Microsoft Intune – Onboarding dei dispositivi con Windows Autopilot

Windows Autopilot semplifica la configurazione e la gestione di nuovi dispositivi Windows ed è particolarmente utile per le aziende. Autopilot consente di preconfigurare i nuovi dispositivi Windows 10 o Windows 11, eliminando la necessità di configurazioni manuali da parte degli utenti finali o del personale IT.

Potete personalizzare i dispositivi con impostazioni specifiche, app preinstallate e configurazioni di rete, assicurandovi che ogni dispositivo sia pronto per l’uso immediato con tutte le impostazioni necessarie. Con Autopilot i dispositivi vengono registrati automaticamente in Microsoft Intune, permettendovi di gestirli da remoto e di applicare le policy aziendali.

Gli utenti finali riceveranno un dispositivo già configurato e pronto per l’uso, con una semplice procedura di accesso, riducendo il tempo necessario per iniziare a lavorare e migliorando l’esperienza complessiva. Inoltre, Autopilot facilita il reset dei dispositivi per il riutilizzo da parte di nuovi utenti, permettendovi di ripristinare rapidamente le impostazioni predefinite e preparare i dispositivi per una nuova distribuzione.

 

Prerequisiti

Per utilizzare Windows Autopilot dovete soddisfare alcuni prerequisiti fondamentali. È necessario disporre di dispositivi Windows 10 o Windows 11 compatibili e acquistati attraverso canali che supportano Autopilot, come i rivenditori autorizzati o i fornitori OEM che offrono dispositivi registrati per Autopilot. Trovate un elenco dei rivenditori di dispositivi alla pagina Distribuzione dei dispositivi Autopilot per il lavoro ibrido | Microsoft 365

Dovete avere un abbonamento a Microsoft 365 (in particolare, le versioni che includono Microsoft
Intune). È essenziale avere accesso a Microsoft Intune per gestire e configurare i dispositivi.

Avete bisogno di un account Microsoft Entra ID, poiché Autopilot richiede che i dispositivi siano registrati in Microsoft Entra ID per gestire l’identità e l’accesso degli utenti.

Assicuratevi che i dispositivi abbiano una connessione Internet durante il processo di configurazione iniziale, poiché Autopilot necessita di connettersi ai servizi di Microsoft per completare la configurazione.

Preparate i profili di distribuzione in Microsoft Intune, specificando le configurazioni e le impostazioni desiderate per i nuovi dispositivi. I driver e il firmware dei dispositivi devono essere aggiornati e compatibili con le versioni di Windows supportate da Autopilot.

 

Prerequisiti per l’uso di Windows AutoPilot

Per utilizzare Windows AutoPilot è necessario che il dispositivo sia “conosciuto” dalla vostra infrastruttura cloud. Quando comprate un nuovo dispositivo il produttore dell’hardware può caricare per conto vostro le informazioni specifiche del dispositivo. Se invece volete utilizzare Windows AutoPilot per gestire i dispositivi che già possedete nella vostra azienda, potete prendere le informazioni relative ai dispositivi utilizzando un apposito script PowerShell per generare le informazioni che poi potete caricare all’interno di Microsoft Intune.

Prima di poter iniziare ad utilizzare Windows AutoPilot per la distribuzione di Windows 10/11 devono essere verificati i seguenti prerequisiti:

  • I dispositivi devono avere già Windows 10/11 preinstallato. Windows AutoPilot trasforma un’installazione esistente di Windows 10/11 modificando i parametri di configurazione nella fase di Out of Box Experience (OOBE). Non verrà infatti distribuita una immagine di Windows 10/11 e il dispositivo deve cominciare il setup OOBE. Il dispositivo può essere un nuovo dispositivo con già preinstallato il sistema operativo Windows 10/11 che un hardware vendor ha distribuito oppure può essere un dispositivo Windows 10/11 che già possedete e che è stato configurato per partire dal setup OOBE, per esempio utilizzando il System Preparation Tool (Sysprep).
  • Utilizzare Windows 10/11 Pro, Enterprise oppure Education. Windows AutoPilot non può funzionare con Windows 10/11 Home.
  • Il dispositivo deve essere registrato dall’organizzazione. Windows AutoPilot può distribuire sistemi operativi Windows 10/11 solo ai dispositivi “conosciuti” e “registrati”. Per prima cosa dovete caricare le informazioni specifiche del dispositivo che includono gli hardware IDs del device in Microsoft Intune.
  • I dispositivi devono disporre di una connessione ad Internet. Windows AutoPilot è un servizio cloud e può distribuire il sistema operativo Windows 10/11 soltanto dopo che i dispositivi si sono connessi ad Internet.

 

Fase di setup

Una volta che avete rispettato tutti i prerequisiti, il setup di svolge in queste fasi:

  1. Ottenere gli Hardware IDs dei dispositivi che volete configurare con Windows AutoPilot e caricare gli Hardware IDs nel portale di Intune (se non sono stati caricati già dal vendor OEM o dal distributore da cui avete acquistato i dispositivi)
  2. Creare un Windows AutoPilot deployment profile
  3. Applicare il Windows AutoPilot deployment profile ai dispositivi da configurare

Figura 1: Gestione moderna del dispositivo

Personalizzazione del Company Branding

Per poter utilizzare Windows AutoPilot è obbligatorio personalizzare il Company Branding. Dal portale di Microsoft Entra selezionate User experiences > Company branding > Edit. Per Windows AutoPilot è obbligatorio compilare i campi Sign-in page text.

Figura 2: Personalizzazione del Company Branding

Configurate quindi le impostazioni di branding. Qui potete caricare il logo della vostra azienda, un’immagine di sfondo per la schermata di accesso e configurare i colori e i messaggi di benvenuto personalizzati. Assicuratevi che le immagini rispettino le dimensioni e i requisiti specificati dal portale. Questa personalizzazione non solo migliora l’esperienza utente, ma rafforza anche l’identità aziendale, rendendo i dispositivi subito riconoscibili come parte dell’organizzazione.

Figura 3: Personalizzazione del Company Branding

Configurazione delle Device Enrollment Notifications

A partire da Intune Service release 2209, gli amministratori di sistema possono inviare delle notifiche personalizzate e dei messaggi di posta elettronica agli utenti che hanno effettuato l’enrollment dei dispositivi in Microsoft Intune.

Grazie alle notifiche inviate ai dispositivi Windows, Android e iOS/iPadOS, gli amministratori possono chiedere agli utenti di verificare l’enrollment di un nuovo dispositivo ed eventualmente gli utenti possono avvisare gli amministratori se non sono stati loro, evidenziando in questo modo un comportamento sospetto.

Le notifiche tramite mail verranno inviate direttamente nella cassetta postale dell’utente, mentre le notifiche push appariranno nell’app Intune Company Portal per i dispositivi iOS/iPadOS, macOS e Android. Le Enrollment push notifications non sono supportate per l’app Windows di Intune Company Portal, quindi lì non appariranno.

Collegatevi al portale di Microsoft Intune con le credenziali di un utente che sia Global Administrator oppure Intune Administrator e selezionate la voce Devices > Enrollment > Windows e selezionate Enrollment notifications.

Per maggiori informazioni sulla configurazione vi rimando alla lettura della mia guida Microsoft Intune – Configurare le Device Enrollment Notifications – ICT Power

Figura 4: Configurazione delle Device Enrollment Notifications

Figura 5: Creazione di una Device Enrollment Notification

Creazione di un gruppo di dispositivi per Windows Autopilot

Nei prossimi passaggi vedremo come creare un gruppo dinamico che conterrà i dispositivi destinati alla funzionalità Autopilot. La creazione di un gruppo dinamico in Microsoft Entra ID permette di organizzare automaticamente i dispositivi in base a criteri specifici, semplificando la gestione e l’applicazione di configurazioni tramite Autopilot.

