Microsoft 365 Modern Desktop Management – Hybrid Azure AD Join dei dispositivi Windows 10 con Autopilot in Microsoft Intune

L’utilizzo di Microsoft Intune come strumento di gestione moderna permette l’aggiornamento in maniera strutturata degli asset aziendali, semplificare il lavoro agli amministratori di sistema ed aumentare la sicurezza delle risorse aziendali.

Microsoft Intune è una soluzione cloud-based di MDM (Mobile Device Management) e MAM (Mobile Application Management).

L’Hybrid Azure AD Join consente di gestire l’identità computer sia in Active Directory che in Azure Active Directory.

Figura 1 – Hybrid Azure AD Join di un dispositivo

Nell’articolo Microsoft 365 Modern Desktop Management – Enroll automatico di Windows 10 in Microsoft Intune utilizzando le Group Policy è presente una guida per configurare l’Hybrid Azure AD Join per i dispositivi già presenti in Active Directory.

Oggi vedremo come sfruttare questa funzionalità per i dispositivi Windows 10 distribuiti da Windows Autopilot.

Per informazioni sul servizio Windows Autopilot potete visitare la pagina Microsoft 365 Modern Desktop Management – Windows AutoPilot.

Prerequisiti principali:

  • Dispositivi con a bordo Windows 10 versione 1809 o successive;
  • Accesso alla rete dell’organizzazione per contattare i Domain Controller;
  • Accesso a Internet;
  • Intune Connector for Active Directory: Windows Server 2016/2019.

Configurazione Active Directory

Procedete con la creazione di una nuova Organization Unit in Active Directory (dove verrà eseguita la Domain Join dei dispositivi tramite Intune) e click-destro per selezionare Delegate Control.

Figura 2 – Creazione OU e delega per creazione computer account

Selezionate l’identità computer del server sul quale verrà installato successivamente l’Intune Connector for Active Directory.

Figura 3 – Selezione del computer account con a bordo l’Intune Connector

Nella schermata successiva, cliccate Create a custom task to delegate ed andate avanti.

Figura 4 – Create a custom task to delegate

Selezionate l’oggetto computer e le opzioni di creazione e cancellazione.

Figura 5 – Delega su oggetti computer per creazione e cancellazione

Come da figura seguente, per le permissions selezionate Full Control.

Figura 6 – Selezione permessi su oggetti computer

Figura 7 – Wizard per la delega completato

Verifica in Azure Active Directory

In Azure Active Directory, verificate che l’opzione MDM User Scope sia configurata per gli utenti che faranno l’enrollment dei dispositivi.

Azure Active Directory -> Mobility (MDM and MAM) -> Microsoft Intune:

Figura 8 – MDM User Scope in Azure Active Directory

Configurazione dell’Intune Connector for Active Directory

Sul portale di Microsoft Intune, procedete con il download del tool.

Microsoft Intune -> Device Enrollment -> Windows Enrollment -> Intune Connector for Active Directory.

Figura 9 – Selezione voce Intune Connector for Active Directory

Cliccate su Add e successivamente la voce Download the on-premises Intune Connector for Active Directory.

Figura 10 – Download di Intune Connector for Active Directory

Procedete ora con l’installazione del tool sul server interessato (computer account indicato per la delega in Active Directory).

N.B. Assicuratevi che l’opzione Internet Explorer Enhanced Security Configuration sia disabilitata.

Figura 11 – Wizard di installazione Intune Connector

Figura 12 – Wizard di installazione Intune Connector

Terminata l’installazione, avviate il tool ed effettuate l’accesso con le credenziali di Global Administrator o Intune Administrator.

N.B. E’ necessario che il Global Admin abbia una licenza di Microsoft Intune assegnata.

Figura 13 – Configurazione Intune Connector for Active Directory

Figura 14 – Intune Connector configurato con successo

Sul portale Microsoft Intune accertatevi che il connettore sia nello stato Active.

Microsoft Intune -> Device Enrollment -> Windows Enrollment -> Intune Connector for Active Directory.

Figura 15 – Stato Intune Connector for Active Directory Active

Creazione del Security Group in Azure AD

Nei prossimi passaggi vedremo come creare un gruppo dinamico che conterrà i dispositivi destinati alla funzionalità Autopilot.

Per importare i dispositivi Windows 10 in Autopilot, trovate una guida dettagliata nell’articolo Microsoft 365 Modern Desktop Management – Windows AutoPilot

In Azure Active Directory, selezionate le voci Groups -> All groups -> New group.

Figura 16 – Creazione del gruppo in Azure AD

Selezionate come Membership type: Dynamic Device e successivamente cliccate Add dynamic query.

Figura 17 – Creazione di un gruppo dinamico basato su query in Azure AD

Cliccate su Edit come da immagine seguente:

Figura 18 – Configurazione della sintassi per dispositivi Autopilot

Ed inserite la sintassi:
(device.devicePhysicalIDs -any _ -contains “[ZTDId]”)

Figura 19 – Configurazione della sintassi per dispositivi Autopilot nel gruppo Azure AD

Creazione profilo di Domain Join in Device configuration

Sul portale di Intune, procedete con la creazione di un nuovo profilo in Device Configuration.

Microsoft Intune -> Device configuration -> Profiles -> Create profile:

  • Platform: Windows 10 and later;
  • Profile: Domain Join.

Figura 20 – Creazione di un nuovo profilo in Device Configuration

All’interno del profilo, indicate i seguenti parametri:

  • Computer name prefix: Prefisso del computer account che verrà utilizzato in fase di Domain Join;
  • Domain name: Nome del vostro dominio di Active Directory;
  • Organizational Unit: indicate nel formato DN il percorso della OU creata in precedenza in Active Directory.

Figura 21 – Configurazione dei parametri del profilo Domain Join in Intune

Infine, assegnate il profilo al gruppo Azure AD creato in precedenza.

Figura 22 – Assegnazione profilo al gruppo Azure AD

Configurazione del profilo Autopilot

Procedete ora con la configurazione del profilo Autopilot.

Microsoft Intune -> Device enrollment -> Windows enrollment -> Deployment Profiles.

Figura 23 – Creazione profilo Autopilot

Indicate un nome al profilo ed abilitate l’opzione Convert all targeted devices to Autopilot (opzione necessaria se si vuol utilizzare il profilo Autopilot su dispositivi già presenti e gestiti da Microsoft Intune).

Figura 24 – Configurazione profilo Autopilot

Nel blade OOBE, per l’opzione Join to Azure AD as selezionate la voce
Hybrid Azure AD Joined.

Figura 25 – Configurazione profilo Autopilot in Hybrid Azure AD Joined

Infine, assegnate il profilo al gruppo Azure AD creato in precedenza.

Figura 26 – Assegnazione del profilo Autopilot al gruppo Azure AD

Configurazione dell’Enrollment Status Page (consigliato)

L’Enrollment Status Page mostra una serie di informazioni e di impostazioni durante la fase di inizializzazione del dispositivo Windows 10 con la funzionalità Autopilot.

Microsoft Intune -> Device enrollment -> Windows enrollment -> Enrollment Status Page.

Figura 27 – Enrollment Status Page in Autopilot

Nel mio caso, ho configurato le seguenti opzioni:

Figura 28 – Configurazione ESP in Microsoft Intune

Inoltre, vi consiglio di applicare un workaround per non incorrere in problematiche di timeout per la configurazione utente in fase di Autopilot:

Figura 29 – Timeout configurazione utente Autopilot

Sul portale di Intune, procedete con la creazione di un nuovo profilo in Device Configuration.

Microsoft Intune -> Device configuration -> Profiles -> Create profile:

  • Platform: Windows 10 and later;
  • Profile: Custom;
  • Name: SkipUserStatusPage
  • OMA-URI: ./Vendor/MSFT/DMClient/Provider/MS DM Server/FirstSyncStatus/SkipUserStatusPage
  • Data type: Boolean
  • Value: True

Terminata la configurazione, assegnate il profilo al gruppo Azure AD creato in precedenza.

Figura 30 – Creazione device configuration per skip configurazione utente in fase di Autopilot

Verifica Domain Join del dispositivo in Active Directory

Figura 31 – Domain Join con Autopilot

Verifica dispositivo su Microsoft Intune:

Figura 32 – Dispositivo gestito da Microsoft Intune

Conclusioni

Grazie a questa funzionalità, le organizzazioni possono gestire le identità dei dispositivi anche in Active Directory ed allo stesso tempo sfruttare tutte le potenzialità di Azure AD e Microsoft Intune.

Per approfondire la tematica, è disponibile l’articolo ufficiale https://docs.microsoft.com/en-us/mem/intune/enrollment/windows-autopilot-hybrid