Qu'est-ce que c'est?

Windows Autopilot offre une expérience simplifiée et fluide pour le déploiement de nouveaux appareils Windows. Cette solution permet de préconfigurer vos appareils, éliminant ainsi toute intervention manuelle lors de l'installation. Vos employés bénéficieront d'une expérience utilisateur optimale : il leur suffira de se connecter avec leurs identifiants professionnels Microsoft pour que leur appareil soit automatiquement configuré avec les applications, les paramètres et les politiques de sécurité de l'entreprise, tels que définis dans le Factorial IT Cockpit.

Autopilot réduit considérablement le temps et les efforts nécessaires au déploiement et à la gestion d'appareils à grande échelle, tout en garantissant une productivité immédiate pour les utilisateurs.

Quels sont les prérequis ?

• Posséder un compte Microsoft avec accès administrateur
• Avoir un « locataire » Entra

Posséder une licence qui comprend :

Microsoft Entra ID Plan 1 (ou Plan 2 ) et Windows Autopilot pour gérer la console Entra.

La licence minimale qui inclut ces 2 fonctionnalités est la licence Enterprise Mobility + Security E3 ( https://www.microsoft.com/fr-fr/microsoft-365/enterprise-mobility-security/compare-plans-and-pricing ).

Si vous disposez déjà d'une licence Windows pour la personne qui gérera les comptes, vérifiez si elle inclut déjà les fonctionnalités nécessaires pour Autopilot en utilisant la source suivante, et sinon, obtenez une licence Enterprise Mobility + Security E3 .

Source : https://cdn-dynmedia-1.microsoft.com/is/content/microsoftcorp/microsoft/final/en-us/microsoft-brand/documents/Modern-Work-Plan-Comparison-Enterprise1.pdf

 

 

Que se passe-t-il lorsqu'un employé arrive avec un poste de travail configuré avec Autopilot ?

• Mettez l'appareil sous tension.
• Sélectionnez le pays et la langue, configurez la langue du clavier
• Se connecter à Internet (mot de passe Wi-Fi si nécessaire)
• Accepter les conditions générales de FleetDM 
  
• L'utilisateur se connecte avec ses identifiants Microsoft + authentification à deux facteurs si disponible 
  
• Configurez un code PIN (pour éviter de saisir votre mot de passe à chaque fois) et configurez la reconnaissance d'empreinte digitale si votre appareil le permet. 
  
• Le poste de travail est prêt à l'emploi ; les paramètres et applications définis dans le Factorial IT Cockpit sont appliqués.

Quelles sont les restrictions ?

La principale contrainte imposée par Autopilot concerne le type de compte utilisateur sur la machine. L'utilisateur ne dispose pas d'un « compte local » sur la machine, mais d'un compte Entra.

Les comptes locaux semblent être de plus en plus délaissés par Microsoft au profit des comptes Entra.

L'administrateur d'Entra peut décider si les utilisateurs disposent d'un compte utilisateur standard ou d'un compte administrateur (ou même créer deux profils Autopilot associés à des groupes d'utilisateurs différents).

Notez que les utilisateurs d'Entra disposant du rôle d'administrateur global sont automatiquement administrateurs des machines Autopilot sur lesquelles ils se connectent.

De plus, un accès Internet est requis lors du premier démarrage de la machine pour authentifier l'utilisateur auprès d'Entra.

Comment le configurer ?

Les étapes nécessaires à la configuration d'un pilote automatique sont décrites ci-dessous.

Dans la section suivante, nous supposerons que votre entreprise s'appelle ACME et opère sur le domaine acme.com .

Création du domaine et de l'application Fleet sur le portail Azure

Cette procédure est un peu plus technique et crée une dépendance temporelle entre le client et Factorial IT : lorsque le domaine FleetDM est créé sur le portail Azure du client, un code est généré par Microsoft qui doit être :

• Communiqué aux équipes informatiques Factorial
• Ajouté à notre configuration d'infrastructure
• Déployé et propagé (cela implique l'ajout d'un enregistrement DNS)

Avant que la procédure puisse reprendre sur le portail Azure (prévoir environ 2 jours ouvrables après nous avoir communiqué le code).