Accedete al portale di Microsoft Entra ID o al portale di Microsoft Intune e selezionate Groups e New group. Create un nuovo Security group e configurate le regole di appartenenza dinamica selezionando Dynamic Device. Cliccate su Add dynamic query per aprire il generatore di regole.

Figura 6: Creazione di un nuovo gruppo dinamico per i dispositivi Autopilot

Nella finestra del generatore di regole inserite la query che selezioni i dispositivi destinati ad Autopilot: (device.devicePhysicalIDs -any (_ -contains “[ZTDId]”))

Questa query aggiunge tutti i dispositivi che sono stati registrati per l’utilizzo con Autopilot al gruppo dinamico che stiamo creando.

Figura 7: Query che aggiunge tutti i dispositivi che sono stati registrati per l’utilizzo con Autopilot

Dopo aver inserito la query, cliccate su Save per salvare le regole di appartenenza dinamica. Una volta configurate tutte le impostazioni, cliccate su Create per creare il gruppo.

Figura 8: Creazione del gruppo dinamico di dispositivi Autopilot

Figura 9: Gruppo dinamico di dispositivi Autopilot creato correttamente

Creazione del Deployment Profile

Il Deployment Profile di Windows Autopilot serve a configurare e personalizzare automaticamente i dispositivi Windows durante il loro primo avvio, facilitando il processo di distribuzione e configurazione per gli utenti finali e riducendo il carico di lavoro per il reparto IT. Con questo profilo potete preconfigurare i dispositivi con le impostazioni aziendali necessarie, eliminando la necessità di configurazioni manuali da parte degli utenti o del personale IT.

Il profilo di distribuzione permette di definire le impostazioni dell’Out-of-Box Experience (OOBE), come la schermata di benvenuto, il saluto personalizzato e altre preferenze che gli utenti vedranno quando accenderanno il dispositivo per la prima volta. Inoltre, il profilo può configurare i dispositivi per joinare automaticamente a Microsoft Entra ID, semplificando la gestione dell’identità e l’accesso ai servizi aziendali.

Con il Deployment Profile potete anche assegnare i dispositivi a gruppi specifici in Microsoft Intune, facilitando l’applicazione di policy, app e configurazioni basate sui ruoli o sulle necessità degli utenti. Inoltre, il profilo permette di applicare configurazioni di sicurezza e conformità predefinite, garantendo che i dispositivi siano protetti e conformi alle policy aziendali sin dal primo utilizzo.

Dal portale di Microsoft Intune selezionate Devices > Enrollment > Deployment profiles

Figura 10: Creazione di un nuovo enrollment profile per Windows Autopilot

Figura 11: Creazione di un nuovo enrollment profile per Windows Autopilot

Date un nome ed una descrizione al profilo. Durante la creazione di un Deployment Profile in Windows Autopilot c’è l’opzione Convert all targeted devices to Autopilot, che consente di convertire automaticamente i dispositivi mirati in dispositivi gestiti da Autopilot. Questa funzione è particolarmente utile per garantire che tutti i dispositivi selezionati (e che siano già gestiti da Microsoft Intune) siano configurati per utilizzare le funzionalità di Autopilot senza dover effettuare ulteriori passaggi manuali.

