Windows Autopilot with Primo

Windows Autopilot streamlines the deployment of new Windows devices by allowing pre-configuration without manual intervention, ensuring users can quickly set up their devices with corporate applications and security policies upon login.

7 min read

De quoi s’agit-il ?

Windows Autopilot offre une expérience fluide et simplifiée pour le déploiement de nouveaux appareils Windows. Grâce à cette solution, vous pourrez pré-configurer vos appareils, éliminant ainsi le besoin d'interventions manuelles lors de l'installation. Vos employés bénéficieront d'une expérience "prêt à l'emploi" où ils n'auront qu'à se connecter avec leurs identifiants professionnels Microsoft pour que leur appareil soit automatiquement configuré avec les applications, paramètres et politiques de sécurité de l'entreprise, tels que configurés sur le Cockpit Primo.

Autopilot réduit considérablement le temps et les efforts nécessaires pour déployer et gérer des appareils à grande échelle, tout en assurant une productivité immédiate pour les utilisateurs.

Quels sont les pré-requis ?

  • Avoir un compte Microsoft avec un accès administrateur
  • Avoir un “tenant” Entra
  • Avoir une license qui comprenne Microsoft Entra ID Plan 1 (ou Plan 2) & Windows Autopilot pour administrer la console Entra

La license minimum qui comprends ces 2 fonctionnalités est la license Enterprise Mobility + Security E3 (https://www.microsoft.com/fr-fr/microsoft-365/enterprise-mobility-security/compare-plans-and-pricing).

Si vous possédez déjà une license Windows pour la personne qui va administrer les comptes, vérifiez si celle-ci n’inclue pas déjà la fonctionnalités nécessaires pour Autopilot en utilisant la source suivante, et si ça n’est pas le cas, procurez-vous une license Enterprise Mobility + Security E3.

Source: https://cdn-dynmedia-1.microsoft.com/is/content/microsoftcorp/microsoft/final/en-us/microsoft-brand/documents/Modern-Work-Plan-Comparison-Enterprise1.pdf

Comment se déroule l’arrivée d’un collaborateur dont le poste est configuré avec Autopilot ?

  • Allumage de l’appareil
  • Choix du pays et de la langue, configuration de la langue du clavier
  • Connection à Internet (mot de passe WIFI si nécessaire)
Acceptation des termes et conditions de FleetDM
Connection de l’utilisateur avec ses identifiants Microsoft + Authentification à double facteur si disponible
Définition d’un code PIN (pour éviter d’avoir à saisir le mot de passe à chaque fois) et réglage d’une empreinte digitale si supporté par l’appareil
  • Le poste est prêt à l’utilisation, les réglages et applications définis dans le Cockpit Primo sont appliqués

Quelles sont les restrictions ?

La contrainte principale imposée par Autopilot est le type de compte utilisateur sur la machine. L’utilisateur ne possède pas de “compte local” sur la machine, mais un compte Entra.

Les différences entre ces 2 types de comptes sont détaillées sur cet article.

Les comptes locaux semblent être de plus en plus dépréciés par Microsoft en faveur des comptes Entra.

L’administrateur Entra peut décider si les utilisateurs ont un compte utilisateur ou administrateur (voire même créer deux profils Autopilot associés à différents groupes d’utilisateurs).

Notez que les utilisateurs Entra avec le rôle Global Administrator sont de facto administrateurs des machines Autopilot sur lesquelles ils se connectent.

Par ailleurs, un accès Internet est nécessaire lors du premier allumage de la machine, afin d’authentifier l’utilisateur auprès d’Entra.

Comment mettre en place ?

Les étapes nécessaires pour la mise en place d’un pilote Autopilot sont décrites ci-dessous.

1. Obtention de la license pour l’administrateur (si vous n’en avez pas déjà une)

  • Aller dans Your organization > Subscriptions > + Add more products
  • Choisir ou créer un compte de facturation (Billing account)
  • Utiliser la barre de recherche pour trouver la license correspondante (minimum Enterprise Mobility + Security E3)
  • Choisir la quantité, la fréquence de facturation et procéder à l’achat

2. Attribution de la license pour l’administrateur (si vous n’en avez pas déjà une)

  • Aller sur Utilisateurs
  • Choisir ou créer votre utilisateur administrateur
  • Dans la barre de navigation à gauche, choisir Gérer > Licenses
  • Cliquer sur + Affectation et affecter la license disponible. Les options suivantes doivent être cochées:
    • Microsoft Intune Plan 1 (ou 2)
    • Microsoft Entra ID P1
    • Microsoft Azure Multi-Factor Authentication

3. Création du “tenant” (si un n’existe pas déjà)

  • Renseigner le nom, domaine, et emplacement > Créer

4. Création du domaine et de l’application Fleet sur le portail Azure

Cette procédure est un peu plus technique, et induit une dépendance temporelle entre le client et Primo: lorsque le domaine FleetDM est créé sur le portail Azure du client, un code est généré par Microsoft qui doit être:

  • communiqué aux équipes de Primo
  • ajouté à la configuration de notre infrastructure
  • déployé et propagé (il s’agit d’un ajout de record DNS)

avant que la procédure ne puisse reprendre du côté du portail Azure (comptez 2 jours ouvrés environ après nous avoir communiqué le code).

Aussi, afin de faciliter les choses, nous vous proposons plusieurs méthodes qui vous permettrons d’éviter d’avoir à réaliser ces manipulations vous-mêmes, et aussi de gagner du temps vis à vis de la validation du domaine.

Plusieurs alternatives:

Réalisation de la manipulation par vos soins

Suivez les instructions de la page suivante:

Untitled

[Recommandé] Partage de l’accès au “tenant” avec Primo via un utilisateur dédié

Pour faire simple: vous donnez les accès Primo pour qu’ils fassent la procédure à votre place:

  • Remplir le formulaire (laisser les valeurs par défaut):
    • Renseigner: primo @ domaine_client (eg. primo@acme.com)
    • Nom d’affichage: Administration Primo
  • Cliquer sur Suivant: Propriétés
    • Email: dev+{client}@getprimo.com (eg. dev+acme@getprimo.com)

    L’email doit être sans accents ou espaces, eg. pour “l’éclectique” dev+l-eclectique@getprimo.com En cas de doutes, s’adresser au support Primo

  • Cliquer sur Suivant: Affectations
    • + Ajouter un rôle
    • Affecter: “Administrateur Général”
    • Affecter: “Administrateur de l’accès sécurisé global”
    • Affecter: “Administrateur d’application cloud”
    • Affecter: “Administrateur d’appareil dans le cloud”
    • Affecter: “Administrateur de nom de domaine”
    • Affecter: “Intune Administrator”
    • Affecter: “Global Secure Access Administrator”
  • Cliquer sur Suivant: Vérifier + créer
    • Copier le mot de passe et le garder de côté
  • Cliquer sur Créer
  • Communiquer à Primo:
    • Le nom de domaine du “tenant” (eg. acme.com)
    • Le nom d’utilisateur au format dev+{client}@getprimo.com (eg. dev+acme@getprimo.com)
    • Le mot de passe généré aléatoirement

Primo reviendra vers vous une fois la procédure effectuée, comptez 3-4 jours ouvrés.

Réalisation de la manipulation en écran partagé

La solution décrite dans le chapitre précédent implique de donner à Primo un accès avancé à votre console Entra, chose qui peut être incompatible avec vos contraintes de sécurité.

Une dernière solution consiste à effectuer la manipulation ensemble en partageant nos écrans respectifs, ce qui vous permets d’être sûrs de ne faire aucune erreur, mais également nous fait gagner du temps en procédant à la validation du domaine lors de la visio-conférence.

Vous pouvez utiliser ce lien pour organiser un tel rendez-vous.

5. Partage de l’accès à la console d’administration Intune avec InMac

Le bon fonctionnement d’Autopilot nécessite de donner à InMac, le revendeur partenaire de Primo pour les appareil Autopilot, un accès granulaire à votre console d’administration Intune.

Cet accès leur permettra, pour chaque appareil commandé, d’informer Intune de son existence, et de faire en sorte que celui-ci soit pris en charge par Primo lors de son initialisation.

Vous allez recevoir automatiquement un e-mail de la part de Microsoft contenant la requête de relation d’administration granulaire. Il vous suffit de suivre les instructions dans ce mail pour approuver cette relation.

6. Réglages propres à Autopilot à réaliser sur la console Intune

Il est possible, à travers les Deployment Profiles sur la console Intune de définir les réglages suivant:

  • Choix du type d’utilisateur: Administrateur ou Standard

    NB: Les utilisateurs Entra avec un rôle de Global Administrator seront administrateurs de toutes les machines peu importe la valeur de ce réglage

  • Choix du pays par défaut
  • Choix de la langue du clavier par défaut
  • Modèle de nomenclature des machines

    Par exemple: ACME-%RAND:5% génèrera les noms suivants

    • ACME-23456
    • ACME-98479
    • ACME-19838

Pour créer un profil de déploiement, suivez les instructions suivantes:

  • Cliquer sur + Create profile
  • La première étape permets de nommer le profil
  • La deuxième vous permets de décrire les modes de déploiement (tout est documenté)
  • La troisième étape vous permets d’assigner les
Related articles
Did this answer your question?