¿Qué es?
Windows Autopilot ofrece una experiencia fluida y simplificada para la implementación de nuevos dispositivos Windows. Con esta solución, puede preconfigurar sus dispositivos, eliminando la necesidad de intervenciones manuales durante la instalación. Sus empleados se beneficiarán de una experiencia lista para usar: solo tendrán que iniciar sesión con sus credenciales empresariales de Microsoft para que su dispositivo se configure automáticamente con las aplicaciones, la configuración y las políticas de seguridad de la empresa, según lo configurado en Factorial IT Cockpit.
El piloto automático reduce significativamente el tiempo y el esfuerzo necesarios para implementar y administrar dispositivos a escala, al tiempo que garantiza una productividad inmediata para los usuarios.
¿Cuales son los prerrequisitos?
- Tener una cuenta Microsoft con acceso de administrador
- Tener un "inquilino" de Entra
Tener una licencia que incluya:
Microsoft Entra ID Plan 1 (o Plan 2 ) y Windows Autopilot para administrar la consola Entra.
La licencia mínima que incluye estas 2 características es la licencia Enterprise Mobility + Security E3 ( https://www.microsoft.com/fr-fr/microsoft-365/enterprise-mobility-security/compare-plans-and-pricing ).
Si ya tiene una licencia de Windows para la persona que administrará las cuentas, verifique si ya incluye las características necesarias para Autopilot utilizando la siguiente fuente y, si no es así, obtenga una licencia de Enterprise Mobility + Security E3 .
¿Qué sucede cuando un empleado llega con una estación de trabajo configurada con Autopilot?
- Encienda el dispositivo
- Seleccionar país e idioma, configurar el idioma del teclado
- Conectarse a Internet (contraseña WIFI si es necesario)
- Aceptar los términos y condiciones de FleetDM
- El usuario inicia sesión con credenciales de Microsoft + autenticación de dos factores si está disponible
- Configure un código PIN (para evitar ingresar la contraseña cada vez) y configure la huella digital si el dispositivo lo admite
- La estación de trabajo está lista para usarse, se aplican las configuraciones y aplicaciones definidas en Factorial IT Cockpit
¿Cuales son las restricciones?
La principal restricción que impone Autopilot es el tipo de cuenta de usuario en la máquina. El usuario no tiene una "cuenta local" en la máquina, sino una cuenta de Entra.
Las diferencias entre estos 2 tipos de cuentas se detallan en este artículo .
Las cuentas locales parecen estar cada vez más desestimadas por Microsoft en favor de las cuentas Entra.
El administrador de Entra puede decidir si los usuarios tienen una cuenta de usuario estándar o de administrador (o incluso crear dos perfiles de Autopilot asociados con diferentes grupos de usuarios).
Tenga en cuenta que los usuarios de Entra con el rol de Administrador global son automáticamente administradores de las máquinas Autopilot en las que inician sesión.
Además, se requiere acceso a Internet durante el primer arranque de la máquina para autenticar al usuario con Entra.
¿Cómo configurarlo?
A continuación se describen los pasos necesarios para configurar un piloto automático.
En la siguiente sección, asumiremos que su empresa se llama ACME y opera en el dominio acme.com .
Creación del dominio y la aplicación Fleet en el portal de Azure
Este procedimiento es algo más técnico y crea una dependencia temporal entre el cliente y Factorial IT: cuando se crea el dominio FleetDM en el portal de Azure del cliente, se genera un código por parte de Microsoft que debe ser:
- Comunicado a los equipos de TI Factorial
- Agregado a nuestra configuración de infraestructura
- Implementado y propagado (esto implica agregar un registro DNS)
Antes de que el procedimiento pueda reanudarse en el lado del portal de Azure (espere aproximadamente 2 días hábiles después de comunicarnos el código).
Si actualmente utiliza Intune como su MDM para administrar su flota de TI y tiene la intención de cambiar para probar FleetDM (MDM de Factorial IT), deberá realizar un conjunto de operaciones en la consola de Microsoft Azure, con derechos administrativos, para:
- Declare el dominio utilizado por FleetDM como legítimo con Azure (por ejemplo
{company}.mdm.getprimo.com) - Crea la aplicación Fleet y dale los derechos necesarios y suficientes para que actúe como MDM
- Solicitar a Azure que los nuevos dispositivos sean administrados por FleetDM en lugar de Intune
Declaración del dominio FleetDM
- Inicie sesión con una cuenta de administrador en: https://portal.azure.com/
- Busque y haga clic en Nombres de dominio
- Haga clic en + Agregar dominio personalizado
- En el campo, ingrese {company}.mdm.getprimo.com (es decir, acme.mdm.getprimo.com , pregunte al soporte ( factorial-factorial-support@getprimo.com ) si no conoce este nombre de dominio)
- Comparte con nosotros el valor del campo Dirección de destino o ruta (en formato
MS=ms12345678) - Espere nuestra respuesta (2 días hábiles como máximo) antes de continuar con el trámite
- Luego puedes hacer clic en Verificar
Creación de la aplicación FleetDM
- Inicie sesión con una cuenta de administrador en: https://portal.azure.com/
- Búsqueda de Movilidad (MDM y MAM)
- Seleccione + Agregar aplicación , luego seleccione + Crear su propia aplicación
- Ingrese Fleet como nombre de la aplicación y haga clic en Crear
- Llenar
- Condiciones de uso de MDM URL:
https://{company}.mdm.getprimo.com/api/mdm/microsoft/tos - URL de descubrimiento de MDM:
https://{company}.mdm.getprimo.com/api/mdm/microsoft/discovery
- Condiciones de uso de MDM URL:
- Haga clic en Guardar
- Regreso a la Movilidad (MDM y MAM)
- Haga clic en la aplicación Fleet y luego en Configuración de la aplicación MDM personalizada
- Haga clic en el enlace debajo del URI de ID de aplicación y luego haga clic en Editar
- Ingrese la dirección de su instancia de Fleet (
https://{company}.mdm.getprimo.com) y haga clic en Guardar
- Seleccione los permisos de API y luego agregue un permiso
- Haga clic en Microsoft Graph, luego en Permisos delegados y luego seleccione:
- Grupo > Grupo.Leer.Todo
- Grupo > Grupo.Lectura.Escritura.Todo
- Y haga clic en Agregar permisos
- Luego regrese a Permisos de API y agregue un permiso , y elija Microsoft Graph nuevamente.
- Esta vez, haga clic en Permisos de la aplicación y agregue los siguientes permisos:
- Dispositivo > Dispositivo.Leer.Todo
- Dispositivo > Dispositivo.Lectura.Escritura.Todo
- Directorio > Directorio.Leer.Todo
- Grupo > Grupo.Leer.Todo
- Usuario > Usuario.Leer.Todo
- y haga clic en Agregar permisos
- Una vez de regreso en la pantalla de permisos de API, haga clic en Otorgar consentimiento de administrador para ACME
La aplicación Fleet ahora está declarada como un MDM legítimo con el portal de Azure.
Declarar FleetDM como el MDM predeterminado para nuevos dispositivos
- Inicie sesión con una cuenta de administrador en: https://portal.azure.com/
- Ir a Movilidad (MDM y MAM)
- Haga clic en Microsoft Intune
- En el ámbito de usuario de MDM , seleccione Ninguno
- En el ámbito de usuario de MAM , seleccione Ninguno
- Haga clic en Guardar
- Ir a Movilidad (MDM y MAM)
- Haga clic en Flota
- En el ámbito de usuario de MDM , seleccione Todos
- En el ámbito de usuario de MAM , seleccione Todos
- Haga clic en Guardar
La aplicación Fleet ahora está declarada como el MDM que manejará nuevos dispositivos con el portal de Azure.
Nota : Si ha comenzado a inscribir dispositivos en Factorial IT/FleetDM antes de realizar estas operaciones, avísenos para que podamos forzar el cambio de MDM de Intune ⇒ FleetDM ejecutando un script (sin el cual la máquina estará en un estado inconsistente que puede afectar la experiencia Factorial IT).
Administración de perfiles de implementación en la consola de Intune
Para completar la configuración del piloto automático, es necesario crear al menos un "perfil de implementación".
Puede encontrar la documentación oficial de Microsoft sobre perfiles de implementación en este enlace .
A través de este perfil es posible definir las siguientes configuraciones:
- Elección del tipo de usuario: Administrador o Estándar Nota : Los usuarios de Entra con un rol de Administrador global serán administradores de todas las máquinas independientemente del valor de esta configuración.
- Elección de país predeterminada
- Elección del idioma del teclado predeterminado
- Patrón de nombres de máquinaPor ejemplo:
ACME-%RAND:5%generará los siguientes nombres:- ACME-23456
- ACME-98479
- ACME-19838
Para crear un perfil de implementación, siga estas instrucciones:
- Vaya al siguiente enlace o inicie sesión en https://intune.microsoft.com/ y vaya a Dispositivos > Inscripción > Perfiles de implementación
- Haga clic en + Crear perfil
- El primer paso le permite nombrar el perfil.
- El segundo permite describir los modos de implementación.
- El tercer paso le permite asignar perfiles al dispositivo.
Cree un grupo dinámico para apuntar a todos los dispositivos ZTD:
- Ir al siguiente enlace
- Haga clic en + Crear grupo
- Nómbrelo “Dispositivos Windows Autopilot”, por ejemplo
- Como objetivo seleccione “dispositivos dinámicos”
- Para la regla dinámica, utilice (device.devicePhysicalIds -any (_ -startsWith "[ZTDid]"))
- Haga clic en Crear
Por último, cree una configuración de página de estado de inscripción:
- Vaya al siguiente enlace o inicie sesión en https://intune.microsoft.com/ y vaya a Dispositivos > Inscripción > Página de estado de inscripción
- Haga clic en + Crear
- El primer paso le permite nombrar el perfil (por ejemplo, Factorial IT)
- El segundo te permite definir si quieres mostrar el progreso al usuario o no. Te sugerimos que lo hagas. En caso afirmativo, puedes configurarlo como prefieras. Puedes mantener los valores predeterminados.
- El tercer paso te permite asignar el ESP a los dispositivos. Asígnalo a tu grupo dinámico.
Probando la experiencia del piloto automático
Compartir el acceso a la consola de administración de Intune con InMac
Para que Autopilot funcione automáticamente en los dispositivos pedidos a través de Factorial IT, es necesario realizar una operación con nuestro socio distribuidor InMac:
- Establecer una relación de asociación de Microsoft entre InMac y usted
Este acceso les permitirá, para cada dispositivo ordenado, informar a Intune de su existencia y asegurar que sea manejado por Factorial IT durante su inicialización.
Para ello deberás utilizar el siguiente enlace desde una cuenta con el rol de Administrador Global .
Siga las instrucciones hasta aceptar la relación de asociación.
Alternativa: probar en hardware existente (requiere reiniciar el dispositivo)
Hay otra forma de probar la experiencia de Autopilot sin tener que pedir necesariamente nuevos dispositivos a través de Factorial IT (y por tanto sin tener que establecer la relación de asociación y el acceso granular a la consola de administración descrita en el párrafo anterior).
Para ello, simplemente siga estas instrucciones de nuestro socio FleetDM ( Paso 2: registrar una estación de trabajo de prueba ) que describe el proceso que consiste en:
- Extraer el hash del dispositivo (su número de serie, por así decirlo)
- Importarlo a la lista de dispositivos Autopilot en su consola de Azure/Intune (así se establece el vínculo entre este dispositivo y su empresa)
- Reiniciar el dispositivo
El usuario podrá entonces disfrutar de la experiencia del Piloto Automático.