Figura 12: Creazione di un nuovo Deployment Profile

Nella scheda Out-of-Box Experience (OOBE) del wizard di creazione di un nuovo deployment profile per Windows Autopilot troverete diverse opzioni che vi permetteranno di personalizzare e configurare l’esperienza di primo avvio del dispositivo per gli utenti finali. Queste sono le opzioni disponibili:

  • Deployment mode
    • User-driven (guidata dall’utente): Questa modalità richiede l’interazione dell’utente per completare la configurazione del dispositivo.
    • Self-deploying (auto-distribuzione): Questa modalità non richiede interazione dell’utente e può essere utilizzata per configurare dispositivi condivisi o chioschi.
  • Join to Microsift Entra ID as
    • Microsoft Entra joined: Il dispositivo viene unito direttamente a Microsoft Entra ID.
    • Microsoft Entra hybrid joined Il dispositivo viene unito sia al dominio locale (AD) sia a Microsoft Entra ID.
  • Hide privacy settings
    • Questa opzione consente di nascondere le schermate delle impostazioni sulla privacy durante l’OOBE, semplificando l’esperienza per l’utente finale.
  • Hide change account options
    • Nasconde le opzioni per cambiare account durante l’OOBE, obbligando gli utenti a utilizzare le credenziali aziendali.
  • User account type
    • Questa opzione permette di definire il tipo di account utente che verrà creato sul dispositivo durante la configurazione iniziale. Scegliere tra un account Administrator o Standard user permette di bilanciare tra controllo utente e sicurezza del dispositivo, garantendo che i dispositivi siano configurati in linea con le esigenze aziendali e le politiche di sicurezza.
  • Allow pre-provisioned deployment
    • Questa opzione è comunemente nota come “White Glove” e permette al reparto IT o al fornitore di preparare il dispositivo prima che venga consegnato all’utente finale. Abilitando questa opzione, potete preparare i dispositivi in anticipo, garantendo una transizione più fluida e rapida per gli utenti finali, migliorando l’efficienza operativa e riducendo il carico di lavoro durante la fase di distribuzione.
  • Language (Region)
    • Specifica la lingua predefinita da applicare durante l’OOBE.
  • Automatically configure keyboard
    • Se abilitata, questa opzione configura automaticamente il layout della tastiera senza richiedere l’intervento dell’utente.
  • Apply computer name template
    • Permette di configurare un modello per i nomi dei computer, utilizzando variabili come %SERIAL% (numero di serie del dispositivo) per generare nomi univoci.

Figura 13: Scheda OOBE del wizard di creazione di un nuovo deployment profile

Gli scope tags in Microsoft Intune sono un metodo di controllo accessi che consente di gestire e filtrare le risorse all’interno dell’organizzazione. Essi aiutano a definire chi può vedere e gestire determinati dispositivi, app, policy e profili all’interno di Intune. Sono particolarmente utili in scenari di gestione multi-tenant o in organizzazioni con reparti IT decentralizzati.

Figura 14: Inserimento degli Scope Tags per il profilo

Nella scheda Assignment decidete a quale gruppo di Microsoft Entra ID volete assegnare il deployment profile. Io ho usato il gruppo dinamico di dispositivi creato in precedenza.

Figura 15: Assegnazione del Deployment Profile a un gruppo in Microsoft Entra ID

Completate il wizard facendo clic su Create.

Figura 16: Completamento del wizard di creazione del deployment profile

Figura 17: Deployment profile creato correttamente

Configurazione della Enrollment Status Page

La Enrollment Status Page (ESP) è una funzionalità di Microsoft Intune che mostra lo stato di registrazione e configurazione del dispositivo durante il processo di provisioning iniziale. La ESP fornisce informazioni in tempo reale all’utente finale, assicurando che il dispositivo venga configurato correttamente prima di essere utilizzato.

La ESP assicura che tutte le configurazioni richieste siano applicate prima che l’utente possa utilizzare il dispositivo e lutente finale può vedere in tempo reale quali configurazioni sono in corso e quali sono completate, riducendo l’incertezza durante il processo di configurazione iniziale.

Mostrando chiaramente lo stato di ogni passaggio, la ESP aiuta a identificare e risolvere eventuali problemi di configurazione in tempo reale. Se un passaggio fallisce, l’utente o il team IT può intervenire immediatamente per risolvere il problema, assicurando che il dispositivo sia pronto all’uso.

