Utilizzare Windows Configuration Designer per il bulk enrollment dei dispositivi Windows in Entra ID e Microsoft Intune
Molte aziende hanno la necessità di automatizzare l’enrollment dei dispositivi Windows appena acquistati in Entra ID e quindi anche in Microsoft Intune. Anche se la soluzione migliore è l’utilizzo di Windows Autopilot, di cui ho avuto ampiamente modo di scrivere, oggi voglio proporvi una soluzione alternativa tramite l’utilizzo dello strumento gratuito Windows Configuration Designer.
Windows Configuration Designer permette di creare pacchetti di provisioning per configurare facilmente i dispositivi che eseguono Windows (ma anche Windows IoT Core, Microsoft Surface Hub e Microsoft HoloLens) e viene usato principalmente dai reparti IT delle aziende o delle scuole che devono effettuare il provisioning di dispositivi BYOD (Bring Your Own Device) oppure dispositivi forniti dall’azienda.
Lo strumento è attualmente supportato per il provisioning dei seguenti sistemi operativi:
- Windows 11
- Windows 10 – x86 e amd64
- Windows 8.1 Update – x86 e amd64
- Windows 8.1 – x86 e amd64
- Windows 8 – x86 e amd64
- Windows 7 – x86 e amd64
- Windows Server 2016
- Windows Server 2012 R2 Update
- Windows Server 2012 R2
- Windows Server 2012
- Windows Server 2008 R2
Infatti, a dispetto del titolo di questa guida, può essere utilizzato anche per effettuare il join ad Active Directory on-premises, oltre che di Entra ID (formerly Azure Active Directory).
Installazione di Windows Configuration Designer
Windows Configuration Designer è un’app gratuita disponibile nel Microsoft Store. Vi basterà cercarla ed installarla con pochi clic.
Figura 1: Windows Configuration Designer è un’app gratuita disponibile nel Microsoft Store
Terminata l’installazione potete lanciare lo strumento e cliccare sul bottone Provision desktop devices. L’obiettivo è creare un pacchetto di provisioning (.ppkg) contenente le impostazioni di personalizzazione e quindi applicare il pacchetto di provisioning ad un dispositivo che esegue il client Windows.
Figura 2: Creazione di un nuovo progetto per la configurazione di Windows
Inserite il nome del progetto e fate clic su Finish.
Figura 3: Creazione di un nuovo progetto per la configurazione di dispositivi Windows
La procedura guidata desktop consente di configurare le seguenti impostazioni in un pacchetto di provisioning:
- Configurazione del nome dispositivo
- Configurazione del dispositivo per l’utilizzo condiviso
- Rimozione del software preinstallato (anche il bloatware)
- Configurazione della rete Wi-Fi
- Enrollment del dispositivo in Active Directory oppure in Azure Active Directory (Entra ID)
- Creazione di un utente amministratore locale della macchina
- Aggiunta di eventuali applicazioni e certificati
Oltre alla procedura guidata è anche possibile utilizzare una modalità avanzata, che non verrà trattata in questa guida.
Io ho inserito come nome dispositivo un nome che ha una parte fissa ed una variabile (in modo tale da avere dispositivi con nomi univoci) e ho configurato in modo che venga rimosso il software preinstallato (anche il bloatware).
La definizione software bloat (o bloatware) si utilizza con riferimento ai programmi preinstallati nei computer e negli smartphone che vengono acquistati; non di rado i programmi si trovano in versione trial, di prova, sono cioè utilizzabili gratuitamente per un certo periodo, al termine del quale per continuare ad usarli si dovranno acquistare le relative licenze. Oppure si tratta di software di gestione dei diversi vendor di hardware.
È anche possibile inserire un seriale di attivazione di Windows.
Figura 4: Inserimento del nome dispositivo (dinamico) e rimozione del software preinstallato
Per abilitare la configurazione automatica di una rete Wi-Fi, selezionate Configura rete e configurate le seguenti impostazioni:
- Configurare la rete: per abilitare la connettività wireless, selezionare Sì.
- SSID di rete: immettere l’IDentifier del set di servizi (SSID) della rete.
- Tipo di rete: selezionare Aperta o WPA2-Personal. Se si seleziona WPA2-Personal, immettere la password per la rete wireless.
Figura 5: Configurazione della rete Wi-Fi
È possibile a questo punto decidere se il dispositivo Windows deve rimanere in workgroup, essere joinato ad Active Directory locale oppure a Entra ID (Azure AD). Nel nostro caso vogliamo che venga effettuato il join ad Azure AD. Per configurare la registrazione bulk di Azure AD è necessario procurarsi un token adatto, che può avere un data di scadenza e una durata massima di 180 giorni. Assicuratevi di utilizzare un utente con privilegi elevati, come ad esempio un Global Admin.
Nel tenant di Azure AD il numero massimo di dispositivi per utente determina il numero di volte in cui è possibile usare il token bulk nella procedura guidata.
Figura 6: Nel tenant di Azure AD il numero massimo di dispositivi per utente determina il numero di volte in cui è possibile usare il token bulk nella procedura guidata
Effettuate il login a Entra ID.
