Modalità guidata dall'utente di Windows Autopilot
La modalità guidata dall'utente di Windows Autopilot consente di configurare un nuovo dispositivo Windows per trasformarli automaticamente dallo stato factory a uno stato pronto all'uso. Questo processo non richiede che il personale IT tocchi il dispositivo.
Il processo è semplice. I dispositivi possono essere spediti o distribuiti all'utente finale direttamente con le istruzioni seguenti:
- Disimballare il dispositivo, attaccarlo alla corrente e accenderlo.
- Se usa più lingue, selezionare una lingua, impostazioni locali e tastiera.
- Collegarlo a una rete wireless o cablata con accesso a Internet. Se si usa wireless, connettersi prima alla rete wi-fi.
- Specificare un account di posta elettronica e una password per l'organizzazione.
Il resto del processo è automatizzato. Il dispositivo esegue la procedura seguente:
- Partecipare all'organizzazione.
- Eseguire la registrazione in Microsoft Intune o in un altro servizio di gestione dei dispositivi mobili (MDM).
- Configurato come definito dall'organizzazione.
Altri prompt possono essere eliminati durante la configurazione guidata. Per altre informazioni sulle opzioni disponibili, vedere Configurazione dei profili Autopilot.
Importante
Se si usa Active Directory Federation Services (ADFS), si verifica un problema noto che può consentire all'utente finale di accedere con un account diverso da quello assegnato al dispositivo.
La modalità guidata dall'utente di Windows Autopilot supporta l'aggiunta a Microsoft Entra e i dispositivi aggiunti a Microsoft Entra ibrido. Per altre informazioni su queste due opzioni di join, vedere gli articoli seguenti:
- Che cos'è un'identità del dispositivo?.
- Altre informazioni sugli endpoint nativi del cloud.
- Microsoft Entra è stato aggiunto a e Microsoft Entra ibrido è stato aggiunto agli endpoint nativi del cloud.
- Esercitazione: Configurare e configurare un endpoint Windows nativo del cloud con Microsoft Intune.
- Procedura: Pianificare l'implementazione dell'aggiunta a Microsoft Entra.
- Framework per la trasformazione di gestione degli endpoint di Windows.
- Successo con l'aggiunta ibrida remota a Windows Autopilot e Microsoft Entra.
I passaggi del processo guidato dall'utente sono i seguenti:
Dopo la connessione del dispositivo a una rete, il dispositivo scarica un profilo di Windows Autopilot. Il profilo definisce le impostazioni usate per il dispositivo. Ad esempio, definire i prompt soppressi durante la configurazione guidata.
Windows verifica la presenza di aggiornamenti critici della Configurazione guidata. Se gli aggiornamenti sono disponibili, vengono installati automaticamente. Se necessario, il dispositivo viene riavviato.
All'utente vengono richieste le credenziali di Microsoft Entra. Questa esperienza utente personalizzata mostra il nome del tenant, il logo e il testo di accesso di Microsoft Entra.
Il dispositivo aggiunge Microsoft Entra ID o Active Directory, a seconda delle impostazioni del profilo di Windows Autopilot.
Il dispositivo viene registrato in Intune o in un altro servizio MDM configurato. A seconda delle esigenze dell'organizzazione, questa registrazione viene eseguita:
Durante il processo di aggiunta a Microsoft Entra, usando la registrazione automatica MDM.
Prima del processo di aggiunta ad Active Directory.
Se configurato, visualizza la pagina dello stato della registrazione (ESP).
Al termine delle attività di configurazione del dispositivo, l'utente viene connesso a Windows usando le credenziali fornite in precedenza. Se il dispositivo viene riavviato durante il processo ESP del dispositivo, l'utente deve immettere di nuovo le credenziali. Questi dettagli non vengono mantenuti dopo il riavvio.
Dopo l'accesso, viene visualizzata la pagina di stato della registrazione per le attività di configurazione destinate all'utente.
Se si verificano problemi durante questo processo, vedere Panoramica della risoluzione dei problemi di Windows Autopilot.
