Windows Autopilot para implantação pré-provisionada

O Windows Autopilot ajuda as organizações a aprovisionar facilmente novos dispositivos com a imagem e os controladores OEM pré-instalados. Esta funcionalidade permite que os utilizadores finais preparem os seus dispositivos para a empresa através de um processo simples.

Diagrama do processo OEM.

O Windows Autopilot também pode fornecer um serviço de pré-aprovisionamento que ajuda os parceiros ou a equipa de TI a pré-aprovisionar um PC Windows totalmente configurado e preparado para empresas. Do ponto de vista do utilizador final, a experiência orientada pelo utilizador do Windows Autopilot permanece inalterada, mas colocar o dispositivo num estado totalmente aprovisionado é mais rápido.

Com o Windows Autopilot para implementação pré-aprovisionada, o processo de aprovisionamento é dividido. As partes demoradas são efetuadas por TI, parceiros ou OEMs. O utilizador final simplesmente conclui algumas definições e políticas necessárias e, em seguida, pode começar a utilizar o respetivo dispositivo.

Diagrama do processo OEM com o parceiro.

As implementações pré-aprovisionadas utilizam Microsoft Intune em versões atualmente suportadas do Windows. Estas implementações baseiam-se em cenários orientados pelo utilizador do Windows Autopilot existentes e suportam cenários de modo orientado pelo utilizador para Microsoft Entra dispositivos associados e Microsoft Entra híbridos associados.

Requisitos

Importante

Um dispositivo não pode inscrever-se automaticamente através do Windows Autopilot após uma implementação inicial com o modo de pré-aprovisionamento. Em vez disso, elimine o registo do dispositivo no centro de administração do Microsoft Intune. No Microsoft Intune centro de administração, selecione Dispositivos>Todos os dispositivos> selecione os dispositivos a eliminar >Eliminar. Para obter mais informações, consulte Atualizações para a Windows Autopilot de entrada e implantação.

Além dos requisitos do Windows Autopilot, o Windows Autopilot para implementação pré-aprovisionada também requer:

  • Uma versão atualmente suportada do Windows.
  • Edições Windows Pro, Enterprise ou Education.
  • Uma assinatura do Intune.
  • Dispositivos físicos que suportam o Trusted Platform Module (TPM) 2.0 e o atestado de dispositivo. Não há suporte para máquinas virtuais. O processo de pré-provisionamento usa a auto-implantação do Windows Autopilot; portanto, o TPM 2.0 é necessário. O processo de atestado do TPM também requer acesso a um conjunto de URLs HTTPS que são exclusivas para cada provedor de TPM. Para obter mais informações, consulte a entrada para o modo de implantação automática e o pré-provisionamento do Autopilot em Requisitos de rede.
  • Conectividade de rede. A utilização da conectividade sem fios requer a seleção de região, idioma e teclado antes de conseguir ligar e iniciar o aprovisionamento.
  • Um perfil de página de status de inscrição (ESP) tem de ser direcionado para o dispositivo.

Importante

  • Uma vez que o OEM ou o fornecedor executa o processo de pré-aprovisionamento, este processo não requer acesso à infraestrutura de domínio no local de um utilizador final. O processo de pré-aprovisionamento é diferente de um cenário típico Microsoft Entra associado híbrido porque o reinício do dispositivo é adiado. O dispositivo é selado novamente antes do momento em que a conectividade com um controlador de domínio é esperada. Em vez disso, a rede de domínio é contactada quando o dispositivo é desboxeado no local pelo utilizador final.

  • Veja Problemas conhecidos do Windows Autopilot e Resolução de problemas de importação e inscrição de dispositivos Windows Autopilot para rever problemas conhecidos e as respetivas soluções.

Preparação

Os dispositivos agendados para o pré-aprovisionamento são registados no Autopilot através do processo de registo normal.

