Modo orientado pelo utilizador do Windows Autopilot

O modo orientado pelo utilizador do Windows Autopilot permite que um novo dispositivo Windows seja configurado para os transformar automaticamente do estado de fábrica para um estado pronto a utilizar. Este processo não requer que o pessoal de TI toque no dispositivo.

O processo é simples. Os dispositivos podem ser enviados ou distribuídos diretamente para o utilizador final com as seguintes instruções:

  1. Retire o dispositivo da caixa, conecte-o à fonte de alimentação e ligue-o.
  2. Se utilizar vários idiomas, selecione um idioma, região e teclado.
  3. Conecte-o a uma rede com ou sem fio com acesso à Internet. Se utilizar sem fios, ligue primeiro à rede wi-fi.
  4. Especifique uma conta de endereço de e-mail e palavra-passe para a organização.

O resto do processo é automatizado. O dispositivo executa as seguintes etapas:

  1. Ingresse na organização.
  2. Inscreva-se no Microsoft Intune ou noutro serviço de gestão de dispositivos móveis (MDM).
  3. Obtenha a configuração conforme definida pela organização.

Outros pedidos podem ser suprimidos durante a experiência inicial (OOBE). Para obter mais informações sobre as opções disponíveis, veja Configurar perfis do Autopilot.

Importante

Se os Serviços de Federação do Active Directory (ADFS) estiverem a ser utilizados, existe um problema conhecido que pode permitir ao utilizador final iniciar sessão com uma conta diferente daquela atribuída a esse dispositivo.

O modo orientado pelo utilizador do Windows Autopilot suporta a associação do Microsoft Entra e os dispositivos associados híbridos ao Microsoft Entra. Para obter mais informações sobre estas duas opções de associação, consulte os seguintes artigos:

As etapas do processo controlado pelo usuário são as seguintes:

  1. Depois de o dispositivo se ligar a uma rede, o dispositivo transfere um perfil do Windows Autopilot. O perfil define as configurações usadas para o dispositivo. Por exemplo, define os prompts suprimidos durante o OOBE.

  2. O Windows verifica se há atualizações OOBE críticas. Se houver atualizações disponíveis, elas serão instaladas automaticamente. Se necessário, o dispositivo será reiniciado.

  3. É pedido ao utilizador as credenciais do Microsoft Entra. Esta experiência de utilizador personalizada mostra o nome, o logótipo e o texto de início de sessão do inquilino do Microsoft Entra.

  4. O dispositivo associa-se ao Microsoft Entra ID ou ao Active Directory, consoante as definições de perfil do Windows Autopilot.

  5. O dispositivo é registrado no Intune ou em outro serviço MDM configurado. Dependendo das necessidades organizacionais, esta inscrição ocorre:

    • Durante o processo de associação do Microsoft Entra, utilize a inscrição automática de MDM.

    • Antes do processo de ingresso no Azure Active Directory.

  6. Se estiver configurada, apresenta a página de estado de inscrição (ESP).

  7. Depois que as tarefas de configuração do dispositivo forem concluídas, o usuário será conectado ao Windows usando as credenciais fornecidas anteriormente. Se o dispositivo reiniciar durante o processo ESP do dispositivo, o utilizador terá de reintroduzir as respetivas credenciais. Esses detalhes não persistem após a reinicialização.

  8. Após a entrada, a página de status do registro é exibida para tarefas de configuração direcionadas ao usuário.

Se forem encontrados problemas durante este processo, veja Troubleshooting Windows Autopilot overview (Descrição geral da resolução de problemas do Windows Autopilot).

Para obter mais informações sobre as opções de ingresso disponíveis, consulte as seguintes seções:

Modo orientado pelo utilizador para a associação ao Microsoft Entra

Para concluir uma implementação orientada pelo utilizador com o Windows Autopilot, siga estes passos de preparação:

  1. Certifique-se de que os utilizadores que efetuam implementações de modo orientado pelo utilizador podem associar dispositivos ao Microsoft Entra ID. Para obter mais informações, veja Configurar as definições do dispositivo na documentação do Microsoft Entra.

  2. Crie um perfil do Autopilot para o modo orientado pelo utilizador com as definições pretendidas.

    • No Intune, este modo é explicitamente escolhido quando é criado um perfil.

    • Na Microsoft Store para Empresas e no Centro de Parceiros, o modo orientado pelo utilizador é a predefinição.

  3. Se utilizar o Intune, crie um grupo de dispositivos no Microsoft Entra ID e atribua o perfil do Autopilot a esse grupo.

Para cada dispositivo implementado com a implementação orientada pelo utilizador, são necessários estes passos adicionais:

  • Adicione o dispositivo ao Windows Autopilot. Este passo pode ser feito de duas formas:

  • Atribuir um perfil do Autopilot ao dispositivo:

    • Se utilizar grupos de dispositivos dinâmicos do Intune e do Microsoft Entra, esta atribuição pode ser feita automaticamente.

    • Se utilizar grupos de dispositivos estáticos do Intune e do Microsoft Entra, adicione manualmente o dispositivo ao grupo de dispositivos.