Per altre informazioni sulle opzioni di partecipazione disponibili, vedere le sezioni seguenti:
- L'aggiunta a Microsoft Entra è disponibile se i dispositivi non devono aggiungere un dominio Active Directory locale.
- L'aggiunta ibrida di Microsoft Entra è disponibile per i dispositivi che devono aggiungere sia Microsoft Entra ID che il dominio Active Directory locale.
Modalità guidata dall'utente per l'aggiunta a Microsoft Entra
Per completare una distribuzione guidata dall'utente usando Windows Autopilot, seguire questa procedura di preparazione:
Assicurarsi che gli utenti che eseguono distribuzioni in modalità guidata dall'utente possano aggiungere dispositivi a Microsoft Entra ID. Per altre informazioni, vedere Configurare le impostazioni del dispositivo nella documentazione di Microsoft Entra.
Creare un profilo Autopilot per la modalità guidata dall'utente con le impostazioni desiderate.
In Intune questa modalità viene scelta in modo esplicito quando viene creato un profilo.
In Microsoft Store per le aziende e nel Centro per i partner la modalità guidata dall'utente è l'impostazione predefinita.
Se si usa Intune, creare un gruppo di dispositivi in Microsoft Entra ID e assegnare il profilo Autopilot a tale gruppo.
Per ogni dispositivo distribuito usando la distribuzione guidata dall'utente, sono necessari questi passaggi aggiuntivi:
Aggiungere il dispositivo a Windows Autopilot. Questo passaggio può essere eseguito in due modi:
Automaticamente da un OEM o un partner quando il dispositivo viene acquistato.
Manualmente come descritto in Aggiunta di dispositivi a Windows Autopilot.
Assegnare un profilo Autopilot al dispositivo:
Se si usano i gruppi di dispositivi dinamici di Intune e Microsoft Entra, questa assegnazione può essere eseguita automaticamente.
Se si usano i gruppi di dispositivi statici di Intune e Microsoft Entra, aggiungere manualmente il dispositivo al gruppo di dispositivi.
Se si usano altri metodi, ad esempio Microsoft Store per le aziende o il Centro per i partner, assegnare manualmente un profilo Autopilot al dispositivo.
Consiglio
Se lo stato finale previsto del dispositivo è la co-gestione, la registrazione del dispositivo può essere configurata in Intune per abilitare la co-gestione, che si verifica durante il processo Autopilot. Questo comportamento indirizza l'autorità del carico di lavoro in modo orchestrato tra Configuration Manager e Intune. Per altre informazioni, vedere Come eseguire la registrazione con Autopilot.
Modalità guidata dall'utente per l'aggiunta ibrida di Microsoft Entra
Importante
Microsoft consiglia di distribuire nuovi dispositivi come nativi del cloud usando l'aggiunta a Microsoft Entra. La distribuzione di nuovi dispositivi come dispositivi di aggiunta ibrida di Microsoft Entra non è consigliata, anche tramite Autopilot. Per altre informazioni, vedere Aggiunta a Microsoft Entra e Microsoft Entra ibrido aggiunto agli endpoint nativi del cloud: l'opzione più adatta per l'organizzazione.
Windows Autopilot richiede che i dispositivi siano aggiunti a Microsoft Entra. Per un ambiente Active Directory locale, i dispositivi possono essere aggiunti al dominio locale. Per aggiungere i dispositivi, configurare i dispositivi Autopilot per l'aggiunta ibrida a Microsoft Entra ID.
Consiglio
Quando Microsoft comunica con i clienti che usano Microsoft Intune e Microsoft Configuration Manager per distribuire, gestire e proteggere i propri dispositivi client, spesso vengono poste domande relative alla co-gestione dei dispositivi e dei dispositivi aggiunti ibridi di Microsoft Entra. Molti clienti confondono questi due argomenti. La co-gestione è un'opzione di gestione, mentre Microsoft Entra ID è un'opzione di identità. Per altre informazioni, vedere Informazioni sugli scenari ibridi di Microsoft Entra e co-gestione. Questo post di blog ha lo scopo di chiarire l'aggiunta ibrida e la co-gestione di Microsoft Entra, come interagiscono, ma non sono la stessa cosa.
Il client di Configuration Manager non può essere distribuito durante il provisioning di un nuovo computer in modalità guidata dall'utente di Windows Autopilot per l'aggiunta ibrida a Microsoft Entra. Questa limitazione è dovuta alla modifica dell'identità del dispositivo durante il processo di aggiunta a Microsoft Entra. Distribuire il client di Configuration Manager dopo il processo Autopilot. Per opzioni alternative per l'installazione del client, vedere Metodi di installazione client in Configuration Manager .
Requisiti per la modalità guidata dall'utente con ID Microsoft Entra ibrido
Creare un profilo di Windows Autopilot per la modalità guidata dall'utente.
Nel profilo Autopilot, in Join to Microsoft Entra ID as (Partecipa a Microsoft Entra ID as) selezionare Microsoft Entra hybrid join (Aggiunta ibrida a Microsoft Entra).
Se si usa Intune, è necessario un gruppo di dispositivi in Microsoft Entra ID. Assegnare il profilo Windows Autopilot al gruppo.
Se si usa Intune, creare e assegnare un profilo di Aggiunta a un dominio. Un profilo di configurazione Aggiunta a un dominio include informazioni sul dominio Active Directory locale.
Il dispositivo deve accedere a Internet. Per altre informazioni, vedere i requisiti di rete.
Installare Intune Connector per Active Directory.
Nota
Il connettore Intune aggiunge il dispositivo al dominio locale. Gli utenti non hanno bisogno delle autorizzazioni per aggiungere i dispositivi al dominio locale. Questo comportamento presuppone che il connettore sia configurato per questa azione per conto dell'utente. Per maggiore informazioni, consultare Aumentare il limite dell'account computer nell'unità organizzativa.
Se si usa un proxy, abilitare e configurare l'opzione Web Proxy Auto-Discovery Protocol (WPAD) Proxy settings .IF using a proxy, enable and configure the Web Proxy Auto-Discovery Protocol (WPAD) Proxy settings .IF using a proxy, enable and configure the Web Proxy Auto-Discovery Protocol (WPAD) Proxy settings.
Oltre a questi requisiti principali per l'aggiunta ibrida di Microsoft Entra guidata dall'utente, i requisiti aggiuntivi seguenti si applicano ai dispositivi locali:
Il dispositivo ha una versione attualmente supportata di Windows.
Il dispositivo è connesso alla rete interna e ha accesso a un controller di dominio Active Directory.
Deve risolvere i record DNS per il dominio e i controller di dominio.
Deve comunicare con il controller di dominio per autenticare l'utente.
Modalità guidata dall'utente per l'aggiunta ibrida di Microsoft Entra con supporto VPN
I dispositivi aggiunti ad Active Directory richiedono la connettività a un controller di dominio Active Directory per molte attività. Queste attività includono la convalida delle credenziali dell'utente al momento dell'accesso e l'applicazione delle impostazioni di Criteri di gruppo. Il processo guidato dall'utente di Autopilot per i dispositivi aggiunti ibridi di Microsoft Entra verifica che il dispositivo possa contattare un controller di dominio eseguendo il ping di tale controller di dominio.
Con l'aggiunta del supporto VPN per questo scenario, è possibile configurare il processo di aggiunta ibrida di Microsoft Entra per ignorare il controllo della connettività. Questa modifica non elimina la necessità di comunicare con un controller di dominio. Invece, per consentire la connessione alla rete dell'organizzazione, Intune fornisce la configurazione VPN necessaria prima che l'utente tenti di accedere a Windows.
Requisiti per la modalità guidata dall'utente con ID e VPN ibridi di Microsoft Entra
Oltre ai requisiti principali per la modalità guidata dall'utente con l'aggiunta ibrida di Microsoft Entra, i requisiti aggiuntivi seguenti si applicano a uno scenario remoto con supporto VPN:
Versione attualmente supportata di Windows.
Nel profilo di aggiunta ibrida di Microsoft Entra per Autopilot abilitare l'opzione seguente: Ignorare il controllo della connettività del dominio.