Para estar pronto para experimentar o Windows Autopilot para implementação pré-aprovisionada, certifique-se de que os cenários existentes orientados pelo utilizador do Windows Autopilot podem ser utilizados com êxito:

  • Associação de Microsoft Entra orientada pelo utilizador. Certifique-se de que os dispositivos podem ser implementados com o Windows Autopilot e associe-os a um inquilino Microsoft Entra ID.

  • Orientada pelo utilizador com Microsoft Entra associação híbrida. Para ativar as funcionalidades do Microsoft Entra associação híbrida, certifique-se de que as seguintes ações podem ser executadas:

    • Implementar dispositivos com o Windows Autopilot.
    • Associar os dispositivos a um domínio Active Directory local.
    • Registe os dispositivos com Microsoft Entra ID.

    Importante

    A Microsoft recomenda a implementação de novos dispositivos como nativos da cloud com Microsoft Entra associação. A implementação de novos dispositivos como Microsoft Entra dispositivos de associação híbrida não é recomendada, incluindo através do Autopilot. Para obter mais informações, veja Microsoft Entra associado vs. Microsoft Entra associado híbrido em pontos finais nativos da cloud: que opção é adequada para a sua organização.

Se estes cenários não puderem ser concluídos, o Windows Autopilot para implementação pré-aprovisionada também não terá êxito, uma vez que se baseia nestes cenários.

Antes de o processo de pré-aprovisionamento poder ser iniciado na instalação do serviço de aprovisionamento, tem de ser configurada outra definição de perfil do Autopilot. Está disponível um tutorial detalhado sobre como configurar um perfil do Autopilot para pré-aprovisionamento nos seguintes artigos:

O processo de pré-aprovisionamento aplica todas as políticas direcionadas para o dispositivo de Intune. Essas políticas incluem certificados, modelos de segurança, definições, aplicações e muito mais - qualquer coisa direcionada para o dispositivo. Além disso, todas as aplicações Win32 ou de linha de negócio (LOB) são instaladas se cumprirem as seguintes condições:

  • Configurado para instalar no contexto do dispositivo.
  • Atribuído ao dispositivo ou ao utilizador pré-atribuído ao dispositivo Autopilot.

Importante

Certifique-se de que não direciona as aplicações Win32 e LOB para o mesmo dispositivo. Se as aplicações Win32 e LOB precisarem de ser direcionadas para o dispositivo, considere utilizar a preparação do dispositivo Windows Autopilot. Para obter mais informações, consulte Adicionar uma aplicação de linha de negócio do Windows ao Microsoft Intune.

Observação

Para garantir um acesso fácil ao modo de pré-aprovisionamento, selecione o modo de idioma conforme especificado pelo utilizador nos perfis do Autopilot. A fase de técnico de pré-aprovisionamento instala todas as aplicações direcionadas para dispositivos e quaisquer aplicações de contexto de dispositivo direcionadas para o utilizador direcionadas para o utilizador atribuído. Se não existir nenhum utilizador atribuído, só instala as aplicações direcionadas para o dispositivo. Outras políticas direcionadas para o utilizador não são aplicadas até que o utilizador inicie sessão no dispositivo. Para verificar esses comportamentos, certifique-se de criar aplicativos e políticas apropriados direcionados a dispositivos e usuários.

Cenários

O Windows Autopilot para implantação pré-provisionada dá suporte a dois cenários distintos:

  • Implementações orientadas pelo utilizador com Microsoft Entra associação. O dispositivo está associado a um inquilino Microsoft Entra.

  • Implementações orientadas pelo utilizador com Microsoft Entra associação híbrida. O dispositivo é associado a um domínio Active Directory local e registado separadamente com Microsoft Entra ID.

    Importante

    A Microsoft recomenda a implementação de novos dispositivos como nativos da cloud com Microsoft Entra associação. A implementação de novos dispositivos como Microsoft Entra dispositivos de associação híbrida não é recomendada, incluindo através do Autopilot. Para obter mais informações, veja Microsoft Entra associado vs. Microsoft Entra associado híbrido em pontos finais nativos da cloud: que opção é adequada para a sua organização.

Cada um destes cenários consiste em duas partes: um fluxo de técnico e um fluxo de utilizador. A um nível elevado, estas partes são as mesmas para associação Microsoft Entra e Microsoft Entra associação híbrida. As diferenças são vistas principalmente pelo usuário final nas etapas de autenticação.

Fluxo de técnicos

Depois de o cliente ou o Administração de TI ter como destino todas as aplicações e definições que pretende para os respetivos dispositivos através de Intune, o técnico de pré-aprovisionamento pode iniciar o processo de pré-aprovisionamento. O técnico pode ser um membro da equipa de TI, um parceiro de serviços ou um OEM . Cada organização pode decidir quem deve realizar estas atividades. Independentemente do cenário, o processo efetuado pelo técnico é o mesmo:

  • Inicialize o dispositivo.

  • No primeiro ecrã de experiência inicial (OOBE) (que pode ser uma seleção de idioma, um ecrã de seleção de região ou a página de início de sessão Microsoft Entra), não selecione Seguinte. Em vez disso, pressione cinco vezes a tecla Windows para exibir outra caixa de diálogo de opções. Nesse ecrã, selecione a opção de aprovisionamento do Windows Autopilot e, em seguida, selecione Continuar.

  • No ecrã Configuração do Windows Autopilot , apresenta as seguintes informações sobre o dispositivo:

    • O perfil do Autopilot atribuído ao dispositivo.

    • O nome da organização para o dispositivo.

    • O utilizador atribuído ao dispositivo (se existir um).

    • Um código QR que contém um identificador exclusivo para o dispositivo. Este código pode ser utilizado para procurar o dispositivo no Intune, o que poderá ser necessário para fazer alterações de configuração. Por exemplo, atribua um utilizador ou adicione o dispositivo a grupos necessários para filtragem de aplicações ou políticas.

      Observação

      Os códigos QR podem ser analisados com uma aplicação complementar. A aplicação também configura o dispositivo para especificar a quem pertence. A equipa do Autopilot criou um exemplo open source de uma aplicação complementar que se integra com Intune através do API do Graph. Está disponível no GitHub.

  • Valide as informações exibidas. Se forem necessárias alterações, faça as alterações e selecione Atualizar para baixar novamente os detalhes atualizados do perfil do Autopilot.

  • Selecione Provisionar para iniciar o processo de provisionamento.

Se o processo de pré-aprovisionamento for concluído com êxito:

  • É apresentado um ecrã com êxito status com informações sobre o dispositivo, incluindo os mesmos detalhes apresentados anteriormente. Por exemplo, perfil do Autopilot, nome da organização, usuário atribuído e código QR. O tempo transcorrido para as etapas de pré-provisionamento também é fornecido.

  • Selecione Selar novamente para desligar o dispositivo. Nesse ponto, o dispositivo pode ser enviado para o usuário final.

Observação

O fluxo de técnico herda o comportamento do modo de implementação automática. O Modo de Self-Deploying utiliza a Página de Estado da Inscrição para manter o dispositivo num estado de aprovisionamento. O dispositivo que está num estado de aprovisionamento impede que o utilizador prossiga para o ambiente de trabalho após a inscrição, mas antes de o software e a configuração serem aplicados. Como tal, se a Página de Estado da Inscrição estiver desativada, o botão de repetição pode aparecer antes de o software e a configuração serem aplicados. Este comportamento pode permitir continuar para o fluxo de utilizador antes de o aprovisionamento do fluxo do técnico estar concluído. O ecrã de êxito valida que a inscrição foi bem-sucedida, não que o fluxo do técnico esteja necessariamente concluído.