Per configurare la ESP in Microsoft Intune selezionate Devices > Enrollment > Enrollment Status Page

Figura 18: Configurazione della Enrollment Status Page

Cliccate su + Create per creare un nuovo profilo ESP o selezionate un profilo esistente per modificarlo. Io ho deciso di modificare il profilo esistente di Default.

Figura 19: Modifica del profilo esistente per la Enrollment Status Page

Figura 20: Modifica del profilo esistente per la Enrollment Status Page

Io ho abilitato le seguenti opzioni:

  • Show app and profile configuration progress: Abilitate questa opzione per visualizzare lo stato di avanzamento dettagliato durante la configurazione.
  • Turn on log collection and diagnostics page for end users: Microsoft Intune permette di attivare la raccolta dei log e di fornire una pagina di diagnostica per gli utenti finali. Questo facilita la risoluzione dei problemi, permettendo agli utenti di inviare log e diagnosticare problemi direttamente dai loro dispositivi.
  • Only show page to devices provisioned by out-of-box experience (OOBE): Attivate questa opzione per limitare la visualizzazione della pagina di diagnostica ai dispositivi configurati tramite l’esperienza di primo avvio.

Figura 21: Configurazione delle opzioni della Enrollment Status Page

Raccogliere le informazioni hardware (Hardware IDs) da un dispositivo

Raccogliere le informazioni hardware (Hardware IDs) da un dispositivo è un passaggio essenziale in diversi scenari di gestione IT, in particolare quando si utilizza Windows Autopilot per la distribuzione e la configurazione dei dispositivi che sono già presenti in azienda oppure che non sono stati aggiunti direttamente dal fornitore OEM o dal distributore da cui li avete acquistati.

Poiché stiamo utilizzando una macchina virtuale di test e il produttore di hardware non ha provveduto ad inserire l’Hardware ID nel tenant di Microsoft Intune, dobbiamo utilizzare uno script PowerShell per recuperare le informazioni che ci servono e che poi dovremo caricare nel portale di Microsoft Intune. Dalla VM accesa aprite un prompt di PowerShell con privilegi elevati e scaricate lo script Get-WindowsAutoPilotinfo dalla PowerShell Gallery con il comando Install-Script -Name Get-WindowsAutoPilotInfo

Avviate la vostra macchina (nel mio caso è una Virtual Machine) e nella schermata iniziale dell’OOBE premete SHIFT + 10 per lanciare un Command Prompt.

Figura 22: Apertura di un Command Prompt mentre la macchina è in modalità Out-of-Box Experience (OOBE)

Digitate i comandi seguenti per installare lo script PowerShell per recuperare l’hardware ID del dispositivo:

Verranno installati i moduli PowerShell WindowsAutopilotIntune e Microsoft.Graph.Intune e vi verrà chiesta l’autenticazione all’ Intune Graph API (utilizzate le credenziali di un Intune Administrator oppure di un Global Administrator).

Figura 23: Installazione dello script Get-WindowsAutopilotInfo

Figura 24: Accesso all’Intune Graph API

Figura 25: Autorizzazioni richieste da Intune Graph API

Nel giro di pochi minuti l’hardware ID del dispositivo verrà caricato nel vostro tenant di Microsoft Intune. Il seriale del dispositivo sarà visibile nel portale di Intune.

Figura 26. Esecuzione dello script completata con successo

Deep Dive su Get-WindowsAutopilotInfo.ps1

Lo script PowerShell Get-WindowsAutopilotInfo.ps1 è uno strumento essenziale per raccogliere le informazioni hardware necessarie per registrare i dispositivi in Windows Autopilot. Questo deep dive esamina in dettaglio come funziona lo script, le sue opzioni e come utilizzarlo efficacemente per gestire i dispositivi.

