• Cloud, Guide, Microsoft 365, Sistemi Operativi
• 25 Luglio 2019

Windows AutoPilot è un servizio cloud che serve per la distribuzione di Windows 10. Con Windows AutoPilot è possibile personalizzare l’Out-Of-The-Box Experience (OOBE) per i computer Windows 10 senza che ci sia la necessità di distribuire una nuova immagine di Windows. L’utilizzo di Windows AutoPilot è utile specialmente in quegli scenari in cui i dipendenti ricevono un nuovo dispositivo direttamente dal produttore di hardware e devono essere produttivi il prima possibile.

Utilizzando questo servizio cloud al posto dei classici metodi di distribuzione on-premises è possibile beneficiare dei seguenti vantaggi:

• Non è necessario preparare delle immagini di Windows 10 on-premises
• Non è necessario personalizzare le distribuzioni aggiungendo drivers
• Non è necessario disporre di un’infrastruttura on-premises per la distribuzione delle immagini di Windows 10

Windows AutoPilot vi permetterà di:

• Aggiungere i dispositivi Windows 10 ad Azure AD in maniera automatica
• Fare l’auto-enrollment dei dispositivi in Microsoft Intune
• Impedire la creazione di un account amministrativo
• Personalizzare l’esperienza OOBE dei nuovi computer

 

Licenze necessarie per l’utilizzo di Windows Autopilot

Per poter utilizzare la funzionalità Windows Autopilot è necessario acquistare una delle seguenti sottoscrizioni:

• Sottoscrizione Microsoft 365 Business Premium
• Sottoscrizione Microsoft 365 F1 o F3
• Sottoscrizione Microsoft 365 Academic a1, a3 o a5
• Microsoft 365 Enterprise sottoscrizione E3 o E5, che include tutte le funzionalità di Windows 10, Microsoft 365 e em + S (Azure ad e Intune).
• Enterprise Mobility + Security sottoscrizione E3 o E5, che include tutte le funzionalità Azure ad e Intune necessarie.
• Sottoscrizione Intune per Education, che include tutte le funzionalità Azure ad e Intune necessarie.
• Azure Active Directory Premium P1 o P2 e la sottoscrizione Microsoft Intune (o un servizio MDM alternativo).

 

Prerequisiti per l’uso di Windows AutoPilot

Per utilizzare Windows AutoPilot è necessario che il dispositivo sia “conosciuto” dalla vostra infrastruttura cloud. Quando comprate un nuovo dispositivo il produttore dell’hardware può caricare per conto vostro le informazioni specifiche del dispositivo. Se invece volete utilizzare Windows AutoPilot per gestire i dispositivi che già possedete nella vostra azienda, potete prendere le informazioni relative ai dispositivi utilizzando un apposito script PowerShell per generare un file .CSV con le informazioni che poi potete caricare all’interno di Microsoft Intune o di Microsoft Store for Business.

Prima di poter iniziare ad utilizzare Windows AutoPilot per la distribuzione di Windows 10 devono essere verificati i seguenti prerequisiti:

• I dispositivi devono avere già Windows 10 preinstallato. Windows AutoPilot trasforma un’installazione esistente di Windows 10 modificando i parametri di configurazione nella fase di OOBE. Non verrà infatti distribuita una immagine di Windows 10 e il dispositivo deve cominciare il setup OOBE. Il dispositivo può essere un nuovo dispositivo con già preinstallato il sistema operativo Windows 10 che un hardware vendor ha distribuito oppure può essere un dispositivo Windows 10 che già possedete e che è stato configurato per partire dal setup OOBE, per esempio utilizzando il System Preparation Tool (Sysprep).
• Utilizzare Windows 10 Pro, Enterprise oppure Education. Windows AutoPilot non può distribuire Windows 10 Home oppure un sistema operativo precedente alla Creators Update (versione 1703). Alcune funzionalità, come ad esempio Windows automatic redeployment, richiedono la versione 1709 o successiva.
• Il dispositivo deve essere registrato dall’organizzazione. Windows AutoPilot può distribuire sistemi operativi Windows 10 solo ai dispositivi “conosciuti” e “registrati”. Per prima cosa dovete caricare le informazioni specifiche del dispositivo che includono gli hardware IDs del device in Microsoft Intune oppure in Microsoft Store for Business.
• I dispositivi devono disporre di una connessione ad Internet. Windows AutoPilot è un servizio cloud e può distribuire il sistema operativo Windows 10 soltanto dopo che i dispositivi si sono connessi ad Internet.
• Le aziende devono utilizzare Azure AD. L’utilizzo di Azure AD è obbligatorio perché Windows AutoPilot dipende da Microsoft Intune o da Microsoft Store for Business ed entrambi richiedono Azure AD. È necessario possedere le licenze Azure AD Premium P1 oppure P2.
• Utilizzo di Intune o di Microsoft Store for Business. è necessario caricare le informazioni specifiche del dispositivo in Microsoft Intune o in Microsoft Store for Business

 

Fase di setup

Una volta che avete rispettato tutti i prerequisiti, il setup di svolge in queste fasi:

1. Ottenere gli Hardware IDs dei dispositivi che volete configurare con Windows AutoPilot
2. Caricare gli Hardware IDs nel portale di Intune o in Microsoft Store for Business
3. Creare un Windows AutoPilot deployment profile
4. Applicare il Windows AutoPilot deployment profile ai dispositivi da configurare

Figura 1: Principio di funzionamento di Windows AutoPilot

Gestione di Windows AutoPilot con Microsoft Intune

In questa guida darò per scontato che abbiate già una sottoscrizione Intune e abbiate un minimo di dimestichezza con l’interfaccia. Vi consiglio, prima di proseguire, di dare un’occhiata al mio articolo Microsoft 365 Modern Desktop Management – Enroll di un dispositivo in Microsoft Intune per verificare di aver integrato Azure AD con Intune, di aver abilitato la registrazione dei dispositivi in Azure AD e di aver impostato l’autorità per la gestione dei dispositivi.

È infatti obbligatorio che abbiate configurato il mobile device management enrollment automatico dei dispositivi Windows 10 in Azure AD. Dal portale di Azure selezionate Azure Active Directory > Mobility (MDM and MAM) e successivamente Microsoft Intune

Figura 2: Configurazione del mobile device management enrollment automatic

Nel blade di Microsoft Intune, in MDM User scope, selezionate All se volete permettere a tutti gli utenti della vostra Azure AD di poter effettuare l’enrollment dei propri dispositivi al mobile device management

Figura 3: Configurazione dell’MDM user scope per gli utenti di Azure AD

Personalizzazione del Company Branding

Per poter utilizzare Windows AutoPilot è obbligatorio personalizzare il Company Branding. Dal portale di Azure selezionate Azure Active Directory e successivamente cliccate su Company Branding. Cliccate su Configure e procedete alla personalizzazione. Per Windows AutoPilot è obbligatorio compilare i campi Sign-in page text e Square logo image.

Figura 4: Personalizzazione del Company Branding con le informazioni obbligatorie per Windows AutoPilot

Configurazione di Windows AutoPilot

Come primo test di Windows AutoPilot vi consiglio di utilizzare una macchina virtuale. Assicuratevi che siano rispettati i seguenti prerequisiti:

• Vi sia installato Windows 10 versione 1703 o successive (Professional, Enterprise oppure Education)
• La VM sia collegata ad Internet

Se la navigazione Internet è dietro proxy oppure firewall assicuratevi che la macchina possa utilizzare le porte HTTP 80 e HTTPS 443 e che possa navigare i seguenti URL:

• https://go.microsoft.com
• https://login.microsoftonline.com
• https://login.live.com
• https://account.live.com
• https://signup.live.com
• https://licensing.mp.microsoft.com
• https://licensing.md.mp.microsoft.com
• https://ctldl.windowsupdate.com
• https://download.windowsupdate.com

Maggiori informazioni sono disponibili al link https://docs.microsoft.com/en-us/intune/network-bandwidth-use

Ottenimento dell’Hardware ID del dispositivo

Poiché stiamo utilizzando una macchina di test e il produttore di hardware non ha provveduto ad inserire l’Hardware ID nel tenant di Azure, dobbiamo utilizzare uno script PowerShell per recuperare le informazioni che ci servono e che poi dovremo caricare nel portale di Microsoft Intune. Dalla VM accesa aprite un prompt di PowerShell con privilegi elevati e scaricate lo script Get-WindowsAutoPilotinfo dalla PowerShell Gallery con il comando Install-Script -Name Get-WindowsAutoPilotInfo

Una volta che avete effettuato il download dello script, per poterlo eseguire, dovete modificare la execution policy degli script con il
comando Set-ExecutionPolicy -ExecutionPolicy Bypass ed eseguire lo script con il comando Get-WindowsAutoPilotInfo.ps1 -OutputFile “C:\MyComputers.csv”

Figura 5: Download ed esecuzione dello script Get-WindowsAutoPilotInfo.ps1

Figura 6: Output del comando Get-WindowsAutoPilotInfo.ps1

NOTA: A partire da marzo 2020 è possibile utilizzare il comando Get-WindowsAutoPilotInfo.ps1 -online per procedere al caricamento dell’hardware ID direttamente dal dispositivo, senza dover manualmente caricarlo dal portale, come verrà mostrato nel seguito di questa guida.  Verranno installati i moduli PowerShell WindowsAutopilotIntune, Microsoft.Graph.Intune e AzureAD e vi verrà chiesta l’autenticazione all’ Intune Graph API (utilizzate le credenziali di un Intune Administrator oppure di un Global Administrator). Trovate un video dimostrativo al link https://youtu.be/Wo-E8dF39n4

Una volta che avrete ottenuto l’Hardware ID della vostra macchina, potrete caricare il file .CSV nel portale di Microsoft Intune. Dal portale di Azure andate in Device Enrollment e nella pagina Windows Enrollment selezionate Devices

Figura 7: Gestione dei dispositivi di Windows AutoPilot

Fate clic su Import per caricare il file con estensione .CSV che avete ottenuto come output dello script Get-WindowsAutoPilotInfo.ps1

Figura 8: Caricamento del file CSV con i dispositivi da gestire con Windows AutoPilot

Sarà necessario attendere fino a 15 minuti per completare il processo di importazione e sincronizzazione.

Figura 9: Il dispositivo è stato caricato correttamente nel portale di Microsoft Intune

Terminato il processo di importazione e di sincronizzazione dobbiamo assegnare un Windows AutoPilot deployment profile al nostro dispositivo. Per creare un nuovo deployment profile dal portale di Azure andate in Device Enrollment e nella pagina Windows Enrollment selezionate Deployment Profiles

Figura 10: Creazione di un nuovo deployment profile per l’enrollment di Windows 10 utilizzando Windows AutoPilot

Cliccate su + Create profile per creare un nuovo profilo. Date un nome ed una descrizione al profilo.

Figura 11: Nome e descrizione del deployment profile

Configurate la pagina di Out-Of-The-Box Experience (OOBE) scegliendo come Deployment mode User-driven e modificando lo User Account type in Standard. Windows AutoPilot infatti, a differenza di quello che succede nei normali setup OOBE, permette di fare in modo che l’utente creato sia un utente standard e non un amministratore della macchina, come di solito avviene quando create il primo utente dopo il primo avvio della macchina. Nella casella Join to Azure AD potete scegliere se il dispositivo sarà Azure AD joined oppure Hybrid Azure AD joined.

Figura 12: Configurazione della Out-Of-The-Box (OOBE)

Nella scheda Assignment decidete a quale gruppo di Azure AD volete assegnare il deployment profile. Io ho scelto un Security Group di Azure AD, all’interno del quale deve trovarsi il dispositivo da configurare.

Figura 13: Scelta del gruppo di utenti di Azure AD a cui assegnare il deployment profile

Figura 14: Review e creazione del deployment profile

Figura 15: Il dispositivo deve trovarsi nel gruppo di Azure AD a cui avete assegnato il deployment profile

A questo punto attendete che al dispositivo venga assegnato il deployment profile che avete appena creato. Dal portale di Azure andate in Device Enrollment e nella pagina Windows Enrollment selezionate Devices. Verificate che il Profile Status del vostro dispositivo sia Assigned. Ci potrebbero volere alcuni minuti.

Figura 16: Lo stato del profilo assegnato al dispositivo riporta la scritta Assigned

Test di Windows AutoPilot

Adesso che avete completato la configurazione di Windows AutoPilot nel portale di Intune, potete lanciare il tool Sysprep (che trovate nel percorso C:\Windows\System32\Sysprep) nella vostra macchina, in modo tale da poter poi testare l’OOBE. Lanciate il tool e spegnete la macchina. Io ho anche catturato un checkpoint della VM.

Figura 17: esecuzione di Sysprep per testare l’esperienza OOBE con Windows AutoPilot

Nel momento in cui riavvierete la macchina, procedete con la configurazione della tastiera e quando vi verrà chiesto potrete mettere le vostre credenziali di Azure AD per configurare il computer.

Figura 18: Richiesta di inserimento delle credenziali dell’utente

Al termine del login all’utente verrà chiesto di configurare Windows Hello per l’accesso al PC e di confermare la propria identità tramite chiamata telefonica oppure messaggio SMS.

Figura 19: Configurazione di Windows Hello al primo login dell’utente di Azure AD

Figura 20: Creazione del PIN in Windows Hello

Come potrete facilmente verificare l’utente è un utente Standard e non sarà amministratore del PC, ma solo un membro del gruppo Users. L’utente viene individuato come defaultuser0

Figura 21: L’utente creato è di tipo Standard

Nel portale di Intune, dalla scheda Devices potete selezionare Azure AD devices e verificare che il nuovo dispositivo sia stato automaticamente aggiunto ai dispositivi gestiti tramite MDM.

Figura 22: Il dispositivo è stato aggiunto a quelli gestiti da Microsoft Intune

Visto che adesso il dispositivo è aggiunto a Microsoft Intune, riceverà tutte le configurazioni e le app che avete deciso di distribuire all’utente con cui vi siete loggati. Per sapere come distribuire applicazioni utilizzando Microsoft Intune vi rimando alla lettura dell’articolo Microsoft 365 Modern Desktop Management – Distribuire e gestire le applicazioni sui dispositivi aziendali con Microsoft Intune

Figura 23: Se all’utente sono state assegnate delle app tramite Microsoft Intune, verranno immediatamente distribuite

Configurazione di Windows AutoPilot con una macchina nuova

L’utilizzo di Windows AutoPilot è utile specialmente in quegli scenari in cui i dipendenti ricevono un nuovo dispositivo direttamente dal produttore di hardware e devono essere produttivi il prima possibile.

Per recuperare l’Hardware ID (nel caso non sia stato creato dal produttore), è possibile lanciare lo script Get-WindowsAutoPilotinfo direttamente durante la prima accensione della macchina, subito dopo averla tirata fuori dalla confezione!

Scaricate lo script dal link https://www.powershellgallery.com/packages/Get-WindowsAutoPilotInfo/1.6/Content/Get-WindowsAutoPilotInfo.ps1 e salvatelo in una cartella condivisa in rete.

Dopo aver acceso la macchina, appena vi appare la prima schermata, utilizzate la combinazione di tasti SHIFT+F10 per far apparire un prompt di DOS.

Figura 24: Lancio di un prompt di DOS durante il primo avvio della macchina

Utilizzate il comando NET USE per montare la share di rete dove avete salvato lo script Get-WindowsAutoPilotinfo. Digitando il comando Powershell passate ad un prompt PowerShell e dalla share di rete montata lanciate il
comando Set-ExecutionPolicy -ExecutionPolicy Bypass ed eseguite lo script con il comando Get-WindowsAutoPilotInfo.ps1 -OutputFile “C:\VostroFile.csv”. Nella figura sotto sono mostrati tutti i dettagli.

Figura 25: Esecuzione dello script Get-WindowsAutoPilotInfo.ps1 durante il primo avvio della VM

Una volta che avete ottenuto l’Hardware ID della macchina, potete caricarlo nel portale di Microsoft Intune. Dal portale di Azure andate in Device Enrollment e nella pagina Windows Enrollment selezionate Devices. Fate clic su Import per caricare il file con estensione .CSV che avete ottenuto come output dello script e attendete fino a 15 minuti per completare l’importazione e la sincronizzazione.

Figura 26: Upload del nuovo Hardware ID nel portale di Microsoft Intune

È anche possibile assegnare la macchina direttamente ad un utente. Dopo aver atteso che la macchina sia visibile nel portale di Microsoft Intune, selezionatela e cliccate su Assign User, come mostrato nella figura sotto.

NOTA: Come specificato alla pagina https://docs.microsoft.com/en-us/mem/autopilot/enrollment-autopilot#assign-a-user-to-a-specific-autopilot-device dal 30 settembre 2021 la funzionalità di assegnare l’utente al dispositivo è stata RIMOSSA. Nonostante sia ancora possibile effettuarla sia tramite GUI che tramite PowerShell, al momento del provisioning questa assegnazione verrà ignorata.

Figura 27: Assegnazione della macchina ad uno specifico utente

Non dimenticate di aggiungere il nuovo dispositivo al gruppo di Azure AD a cui avete assegnato il deployment profile.

Figura 28: Aggiunta del nuovo device al gruppo di Azure AD a cui è stato assegnato il deployment profile

Verificate che il Profile Status del vostro dispositivo sia Assigned. Ci potrebbero volere alcuni minuti.

Figura 29: Assegnazione del deployment profile al nuovo dispositivo

Proseguite quindi il setup OOBE della macchina. Se avrete configurato tutto correttamente, andrete direttamente alla schermata di inserimento della password, in quanto avete assegnato il dispositivo ad un utente specifico di Azure AD.

Figura 30: Poiché il dispositivo è stato assegnato ad uno specifico utente, al primo avvio all’utente viene solo chiesto di inserire la password

Conclusioni

Windows AutoPilot semplifica la registrazione dei dispositivi in Intune. La creazione e la gestione di immagini del sistema operativo personalizzate sono processi che richiedono molto tempo. Richiede tempo anche l’applicazione di queste immagini personalizzate del sistema operativo ai nuovi dispositivi per prepararli per l’uso prima della consegna agli utenti finali. Con Microsoft Intune e AutoPilot è possibile assegnare i nuovi dispositivi agli utenti finali senza la necessità di compilare, gestire e applicare le immagini del sistema operativo personalizzate ai dispositivi. Quando si usa Intune per gestire i dispositivi AutoPilot, è possibile gestire criteri, profili, applicazioni e così via sui dispositivi che sono stati registrati.