Microsoft Intune – Windows Autopilot device preparation (Autopilot v2)

Windows Autopilot Device Preparation è una funzionalità disponibile a partire dalla versione 2409 di Microsoft Intune che semplifica la distribuzione e configurazione automatizzata dei dispositivi Windows, particolarmente utile in contesti aziendali. Questa fase fa parte della suite di strumenti di Windows Autopilot e automatizza il processo di configurazione iniziale, permettendo di trasformare un dispositivo nuovo o resettato in uno pronto per l’uso aziendale, senza bisogno di intervento manuale.

Durante la fase di preparazione del dispositivo, che avviene durante la out-of-box experience (OOBE), si eseguono diverse operazioni chiave:

  • Distribuzione delle configurazioni: I dispositivi ricevono profili di configurazione da Microsoft Intune. Questi profili includono policy, applicazioni e script PowerShell, che vengono installati non appena l’utente effettua il login.
  • Impostazioni di sicurezza e installazione delle applicazioni: Configurazioni critiche di sicurezza, come il controllo che l’utente sia un account standard (non amministratore), vengono applicate subito. Vengono installate anche applicazioni essenziali, come Microsoft Defender, per garantire la sicurezza del dispositivo prima che l’utente inizi a lavorare.
  • Enrollment Time Grouping: I dispositivi vengono assegnati a gruppi di sicurezza predefiniti durante l’enrollment, permettendo una distribuzione più rapida ed efficiente di impostazioni e software.
  • Monitoraggio e reporting: Viene offerto un monitoraggio in tempo quasi reale, che fornisce report dettagliati sullo stato della distribuzione e aiuta a semplificare la risoluzione dei problemi.

Quali sono le principali differenze tra Windows Autopilot e Windows Autopilot device preparation (Autopilot v2)?

Mentre Windows Autopilot fornisce un framework generale per il provisioning dei dispositivi, Windows Autopilot Device Preparation (Autopilot v2) migliora e semplifica la fase di preparazione necessaria per utilizzare efficacemente Autopilot. Riassumo brevemente nella tabella di seguito le principali differenze tra le due funzionalità:

Definizione Funzionalità Flusso di lavoro
Windows Autopilot Windows Autopilot è un servizio di provisioning per Windows 10 e Windows 11 che consente di configurare e personalizzare i dispositivi in modo automatico e senza necessità di intervento manuale.
  • Configurazione rapida e automatica dei dispositivi al primo avvio.
  • Possibilità di registrare i dispositivi per la gestione da parte di Microsoft Intune o altre soluzioni MDM.
  • Supporto per diversi scenari, come il provisioning di nuovi dispositivi, la reimpostazione di dispositivi esistenti e la riconfigurazione di dispositivi già in uso.
  • Il dispositivo scarica e applica automaticamente le configurazioni e le applicazioni durante il primo accesso dell’utente.
  • Gli utenti finali possono configurare i dispositivi senza la necessità di un intervento IT diretto.
Windows Autopilot Device Preparation (Autopilot v2) Autopilot Device Preparation (Autopilot v2) è un’estensione o un miglioramento di Windows Autopilot, progettato per facilitare ulteriormente la preparazione e la registrazione dei dispositivi.
  • Introduce un processo più semplice e diretto per la preparazione dei dispositivi, incluso un nuovo flusso di lavoro per l’associazione dei dispositivi e una migliore integrazione con le soluzioni MDM.
  • Consente una registrazione più rapida dei dispositivi e una gestione più efficiente delle configurazioni.
  • Si concentra sulla preparazione dei dispositivi in modo che siano pronti per l’uso nel contesto di Autopilot, riducendo i passaggi necessari per il provisioning.
  • Include strumenti per la gestione dei dispositivi pre-provisionati, migliorando la scalabilità e l’efficienza per le aziende.

Prerequisiti

Per poter utilizzare Windows Autopilot Device Preparation è necessario rispettare i seguenti prerequisiti:

  • Windows 11 versione 23H2 con KB5035942 o versioni successive.
  • Windows 11, versione 22H2 con KB5035942 o versioni successive.
  • Microsoft Entra ID: è supportato solo l’aggiunta a Microsoft Entra.
  • Il dispositivo non deve essere registrato o aggiunto come dispositivo Windows Autopilot. Se il dispositivo è registrato o aggiunto come dispositivo Windows Autopilot, il profilo di Windows Autopilot ha la precedenza sui criteri di preparazione del dispositivo Windows Autopilot.

Ricordatevi anche di configurare l’MDM User Scope dal portale di Microsoft Entra.

L’MDM user scope è un’impostazione in Microsoft Entra che specifica quali utenti sono idonei a registrare i propri dispositivi per la gestione tramite il servizio Mobile Device Management (MDM). Serve a definire se tutti gli utenti, nessuno, o solo un gruppo specifico di utenti possono essere inclusi nella gestione dei dispositivi aziendali. Questa configurazione è fondamentale per controllare quali dispositivi possono essere gestiti tramite politiche di sicurezza e configurazione aziendale in Microsoft Intune.

Figura 1: Configurazione dell’l’MDM User Scope dal portale di Microsoft Entra

Sempre dal portale di Microsoft Entra configurate Microsoft Entra join and registration settings. Le impostazioni di Microsoft Entra Join and Registration (precedentemente noto come Azure AD Join) servono a gestire come i dispositivi si uniscono e si registrano nell’ambiente di Microsoft Entra ID (ex Azure AD). Queste impostazioni consentono agli amministratori IT di configurare quali dispositivi possono essere uniti al dominio aziendale e gestiti.

Figura 2: Configurazione di Microsoft Entra join and registration settings

Creazione dei gruppi per Enrollment Time Grouping

L’Enrollment Time Grouping in Windows Autopilot Device Preparation serve a ottimizzare la configurazione dei dispositivi durante l’enrollment. Quando un utente si autentica, il dispositivo viene automaticamente aggiunto a un gruppo di sicurezza predefinito. Le applicazioni, gli script e le policy assegnati a quel gruppo vengono distribuiti immediatamente al dispositivo. Questo approccio permette una distribuzione più veloce rispetto ai gruppi dinamici, migliorando l’efficienza del deployment. Inoltre consente di installare app e script specifici durante l’Out-of-Box Experience (OOBE).

Io ho creato un gruppo di dispositivi che sia chiama Windows Autopilot device preparation group, che avrà come owner l’Intune Autopilot ConfidentialClient (con AppID: f1346770-5b25-470b-88bd-d5744ab7952c).

Se non riuscite a trovare il Intune Provisioning Client con l’AppID f1346770-5b25-470b-88bd-d5744ab7952c mentre impostate il proprietario del gruppo di dispositivi per la preparazione di Windows Autopilot, è possibile che il service principal sia denominato Intune Autopilot ConfidentialClient. Finché l’AppID è corretto, si tratta del service principal giusto. Se non esiste nel tenant, dovete aggiungerlo tramite comandi PowerShell. Potete consultare la guida Adding the Intune Provisioning Client service principal su come aggiungere il service principal di Intune per ulteriori dettagli.

Figura 3: Creazione del gruppo di dispositivi Windows Autopilot device preparation group

Figura 4: Creazione del gruppo di dispositivi Windows Autopilot device preparation group

Ho creato un gruppo di utenti che sia chiama Windows Autopilot device preparation Users, a cui ho aggiunto gli utenti che potranno utilizzare la funzionalità di Windows Autopilot device preparation. Questo gruppo verrà utilizzato per assegnare le policy e le configurazioni durante il processo di preparazione dei dispositivi. Gli utenti inclusi in questo gruppo potranno beneficiare delle configurazioni automatizzate di Windows Autopilot quando i dispositivi vengono distribuiti e configurati per l’uso aziendale.

Figura 5: Creazione del gruppo Windows Autopilot device preparation Users

Figura 6: Creazione del gruppo Windows Autopilot device preparation Users

Figura 7: Gruppi creati per la funzionalità di Windows Autopilot device preparation

Assegnazione delle applicazioni al gruppo dei dispositivi

Per poter distribuire le applicazioni durante la fase di Windows Autopilot Device Preparation sarà sufficiente assegnarle al gruppo di dispositivi creato per l’Enrollment Time Grouping. Nel mio caso si chiama Windows Autopilot Device Preparation Group. Io ho deciso di distribuire durante la fase di enrollment le Microsoft 365 Apps for Enterprise e Google Chrome. Fate riferimento alla mia guida Microsoft Intune – Test, distribuzione e aggiornamento delle app Windows – ICT Power per maggiori informazioni.

Figura 8: Assegnazione delle Microsoft 365 Apps al gruppo Windows Autopilot Device Preparation Group

Figura 9: Assegnazione di Google Chrome al gruppo Windows Autopilot Device Preparation Group

Terminata la configurazione delle applicazioni siete pronti per la creazione della Device preparation policy.

Device preparation policy

La Device preparation policy in Windows Autopilot è una policy di configurazione che gestisce il processo di preparazione dei dispositivi durante l’enrollment. Include configurazioni specifiche come l’installazione di applicazioni, l’esecuzione di script PowerShell e l’applicazione di policy di configurazione. Questa policy viene assegnata a un gruppo di dispositivi e automatizza la preparazione durante l’Out-of-Box Experience (OOBE), rendendo i dispositivi pronti per l’uso aziendale in modo efficiente e sicuro.

Per creare la Device preparation policy andate su Devices > Windows enrollment > Device preparation policies e selezionate Create policy.

Figura 10: Creazione di una nuova Device preparation policy in Windows Autopilot

La schermata Introduction del wizard per la creazione di una Device Preparation Policy serve a introdurre il processo di configurazione della policy e vi da alcune indicazioni sulle novità.

Figura 11: Schermata Introduction del wizard per la creazione della Device preparation policy in Windows Autopilot

La schermata Basics del wizard per la creazione della Device Preparation Policy vi chiede di inserire informazioni di base sulla policy: Nome della policy e Descrizione.

Figura 12: Schermata Basics del wizard per la creazione della Device preparation policy in Windows Autopilot

Nella schermata Device group del wizard per la creazione della Device Preparation Policy viene richiesto di selezionare il gruppo di dispositivi a cui applicare la policy. Questo gruppo di dispositivi deve essere predefinito in Microsoft Intune e includerà i dispositivi che verranno configurati tramite la preparazione automatizzata. L’aggiunta del dispositivo al gruppo consente di applicare automaticamente app, script e configurazioni durante la fase di Out-of-Box Experience (OOBE). Cercate il gruppo il gruppo che avete creato in precedenza; nel mio caso il gruppo si chiama Windows Device device preparation group. Vi ricordo che il gruppo è vuoto e che i dispositivi verranno aggiunti automaticamente da Intune.

Figura 13: Schermata Device group del wizard per la creazione della Device preparation policy in Windows Autopilot

Figura 14: Schermata Device group del wizard per la creazione della Device preparation policy in Windows Autopilot

Nella schermata Configuration settings del wizard per la creazione della Device Preparation Policy è possibile configurare le applicazioni, gli script PowerShell e le policy da applicare ai dispositivi durante la fase di Out-of-Box Experience (OOBE).

Aggiungete le configurazioni, le App e gli eventuali script PowerShell che volete distribuire.

Figura 15: Aggiunta delle App da distribuire nella schermata Configuration settings del wizard per la creazione della Device preparation policy in Windows Autopilot

Nella sezione Deployment settings configurate la modalità di distribuzione (ad esempio, user-driven), il tipo di deployment e di join (Microsoft Entra joined) e se l’utente deve essere un utente limitato o amministratore della macchina. Nella sezione Out-of-box experience settings (OOBE) impostate il tempo massimo per mostrare l’errore, un messaggio di errore personalizzato e opzioni come permettere il ripristino dopo più tentativi.

Figura 16: Schermata Configuration settings del wizard per la creazione della Device preparation policy in Windows Autopilot

Nella schermata Scope Tags del wizard è possibile assegnare tag per definire la visibilità della policy a specifici amministratori o gruppi di amministratori in base alla loro area di gestione. Questi tag sono utili per suddividere e organizzare la gestione dei dispositivi all’interno dell’azienda, permettendo un controllo granulare su chi può vedere e gestire la policy.

Figura 17: Schermata Scope Tags del wizard per la creazione della Device preparation policy in Windows Autopilot

Nella schermata Assignments assegnate la policy a gruppi di utenti che la utilizzeranno. Nel mio caso il gruppo si chiama Windows Autopilot device preparation Users. Una volta che gli utenti a cui è assegnata la Device Preparation Policy effettueranno il login sui loro dispositivi, il profilo di configurazione verrà distribuito automaticamente su quei dispositivi. Questo include tutte le applicazioni, gli script e le impostazioni definiti nella policy, garantendo che il dispositivo sia configurato in base alle esigenze aziendali già durante la fase di Out-of-Box Experience (OOBE).

Figura 18: Schermata Assignments del wizard per la creazione della Device preparation policy in Windows Autopilot

Figura 19: Schermata riassuntiva del wizard per la creazione della Device preparation policy in Windows Autopilot

Figura 20: Device preparation policy in Windows Autopilot creata

Test di funzionamento

Per effettuare il test di funzionamento mi servirò di un dispositivo con installato Windows 11 24H2 Pro. Dopo il primo avvio scegliete le impostazioni della lingua della tastiera e delle impostazioni regionali. Potete anche decidere di cambiare il nome predefinito del dispositivo. Io ho scelto il nome WKS123.

Figura 21: Inserimento del nome del dispositivo dopo la prima accensione del PC

Figura 22: Scelta della configurazione aziendale

Ho effettuato il login sul dispositivo con un utente del gruppo assegnato alla device preparation policy. Nel mio caso l’utente fa parte del gruppo Windows Autopilot device preparation Users.

Figura 23: Login sul dispositivo con un utente del gruppo assegnato alla device preparation policy

L’autenticazione senza password (passwordless authentication) permette agli utenti di accedere ai dispositivi senza utilizzare una password tradizionale, migliorando sicurezza e facilità d’uso. Le opzioni che potete scegliere includono:

  • Windows Hello: Usa il riconoscimento facciale, l’impronta digitale o un PIN.
  • Autenticazione con chiavi di sicurezza: Utilizza chiavi fisiche (come FIDO2).
  • Microsoft Authenticator: App che consente di approvare il login direttamente sul dispositivo mobile.

Questi metodi eliminano la necessità di ricordare o inserire una password, migliorando l’esperienza utente e riducendo il rischio di furto di credenziali.

Avete già dato un’occhiata alle guide sul passwordless che ho scritto?

NOTA: La passwordless authentication era già abilitata per l’utente e non è necessaria per la Windows Autopilot Device Preparation.

Figura 24: Uso della passwordless authentication per accedere al dispositivo

Figura 25: Dopo l’autenticazione il dispositivo riceve le prime configurazioni

Quando inizia la fase di Windows Autopilot Device Preparation su un dispositivo il sistema esegue l’aggiunta del dispositivo a Microsoft Entra e a Microsoft Intune Viene quindi installata la Management Extension per gestire la distribuzione di applicazioni e script PowerShell. Questa estensione permette di applicare configurazioni aziendali definite nel profilo di preparazione del dispositivo, garantendo che le policy, le applicazioni e gli script vengano implementati automaticamente durante il processo di Out-of-Box Experience (OOBE).

Figura 26: Installazione della Management Extension

Figura 27: Installazione delle applicazioni e delle policy di Microsoft Intune configurate per il dispositivo

Per monitorare lo stato di avanzamento delle installazioni delle applicazioni potete aprire un prompt dei comandi con la combinazione di tasti SHIFT+F10 e digitare control appwiz.cpl. Si aprirà la finestra Programmi e funzionalità del Pannello di controllo di Windows e da lì potrete verificare quali applicazioni sono state già installate

Figura 28: Monitoraggio dell’installazione delle applicazioni

Nel portale di Microsoft Intune potrete notare che il dispositivo è stato aggiunto a Microsoft Entra e che è gestito da Intune, come mostrato nella figura sotto:

Figura 29: Dispositivo visibile nel portale di Microsoft Intune

Il dispositivo è stato aggiunto al gruppo Windows Autopilot device preparation Group in maniera automatica dall’Intune Provisioning Client (AppID f1346770-5b25-470b-88bd-d5744ab7952c).

Figura 30: Il dispositivo fa parte del gruppo Windows Autopilot device preparation Group

È possibile seguire l’avanzamento della fase di Windows Autopilot Device Preparation direttamente dal portale di Microsoft Intune. Nella sezione Devices > Monitor potete visualizzare lo stato di distribuzione delle applicazioni, degli script PowerShell e delle policy configurate cliccando sul report Windows Autopilot device preparation deployments. Il report offre dettagli in tempo quasi reale, come il progresso dell’installazione, eventuali errori, e lo stato finale della configurazione. Questo permette di monitorare e risolvere rapidamente eventuali problemi durante la preparazione dei dispositivi.

Figura 31: report Windows Autopilot device preparation deployments

Figura 32: Dettagli del deployment nel report Windows Autopilot device preparation deployments

Al termine dell’installazione delle applicazioni, degli script e delle policy di configurazione assegnate tramite Windows Autopilot Device Preparation, il dispositivo è pronto per l’uso. L’utente può quindi accedere al desktop con le impostazioni aziendali già applicate.

Figura 33: Termine della Windows Autopilot Device Preparation

Figura 34: Accettazione delle impostazioni per la privacy da parte dell’utente

Con l’aggiornamento a Windows 24 H2, il sistema controlla automaticamente gli aggiornamenti al primo login dell’utente. Durante questa fase, Windows verifica la disponibilità di aggiornamenti del sistema operativo, driver e applicazioni di sistema critiche, garantendo che il dispositivo sia aggiornato e sicuro sin dall’inizio.

Figura 35: Controllo automatico degli aggiornamenti al primo login dell’utente in Windows 11 24H2

Figura 36: Installazione degli aggiornamenti in Windows 11 24H2

Figura 37: Installazione degli aggiornamenti in Windows 11 24H2

Figura 38: Schermata di login dopo l’installazione degli aggiornamenti in Windows 11 24H2

Figura 39: Primo accesso e creazione del profilo utente in corso

La configurazione di Windows Hello al primo login può essere parte del processo di autenticazione per aumentare la sicurezza. Durante il primo accesso, l’utente è guidato attraverso una procedura per configurare uno dei metodi di Windows Hello, che può includere:

  • Riconoscimento facciale (se il dispositivo ha una fotocamera compatibile).
  • Impronta digitale (se il dispositivo ha un lettore di impronte).
  • PIN.

Questo processo sostituisce o completa l’uso delle password tradizionali, migliorando sicurezza e praticità per l’utente.

La configurazione di Windows Hello con Microsoft Intune può essere fatta in due modi:

  1. User-driven configuration: Gli utenti configurano Windows Hello durante la prima configurazione del dispositivo (Out-of-Box Experience). Una volta che il profilo è distribuito tramite Intune, vengono guidati nel setup di Windows Hello.
  2. Policy-driven configuration: Gli amministratori IT creano e distribuiscono policy di Windows Hello for Business tramite Intune, automatizzando la configurazione per gruppi di utenti o dispositivi, imponendo criteri come lunghezza minima del PIN o requisiti biometrici.

Figura 40: Configurazione di Windows Hello al primo login

Come si può vedere dalla figura sotto, le applicazioni Microsoft 365 Apps for Enterprise e Google Chrome sono state installate. È stata installata anche l’app Calibre, che è assegnata all’utente che ho utilizzato. Del resto è quello il bello di Microsoft Intune

Figura 41: Accesso dell’utente effettuato

Dal portale di Microsoft Intune il report Windows Autopilot device preparation deployment riporta come Deployment status Success.

Figura 42: Il portale di Microsoft Intune mostra lo stato del deployment

Conclusioni

Windows Autopilot Device Preparation (Autopilot v2) rappresenta un’evoluzione significativa nel processo di distribuzione dei dispositivi aziendali. Automatica e personalizzabile, questa funzionalità riduce la complessità dell’onboarding, migliorando efficienza e coerenza nella configurazione dei dispositivi. Con la gestione centralizzata di applicazioni, script e politiche di sicurezza, e la possibilità di monitorare l’avanzamento in tempo reale, offre un’esperienza semplificata per amministratori e utenti finali. La preparazione ottimizzata riduce i tempi di configurazione, garantendo dispositivi pronti all’uso in modo rapido e sicuro.