Pre-provisioning della distribuzione con Windows Autopilot

Windows Autopilot consente alle organizzazioni di effettuare facilmente il provisioning di nuovi dispositivi usando l'immagine e i driver OEM preinstallati. Questa funzionalità consente agli utenti finali di preparare i propri dispositivi all'azienda usando un processo semplice.

Diagramma del processo OEM.

Windows Autopilot può anche fornire un servizio di pre-provisioning che consente ai partner o al personale IT di effettuare il pre-provisioning di un PC Windows completamente configurato e pronto per l'azienda. Dal punto di vista dell'utente finale, l'esperienza guidata dall'utente di Windows Autopilot rimane invariata, ma il passaggio del dispositivo a uno stato con provisioning completo è più veloce.

Con Windows Autopilot per la distribuzione con provisioning preliminare, il processo di provisioning viene suddiviso. Le parti che richiedono molto tempo vengono eseguite da IT, partner o OEM. L'utente finale completa semplicemente alcune impostazioni e criteri necessari e quindi può iniziare a usare il dispositivo.

Diagramma del processo OEM con il partner.

Le distribuzioni con provisioning preliminare usano Microsoft Intune nelle versioni attualmente supportate di Windows. Tali distribuzioni si basano sugli scenari esistenti basati sugli utenti di Windows Autopilot e supportano scenari in modalità guidata dall'utente sia per i dispositivi aggiunti Microsoft Entra che Microsoft Entra aggiunti ibridi.

Requisiti

Importante

Un dispositivo non può ripetere automaticamente la registrazione tramite Windows Autopilot dopo una distribuzione iniziale con la modalità di preprovisioning. Eliminare invece il record del dispositivo nell'interfaccia di amministrazione Microsoft Intune. Nell'interfaccia di amministrazione Microsoft Intune selezionare Dispositivi>Tutti i dispositivi> selezionare i dispositivi da eliminare.> Per altre informazioni, vedere Aggiornamenti all'esperienza di accesso e distribuzione Windows Autopilot.

Oltre ai requisiti di Windows Autopilot, Windows Autopilot per la distribuzione pre-provisioning richiede anche:

  • Versione attualmente supportata di Windows.
  • Edizioni Windows Pro, Enterprise o Education.
  • Un abbonamento a Intune.
  • Dispositivi fisici che supportano TPM (Trusted Platform Module) 2.0 e attestazione del dispositivo. Le macchine virtuali non sono supportate. Il processo del provisioning preliminare usa le funzionalità di distribuzione automatica di Windows Autopilot, quindi è necessario il TPM 2.0. Il processo di attestazione del TPM richiede anche l'accesso a un set di URL HTTPS unici per ogni provider del TPM. Per altre informazioni, vedere la voce relativa alla modalità di distribuzione automatica di Autopilot e al pre-provisioning di Autopilot nei requisiti di rete.
  • Connettività di rete. Per usare la connettività wireless è necessario selezionare l'area, la lingua e la tastiera prima di poter connettersi e avviare il provisioning.
  • Un profilo della pagina dello stato di registrazione (ESP) deve essere destinato al dispositivo.

Importante

  • Poiché l'OEM o il fornitore esegue il processo di pre-provisioning, questo processo non richiede l'accesso all'infrastruttura di dominio locale di un utente finale. Il processo di pre-provisioning è diverso da uno scenario tipico di aggiunta ibrida Microsoft Entra perché il riavvio del dispositivo viene posticipato. Il dispositivo viene risigillato prima del momento in cui ci si aspetta la connettività a un controller di dominio. La rete di dominio viene invece contattata quando il dispositivo viene sottoposto a unboxing locale dall'utente finale.

  • Vedi Problemi noti di Windows Autopilot e Risoluzione dei problemi relativi all'importazione e alla registrazione dei dispositivi Windows Autopilot per esaminare i problemi noti e le relative soluzioni.

Preparazione

I dispositivi previsti per il pre-provisioning vengono registrati per Autopilot tramite il normale processo di registrazione.

Per essere pronti a provare Windows Autopilot per la distribuzione pre-provisioning, assicurati che gli scenari esistenti basati su Windows Autopilot possano essere usati correttamente:

  • Aggiunta Microsoft Entra guidata dall'utente. Assicurarsi che i dispositivi possano essere distribuiti usando Windows Autopilot e aggiungerli a un tenant Microsoft Entra ID.

  • Basato sull'utente con Microsoft Entra join ibrido. Per abilitare le funzionalità di Microsoft Entra join ibrido, assicurarsi che sia possibile eseguire le azioni seguenti:

    • Distribuire i dispositivi usando Windows Autopilot.
    • Aggiungere i dispositivi a un dominio Active Directory locale.
    • Registrare i dispositivi con Microsoft Entra ID.

    Importante

    Microsoft consiglia di distribuire nuovi dispositivi come nativi del cloud usando Microsoft Entra join. La distribuzione di nuovi dispositivi come Microsoft Entra dispositivi di join ibridi non è consigliata, anche tramite Autopilot. Per altre informazioni, vedere Microsoft Entra aggiunto a e Microsoft Entra aggiunto ibrido negli endpoint nativi del cloud: l'opzione più adatta per l'organizzazione.

Se questi scenari non possono essere completati, anche Windows Autopilot per la distribuzione pre-provisioning non riesce perché si basa su questi scenari.

Prima di avviare il processo di pre-provisioning nella struttura del servizio di provisioning, è necessario configurare un'altra impostazione del profilo Autopilot. Un'esercitazione dettagliata su come configurare un profilo Autopilot per il pre-provisioning è disponibile negli articoli seguenti:

Il processo di pre-provisioning applica tutti i criteri di destinazione del dispositivo da Intune. Questi criteri includono certificati, modelli di sicurezza, impostazioni, app e altro ancora, qualsiasi cosa destinata al dispositivo. Inoltre, tutte le app Win32 o line-of-business (LOB) vengono installate se soddisfano le condizioni seguenti:

  • Configurato per l'installazione nel contesto del dispositivo.
  • Assegnato al dispositivo o all'utente preassegnato al dispositivo Autopilot.

Importante

Assicurarsi di non indirizzare le app Win32 e LOB allo stesso dispositivo. Se le app Win32 e LOB devono essere destinate al dispositivo, valuta la possibilità di usare la preparazione del dispositivo Windows Autopilot. Per altre informazioni, vedere Aggiungere un'app line-of-business di Windows a Microsoft Intune.

Nota

Per garantire un facile accesso alla modalità di pre-provisioning, selezionare la modalità lingua specificata dall'utente nei profili Autopilot. La fase del tecnico di pre-provisioning installa tutte le app destinate al dispositivo e tutte le app di contesto del dispositivo destinate all'utente. Se non è presente alcun utente assegnato, installa solo le app destinate al dispositivo. Gli altri criteri di destinazione utente non vengono applicati fino a quando l'utente non accede al dispositivo. Per verificare questi comportamenti, assicurati di creare app e criteri appropriati destinati a dispositivi e utenti.

Scenari

Windows Autopilot per la distribuzione con provisioning preliminare supporta due scenari distinti:

  • Distribuzioni guidate dall'utente con Microsoft Entra join. Il dispositivo viene aggiunto a un tenant Microsoft Entra.

  • Distribuzioni guidate dall'utente con Microsoft Entra join ibrido. Il dispositivo viene aggiunto a un dominio Active Directory locale e registrato separatamente con Microsoft Entra ID.

    Importante

    Microsoft consiglia di distribuire nuovi dispositivi come nativi del cloud usando Microsoft Entra join. La distribuzione di nuovi dispositivi come Microsoft Entra dispositivi di join ibridi non è consigliata, anche tramite Autopilot. Per altre informazioni, vedere Microsoft Entra aggiunto a e Microsoft Entra aggiunto ibrido negli endpoint nativi del cloud: l'opzione più adatta per l'organizzazione.

Ognuno di questi scenari è costituito da due parti, un flusso tecnico e un flusso utente. A livello generale, queste parti sono le stesse per Microsoft Entra join e Microsoft Entra join ibrido. Le differenze vengono rilevate principalmente dall'utente finale nei passaggi di autenticazione.

Flusso tecnico

Dopo che il cliente o il Amministrazione IT ha come destinazione tutte le app e le impostazioni desiderate per i propri dispositivi tramite Intune, il tecnico di pre-provisioning può iniziare il processo di pre-provisioning. Il tecnico può essere un membro del personale IT, un partner di servizi o un OEM: ogni organizzazione può decidere chi deve eseguire queste attività. Indipendentemente dallo scenario, il processo eseguito dal tecnico è lo stesso:

  • Avviare il dispositivo.

  • Nella prima schermata di esperienza predefinita (Configurazione guidata), che potrebbe essere una selezione della lingua, una schermata di selezione delle impostazioni locali o la pagina di accesso Microsoft Entra, non selezionare Avanti. Premi invece il tasto Windows cinque volte per visualizzare un'altra finestra di dialogo delle opzioni. Da quella schermata selezionare l'opzione di provisioning di Windows Autopilot e quindi selezionare Continua.

  • Nella schermata Configurazione di Windows Autopilot vengono visualizzate le informazioni seguenti sul dispositivo:

    • Profilo Autopilot assegnato al dispositivo.

    • Nome dell'organizzazione per il dispositivo.

    • L'utente assegnato al dispositivo (se disponibile).

    • Codice QR contenente un identificatore unico per il dispositivo. Questo codice può essere usato per cercare il dispositivo in Intune, che potrebbe essere necessario per apportare modifiche alla configurazione. Ad esempio, assegnare un utente o aggiungere il dispositivo ai gruppi necessari per la destinazione di app o criteri.

      Nota

      I codici a matrice possono essere analizzati usando un'app complementare. L'app configura anche il dispositivo per specificare a chi appartiene. Il team di Autopilot ha creato un esempio open source di un'app complementare che si integra con Intune usando il API Graph. È disponibile in GitHub.

  • Convalidare le informazioni visualizzate. Se sono necessarie modifiche, apporta le modifiche e quindi seleziona Aggiorna per ricaricare i dettagli aggiornati del profilo Autopilot.

  • Seleziona Provisioning per avviare il processo di provisioning.

Se il processo di pre-provisioning viene completato correttamente:

  • Viene visualizzata una schermata di stato di esito positivo con informazioni sul dispositivo, inclusi gli stessi dettagli presentati in precedenza. Ad esempio, il profilo di Autopilot, il nome dell'organizzazione, l'utente assegnato e il codice a matrice. Viene fornito anche il tempo trascorso per i passaggi di pre-provisioning.

  • Seleziona Sigilla per arrestare il dispositivo. A quel punto, il dispositivo può essere spedito all'utente finale.

Nota

Il flusso tecnico eredita il comportamento dalla modalità di distribuzione automatica. Self-Deploying modalità usa la pagina stato registrazione per mantenere il dispositivo in uno stato di provisioning. Il dispositivo in stato di provisioning impedisce all'utente di passare al desktop dopo la registrazione, ma prima che il software e la configurazione vengano applicati. Di conseguenza, se la pagina stato registrazione è disabilitata, il pulsante di nuovo può essere visualizzato prima che il software e la configurazione vengano applicati. Questo comportamento può consentire di passare al flusso utente prima del completamento del provisioning del flusso tecnico. La schermata di esito positivo verifica che la registrazione sia stata completata correttamente, non che il flusso del tecnico sia necessariamente completato.

Se il processo di provisioning preliminare ha esito negativo:

  • Viene visualizzata una schermata di stato degli errori con informazioni sul dispositivo, inclusi gli stessi dettagli presentati in precedenza. Ad esempio, il profilo di Autopilot, il nome dell'organizzazione, l'utente assegnato e il codice a matrice. Viene fornito anche il tempo trascorso per i passaggi di pre-provisioning.
  • I log di diagnostica possono essere raccolti dal dispositivo e quindi possono essere reimpostati per riavviare il processo.

Flusso utente

Importante

  • Per assicurarsi che i token vengano aggiornati correttamente tra il flusso Tecnico e il flusso Utente, attendere almeno 90 minuti dopo aver eseguito il flusso Tecnico prima di eseguire il flusso Utente. Questo scenario influisce principalmente sugli scenari di lab e test quando il flusso utente viene eseguito entro 90 minuti dal completamento del flusso tecnico.

  • Il flusso utente deve essere eseguito entro sei mesi dal termine del flusso tecnico. L'attesa di più di sei mesi può causare che i certificati usati dal motore di gestione Intune (IME) non siano più validi causando errori come:

    Error code: [Win32App][DetectionActionHandler] Detection for policy with id: <policy_id> resulted in action status: Failed and detection state: NotComputed.

  • La conformità in Microsoft Entra ID viene reimpostata durante il flusso Utente. I dispositivi possono essere visualizzati come conformi in Microsoft Entra ID dopo il completamento del flusso Tecnico, ma vengono visualizzati come non conformi all'avvio del flusso utente. Attendere il tempo necessario dopo il completamento del flusso utente per la rivalutazione e l'aggiornamento della conformità.

Se il processo di pre-provisioning è stato completato correttamente e il dispositivo è stato ricollegato, recapitare il dispositivo all'utente finale. L'utente finale completa il normale processo guidato dall'utente di Windows Autopilot seguendo questa procedura:

  • Accendi il dispositivo.

  • Selezionare la lingua, le impostazioni locali e il layout di tastiera appropriati.

  • Connettersi a una rete (se si usa Wi-Fi). L'accesso a Internet è sempre obbligatorio. Se si usa Microsoft Entra join ibrido, deve essere presente anche la connettività a un controller di dominio.

  • Se si usa Microsoft Entra join, nella schermata di accesso con marchio immettere le credenziali di Microsoft Entra dell'utente.

  • Se si usa Microsoft Entra join ibrido, il dispositivo verrà riavviato. Dopo il riavvio immettere le credenziali di Active Directory dell'utente.

    Nota

    In determinate circostanze, Microsoft Entra credenziali potrebbero essere richieste anche durante uno scenario di join ibrido Microsoft Entra. Ad esempio, se ADFS non viene usato.

  • Altri criteri e app vengono recapitati al dispositivo, come rilevato dalla pagina dello stato della registrazione (ESP). Al termine, l'utente può accedere al desktop.

L'ESP del dispositivo viene rieseguito durante il flusso utente in modo che sia il dispositivo che l'ESP utente venga eseguito quando l'utente accede. Questo comportamento consente all'ESP di installare altri criteri assegnati al dispositivo dopo che il dispositivo ha completato la fase del tecnico.

Nota

Se l'account Microsoft Sign-In Assistant (wlidsvc) è disabilitato durante il flusso tecnico, l'opzione di accesso Microsoft Entra potrebbe non essere visualizzata. Agli utenti viene invece richiesto di accettare il contratto di licenza e di creare un account locale, che potrebbe non essere il comportamento desiderato.

Distribuzione di un dispositivo

Per altre informazioni sull'avvio di una distribuzione in un dispositivo quando si usa Windows Autopilot per il pre-provisioning, vedere i passaggi Flusso tecnico e Flusso utente di Windows Autopilot per le esercitazioni sulla distribuzione pre-provisioning: