Modo orientado pelo utilizador do Windows Autopilot

O modo orientado pelo utilizador do Windows Autopilot permite que um novo dispositivo Windows seja configurado para os transformar automaticamente do estado de fábrica para um estado pronto a utilizar. Este processo não requer que o pessoal de TI toque no dispositivo.

O processo é simples. Os dispositivos podem ser enviados ou distribuídos diretamente para o utilizador final com as seguintes instruções:

1. Retire o dispositivo da caixa, conecte-o à fonte de alimentação e ligue-o.
2. Se utilizar vários idiomas, selecione um idioma, região e teclado.
3. Conecte-o a uma rede com ou sem fio com acesso à Internet. Se utilizar sem fios, ligue primeiro à rede wi-fi.
4. Especifique uma conta de endereço de e-mail e palavra-passe para a organização.

O resto do processo é automatizado. O dispositivo executa as seguintes etapas:

1. Ingresse na organização.
2. Inscreva-se no Microsoft Intune ou noutro serviço de gestão de dispositivos móveis (MDM).
3. Obtenha a configuração conforme definida pela organização.

Outros pedidos podem ser suprimidos durante a experiência inicial (OOBE). Para obter mais informações sobre as opções disponíveis, consulte Configurar perfis do Windows Autopilot.

Importante

Se Serviços de Federação do Active Directory (AD FS) (ADFS) estiver a ser utilizado, existe um problema conhecido que pode permitir ao utilizador final iniciar sessão com uma conta diferente daquela atribuída a esse dispositivo.

O modo orientado pelo utilizador do Windows Autopilot suporta Microsoft Entra associar e Microsoft Entra dispositivos associados híbridos. Para obter mais informações sobre estas duas opções de associação, consulte os seguintes artigos:

• O que é uma identidade de dispositivo?.
• Saiba mais sobre os pontos finais nativos da cloud.
• Microsoft Entra associados vs. Microsoft Entra associados híbridos em pontos finais nativos da cloud.
• Tutorial: Configurar um ponto final do Windows nativo da cloud com Microsoft Intune.
• Como: Planear a implementação da associação Microsoft Entra.
• Uma arquitetura para a transformação de gestão de pontos finais do Windows.
• Êxito com o Windows Autopilot remoto e Microsoft Entra associação híbrida.

As etapas do processo controlado pelo usuário são as seguintes:

1. Depois de o dispositivo se ligar a uma rede, o dispositivo transfere um perfil do Windows Autopilot. O perfil define as configurações usadas para o dispositivo. Por exemplo, define os prompts suprimidos durante o OOBE.

2. O Windows verifica se há atualizações OOBE críticas. Se houver atualizações disponíveis, elas serão instaladas automaticamente. Se necessário, o dispositivo será reiniciado.

3. É pedido ao utilizador Microsoft Entra credenciais. Esta experiência de utilizador personalizada mostra o Microsoft Entra nome, logótipo e texto de início de sessão do inquilino.

4. O dispositivo é associado Microsoft Entra ID ou Ao Active Directory, consoante as definições de perfil do Windows Autopilot.

5. O dispositivo é registrado no Intune ou em outro serviço MDM configurado. Dependendo das necessidades organizacionais, esta inscrição ocorre:

   • Durante o processo de associação Microsoft Entra, utilize a inscrição automática mdm.

   • Antes do processo de ingresso no Azure Active Directory.

6. Se configurado, apresenta a página de status de inscrição (ESP).

7. Depois que as tarefas de configuração do dispositivo forem concluídas, o usuário será conectado ao Windows usando as credenciais fornecidas anteriormente. Se o dispositivo reiniciar durante o processo ESP do dispositivo, o utilizador terá de reintroduzir as respetivas credenciais. Esses detalhes não persistem após a reinicialização.

8. Após a entrada, a página de status do registro é exibida para tarefas de configuração direcionadas ao usuário.

Se forem encontrados problemas durante este processo, veja Troubleshooting Windows Autopilot overview (Descrição geral da resolução de problemas do Windows Autopilot).

Para obter mais informações sobre as opções de ingresso disponíveis, consulte as seguintes seções:

• Microsoft Entra associação estiver disponível se os dispositivos não precisarem de aderir a um domínio Active Directory local.
• Microsoft Entra associação híbrida está disponível para dispositivos que precisam de associar Microsoft Entra ID e o domínio Active Directory local.

Modo orientado pelo utilizador para associação Microsoft Entra

Para concluir uma implementação orientada pelo utilizador com o Windows Autopilot, siga estes passos de preparação:

1. Certifique-se de que os utilizadores que efetuam implementações de modo orientado pelo utilizador podem associar dispositivos a Microsoft Entra ID. Para obter mais informações, veja Configurar as definições do dispositivo na documentação do Microsoft Entra.

2. Crie um perfil do Windows Autopilot para o modo orientado pelo utilizador com as definições pretendidas.

   • No Intune, este modo é explicitamente escolhido quando é criado um perfil.

   • No Microsoft Store para Empresas e no Centro de Parceiros, o modo orientado pelo utilizador é a predefinição.

3. Se utilizar Intune, crie um grupo de dispositivos no Microsoft Entra ID e atribua o perfil do Windows Autopilot a esse grupo.

Para cada dispositivo implementado com a implementação orientada pelo utilizador, são necessários estes passos adicionais:

• Adicione o dispositivo ao Windows Autopilot. Este passo pode ser feito de duas formas:

  • Automaticamente por um OEM ou parceiro quando o dispositivo é comprado.

  • Manualmente, conforme descrito em Registar manualmente dispositivos com o Windows Autopilot.

• Atribua um perfil do Windows Autopilot ao dispositivo:

  • Se utilizar Intune e Microsoft Entra grupos de dispositivos dinâmicos, esta atribuição pode ser feita automaticamente.

  • Se utilizar Intune e Microsoft Entra grupos de dispositivos estáticos, adicione manualmente o dispositivo ao grupo de dispositivos.

  • Se utilizar outros métodos, como o Microsoft Store para Empresas ou o Centro de Parceiros, atribua manualmente um perfil do Windows Autopilot ao dispositivo.

Dica

Se o estado final pretendido do dispositivo for cogestão, a inscrição de dispositivos pode ser configurada no Intune para ativar a cogestão, o que acontece durante o processo do Windows Autopilot. Esse comportamento direciona a autoridade de carga de trabalho de maneira orquestrada entre o Configuration Manager e o Intune. Para obter mais informações, consulte Como inscrever com o Windows Autopilot.

Modo orientado pelo utilizador para Microsoft Entra associação híbrida

Importante

A Microsoft recomenda a implementação de novos dispositivos como nativos da cloud com Microsoft Entra associação. A implementação de novos dispositivos como Microsoft Entra dispositivos de associação híbrida não é recomendada, incluindo através do Windows Autopilot. Para obter mais informações, veja Microsoft Entra associado vs. Microsoft Entra associado híbrido em pontos finais nativos da cloud: que opção é adequada para a sua organização.

O Windows Autopilot requer que os dispositivos sejam Microsoft Entra associados. Para um ambiente Active Directory local, os dispositivos podem ser associados ao domínio no local. Para associar os dispositivos, configure os dispositivos Windows Autopilot para serem associados híbridos ao Microsoft Entra ID.

Dica

À medida que a Microsoft fala com clientes que estão a utilizar Microsoft Intune e Microsoft Configuration Manager para implementar, gerir e proteger os respetivos dispositivos cliente, muitas vezes recebemos perguntas sobre a co-gestão de dispositivos e Microsoft Entra dispositivos associados híbridos. Muitos clientes confundem estes dois tópicos. A cogestão é uma opção de gestão, enquanto Microsoft Entra ID é uma opção de identidade. Para obter mais informações, veja Understanding hybrid Microsoft Entra and co-management scenarios (Compreender cenários de cogestão e Microsoft Entra híbridos). Esta publicação de blogue visa esclarecer Microsoft Entra associação e cogestão híbridas, como funcionam em conjunto, mas não são a mesma coisa.

O cliente Configuration Manager não pode ser implementado ao aprovisionar um novo computador no modo orientado pelo utilizador do Windows Autopilot para Microsoft Entra associação híbrida. Esta limitação deve-se à alteração de identidade do dispositivo durante o processo de associação Microsoft Entra. Implemente o cliente Configuration Manager após o processo do Windows Autopilot. Veja Métodos de instalação do cliente no Configuration Manager para obter opções alternativas para instalar o cliente.

Requisitos para o modo orientado pelo utilizador com Microsoft Entra ID híbridas

• Crie um perfil do Windows Autopilot para o modo orientado pelo utilizador.

  No perfil do Windows Autopilot, em Associar ao Microsoft Entra ID como, selecione Microsoft Entra associado híbrido.

• Se utilizar Intune, é necessário um grupo de dispositivos no Microsoft Entra ID. Atribua o perfil do Windows Autopilot ao grupo.

• Se estiver usando o Intune, crie e atribua um perfil de Ingresso no Domínio. Um perfil de configuração de Ingresso no Domínio inclui informações de domínio do Active Directory local.

• O dispositivo tem de aceder à Internet. Para obter mais informações, veja os requisitos de rede.

• Instale o Conector Intune do Active Directory.

  Observação

  O Conector Intune do Active Directory associa o dispositivo ao domínio no local. Os utilizadores não precisam de permissões para associar dispositivos ao domínio no local. Este comportamento pressupõe que o conector está configurado para esta ação em nome do utilizador. Para obter mais informações, veja Aumentar o limite da conta de computador na Unidade Organizacional (UO).

• Se estiver a utilizar um proxy, ative e configure a opção de definições de Proxy do Protocolo de Deteção Automática (WPAD) do Proxy do Proxy Web.

Para além destes requisitos principais para a associação híbrida baseada no utilizador Microsoft Entra, aplicam-se os seguintes requisitos adicionais aos dispositivos no local:

• O dispositivo tem atualmente uma versão suportada do Windows.

• O dispositivo está ligado à rede interna e tem acesso a um controlador de domínio do Active Directory.

  • Tem de resolve os registos DNS do domínio e dos controladores de domínio.

  • Tem de comunicar com o controlador de domínio para autenticar o utilizador.

Modo orientado pelo utilizador para Microsoft Entra associação híbrida com suporte de VPN

Os dispositivos associados ao Active Directory necessitam de conectividade a um controlador de domínio do Active Directory para muitas atividades. Estas atividades incluem a validação das credenciais do utilizador quando iniciam sessão e a aplicação das definições de política de grupo. O processo orientado pelo utilizador do Windows Autopilot para Microsoft Entra dispositivos associados híbridos valida que o dispositivo pode contactar um controlador de domínio ao enviar um ping para esse controlador de domínio.

Com a adição de suporte de VPN para este cenário, o Microsoft Entra processo de associação híbrida pode ser configurado para ignorar a conectividade marcar. Esta alteração não elimina a necessidade de comunicar com um controlador de domínio. Em vez disso, para permitir a ligação à rede da organização, Intune fornece a configuração de VPN necessária antes de o utilizador tentar iniciar sessão no Windows.

Requisitos para o modo orientado pelo utilizador com Microsoft Entra ID e VPN híbridas

Além dos principais requisitos do modo orientado pelo utilizador com Microsoft Entra associação híbrida, aplicam-se os seguintes requisitos adicionais a um cenário remoto com suporte de VPN:

• Uma versão atualmente suportada do Windows.

• No Microsoft Entra perfil de associação híbrida para o Windows Autopilot, ative a seguinte opção: Ignorar a conectividade do domínio marcar.

• Uma configuração de VPN com uma das seguintes opções:

  • Pode ser implementado com Intune e permite que o utilizador estabeleça manualmente uma ligação VPN a partir do ecrã de início de sessão do Windows.