Una configurazione VPN con una delle opzioni seguenti:
Può essere distribuito con Intune e consente all'utente di stabilire manualmente una connessione VPN dalla schermata di accesso a Windows.
Stabilisce automaticamente una connessione VPN in base alle esigenze.
La configurazione VPN specifica richiesta dipende dal software VPN e dall'autenticazione in uso. Per le soluzioni VPN non Microsoft, questa configurazione comporta in genere la distribuzione di un'app Win32 tramite le estensioni di gestione di Intune. Questa app includerà il software client VPN e tutte le informazioni di connessione specifiche. Ad esempio, nomi host di endpoint VPN. Per informazioni dettagliate sulla configurazione specifiche di tale provider, vedere la documentazione del provider VPN.
Nota
I requisiti VPN non sono specifici di Autopilot. Ad esempio, se viene implementata una configurazione VPN per abilitare la reimpostazione remota della password, la stessa configurazione può essere usata con Windows Autopilot. Questa configurazione consente a un utente di accedere a Windows con una nuova password quando non si è nella rete dell'organizzazione. Dopo che l'utente ha eseguito l'accesso e le credenziali sono memorizzate nella cache, i tentativi di accesso successivi non richiedono la connettività perché Windows usa le credenziali memorizzate nella cache.
Se il software VPN richiede l'autenticazione del certificato, usare Intune per distribuire anche il certificato del dispositivo richiesto. Questa distribuzione può essere eseguita usando le funzionalità di registrazione dei certificati di Intune, indirizzando i profili certificato al dispositivo.
Alcune configurazioni non sono supportate perché non vengono applicate fino a quando l'utente non accede a Windows:
- Certificati utente
- Plug-in VPN UWP non Microsoft da Windows Store
Convalida
Prima di provare un join ibrido di Microsoft Entra tramite VPN, è importante verificare che la modalità guidata dall'utente per il processo di aggiunta ibrida di Microsoft Entra funzioni nella rete interna. Questo test semplifica la risoluzione dei problemi assicurandosi che il processo principale funzioni prima di aggiungere la configurazione VPN.
Verificare quindi che Intune possa essere usato per distribuire la configurazione VPN e i relativi requisiti. Testare questi componenti con un dispositivo esistente già aggiunto a Microsoft Entra ibrido. Ad esempio, alcuni client VPN creano una connessione VPN per computer come parte del processo di installazione. Convalidare la configurazione seguendo questa procedura:
Verificare che sia stata creata almeno una connessione VPN per computer.
Get-VpnConnection -AllUserConnection
Tentativo di avviare manualmente la connessione VPN.
RASDIAL.EXE "ConnectionName"
Disconnettersi da Windows. Verificare che l'icona di connessione VPN sia visualizzata nella pagina di accesso di Windows.
Spostare il dispositivo dalla rete interna e provare a stabilire la connessione usando l'icona nella pagina di accesso di Windows. Accedere a un account che non dispone di credenziali memorizzate nella cache.
Per le configurazioni VPN che si connettono automaticamente, i passaggi di convalida potrebbero essere diversi.
Nota
Per questo scenario è possibile usare una VPN sempre attiva. Per altre informazioni, vedere Distribuire VPN always-on.
Passaggi successivi
- Distribuire i dispositivi aggiunti ibridi di Microsoft Entra usando Intune e Windows Autopilot.
- Come eseguire la registrazione con Autopilot.
- Provare l'aggiunta ibrida di Autopilot tramite VPN nel lab di Azure.
Contenuto correlato
- Che cos'è un'identità del dispositivo?.
- Altre informazioni sugli endpoint nativi del cloud.
- Microsoft Entra è stato aggiunto a e Microsoft Entra ibrido è stato aggiunto agli endpoint nativi del cloud.
- Esercitazione: Configurare e configurare un endpoint Windows nativo del cloud con Microsoft Intune.
- Procedura: Pianificare l'implementazione dell'aggiunta a Microsoft Entra.
- Framework per la trasformazione di gestione degli endpoint di Windows.
- Informazioni sugli scenari ibridi di Azure AD e co-gestione.
- Esito positivo con Windows Autopilot remoto e aggiunta ad Azure Active Directory ibrido.