Figura 7: Inserimento delle credenziali necessarie scaricare il bulk token necessario all’enrollment del dispositivo in Azure AD
Figura 8: Inserimento delle credenziali per la generazione del Bulk Token di Azure AD
Figura 9: Bul AAD Token generato
Per aggiungere applicazioni ai dispositivi, selezionare Aggiungi applicazioni. È possibile installare più applicazioni, tra cui applicazioni desktop Windows (Win32) e app piattaforma UWP (Universal Windows Platform) (UWP). Le impostazioni in questo passaggio variano a seconda dell’applicazione selezionata. Per informazioni sulle impostazioni potete visitare la pagina Provision PCs with apps (Windows 10/11).
Figura 10: Aggiunta delle applicazioni al pacchetto di provisioning
Per aggiungere un certificato ai dispositivi, selezionare Aggiungi certificati e configurare le impostazioni seguenti:
- Nome certificato: immettere un nome per il certificato.
- Percorso certificato: esplorare e selezionare il certificato da aggiungere.
Figura 11: Aggiunta di certificati al pacchetto di provisioning
Per completare la procedura guidata, selezionare Fine e decidete se proteggere il pacchetto di provisioning tramite password. Quando si applica il pacchetto di provisioning a un dispositivo, è necessario immettere questa password.
Al termine, fate clic su Crea. L’operazione richiede solo pochi secondi. Al termine della compilazione del pacchetto, il percorso in cui è archiviato il pacchetto è visualizzato come collegamento ipertestuale nella parte inferiore della pagina.
Figura 12: Schermata finale della creazione del pacchetto di provisioning
Figura 13: Pacchetto di provisioning creato
Applicazione del pacchetto di provisioning
I pacchetti di provisioning possono essere applicati a un dispositivo durante l’installazione iniziale (OOBE) e dopo (“runtime”).
NOTA: L’applicazione di un pacchetto di provisioning su un dispositivo desktop richiede i privilegi di amministratore sul dispositivo.
Se desiderate applicare il pacchetto nella schermata di configurazione iniziale sarà sufficiente inserirlo in una unità USB (basta una semplice chiavetta) e verrà automaticamente rilevato durante la Out of the Box Experience (OOBE). Nella figura sotto è mostrata la schermata dove avviene il rilevamento.
NOTA: Se la finestra con la selezione della nazione rimane in evidenza potreste anche provare a premere il tasto Windows 5 volte per forzare l’operazione di applicazione del pacchetto.
Figura 14: Schermata dove avviene il rilevamento del pacchetto di provisioning durante l’OOBE
Figura 15: Premendo 5 volte di seguito il tasto Windows è possibile attivare la schermata mostrata
Se nell’unità USB sono presenti più pacchetti di provisioning, il programma di installazione di Windows riconoscerà l’unità e chiederà come si vuole effettuare il provisioning del dispositivo.
Figura 16: Scelta del pacchetto di provisioning da installare
Figura 17: Il pacchetto di provisioning viene letto automaticamente ed è necessario inserire la password di protezione che abbiamo utilizzato durante la creazione del pacchetto
Figura 18: Il pacchetto di provisioning richiede la rimozione delle applicazioni e impone il reset del PC
Figura 19: Reset del PC in corso e rimozione delle applicazioni
Figura 20: Installazione di Windows dopo il Reset
Figura 21: Completamento della configurazione
Figura 22: Configurazione completata correttamente
Figura 23: Inserimento delle credenziali di Entra ID di un utente
Figura 24: Configurazione di Windows Hello
Il dispositivo risulta correttamente configurato, aggiunto ad Azure AD e gestito da Microsoft Intune. L’utente non è amministratore locale della macchina perché non ha effettuato lui l’enrollment in Azure AD.
Figura 25: Il dispositivo risulta correttamente configurato
Applicazione del pacchetto di provisioning a “runtime”
Se state lavorando con un dispositivo già configurato avete comunque la possibilità di utilizzare il pacchetto di provisioning. Vi basterà copiare il pacchetto sul PC ( o lanciarlo dalla chiavetta USB ) e seguire la stessa procedura vista in precedenza.
Figura 26: Lancio del pacchetto di provisioning ed inserimento della password id protezione
Figura 27: Conferma dell’applicazione del pacchetto e delle configurazioni contenute
Figura 28: Reset del PC in corso e rimozione delle applicazioni
Figura 29: Reset del PC in corso
Figura 30: Riavvio del PC dopo il Reset
Figura 31: Applicazione della configurazione ed enrollment in Azure AD (Entra ID)
Figura 32: Inserimento delle credenziali di Azure AD per il login al PC
Figura 33: Login dell’utente di Azure AD
Figura 34: Richiesta di configurazione di Windows Hello
Figura 35: Il dispositivo è stato aggiunto ad Azure AD ed è gestito da Microsoft Intune
Nel portale di Microsoft Entra sarà possibile visualizzare il dispositivo e verificare che è gestito da Microsoft Intune.
Figura 36: Il dispositivo è stato aggiunto ad Azure AD ed è gestito da Microsoft Intune
Conclusioni
L’utilizzo del pacchetto di provisioning semplifica moltissimo le configurazioni dei dispositivi da aggiungere ad Azure AD e a Microsoft Intune, soprattutto quelli nuovi. Non è certamente una modalità più comoda rispetto a Windows Autopilot ma è decisamente un modo veloce per configurare le nostre macchine con pochi clic!