Bulk enrollment dei dispositivi Windows in Active Directory con Windows Configuration Designer
Molte aziende hanno la necessità di automatizzare l’enrollment dei dispositivi Windows appena acquistati in un dominio di Active Directory e oggi voglio proporvi una soluzione gratuita che utilizza lo strumento Windows Configuration Designer.
Windows Configuration Designer permette di creare pacchetti di provisioning per configurare facilmente i dispositivi che eseguono Windows (ma anche Windows IoT Core, Microsoft Surface Hub e Microsoft HoloLens) e viene usato principalmente dai reparti IT delle aziende o delle scuole che devono effettuare il provisioning di dispositivi BYOD (Bring Your Own Device) oppure dispositivi forniti dall’azienda.
Lo strumento è attualmente supportato per il provisioning dei seguenti sistemi operativi:
- Windows 11
- Windows 10 – x86 e amd64
- Windows 8.1 Update – x86 e amd64
- Windows 8.1 – x86 e amd64
- Windows 8 – x86 e amd64
- Windows 7 – x86 e amd64
- Windows Server 2016
- Windows Server 2012 R2 Update
- Windows Server 2012 R2
- Windows Server 2012
- Windows Server 2008 R2
Installazione di Windows Configuration Designer
Windows Configuration Designer è un’app gratuita disponibile nel Microsoft Store. Vi basterà cercarla ed installarla con pochi clic.
Figura 1: Windows Configuration Designer è un’app gratuita disponibile nel Microsoft Store
Terminata l’installazione potete lanciare lo strumento e cliccare sul bottone Provision desktop devices. L’obiettivo è creare un pacchetto di provisioning (.ppkg) contenente le impostazioni di personalizzazione e quindi applicare il pacchetto di provisioning ad un dispositivo che esegue il client Windows.
Figura 2: Creazione di un nuovo progetto per la configurazione di Windows
Inserite il nome del progetto e fate clic su Finish.
Figura 3: Creazione di un nuovo progetto per la configurazione di dispositivi Windows
La procedura guidata desktop consente di configurare le seguenti impostazioni in un pacchetto di provisioning:
- Configurazione del nome dispositivo
- Configurazione del dispositivo per l’utilizzo condiviso
- Rimozione del software preinstallato (anche il bloatware)
- Configurazione della rete Wi-Fi
- Enrollment del dispositivo in Active Directory oppure in Azure Active Directory (Entra ID)
- Creazione di un utente amministratore locale della macchina
- Aggiunta di eventuali applicazioni e certificati
Oltre alla procedura guidata è anche possibile utilizzare una modalità avanzata, che non verrà trattata in questa guida.
Io ho inserito come nome dispositivo un nome che ha una parte fissa ed una variabile (in modo tale da avere dispositivi con nomi univoci) e un seriale di attivazione di Windows.
C’è anche la passibilità di abilitare la rimozione del software preinstallato (anche il bloatware). La definizione software bloat (o bloatware) si utilizza con riferimento ai programmi preinstallati nei computer e negli smartphone che vengono acquistati; non di rado i programmi si trovano in versione trial, di prova, sono cioè utilizzabili gratuitamente per un certo periodo, al termine del quale per continuare ad usarli si dovranno acquistare le relative licenze. Oppure si tratta di software di gestione dei diversi vendor di hardware.
Figura 4: Inserimento del nome dispositivo (dinamico) e rimozione del software preinstallato
Per abilitare la configurazione automatica di una rete Wi-Fi, selezionate Configura rete e configurate le seguenti impostazioni:
- Configurare la rete: per abilitare la connettività wireless, selezionare Sì.
- SSID di rete: immettere l’IDentifier del set di servizi (SSID) della rete.
- Tipo di rete: selezionare Aperta o WPA2-Personal. Se si seleziona WPA2-Personal, immettere la password per la rete wireless.
Figura 5: Configurazione della rete Wi-Fi
È possibile a questo punto decidere se il dispositivo Windows deve rimanere in workgroup, essere joinato ad Active Directory locale oppure a Entra ID (Azure AD). Nel nostro caso vogliamo che venga effettuato il join ad Active Directory on-premises.