Si vous utilisez actuellement Intune comme solution MDM pour gérer votre parc informatique et que vous souhaitez passer à FleetDM (la solution MDM de Factorial IT), vous devrez effectuer une série d'opérations sur la console Microsoft Azure, avec des droits d'administrateur, pour :

• Déclarez le domaine utilisé par FleetDM comme légitime auprès d'Azure (par exemple {company}.mdm.getprimo.com )
• Créez l'application Fleet et attribuez-lui les droits nécessaires et suffisants pour agir en tant que MDM.
• Demander à Azure de faire gérer les nouveaux appareils par FleetDM plutôt que par Intune

Déclaration du domaine FleetDM

1. Connectez-vous avec un compte administrateur à l'adresse : https://portal.azure.com/
2. Recherchez et cliquez sur Noms de domaine
3. Cliquez sur + Ajouter un domaine personnalisé
4. Dans le champ, saisissez {company}.mdm.getprimo.com (par exemple, acme.mdm.getprimo.com ; si vous ne connaissez pas ce nom de domaine, contactez le support ( factorial-factorial-support@getprimo.com )).
5. Veuillez nous communiquer la valeur du champ Adresse de destination ou d'acheminement (au format MS=ms12345678 ).
6. Veuillez patienter jusqu'à notre réponse (2 jours ouvrables maximum) avant de poursuivre la procédure.
7. Vous pouvez ensuite cliquer sur Vérifier

Création de l'application FleetDM

1. Connectez-vous avec un compte administrateur à l'adresse : https://portal.azure.com/
2. Recherche de mobilité (MDM et MAM)
3. Choisissez + Ajouter une application , puis choisissez + Créer votre propre application
4. Saisissez « Fleet » comme nom d’application et cliquez sur « Créer ».
5. Remplir
   • URL des conditions d'utilisation de la solution MDM : https://{company}.mdm.getprimo.com/api/mdm/microsoft/tos
   • URL y découverte MDM : https://{company}.mdm.getprimo.com/api/mdm/ microsoft/discover
6. Cliquez sur Enregistrer
7. Retour à la mobilité (MDM et MAM)
8. Cliquez sur l'application Fleet , puis sur Paramètres personnalisés de l'application MDM
9. Cliquez sur le lien sous l'URI de l'ID de l'application, puis sur Modifier.
10. Saisissez l'adresse de votre instance Fleet ( https://{company}.mdm.getprimo.com ) et cliquez sur Enregistrer
    
11. Choisissez les autorisations API , puis ajoutez une autorisation.
12. Cliquez sur Microsoft Graph , puis sur Autorisations déléguées , puis sélectionnez :
    • Groupe > Group.Read.All
    • Groupe > Groupe.ReadWrite.All
    • Cliquez ensuite sur Ajouter des autorisations.
13. Retournez ensuite dans les autorisations API , ajoutez une autorisation et sélectionnez à nouveau Microsoft Graph.
14. Cette fois-ci, cliquez sur Autorisations de l'application et ajoutez les autorisations suivantes :
    • Périphérique > Périphérique.Lire.Tout
    • Périphérique > Périphérique.ReadWrite.All
    • Répertoire > Répertoire.Lire.Tout
    • Groupe > Group.Read.All
    • Utilisateur > Utilisateur.Lire.Tout
    • et cliquez sur Ajouter des autorisations
      
15. De retour sur l'écran des autorisations API, cliquez sur Accorder le consentement de l'administrateur pour ACME.

L'application Fleet est désormais déclarée comme une solution MDM légitime auprès du portail Azure.

Déclarer FleetDM comme solution MDM par défaut pour les nouveaux appareils

1. Connectez-vous avec un compte administrateur à l'adresse : https://portal.azure.com/
2. Accédez à la section Mobilité (MDM et MAM)
3. Cliquez sur Microsoft Intune
4. Dans le périmètre utilisateur MDM , sélectionnez Aucun
5. Dans le périmètre utilisateur MAM , sélectionnez Aucun
6. Cliquez sur Enregistrer
7. Accédez à la section Mobilité (MDM et MAM)
8. Cliquez sur Flotte
9. Dans le périmètre utilisateur MDM , sélectionnez Tout
10. Dans le périmètre utilisateur MAM , sélectionnez Tout
11. Cliquez sur Enregistrer

L'application Fleet est désormais désignée comme la solution MDM qui gérera les nouveaux appareils via le portail Azure.

Gestion des profils de déploiement sur la console Intune

Pour finaliser la configuration d'Autopilot, il est nécessaire de créer au moins un « profil de déploiement ».

Ce profil permet de définir les paramètres suivants :

• Choix du type d'utilisateur : Administrateur ou Standard. Remarque : Les utilisateurs Entra disposant du rôle d'administrateur global seront administrateurs de toutes les machines, quelle que soit la valeur de ce paramètre.
• choix du pays par défaut
• choix de langue par défaut du clavier
• Modèle de nommage des machines. Par exemple : ACME-%RAND:5% générera les noms suivants :
  • ACME-23456
  • ACME-98479
  • ACME-19838

Pour créer un profil de déploiement, suivez ces instructions :

1. Accédez au lien suivant ou connectez-vous à https://intune.microsoft.com/ et accédez à Appareils > Inscription > Profils de déploiement
2. Cliquez sur + Créer un profil
3. La première étape vous permet de nommer le profil
4. La seconde permet de décrire les modes de déploiement
5. La troisième étape vous permet d'attribuer des profils à l'appareil

Créez un groupe dynamique pour cibler tous les appareils ZTD :

1. Suivez le lien suivant
2. Cliquer + Créer un groupe
3. Nommez-le « Périphériques Windows Autopilot », par exemple.
4. Sélectionnez « périphériques dynamiques » comme cible.
5. Pour la règle dynamique, utilisez (device.devicePhysicalIds -any (_ -startsWith "[ZTDid]"))
6. Cliquez sur Créer

Enfin, créez une configuration de page d'état d'inscription :

1. Accédez au lien suivant ou connectez-vous à https://intune.microsoft.com/ et accédez à Appareils > Inscription > Page d'état de l'inscription
2. Cliquer + Créer
3. La première étape vous permet de nommer le profil (par exemple, Factorial IT).
4. La seconde option vous permet de définir si vous souhaitez afficher ou non la progression à l'utilisateur. Nous vous recommandons de choisir « oui ». Si c'est le cas, vous pouvez paramétrer votre choix. Vous pouvez également conserver les valeurs par défaut.
5. La troisième étape vous permet d'attribuer l'ESP à des appareils. Attribuez-le à votre groupe dynamique.

Test de l'expérience Autopilot

Partage de l'accès à la console d'administration Intune avec InMac

Pour qu'Autopilot fonctionne automatiquement sur les appareils commandés via Factorial IT, il est nécessaire d'effectuer une opération avec notre revendeur partenaire InMac :

• Établissez un partenariat Microsoft entre InMac et vous

Cet accès leur permettra, pour chaque appareil commandé, d'informer Intune de son existence et de s'assurer qu'il est pris en charge par Factorial IT lors de son initialisation.

Suivez les instructions jusqu'à l'acceptation de la relation de partenariat.

Autre solution : test sur le matériel existant (nécessite une réinitialisation de l’appareil)

Il existe une autre façon de tester l'expérience Autopilot sans nécessairement commander de nouveaux appareils via Factorial IT (et donc sans avoir à établir la relation de partenariat et l'accès détaillé à la console d'administration décrits dans le paragraphe précédent).

Pour ce faire, suivez simplement ces instructions de notre partenaire FleetDM ( Étape 2 : enregistrer un poste de travail de test ) qui décrivent le processus qui consiste en :

• Extraction du hachage de l'appareil (son numéro de série, en quelque sorte)
• Importez-le dans la liste des appareils Autopilot de votre console Azure/Intune (c'est ainsi que le lien est établi entre cet appareil et votre entreprise).
• Réinitialisation de l'appareil

L'utilisateur peut alors profiter pleinement de l'expérience Autopilot.