  • Estabelece automaticamente uma ligação VPN conforme necessário.

A configuração de VPN específica necessária depende do software VPN e da autenticação que está a ser utilizada. Para soluções VPN não Microsoft, esta configuração normalmente envolve implementar uma aplicação Win32 através de Extensões de Gestão de Intune. Esta aplicação incluiria o software de cliente VPN e quaisquer informações de ligação específicas. Por exemplo, nomes de anfitrião de pontos finais VPN. Para obter detalhes de configuração específicos desse fornecedor, veja a documentação do fornecedor de VPN.

Observação

Os requisitos de VPN não são específicos do Windows Autopilot. Por exemplo, se for implementada uma configuração de VPN para ativar reposições remotas de palavras-passe, essa mesma configuração pode ser utilizada com o Windows Autopilot. Esta configuração permitiria que um utilizador iniciasse sessão no Windows com uma nova palavra-passe quando não estava na rede da organização. Assim que o utilizador iniciar sessão e as respetivas credenciais estiverem em cache, as tentativas de início de sessão subsequentes não precisam de conectividade, uma vez que o Windows utiliza as credenciais em cache.

Se o software VPN necessitar de autenticação de certificado, utilize Intune para implementar também o certificado de dispositivo necessário. Esta implementação pode ser feita com o Intune capacidades de inscrição de certificados, direcionando os perfis de certificado para o dispositivo.

Algumas configurações não são suportadas porque não são aplicadas até o utilizador iniciar sessão no Windows:

• Certificados de utilizador
• Plug-ins de VPN não Microsoft UWP da Loja Windows

Validação

Antes de tentar uma associação híbrida Microsoft Entra com a VPN, é importante confirmar que o modo orientado pelo utilizador para Microsoft Entra processo de associação híbrida funciona na rede interna. Este teste simplifica a resolução de problemas ao garantir que o processo principal funciona antes de adicionar a configuração de VPN.

Em seguida, confirme Intune pode ser utilizado para implementar a configuração da VPN e os respetivos requisitos. Teste estes componentes com um dispositivo existente que já Microsoft Entra associado híbrido. Por exemplo, alguns clientes VPN criam uma ligação VPN por computador como parte do processo de instalação. Valide a configuração com os seguintes passos:

1. Verifique se é criada, pelo menos, uma ligação VPN por computador.

   Get-VpnConnection -AllUserConnection
   

2. Tente iniciar manualmente a ligação VPN.

   RASDIAL.EXE "ConnectionName"
   

3. Termine sessão no Windows. Verifique se o ícone de ligação VPN é apresentado na página de início de sessão do Windows.

4. Mova o dispositivo para fora da rede interna e tente estabelecer a ligação com o ícone na página de início de sessão do Windows. Inicie sessão numa conta que não tenha credenciais em cache.

Para configurações de VPN que se ligam automaticamente, os passos de validação podem ser diferentes.

Observação

Uma VPN sempre ativada pode ser utilizada para este cenário. Para obter mais informações, veja Deploy always-on VPN (Implementar uma VPN always-on).

Próximas etapas

• Implemente Microsoft Entra dispositivos híbridos associados com o Intune e o Windows Autopilot.
• Como inscrever com o Windows Autopilot.
• Experimente a associação híbrida do Windows Autopilot através de VPN no laboratório do Azure.

Conteúdo relacionado

• O que é uma identidade de dispositivo?.
• Saiba mais sobre os pontos finais nativos da cloud.
• Microsoft Entra associados vs. Microsoft Entra associados híbridos em pontos finais nativos da cloud.
• Tutorial: Configurar um ponto final do Windows nativo da cloud com Microsoft Intune.
• Como: Planear a implementação da associação Microsoft Entra.
• Uma arquitetura para a transformação de gestão de pontos finais do Windows.
• Compreender os cenários de Azure AD e cogestão híbridos.
• Êxito com a associação remota do Windows Autopilot e do Azure Active Directory híbrido.