Se o processo de pré-provisionamento falhar:

  • É apresentado um erro status ecrã com informações sobre o dispositivo, incluindo os mesmos detalhes apresentados anteriormente. Por exemplo, perfil do Autopilot, nome da organização, usuário atribuído e código QR. O tempo transcorrido para as etapas de pré-provisionamento também é fornecido.
  • Os registos de diagnóstico podem ser recolhidos a partir do dispositivo e, em seguida, podem ser repostos para iniciar o processo novamente.

Fluxo do usuário

Importante

  • Para se certificar de que os tokens são atualizados corretamente entre o fluxo do Técnico e o Fluxo de utilizador, aguarde pelo menos 90 minutos após executar o fluxo do Técnico antes de executar o Fluxo de utilizador. Este cenário afeta principalmente os cenários de laboratório e teste quando o fluxo de Utilizador é executado no prazo de 90 minutos após a conclusão do fluxo do Técnico.

  • O fluxo de Utilizador deve ser executado no prazo de seis meses após a conclusão do fluxo do Técnico. Aguardar mais de seis meses pode fazer com que os certificados utilizados pelo Motor de Gestão de Intune (IME) deixem de ser válidos, levando a erros como:

    Error code: [Win32App][DetectionActionHandler] Detection for policy with id: <policy_id> resulted in action status: Failed and detection state: NotComputed.

  • A conformidade no Microsoft Entra ID é reposta durante o Fluxo de utilizador. Os dispositivos podem ser apresentados como conformes no Microsoft Entra ID após a conclusão do fluxo do Técnico, mas depois são apresentados como não conformes quando o fluxo de Utilizador é iniciado. Aguarde tempo suficiente após a conclusão do fluxo de Utilizador para que a compatibilidade seja reavaliada e atualizada.

Se o processo de pré-aprovisionamento tiver sido concluído com êxito e o dispositivo tiver sido novamente instalado, entregue o dispositivo ao utilizador final. O utilizador final conclui o processo normal orientado pelo utilizador do Windows Autopilot ao seguir estes passos:

  • Ligue o dispositivo.

  • Selecione o idioma, a localidade e o layout de teclado apropriados.

  • Conecte-se a uma rede (se estiver usando Wi-Fi). O acesso à Internet é sempre necessário. Se utilizar Microsoft Entra associação híbrida, também tem de existir conectividade a um controlador de domínio.

  • Se estiver a utilizar Microsoft Entra associação, no ecrã de início de sessão com a marca, introduza as credenciais de Microsoft Entra do utilizador.

  • Se utilizar Microsoft Entra associação híbrida, o dispositivo será reiniciado; após o reinício, introduza as credenciais do Active Directory do utilizador.

    Observação

    Em determinadas circunstâncias, também podem ser pedidas credenciais Microsoft Entra durante um cenário de associação híbrida Microsoft Entra. Por exemplo, se o ADFS não estiver a ser utilizado.

  • São entregues mais políticas e aplicações ao dispositivo, conforme controlado pela Página de Estado da Inscrição (ESP). Depois de concluído, o usuário poderá acessar a área de trabalho.

O ESP do dispositivo é executado novamente durante o fluxo de utilizador para que o dispositivo e o utilizador ESP sejam executados quando o utilizador iniciar sessão. Este comportamento permite que o ESP instale outras políticas atribuídas ao dispositivo após o dispositivo concluir a fase de técnico.

Observação

Se o Assistente de Sign-In da Conta Microsoft (wlidsvc) estiver desativado durante o Fluxo de Técnico, a opção de início de sessão Microsoft Entra poderá não ser apresentada. Em vez disso, é pedido aos utilizadores que aceitem o EULA e criem uma conta local, que pode não ser o comportamento pretendido.

Implementar um dispositivo

Para obter mais informações sobre como iniciar uma implementação num dispositivo ao utilizar o Windows Autopilot para pré-aprovisionado, veja os passos Fluxo de técnico e Fluxo de utilizador do Windows Autopilot para obter tutoriais de implementação pré-aprovisionadas: