune, créez et attribuez un profil de jonction de domaine. Un profil de configuration Domain Joint comprend des informations sur le domaine Active Directory sur site.

  • L’appareil doit accéder à Internet. Pour plus d’informations, consultez la configuration réseau requise.

  • Installez le connecteur Intune pour Active Directory.

    Notes

    Le connecteur Intune joint l’appareil au domaine local. Les utilisateurs n’ont pas besoin d’autorisations pour joindre des appareils au domaine local. Ce comportement suppose que vous configurez le connecteur pour cette action au nom de l’utilisateur. Pour plus d’informations, consultez Augmenter la limite de compte d’ordinateur dans l’unité organisationnelle.

  • Si vous utilisez un proxy, activez et configurez l’option paramètres du proxy WPAD.

Outre ces exigences principales pour la jonction Azure AD hybride pilotée par l’utilisateur, les exigences supplémentaires suivantes s’appliquent aux appareils locaux :

  • L’appareil a une version prise en charge de Windows 10 ou Windows 11.

  • L’appareil est connecté au réseau interne et a accès à un contrôleur de domaine Active Directory.

    • Il doit résoudre les enregistrements DNS pour le domaine et les contrôleurs de domaine.

    • Il doit communiquer avec le contrôleur de domaine pour authentifier l’utilisateur.

Mode piloté par l’utilisateur pour la jonction Azure AD hybride avec prise en charge vpN (préversion)

Les appareils joints à Active Directory nécessitent une connectivité à un contrôleur de domaine Active Directory pour de nombreuses activités. Ces activités incluent la validation des informations d’identification de l’utilisateur lors de sa connexion et l’application des paramètres de stratégie de groupe. Le processus autopilot piloté par l’utilisateur pour les appareils hybrides joints à Azure AD vérifie que l’appareil peut contacter un contrôleur de domaine en effectuant un test ping sur ce contrôleur de domaine.

Avec l’ajout de la prise en charge VPN pour ce scénario, vous pouvez configurer le processus de jointure Azure AD hybride pour ignorer la vérification de connectivité. Cette modification n’élimine pas la nécessité de communiquer avec un contrôleur de domaine. Au lieu de cela, pour autoriser la connexion au réseau de l’organisation, Intune fournit la configuration VPN nécessaire avant que l’utilisateur tente de se connecter à Windows.

Configuration requise pour le mode piloté par l’utilisateur avec Azure AD hybride et VPN

Outre les exigences principales pour le mode piloté par l’utilisateur avec jointure Azure AD hybride, les exigences supplémentaires suivantes s’appliquent à un scénario distant avec prise en charge vpN :

  • Version prise en charge de Windows 10 ou Windows 11.

  • Dans le profil de jointure Azure AD hybride pour Autopilot, activez l’option suivante : Ignorer la vérification de la connectivité du domaine.

  • Une configuration VPN avec l’une des options suivantes :

    • Peut être déployé avec Intune et permet à l’utilisateur d’établir manuellement une connexion VPN à partir de l’écran de connexion Windows.

    • Établit automatiquement une connexion VPN en fonction des besoins.

La configuration VPN spécifique requise dépend du logiciel VPN et de l’authentification utilisés. Pour les solutions VPN tierces, cette configuration implique généralement le déploiement d’une application Win32 via Intune extensions de gestion. Cette application inclut le logiciel client VPN et toutes les informations de connexion spécifiques. Par exemple, les noms d’hôtes de point de terminaison VPN. Pour plus d’informations sur la configuration propre à ce fournisseur, consultez la documentation de votre fournisseur VPN.

Notes

Les exigences de VPN ne sont pas spécifiques à Autopilot. Par exemple, si vous avez déjà implémenté une configuration VPN pour activer les réinitialisations de mot de passe à distance, cette même configuration peut être utilisée avec Windows Autopilot. Cette configuration permet à un utilisateur de se connecter à Windows avec un nouveau mot de passe lorsqu’il n’est pas sur le réseau de l’organisation. Une fois que l’utilisateur s’est connecté pour mettre en cache ses informations d’identification, les tentatives de connexion suivantes n’ont pas besoin de connectivité, car Windows utilise les informations d’identification mises en cache.

Si le logiciel VPN nécessite une authentification par certificat, utilisez Intune pour déployer également le certificat d’appareil requis. Ce déploiement peut être effectué à l’aide des fonctionnalités d’inscription de certificat Intune, en ciblant les profils de certificat sur l’appareil.

Certaines configurations ne sont pas prises en charge, car elles ne sont pas appliquées tant que l’utilisateur ne se connecte pas à Windows :

  • Certificats utilisateur
  • Plug-ins VPN UWP non-Microsoft à partir du Windows Store

Validation

Avant de tenter une jointure Azure AD hybride à l’aide d’un VPN, il est important de vérifier qu’un mode piloté par l’utilisateur pour le processus de jointure Azure AD hybride fonctionne sur votre réseau interne. Ce test simplifie la résolution des problèmes en s’assurant que le processus principal fonctionne avant d’ajouter la configuration VPN.

Vérifiez ensuite que vous pouvez utiliser Intune pour déployer la configuration VPN et ses exigences. Testez ces composants avec un appareil existant qui est déjà joint à Azure AD hybride. Par exemple, certains clients VPN créent une connexion VPN par machine dans le cadre du processus d’installation. Validez la configuration en procédant comme suit :

  1. Vérifiez qu’au moins une connexion VPN par machine a été créée.

    Get-VpnConnection -AllUserConnection
    
  2. Essayez de démarrer manuellement la connexion VPN.

    RASDIAL.EXE "ConnectionName"
    
  3. Déconnectez-vous de Windows. Vérifiez que l’icône « Connexion VPN » s’affiche sur la page de connexion Windows.

  4. Déplacez l’appareil du réseau interne et essayez d’établir la connexion à l’aide de l’icône de la page de connexion Windows. Connectez-vous à un compte qui n’a pas d’informations d’identification mises en cache.

Pour les configurations VPN qui se connectent automatiquement, les étapes de validation peuvent être différentes.

Notes

Vous pouvez utiliser un VPN always-on pour ce scénario. Pour plus d’informations, consultez Déployer un VPN always-on.

Intune ne peut actuellement pas déployer ce profil VPN par machine.

Prochaines étapes

Déployer des appareils joints à Azure AD hybride à l’aide de Intune et Windows Autopilot

Comment s’inscrire avec Autopilot

Essayez la jointure hybride Autopilot sur VPN dans votre laboratoire Azure