Utilizzare Windows Configuration Designer per il bulk enrollment dei dispositivi Windows in Entra ID e Microsoft Intune

Molte aziende hanno la necessità di automatizzare l’enrollment dei dispositivi Windows appena acquistati in Entra ID e quindi anche in Microsoft Intune. Anche se la soluzione migliore è l’utilizzo di Windows Autopilot, di cui ho avuto ampiamente modo di scrivere, oggi voglio proporvi una soluzione alternativa tramite l’utilizzo dello strumento gratuito Windows Configuration Designer.

Windows Configuration Designer permette di creare pacchetti di provisioning per configurare facilmente i dispositivi che eseguono Windows (ma anche Windows IoT Core, Microsoft Surface Hub e Microsoft HoloLens) e viene usato principalmente dai reparti IT delle aziende o delle scuole che devono effettuare il provisioning di dispositivi BYOD (Bring Your Own Device) oppure dispositivi forniti dall’azienda.

Lo strumento è attualmente supportato per il provisioning dei seguenti sistemi operativi:

  • Windows 11
  • Windows 10 – x86 e amd64
  • Windows 8.1 Update – x86 e amd64
  • Windows 8.1 – x86 e amd64
  • Windows 8 – x86 e amd64
  • Windows 7 – x86 e amd64
  • Windows Server 2016
  • Windows Server 2012 R2 Update
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2

Infatti, a dispetto del titolo di questa guida, può essere utilizzato anche per effettuare il join ad Active Directory on-premises, oltre che di Entra ID (formerly Azure Active Directory).

Installazione di Windows Configuration Designer

Windows Configuration Designer è un’app gratuita disponibile nel Microsoft Store. Vi basterà cercarla ed installarla con pochi clic.

Figura 1: Windows Configuration Designer è un’app gratuita disponibile nel Microsoft Store

Terminata l’installazione potete lanciare lo strumento e cliccare sul bottone Provision desktop devices. L’obiettivo è creare un pacchetto di provisioning (.ppkg) contenente le impostazioni di personalizzazione e quindi applicare il pacchetto di provisioning ad un dispositivo che esegue il client Windows.

Figura 2: Creazione di un nuovo progetto per la configurazione di Windows

Inserite il nome del progetto e fate clic su Finish.

Figura 3: Creazione di un nuovo progetto per la configurazione di dispositivi Windows

La procedura guidata desktop consente di configurare le seguenti impostazioni in un pacchetto di provisioning:

  • Configurazione del nome dispositivo
  • Configurazione del dispositivo per l’utilizzo condiviso
  • Rimozione del software preinstallato (anche il bloatware)
  • Configurazione della rete Wi-Fi
  • Enrollment del dispositivo in Active Directory oppure in Azure Active Directory (Entra ID)
  • Creazione di un utente amministratore locale della macchina
  • Aggiunta di eventuali applicazioni e certificati

Oltre alla procedura guidata è anche possibile utilizzare una modalità avanzata, che non verrà trattata in questa guida.

Io ho inserito come nome dispositivo un nome che ha una parte fissa ed una variabile (in modo tale da avere dispositivi con nomi univoci) e ho configurato in modo che venga rimosso il software preinstallato (anche il bloatware).

La definizione software bloat (o bloatware) si utilizza con riferimento ai programmi preinstallati nei computer e negli smartphone che vengono acquistati; non di rado i programmi si trovano in versione trial, di prova, sono cioè utilizzabili gratuitamente per un certo periodo, al termine del quale per continuare ad usarli si dovranno acquistare le relative licenze. Oppure si tratta di software di gestione dei diversi vendor di hardware.

È anche possibile inserire un seriale di attivazione di Windows.

Figura 4: Inserimento del nome dispositivo (dinamico) e rimozione del software preinstallato

Per abilitare la configurazione automatica di una rete Wi-Fi, selezionate Configura rete e configurate le seguenti impostazioni:

  • Configurare la rete: per abilitare la connettività wireless, selezionare .
  • SSID di rete: immettere l’IDentifier del set di servizi (SSID) della rete.
  • Tipo di rete: selezionare Aperta o WPA2-Personal. Se si seleziona WPA2-Personal, immettere la password per la rete wireless.

Figura 5: Configurazione della rete Wi-Fi

È possibile a questo punto decidere se il dispositivo Windows deve rimanere in workgroup, essere joinato ad Active Directory locale oppure a Entra ID (Azure AD). Nel nostro caso vogliamo che venga effettuato il join ad Azure AD. Per configurare la registrazione bulk di Azure AD è necessario procurarsi un token adatto, che può avere un data di scadenza e una durata massima di 180 giorni. Assicuratevi di utilizzare un utente con privilegi elevati, come ad esempio un Global Admin.

Nel tenant di Azure AD il numero massimo di dispositivi per utente determina il numero di volte in cui è possibile usare il token bulk nella procedura guidata.

Figura 6: Nel tenant di Azure AD il numero massimo di dispositivi per utente determina il numero di volte in cui è possibile usare il token bulk nella procedura guidata

Effettuate il login a Entra ID.

Figura 7: Inserimento delle credenziali necessarie scaricare il bulk token necessario all’enrollment del dispositivo in Azure AD

Figura 8: Inserimento delle credenziali per la generazione del Bulk Token di Azure AD

Figura 9: Bul AAD Token generato

Per aggiungere applicazioni ai dispositivi, selezionare Aggiungi applicazioni. È possibile installare più applicazioni, tra cui applicazioni desktop Windows (Win32) e app piattaforma UWP (Universal Windows Platform) (UWP). Le impostazioni in questo passaggio variano a seconda dell’applicazione selezionata. Per informazioni sulle impostazioni potete visitare la pagina Provision PCs with apps (Windows 10/11).

Figura 10: Aggiunta delle applicazioni al pacchetto di provisioning

Per aggiungere un certificato ai dispositivi, selezionare Aggiungi certificati e configurare le impostazioni seguenti:

  • Nome certificato: immettere un nome per il certificato.
  • Percorso certificato: esplorare e selezionare il certificato da aggiungere.

Figura 11: Aggiunta di certificati al pacchetto di provisioning

Per completare la procedura guidata, selezionare Fine e decidete se proteggere il pacchetto di provisioning tramite password. Quando si applica il pacchetto di provisioning a un dispositivo, è necessario immettere questa password.

Al termine, fate clic su Crea. L’operazione richiede solo pochi secondi. Al termine della compilazione del pacchetto, il percorso in cui è archiviato il pacchetto è visualizzato come collegamento ipertestuale nella parte inferiore della pagina.

Figura 12: Schermata finale della creazione del pacchetto di provisioning

Figura 13: Pacchetto di provisioning creato

Applicazione del pacchetto di provisioning

I pacchetti di provisioning possono essere applicati a un dispositivo durante l’installazione iniziale (OOBE) e dopo (“runtime”).

NOTA: L’applicazione di un pacchetto di provisioning su un dispositivo desktop richiede i privilegi di amministratore sul dispositivo.

Se desiderate applicare il pacchetto nella schermata di configurazione iniziale sarà sufficiente inserirlo in una unità USB (basta una semplice chiavetta) e verrà automaticamente rilevato durante la Out of the Box Experience (OOBE). Nella figura sotto è mostrata la schermata dove avviene il rilevamento.

NOTA: Se la finestra con la selezione della nazione rimane in evidenza potreste anche provare a premere il tasto Windows 5 volte per forzare l’operazione di applicazione del pacchetto.

Figura 14: Schermata dove avviene il rilevamento del pacchetto di provisioning durante l’OOBE

Figura 15: Premendo 5 volte di seguito il tasto Windows è possibile attivare la schermata mostrata

Se nell’unità USB sono presenti più pacchetti di provisioning, il programma di installazione di Windows riconoscerà l’unità e chiederà come si vuole effettuare il provisioning del dispositivo.

Figura 16: Scelta del pacchetto di provisioning da installare


Figura 17: Il pacchetto di provisioning viene letto automaticamente ed è necessario inserire la password di protezione che abbiamo utilizzato durante la creazione del pacchetto

Figura 18: Il pacchetto di provisioning richiede la rimozione delle applicazioni e impone il reset del PC

Figura 19: Reset del PC in corso e rimozione delle applicazioni

    Figura 20: Installazione di Windows dopo il Reset

Figura 21: Completamento della configurazione

Figura 22: Configurazione completata correttamente

Figura 23: Inserimento delle credenziali di Entra ID di un utente

Figura 24: Configurazione di Windows Hello

Il dispositivo risulta correttamente configurato, aggiunto ad Azure AD e gestito da Microsoft Intune. L’utente non è amministratore locale della macchina perché non ha effettuato lui l’enrollment in Azure AD.

Figura 25: Il dispositivo risulta correttamente configurato

Applicazione del pacchetto di provisioning a “runtime”

Se state lavorando con un dispositivo già configurato avete comunque la possibilità di utilizzare il pacchetto di provisioning. Vi basterà copiare il pacchetto sul PC ( o lanciarlo dalla chiavetta USB ) e seguire la stessa procedura vista in precedenza.

Figura 26: Lancio del pacchetto di provisioning ed inserimento della password id protezione

Figura 27: Conferma dell’applicazione del pacchetto e delle configurazioni contenute

Figura 28: Reset del PC in corso e rimozione delle applicazioni

Figura 29: Reset del PC in corso

Figura 30: Riavvio del PC dopo il Reset

Figura 31: Applicazione della configurazione ed enrollment in Azure AD (Entra ID)

Figura 32: Inserimento delle credenziali di Azure AD per il login al PC

Figura 33: Login dell’utente di Azure AD

Figura 34: Richiesta di configurazione di Windows Hello

Figura 35: Il dispositivo è stato aggiunto ad Azure AD ed è gestito da Microsoft Intune

Nel portale di Microsoft Entra sarà possibile visualizzare il dispositivo e verificare che è gestito da Microsoft Intune.

Figura 36: Il dispositivo è stato aggiunto ad Azure AD ed è gestito da Microsoft Intune

Conclusioni

L’utilizzo del pacchetto di provisioning semplifica moltissimo le configurazioni dei dispositivi da aggiungere ad Azure AD e a Microsoft Intune, soprattutto quelli nuovi. Non è certamente una modalità più comoda rispetto a Windows Autopilot ma è decisamente un modo veloce per configurare le nostre macchine con pochi clic!