Inserite le credenziali richieste per effettuare il jojn ad Active Directory e inserite anche il nome di un amministratore locale della macchina. Vi consiglio però di dare un’occhiata alla soluzione Windows LAPS – Local Administrator Password Solution per poter gestire le password degli amministratori locali delle macchine in maniera sicura.
Figura 6: Inserimento delle credenziali per il join ad Active Directory
Per aggiungere applicazioni ai dispositivi selezionare Aggiungi applicazioni. È possibile installare più applicazioni, tra cui applicazioni Windows desktop (Win32) e app UWP (Universal Windows Platform) (UWP). Le impostazioni in questo passaggio variano a seconda dell’applicazione selezionata. Per informazioni sulle impostazioni potete visitare la pagina Provision PCs with apps (Windows 10/11).
Figura 7: Aggiunta delle applicazioni al pacchetto di provisioning
Per aggiungere un certificato ai dispositivi, selezionare Aggiungi certificati e configurare le impostazioni seguenti:
- Nome certificato: immettere un nome per il certificato.
- Percorso certificato: esplorare e selezionare il certificato da aggiungere.
Figura 8: Aggiunta di certificati al pacchetto di provisioning
Per completare la procedura guidata, selezionare Fine e decidete se proteggere il pacchetto di provisioning tramite password. Quando si applica il pacchetto di provisioning a un dispositivo, è necessario immettere questa password.
Al termine, fate clic su Crea. L’operazione richiede solo pochi secondi. Al termine della compilazione del pacchetto il percorso in cui è archiviato il pacchetto è visualizzato come collegamento ipertestuale nella parte inferiore della pagina.
Figura 9: Schermata finale della creazione del pacchetto di provisioning
Figura 10: Pacchetto di provisioning creato
Applicazione del pacchetto di provisioning
I pacchetti di provisioning possono essere applicati a un dispositivo durante l’installazione iniziale (OOBE) e dopo (“runtime”).
NOTA: L’applicazione di un pacchetto di provisioning su un dispositivo desktop richiede i privilegi di amministratore sul dispositivo.
Se desiderate applicare il pacchetto nella schermata di configurazione iniziale sarà sufficiente inserirlo in una unità USB (basta una semplice chiavetta) e verrà automaticamente rilevato durante la Out of the Box Experience (OOBE). Nella figura sotto è mostrata la schermata dove avviene il rilevamento.
NOTA: Se la finestra con la selezione della nazione rimanesse in evidenza potreste anche provare a premere il tasto Windows 5 volte per forzare l’operazione di applicazione del pacchetto.
Figura 11: Schermata dove avviene il rilevamento del pacchetto di provisioning durante l’OOBE
Figura 12: Premendo 5 volte di seguito il tasto Windows è possibile attivare la schermata mostrata
Se nell’unità USB sono presenti più pacchetti di provisioning il programma di installazione di Windows riconoscerà l’unità e chiederà come si vuole effettuare il provisioning del dispositivo.
Figura 13: Scelta del pacchetto di provisioning da installare
Figura 14: Il pacchetto di provisioning viene letto automaticamente ed è necessario inserire la password di protezione che abbiamo utilizzato durante la creazione del pacchetto
Figura 15: Enrollment del dispositivo in Active Directory
Dopo il reboot la macchina è pronta per poter essere utilizzata.
Figura 16: Il dispositivo è completamente configurato
Figura 17: La configurazione si è conclusa con successo
Figura 18: Login dell’utente con le credenziali di dominio
Figura 19: Il computer è stato joinato al dominio
Figura 20: Il nome del computer rispetta la convenzione che abbiamo scelto al momento della creazione del package
Conclusioni
L’utilizzo di Windows Configuration Designer velocizza di molto l’introduzione di nuovi dispositivi in azienda, soprattutto dopo il loro acquisto. Con un semplice file di risposte automatiche siamo in grado di configurare i nostri dispositivi e renderli operativi in pochissimi minuti.