Funzionalità di Base

Get-WindowsAutopilotInfo.ps1 raccoglie informazioni hardware critiche dai dispositivi, tra cui:

  • Device Serial Number (Numero di serie del dispositivo)
  • Hardware Hash
  • Product Key (se applicabile)

Queste informazioni sono necessarie per registrare un dispositivo in Windows Autopilot, permettendo di configurarlo automaticamente secondo le policy aziendali.

Dettagli Tecnici

  • Raccolta dei Dati:
    • Lo script utilizza il cmdlet Get-WmiObject per raccogliere informazioni dettagliate sul dispositivo.
    • Viene generato un hardware hash univoco per ogni dispositivo, necessario per la registrazione in Autopilot.
  • Autenticazione:
    • Quando si utilizza l’opzione -Online, lo script avvia un processo di autenticazione interattiva, richiedendo le credenziali di un amministratore con permessi adeguati in Microsoft Entra ID.
  • Generazione del CSV:
    • Senza l’opzione -Online, lo script crea un file CSV che può essere importato manualmente nel portale di Microsoft Endpoint Manager per registrare i dispositivi.

Lo script Get-WindowsAutopilotInfo.ps1 utilizza una classe WMI chiamata MDM_DevDetail per recuperare le informazioni hardware della macchina. Vi basta aprire lo script per vederlo (lo trovate nella cartella C:\Program Files\WindowsPowerShell\Scripts), alla riga 211 c’è $devDetail = (Get-CimInstance -CimSession $session -Namespace root/cimv2/mdm/dmmap -Class MDM_DevDetail_Ext01 -Filter “InstanceID=’Ext’ AND ParentID=’./DevDetail'”). il risultato di $devDetail è lo stesso che vedete nella colonna “hardware hash”.

Figura 27: Contenuto dello script Get-WindowsAutopilotInfo.ps1

Questa esecuzione genera in output un file XML con le informazioni hardware della macchina su cui è stato eseguito e c’è anche data e ora di esecuzione.
Quello che viene visualizzato come “hardware hash” nell’ultima colonna di output del file CSV generato dallo script Get-WindowsAutopilotInfo.ps1 non è un vero hash ma in realtà un encoding Base64 del file XML. Poichè il file XML contiene anche data e ora (che poi non vengono utilizzate dal servizio Windows Autopilot), ogni volta che esegui lo script avrai in output “hardware hash” diversi.

Figura 28: Dettagli dell’Hardware Hash

Perciò non importa se il PC sia assemblato o meno, verranno recuperate le informazioni necessarie ad identificarlo in maniera univoca nel servizio Windows Autopilot.

Se vuoi recuperare il contenuto del file XML puoi lanciare lo strumento OA3Tool.exe contenuto nel Windows Assessment and Deployment Kit (ADK). Trovi al sintatti al link https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/oa3-command-line-config-file-syntax?view=windows-11

Vi basterà utilizzare il comando OA3Tool /decodeHwhash=<Hardware Hash string>

& ‘C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Deployment Tools\amd64\Licensing\OA30\oa3tool.exe’ /DecodeHwHash=”$($devDetail.DeviceHardwareData)”

Sotto trovate l’immagine di output della mia macchina (assemblata)

Figura 29: Hardware inventory

Dopo che avete recuperato l’hardware ID con lo script Get-WindowsAutopilotInfo.ps1 potete spegnere il computer.

 

Verifica del dispositivo importato in Windows Autopilot

Dopo aver utilizzato lo script Get-WindowsAutopilotInfo.ps1 -Online per importare i dispositivi in Windows Autopilot è importante verificare che l’importazione sia avvenuta correttamente e che i dispositivi siano pronti per essere configurati secondo le policy aziendali.

Dal portale di Microsoft Intune selezionate Devices > Enrollment > Devices

Figura 30: Gestione dei dispositivi registrati in Windows Autopilot

Nella pagina dei dispositivi vedrete un elenco di tutti i dispositivi importati e registrati in Windows Autopilot. Verificate che i dispositivi importati siano presenti nella lista.

Figura 31: Dispositivo registrato in Windows Autopilot

Verificate che il Deployment Profile corretto sia assegnato al dispositivo. Poiché abbiamo assegnato il profilo ad un gruppo dinamico di Microsoft Entra ID, sarà necessario attendere qualche secondo per permettere prima al dispositivo di avere la corretta appartenenza al gruppo e successivamente ricevere il profilo assegnato. Attendete che il profilo sia Assigned.

Figura 32: Deployment profile assegnato correttamente al dispositivo registrato in Windows Autopilot

Figura 33: Il dispositivo è stato aggiunto correttamente al gruppo dinamico di Microsoft Entra ID

Esperienza utente Windows Autopilot

Qui di seguito vi descrivo l’esperienza utente con Windows Autopilot:

  • Accensione del dispositivo:
    • L’utente accende il nuovo dispositivo o un dispositivo ripristinato alle impostazioni di fabbrica.
    • Il dispositivo si connette a Internet (Wi-Fi o Ethernet).
  • Autenticazione e accesso:
    • L’utente vede una schermata di benvenuto personalizzata con il logo e il nome dell’azienda (se configurato).
    • Viene richiesto di inserire le proprie credenziali aziendali (username e password) per autenticarsi tramite Microsoft Entra ID.
  • Applicazione dei profili di distribuzione:
    • Dopo l’autenticazione, Windows Autopilot inizia ad applicare il Deployment Profile assegnato al dispositivo.
    • Questo include l’unione del dispositivo a Microsoft Entra ID o al dominio ibrido, la configurazione delle impostazioni di sicurezza e la policy aziendale.
  • Enrollment Status Page (ESP):
    • L’utente vede la Enrollment Status Page (ESP), che mostra il progresso della configurazione.
    • La ESP informa l’utente sullo stato dell’installazione delle applicazioni, delle policy e delle configurazioni.
    • Se configurato, l’uso del dispositivo viene bloccato fino al completamento di tutte le installazioni necessarie.
  • Configurazione di Windows Hello for Business:
    • Se configurato, l’utente viene guidato attraverso il processo di configurazione di Windows Hello for Business, che include l’impostazione del PIN o di altri metodi di autenticazione biometrica.
  • Installazione delle applicazioni e delle policy:
    • Le applicazioni aziendali e le configurazioni specificate vengono scaricate e installate automaticamente.
    • Le policy di sicurezza e conformità vengono applicate per garantire che il dispositivo sia conforme agli standard aziendali.
  • Completamento:
    • Una volta completati tutti i passaggi, l’utente visualizza il desktop di Windows.
    • Il dispositivo è ora pronto per l’uso con tutte le applicazioni, le configurazioni e le impostazioni aziendali già applicate.

Nelle figure seguenti sono mostrate le schermate che appaiono all’utente quando accende il dispositivo la prima volta, durante la Out-of-The-Box-Experience (OOBE)

Figura 34: Accensione del dispositivo e connessione ad Internet

Figura 35: Il dispositivo riceve il deployment profile che gli è stato assegnato

Figura 36: Il PC si riavvia per iniziare la procedura di Autopilot

Figura 37: L’utente vede una schermata di benvenuto personalizzata con il logo e il nome dell’azienda. Viene richiesto di inserire le proprie credenziali aziendali (username e password) per autenticarsi tramite Microsoft Entra ID

Figura 38: Configurazione del dispositivo in corso

Figura 39: L’utente vede la Enrollment Status Page (ESP), che mostra il progresso della configurazione

Premendo la combinazione di tasti CRTL + SHIFT + D mentre viene mostrata la Enrollment Status Page permette di accedere alle Windows Autopilot Diagnostics. La schermata di diagnostica di Windows Autopilot è uno strumento potente per identificare e risolvere i problemi durante il processo di registrazione e configurazione dei dispositivi. Abilitare questa funzionalità attraverso la configurazione appropriata della Enrollment Status Page e dei profili di distribuzione assicura che gli utenti e gli amministratori IT abbiano gli strumenti necessari per mantenere un processo di deployment efficiente e intervenire in caso di problematiche.

Figura 40: Schermata di diagnostica di Windows Autopilot

Se è stato configurato, è possibile saltare la Enrollment Status Page (ESP) in Windows Autopilot. Saltare l’ESP può migliorare la velocità del processo di configurazione, ma comporta alcune considerazioni importanti: senza l’ESP non c’è garanzia che tutte le applicazioni e le configurazioni siano completamente applicate prima che l’utente inizi a utilizzare il dispositivo. Questo potrebbe portare a problemi di conformità o sicurezza. Gli utenti potrebbero incontrare una configurazione incompleta o un’esperienza non ottimale se le configurazioni e le app non vengono applicate correttamente.

Figura 41: Se è stato configurato, è possibile saltare la Enrollment Status Page (ESP) in Windows Autopilot

Figura 42: Configurazione del dispositivo in corso

Figura 43: Se configurato, l’utente viene guidato attraverso il processo di configurazione di Windows Hello for Business, che include l’impostazione del PIN o di altri metodi di autenticazione biometrica

Una volta completati tutti i passaggi, l’utente visualizza il desktop di Windows. Il dispositivo è ora pronto per l’uso con tutte le applicazioni, le configurazioni e le impostazioni aziendali già applicate.

Come si può vedere dalla figura sotto, al dispositivo sono state distribuite le impostazioni del menu avvio (Start) e della barra delle applicazioni (Taskbar), come ho già spiegato nella guida Microsoft Intune – Personalizzare il menu avvio (Start) e la barra delle applicazioni (Taskbar) – ICT Power. Avete già dato un’occhiata?

Figura 44: Il dispositivo è ora pronto per l’uso con tutte le applicazioni, le configurazioni e le impostazioni aziendali

Il deployment profile imponeva anche un nome ai computer imponendo un particolare modello (WKS%RAND:3%) ed effettivamente il dispositivo ha ricevuto il nome secondo la convenzione scelta, come si può vedere dalla figura sotto:

Figura 45: Il dispositivo ha ricevuto il nome secondo la convenzione scelta

Nel portale di Microsoft Entra i dispositivi registrati tramite Windows Autopilot hanno un’icona particolare che li distingue dagli altri dispositivi. Questa icona aiuta gli amministratori a identificare rapidamente quali dispositivi sono gestiti tramite Autopilot e rappresenta un piccolo computer con un simbolo aggiuntivo che indica l’iscrizione tramite Autopilot.

Figura 46: I dispositivi registrati tramite Windows Autopilot hanno un’icona particolare che li distingue dagli altri dispositivi

Conclusioni

Windows Autopilot rappresenta un’innovazione significativa nella gestione e nella distribuzione dei dispositivi all’interno delle aziende. Grazie alla sua capacità di automatizzare e semplificare il processo di configurazione iniziale, Windows Autopilot riduce notevolmente il carico di lavoro per i reparti IT, migliorando al contempo l’esperienza degli utenti finali.

L’utilizzo di Windows Autopilot permette alle organizzazioni di preconfigurare i dispositivi con le impostazioni aziendali necessarie, garantendo che ogni dispositivo sia pronto per l’uso immediato sin dal primo avvio. Con la possibilità di personalizzare l’Out-of-Box Experience (OOBE), le aziende possono fornire una configurazione coerente e conforme alle policy aziendali, migliorando la sicurezza e la gestione complessiva del parco dispositivi.

In sintesi, Windows Autopilot non solo semplifica la gestione dei dispositivi, ma rappresenta anche un passo avanti verso una gestione IT più efficiente e sicura, garantendo che le aziende possano affrontare le sfide moderne con maggiore agilità e sicurezza.