Windows Autopilot avec Primo

Windows Autopilot streamlines the deployment of new Windows devices by allowing pre-configuration and automatic setup, ensuring a ready-to-use experience for employees while requiring specific prerequisites and administrative steps for implementation.

9 minutes de lecture
  1. De quoi s’agit-il ?
  2. Quels sont les pré-requis ?
  3. Comment se déroule l’arrivée d’un collaborateur dont le poste est configuré avec Autopilot ?
  4. Quelles sont les restrictions ?
  5. Comment mettre en place ?
    1. Création du domaine et de l’application Fleet sur le portail Azure
      1. 1. Déclaration du domaine FleetDM
      2. 2. Création de l’application FleetDM
      3. 3. Déclarer FleetDM comme MDM par défaut pour les nouveaux appareils
    2. Tester l’expérience Autopilot
      1. Partage de l’accès à la console d’administration Intune avec InMac
      2. Alternative: tester sur du matériel existant (nécessite une réinitialisation de l’appareil)
    3. Gestion des Deployment Profiles sur la console Intune

De quoi s’agit-il ?

Windows Autopilot offre une expérience fluide et simplifiée pour le déploiement de nouveaux appareils Windows. Grâce à cette solution, vous pourrez pré-configurer vos appareils, éliminant ainsi le besoin d'interventions manuelles lors de l'installation. Vos employés bénéficieront d'une expérience "prêt à l'emploi" où ils n'auront qu'à se connecter avec leurs identifiants professionnels Microsoft pour que leur appareil soit automatiquement configuré avec les applications, paramètres et politiques de sécurité de l'entreprise, tels que configurés sur le Cockpit Primo.

Autopilot réduit considérablement le temps et les efforts nécessaires pour déployer et gérer des appareils à grande échelle, tout en assurant une productivité immédiate pour les utilisateurs.

Quels sont les pré-requis ?

  • Avoir un compte Microsoft avec un accès administrateur
  • Avoir un “tenant” Entra
  • Avoir une license qui comprenne Microsoft Entra ID Plan 1 (ou Plan 2) & Windows Autopilot pour administrer la console Entra

La license minimum qui comprends ces 2 fonctionnalités est la license Enterprise Mobility + Security E3 (https://www.microsoft.com/fr-fr/microsoft-365/enterprise-mobility-security/compare-plans-and-pricing).

Si vous possédez déjà une license Windows pour la personne qui va administrer les comptes, vérifiez si celle-ci n’inclue pas déjà la fonctionnalités nécessaires pour Autopilot en utilisant la source suivante, et si ça n’est pas le cas, procurez-vous une license Enterprise Mobility + Security E3.

Source: https://cdn-dynmedia-1.microsoft.com/is/content/microsoftcorp/microsoft/final/en-us/microsoft-brand/documents/Modern-Work-Plan-Comparison-Enterprise1.pdf

Comment se déroule l’arrivée d’un collaborateur dont le poste est configuré avec Autopilot ?

  • Allumage de l’appareil
  • Choix du pays et de la langue, configuration de la langue du clavier
  • Connection à Internet (mot de passe WIFI si nécessaire)
Acceptation des termes et conditions de FleetDM
Connection de l’utilisateur avec ses identifiants Microsoft + Authentification à double facteur si disponible
Définition d’un code PIN (pour éviter d’avoir à saisir le mot de passe à chaque fois) et réglage d’une empreinte digitale si supporté par l’appareil
  • Le poste est prêt à l’utilisation, les réglages et applications définis dans le Cockpit Primo sont appliqués

Quelles sont les restrictions ?

La contrainte principale imposée par Autopilot est le type de compte utilisateur sur la machine. L’utilisateur ne possède pas de “compte local” sur la machine, mais un compte Entra.

Les différences entre ces 2 types de comptes sont détaillées sur cet article.

Les comptes locaux semblent être de plus en plus dépréciés par Microsoft en faveur des comptes Entra.

L’administrateur Entra peut décider si les utilisateurs ont un compte utilisateur ou administrateur (voire même créer deux profils Autopilot associés à différents groupes d’utilisateurs).

Notez que les utilisateurs Entra avec le rôle Global Administrator sont de facto administrateurs des machines Autopilot sur lesquelles ils se connectent.

Par ailleurs, un accès Internet est nécessaire lors du premier allumage de la machine, afin d’authentifier l’utilisateur auprès d’Entra.

Comment mettre en place ?

Les étapes nécessaires pour la mise en place d’un pilote Autopilot sont décrites ci-dessous.

Dans la suite de cette section, nous partirons du principe que votre entreprise s’appelle ACME et opère sur le domain acme.com.

Création du domaine et de l’application Fleet sur le portail Azure

Cette procédure est un peu plus technique, et induit une dépendance temporelle entre le client et Primo: lorsque le domaine FleetDM est créé sur le portail Azure du client, un code est généré par Microsoft qui doit être:

  • communiqué aux équipes de Primo
  • ajouté à la configuration de notre infrastructure
  • déployé et propagé (il s’agit d’un ajout de record DNS)

avant que la procédure ne puisse reprendre du côté du portail Azure (comptez 2 jours ouvrés environ après nous avoir communiqué le code).

Si vous êtes aujourd’hui utilisateur d’Intune comme MDM pour gérer votre parc informatique et que vous avez l’intention d’en changer pour essayer FleetDM (le MDM de Primo), il vous faudra réaliser un ensemble de manipulation sur la console de Microsoft Azure, et ce avec les droits d’administration, afin:

  • de créer l’application Fleet et de lui donner les droits nécessaires et suffisants pour agir en tant que MDM
  • demander à Azure à ce que les nouveaux appareils soient désormais managés par FleetDM et non par Intune

1. Déclaration du domaine FleetDM

  • Cliquez sur + Ajouter un nom de domaine personnalisé
  • Dans le champs, renseignez {societe}.mdm.getprimo.com (i.e. acme.mdm.getprimo.com, demandez au support (support@getprimo.com) si vous ne connaissez pas ce nom de domaine)
  • Communiquez-nous la valeur du champs Adresse de destination ou de pointage (sous le format MS=ms12345678)
  • Attendez un retour de notre part (2 jours ouvrés dans le pire des cas) avant de reprendre la suite de la procédure
  • Vous pourrez désormais cliquer sur Vérifier

2. Création de l’application FleetDM

  • Choisissez + Ajouter une application, puis choisissez + Créer votre propre application
  • Entrez Fleet comme nom d’application et cliquez sur Créer
  • Cliquez sur Enregistrer
  • Cliquez sur l’application Fleet puis sur Paramètres d’application GPM personnalisés
  • Cliquez sur le lien en-dessous de URI ID d'application puis cliquez sur Modifier
  • Choisissez API autorisées puis Ajouter une autorisation
  • Cliquez sur Microsoft Graph puis sur Autorisations déléguées, puis sélectionnez:
    • Group > Group.Read.All
    • Group > Group.ReadWrite.All
    • et cliquez sur Ajouter
  • Puis revenez sur API autorisées et Ajouter une autorisation, et choisissez à nouveau Microsoft Graph
  • Cette fois, cliquez sur Autorisations d’applications, et ajoutez les autorisations suivantes:
    • Device > Device.Read.All
    • Device > Device.ReadWrite.All
    • Directory > Directory.Read.All
    • Group > Group.Read.All
    • User > User.Read.All
    • et cliquez sur Ajouter
  • Une fois revenu sur l’écran d’autorisation des API, cliquez sur Accorder un consentement d’utilisateur pour ACME

L’application Fleet est désormais déclarée comme un MDM légitime auprès du portail Azure.

3. Déclarer FleetDM comme MDM par défaut pour les nouveaux appareils

  • Cliquez sur Microsoft Intune
  • Dans Étendue de l’utilisateur GPM, sélectionnez Aucun
  • Dans Étendue de l’utilisateur Protection des informations Windows (WIP), sélectionnez Aucun
  • Cliquez sur Enregistrer
  • Cliquez sur Fleet
  • Dans Étendue de l’utilisateur GPM, sélectionnez Tout
  • Dans Étendue de l’utilisateur Protection des informations Windows (WIP), sélectionnez Tout
  • Cliquez sur Enregistrer

L’application Fleet est désormais déclarée comme le MDM qui prendra en charge les nouveaux appareils auprès du portail Azure.

NB: Si vous avez commencé à enroler des appareils sur Primo/FleetDM lavant la réalisation de ces manipulations, merci de nous le faire savoir afin de que nous forcions le changement de MDM Intune ⇒ FleetDM via l’exécution d’un script (sans quoi la machine est dans un état incohérent qui peut nuire à l’expérience Primo).

Tester l’expérience Autopilot

Partage de l’accès à la console d’administration Intune avec InMac

Pour qu’Autopilot fonctionne automatiquement sur les appareils commandés via Primo, il est nécessaire de faire une manipulation auprès de notre revendeur partenaire InMac:

  • Etablir une relation de partenariat Microsoft entre InMac et vous
  • Etablir un accès administrateur granulaire à InMac sur votre console d’administration Azure/Intune

Cet accès leur permettra, pour chaque appareil commandé, d’informer Intune de son existence, et de faire en sorte que celui-ci soit pris en charge par Primo lors de son initialisation.

Pour se faire, vous devez utiliser le lien suivant depuis un compte avec le rôle d’Administrateur Global:

Suivez les instructions jusqu’à l’acceptation de la relation de partenariat.

Utilisez ensuite le lien suivant pour prévenir notre équipe et déclencher une requête de demande d’accès granulaire:

Vous allez par la suite (comptez 1-2 jours ouvrés) recevoir automatiquement un e-mail de la part de Microsoft contenant la requête de relation d’administration granulaire. Il vous suffit de suivre les instructions dans ce mail pour approuver cette relation.

Alternative: tester sur du matériel existant (nécessite une réinitialisation de l’appareil)

Il existe un autre moyen de tester l’expérience Autopilot sans nécessairement commander de nouvel appareil via Primo (et donc sans avoir à établir la relation de partenariat et l’accès granulaire à la console d’admin décrit dans le paragraphe précédent).

Pour se faire, il vous suffit de suivre ces instructions de notre partenaire FleetDM (Step 2: register a test workstation) qui décrit le processus qui consiste:

  • à extraite le device hash de l’appareil (son numéro de série en quelque sorte)
  • l’importer dans la liste des appareils Autopilot sur votre console Azure/Intune (c’est ainsi que le lien est fait entre cet appareil et votre société)
  • réinitialiser l’appareil

L’utilisateur pourra ainsi profiter de l’expérience Autopilot.

Gestion des Deployment Profiles sur la console Intune

Pour terminer la mise en place d’Autopilot, il est nécessaire de créer au moins un “profil de déploiement”.

Vous trouverez sur ce lien la documentation officielle de Microsoft sur les Deployment Profiles: https://learn.microsoft.com/fr-fr/autopilot/profiles.

Il est possible via ce profil de définir les réglages suivant:

  • Choix du type d’utilisateur: Administrateur ou Standard

    NB: Les utilisateurs Entra avec un rôle de Global Administrator seront administrateurs de toutes les machines peu importe la valeur de ce réglage

  • Choix du pays par défaut
  • Choix de la langue du clavier par défaut
  • Modèle de nomenclature des machines

    Par exemple: ACME-%RAND:5% génèrera les noms suivants

    • ACME-23456
    • ACME-98479
    • ACME-19838

Pour créer un profil de déploiement, suivez les instructions suivantes:

  • Cliquer sur + Create profile
  • La première étape permets de nommer le profil
  • La deuxième vous permets de décrire les modes de déploiement
  • La troisième étape vous permets d’assigner les profils aux appareils

Articles associés
Avez-vous trouvé votre réponse?