Microsoft 365 Modern Desktop Management – Windows AutoPilot con il White Glove deployment

Windows AutoPilot è un servizio cloud che serve per la distribuzione di Windows 10. Con Windows AutoPilot è possibile personalizzare l’Out-Of-The-Box Experience (OOBE) per i computer Windows 10 senza che ci sia la necessità di distribuire una nuova immagine di Windows. L’utilizzo di Windows AutoPilot è utile specialmente in quegli scenari in cui i dipendenti ricevono un nuovo dispositivo direttamente dal produttore di hardware e devono essere produttivi il prima possibile.

Utilizzando questo servizio cloud al posto dei classici metodi di distribuzione on-premises è possibile beneficiare dei seguenti vantaggi:

  • Non è necessario preparare delle immagini di Windows 10 on-premises
  • Non è necessario personalizzare le distribuzioni aggiungendo drivers
  • Non è necessario disporre di un’infrastruttura on-premises per la distribuzione delle immagini di Windows 10

Windows AutoPilot, disponibile con licenze Azure AD Premium oppure con Microsoft Intune, vi permetterà di:

  • Aggiungere i dispositivi Windows 10 ad Azure AD in maniera automatica
  • Fare l’auto-enrollment dei dispositivi in Microsoft Intune
  • Impedire la creazione di un account amministrativo
  • Personalizzare l’esperienza OOBE dei nuovi computer

Con Windows AutoPilot con il White Glow verranno applicati tutti i criteri di sicurezza che l’IT ha deciso di implementare per i dispositivi (certificati, modelli di sicurezza, impostazioni, app e altro) durante il pre-provisioning e prima ancora che il PC venga distribuito all’utente. Inoltre, verranno installate anche tutte le app configurate per l’installazione nel dispositivo e anche quelle destinate all’utente che è stato preassegnato (nel caso lo abbiate preventivamente fatto) al dispositivo AutoPilot. Per sapere come distribuire applicazioni tramite Intune vi invito a leggere la guida Microsoft 365 Modern Desktop Management – Distribuire e gestire le applicazioni sui dispositivi aziendali con Microsoft Intune

In questo modo il PC sarà pre-configurato dallo staff IT e sarà pronto per poter essere utilizzato dai dipendenti.

Prerequisiti per l’uso di Windows AutoPilot

Per utilizzare Windows AutoPilot è necessario che il dispositivo sia “conosciuto” dalla vostra infrastruttura cloud. Quando comprate un nuovo dispositivo il produttore dell’hardware può caricare per conto vostro le informazioni specifiche del dispositivo. Se invece volete utilizzare Windows AutoPilot per gestire i dispositivi che già possedete nella vostra azienda, potete prendere le informazioni relative ai dispositivi utilizzando un apposito script PowerShell per generare un file .CSV con le informazioni che poi potete caricare all’interno di Microsoft Intune o di Microsoft Store for Business.

Prima di poter iniziare ad utilizzare Windows AutoPilot per la distribuzione di Windows 10 devono essere verificati i seguenti prerequisiti:

  • I dispositivi devono avere già Windows 10 preinstallato. Windows AutoPilot trasforma un’installazione esistente di Windows 10 modificando i parametri di configurazione nella fase di OOBE. Non verrà infatti distribuita una immagine di Windows 10 e il dispositivo deve cominciare il setup OOBE. Il dispositivo può essere un nuovo dispositivo con già preinstallato il sistema operativo Windows 10 che un hardware vendor ha distribuito oppure può essere un dispositivo Windows 10 che già possedete e che è stato configurato per partire dal setup OOBE, per esempio utilizzando il System Preparation Tool (Sysprep).
  • Utilizzare Windows 10 Pro, Enterprise oppure Education. Windows AutoPilot non può distribuire Windows 10 Home oppure un sistema operativo precedente alla Creators Update (versione 1703). Alcune funzionalità, come ad esempio Windows automatic redeployment, richiedono la versione 1709 o successiva.
  • Il dispositivo deve essere registrato dall’organizzazione. Windows AutoPilot può distribuire sistemi operativi Windows 10 solo ai dispositivi “conosciuti” e “registrati”. Per prima cosa dovete caricare le informazioni specifiche del dispositivo che includono gli hardware IDs del device in Microsoft Intune oppure in Microsoft Store for Business.
  • I dispositivi devono disporre di una connessione ad Internet. Windows AutoPilot è un servizio cloud e può distribuire il sistema operativo Windows 10 soltanto dopo che i dispositivi si sono connessi ad Internet.
  • Le aziende devono utilizzare Azure AD. L’utilizzo di Azure AD è obbligatorio perché Windows AutoPilot dipende da Microsoft Intune o da Microsoft Store for Business ed entrambi richiedono Azure AD. È necessario possedere le licenze Azure AD Premium P1 oppure P2.
  • Utilizzo di Intune o di Microsoft Store for Business. è necessario caricare le informazioni specifiche del dispositivo in Microsoft Intune o in Microsoft Store for Business

Prerequisiti per l’uso di Windows AutoPilot con il White Glove deployment

In aggiunta a tutti i prerequisiti per Windows AutoPilot che abbiamo visto prima, Windows AutoPilot con il White Glove deployment necessità anche dei seguenti prerequisiti:

  • Windows 10, versione 1903 o successiva
  • Una sottoscrizione di Microsoft Intune
  • Un dispositivo fisico che supporta TPM 2.0 e la device attestation. Le macchine virtuali non sono supportate.
  • Connettività Internet attraverso rete cablata. Non è supportata la connessione WiFi

Se la navigazione Internet è dietro proxy oppure firewall assicuratevi che la macchina possa utilizzare le porte HTTP 80 e HTTPS 443 e che possa navigare i seguenti URL:

  • https://go.microsoft.com
  • https://login.microsoftonline.com
  • https://login.live.com
  • https://account.live.com
  • https://signup.live.com
  • https://licensing.mp.microsoft.com
  • https://licensing.md.mp.microsoft.com
  • https://ctldl.windowsupdate.com
  • https://download.windowsupdate.com

Maggiori informazioni sono disponibili al link https://docs.microsoft.com/en-us/intune/network-bandwidth-use

Fase di setup

Una volta che avete rispettato tutti i prerequisiti, il setup di svolge in queste fasi:

  1. Ottenere gli Hardware IDs dei dispositivi che volete configurare con Windows AutoPilot
  2. Caricare gli Hardware IDs nel portale di Intune o in Microsoft Store for Business
  3. Creare un Windows AutoPilot deployment profile
  4. Applicare il Windows AutoPilot deployment profile ai dispositivi da configurare

Figura 1: Principio di funzionamento di Windows AutoPilot

Gestione di Windows AutoPilot con Microsoft Intune

In questa guida darò per scontato che abbiate già una sottoscrizione Intune e abbiate un minimo di dimestichezza con l’interfaccia. Vi consiglio, prima di proseguire, di dare un’occhiata al mio articolo Microsoft 365 Modern Desktop Management – Enroll di un dispositivo in Microsoft Intune per verificare di aver integrato Azure AD con Intune, di aver abilitato la registrazione dei dispositivi in Azure AD e di aver impostato l’autorità per la gestione dei dispositivi.

È infatti obbligatorio che abbiate configurato il mobile device management enrollment automatico dei dispositivi Windows 10 in Azure AD. Dal portale di Azure selezionate Azure Active Directory > Mobility (MDM and MAM) e successivamente Microsoft Intune

Figura 2: Configurazione del mobile device management enrollment automatic

Nel blade di Microsoft Intune, in MDM User scope, selezionate All se volete permettere a tutti gli utenti della vostra Azure AD di poter effettuare l’enrollment dei propri dispositivi al mobile device management

Figura 3: Configurazione dell’MDM user scope per gli utenti di Azure AD

Personalizzazione del Company Branding

Per poter utilizzare Windows AutoPilot è obbligatorio personalizzare il Company Branding. Dal portale di Azure selezionate Azure Active Directory e successivamente cliccate su Company Branding. Cliccate su Configure e procedete alla personalizzazione. Per Windows AutoPilot è obbligatorio compilare i campi Sign-in page text e Square logo image.

Figura 4: Personalizzazione del Company Branding con le informazioni obbligatorie per Windows AutoPilot

Ottenimento dell’Hardware ID del dispositivo

Poiché stiamo utilizzando una macchina di test e il produttore di hardware non ha provveduto ad inserire l’Hardware ID nel tenant di Azure, dobbiamo utilizzare uno script PowerShell per recuperare le informazioni che ci servono e che poi dovremo caricare nel portale di Microsoft Intune. Dalla VM accesa aprite un prompt di PowerShell con privilegi elevati e scaricate lo script Get-WindowsAutoPilotinfo dalla PowerShell Gallery con il comando Install-Script -Name Get-WindowsAutoPilotInfo

Una volta che avete effettuato il download dello script, per poterlo eseguire, dovete modificare la execution policy degli script con il
comando Set-ExecutionPolicy -ExecutionPolicy Bypass ed eseguire lo script con il comando Get-WindowsAutoPilotInfo.ps1 -OutputFile “C:\MyComputers.csv”

Figura 5: Download ed esecuzione dello script Get-WindowsAutoPilotInfo.ps1

Figura 6: Output del comando Get-WindowsAutoPilotInfo.ps1

Una volta che avrete ottenuto l’Hardware ID della vostra macchina, potrete caricare il file .CSV nel portale di Microsoft Intune. Dal portale di Azure andate in Device Enrollment e nella pagina Windows Enrollment selezionate Devices

Figura 7: Gestione dei dispositivi di Windows AutoPilot

Fate clic su Import per caricare il file con estensione .CSV che avete ottenuto come output dello script Get-WindowsAutoPilotInfo.ps1

Figura 8: Caricamento del file CSV con i dispositivi da gestire con Windows AutoPilot

Sarà necessario attendere fino a 15 minuti per completare il processo di importazione e sincronizzazione.

Figura 9: Il dispositivo è stato caricato correttamente nel portale di Microsoft Intune

Dopo aver importato il dispositivo in Microsoft Intune, create un nuovo Security Group ed aggiungete il dispositivo al gruppo creato. Il security group verrà successivamente utilizzato per l’associazione del deployment
profile e per l’assegnazione delle licenze di Microsoft Intune.

Figura 10: Il dispositivo è stato aggiunto al security group di Azure AD

Terminato il processo di importazione e di sincronizzazione dobbiamo assegnare un Windows AutoPilot deployment profile al nostro dispositivo. Per creare un nuovo deployment profile dal portale di Azure andate in Device Enrollment e nella pagina Windows Enrollment selezionate Deployment Profiles

Figura 11: Creazione di un nuovo deployment profile per l’enrollment di Windows 10 utilizzando Windows AutoPilot

Cliccate su + Create profile per creare un nuovo profilo. Date un nome ed una descrizione al profilo.

Figura 12: Nome e descrizione del deployment profile

Configurate la pagina di Out-Of-The-Box Experience (OOBE) scegliendo come Deployment mode
User-driven e modificando lo User Account type in Standard. Windows AutoPilot infatti, a differenza di quello che succede nei normali setup OOBE, permette di fare in modo che l’utente creato sia un utente standard e non un amministratore della macchina, come di solito avviene quando create il primo utente dopo il primo avvio della macchina. Nella casella Join to Azure AD potete scegliere se il dispositivo sarà Azure AD joined oppure Hybrid Azure AD joined.

Ricordatevi di abilitare la funzionalità Allow White Glove OOBE

Figura 13: Configurazione della Out-Of-The-Box (OOBE)

Nella scheda Assignment decidete a quale gruppo di Azure AD volete assegnare il deployment profile. Utilizzate il security group che avete creato prima e a cui avete aggiunto il dispositivo.

Figura 14: Gruppo di dispositivi a cui verrà applicato il deployment profile

Figura 15: Review e creazione del deployment profile

Verificate che al dispositivo venga assegnato il deployment profile che avete appena creato. Dal portale di Azure andate in Device Enrollment e nella pagina Windows Enrollment selezionate Devices. Verificate che il Profile Status del vostro dispositivo sia Assigned. Ci potrebbero volere alcuni minuti.

Figura 16: Il deployment profile è stato assegnato al dispositivo

Assegnazione delle licenze di Microsoft Intune ai dispositivi

Per poter utilizzare il Windows AutoPilot con il white glove è necessario che i dispositivi abbiano una licenza di Microsoft Intune. Per comodità ho assegnato le licenze di Microsoft Intune all’intero security group di Azure AD in cui si trova il dispositivo, in modo tale che aggiungendo un nuovo dispositivo al gruppo la licenza venga immediatamente associata. Ovviamente è anche possibile associare la licenza ai singolo dispositivo.

Figura 17: Associazione delle licenze di Microsoft Intune ad un security group di Azure AD che contiene i dispositivi da gestire

Figura 18: Opzioni delle licenze da associare al dispositivo o al gruppo di Azure AD

Figura 19: Verifica dell’associazione delle licenze di Microsoft Intune

Funzionamento di Windows AutoPilot con il White Glow

Windows AutoPilot con il White Glow si compone di due fasi:

  1. Il tecnico IT prepara il dispositivo che verrà successivamente distribuito all’utente finale (fase del White Glow)
  2. L’utente finale prosegue con il setup di Windows 10, versione 1903 e successiva inserendo le proprie credenziali di Azure AD

Preparazione del dispositivo da parte del tecnico IT (fase del White Glow)

Dopo che il cliente o l’amministratore IT ha configurato tutte le app e le impostazioni desiderate per i propri dispositivi tramite Intune, il tecnico del White Glow può iniziare il processo di configurazione del dispositivo. Il tecnico potrebbe essere un membro del personale IT, un partner di servizi o un OEM: ogni organizzazione può decidere chi deve eseguire queste attività. Indipendentemente dallo scenario, il processo che deve essere eseguito dal tecnico è lo stesso.

Dopo aver avviato il dispositivo con Windows 10 Pro, Enterprise o Education, versione 1903 o successiva, nella prima schermata della configurazione guidata, non fate clic su Avanti. Premete invece il tasto Windows 5 volte per visualizzare una finestra di dialogo in cui vi verrà chiesto se volete installare un nuovo package di provisioning oppure se volete utilizzare il Windows AutoPilot provisioning, per fare il pre-provisioning del dispositivo con le configurazioni e le applicazioni impostate in Microsoft Intune.

Figura 20: Nella prima schermata di avvio del dispositivo bisogna premere 5 volte il tasto Windows:

Figura 21: Schermata dove scegliere di effettuare il Windows AutoPilot provisioning

Nella schermata di configurazione di Windows Autopilot verranno visualizzate le seguenti informazioni sul dispositivo:

  • Il deployment profile di Windows AutoPilot assegnato al dispositivo.
  • Il mome dell’organizzazione.
  • L’utente assegnato al dispositivo (se presente).
  • Un codice QR che contiene un identificatore univoco per il dispositivo

Figura 22: Configurazione di Windows AutoPilot

Se le informazioni riportate nella schermata sono corrette, fate clic su Provision.

Figura 23: Il dispositivo viene configurato tramite Windows AutoPilot

Se il processo di pre-provisioning viene completato correttamente, dopo qualche minuto verrà visualizzata una schermata di colore verde con le informazioni sul dispositivo, inclusi gli stessi dettagli presentati in precedenza.

Figura 24: La configurazione del dispositivo tramite Windows AutoPilot è andata a buon fine

Fate clic su Reseal per completare la procedura sul dispositivo. A questo punto, il dispositivo può essere spedito all’utente finale.

Se il processo di pre-provisioning non riesce vi verrà visualizzata una schermata di colore rosso con le informazioni sul dispositivo, inclusi gli stessi dettagli presentati in precedenza. I log diagnostici possono essere raccolti dal dispositivo, possono essere analizzati per capire il motivo del fallimento e il dispositivo può essere reimpostato per avviare di nuovo il processo. Se eseguite l’operazione su una macchina virtuale o se vi dimenticate di assegnare la licenza di Intune al dispositivo ricevete la schermata di errore di colore rosso.

Figura 25: Il processo di pre-provisioning è fallito

Avvio del dispositivo da parte dell’utente finale

Se il processo di pre-provisioning è stato completato correttamente e il dispositivo è stato consegnato all’utente finale per completare il normale processo di configurazione basato su Windows Autopilot, l’utente non dovrà fare altro che accenderlo e seguire le configurazioni classiche del setup OOBE. Dopo aver inserito le credenziali di Azure AD, gli verrà chiesto di configurare Windows Hello per l’accesso al PC e di confermare la propria identità tramite chiamata telefonica oppure messaggio SMS.

Figura 26: Richiesta di inserimento delle credenziali dell’utente

Figura 27: Configurazione di Windows Hello al primo login dell’utente di Azure AD

Figura 28: Creazione del PIN in Windows Hello

Conclusioni

Windows AutoPilot con il white glove deployment permette alle aziende di poter configurare facilmente i nuovi dispositivi e di poter distribuire i computer con Windows 10 già completamente configurati e pronti per poter essere utilizzati dall’utente finale. Quando l’utente finale accenderà per la prima volta il proprio dispositivo lo troverà perfettamente configurato e la fase di inizializzazione sarà molto più veloce, permettendo all’utente di essere operativo nel minor tempo possibile.