    • Se utilizar outros métodos, como a Microsoft Store para Empresas ou o Centro de Parceiros, atribua manualmente um perfil do Autopilot ao dispositivo.

Dica

Se o estado final pretendido do dispositivo for cogestão, a inscrição de dispositivos pode ser configurada no Intune para ativar a cogestão, o que acontece durante o processo do Autopilot. Esse comportamento direciona a autoridade de carga de trabalho de maneira orquestrada entre o Configuration Manager e o Intune. Para obter mais informações, veja Como inscrever com o Autopilot.

Modo orientado pelo utilizador para associação híbrida do Microsoft Entra

Importante

A Microsoft recomenda a implementação de novos dispositivos como nativos da cloud através da associação ao Microsoft Entra. A implementação de novos dispositivos como dispositivos de associação híbrida do Microsoft Entra não é recomendada, incluindo através do Autopilot. Para obter mais informações, consulte Microsoft Entra joined vs. Microsoft Entra hybrid joined in cloud-native endpoints: Which option is right for your organization.

O Windows Autopilot requer que os dispositivos estejam associados ao Microsoft Entra. Para um ambiente do Active Directory no local, os dispositivos podem ser associados ao domínio no local. Para associar os dispositivos, configure os dispositivos autopilot para serem associados híbridos ao Microsoft Entra ID.

Dica

À medida que a Microsoft fala com clientes que estão a utilizar o Microsoft Intune e o Microsoft Configuration Manager para implementar, gerir e proteger os respetivos dispositivos cliente, muitas vezes recebemos perguntas sobre a co-gestão de dispositivos e dispositivos associados híbridos do Microsoft Entra. Muitos clientes confundem estes dois tópicos. A cogestão é uma opção de gestão, enquanto o ID do Microsoft Entra é uma opção de identidade. Para obter mais informações, veja Understanding hybrid Microsoft Entra and co-management scenarios (Compreender os cenários híbridos do Microsoft Entra e da cogestão). Esta publicação de blogue visa clarificar a associação e a cogestão híbridas do Microsoft Entra, como funcionam em conjunto, mas não são a mesma coisa.

O cliente do Configuration Manager não pode ser implementado durante o aprovisionamento de um novo computador no modo orientado pelo utilizador do Windows Autopilot para a associação híbrida do Microsoft Entra. Esta limitação deve-se à alteração de identidade do dispositivo durante o processo de associação ao Microsoft Entra. Implantar o Configuration Manager cliente após o processo do Autopilot. Veja Métodos de instalação do cliente no Configuration Manager para obter opções alternativas para instalar o cliente.

Requisitos para o modo orientado pelo utilizador com o ID híbrido do Microsoft Entra

  • Crie um perfil do Windows Autopilot para o modo orientado pelo utilizador.

    No perfil do Autopilot, em Aderir ao Microsoft Entra ID como, selecione Associação híbrida do Microsoft Entra.

  • Se utilizar o Intune, é necessário um grupo de dispositivos no Microsoft Entra ID. Atribua o perfil do Windows Autopilot ao grupo.

  • Se estiver usando o Intune, crie e atribua um perfil de Ingresso no Domínio. Um perfil de configuração de Ingresso no Domínio inclui informações de domínio do Active Directory local.

  • O dispositivo tem de aceder à Internet. Para obter mais informações, veja os requisitos de rede.

  • Instale o Conector do Intune para o Active Directory.

    Observação

    O Intune Connector associa o dispositivo ao domínio no local. Os utilizadores não precisam de permissões para associar dispositivos ao domínio no local. Este comportamento pressupõe que o conector está configurado para esta ação em nome do utilizador. Para obter mais informações consulte Aumentar o limite de conta de computador na Unidade Organizacional

  • Se estiver a utilizar um proxy, ative e configure a opção de definições de Proxy do Protocolo de Deteção Automática (WPAD) do Proxy do Proxy Web.

Para além destes requisitos principais para a associação híbrida do Microsoft Entra orientada pelo utilizador, aplicam-se os seguintes requisitos adicionais aos dispositivos no local:

  • O dispositivo tem atualmente uma versão suportada do Windows.

  • O dispositivo está ligado à rede interna e tem acesso a um controlador de domínio do Active Directory.

    • Tem de resolver os registos DNS do domínio e dos controladores de domínio.

    • Tem de comunicar com o controlador de domínio para autenticar o utilizador.

Modo orientado pelo utilizador para a associação híbrida do Microsoft Entra com suporte de VPN

Os dispositivos associados ao Active Directory necessitam de conectividade a um controlador de domínio do Active Directory para muitas atividades. Estas atividades incluem a validação das credenciais do utilizador quando iniciam sessão e a aplicação das definições de política de grupo. O processo orientado pelo utilizador do Autopilot para dispositivos associados híbridos do Microsoft Entra valida que o dispositivo pode contactar um controlador de domínio ao enviar um ping para esse controlador de domínio.

Com a adição de suporte de VPN para este cenário, o processo de associação híbrida do Microsoft Entra pode ser configurado para ignorar a verificação de conectividade. Esta alteração não elimina a necessidade de comunicar com um controlador de domínio. Em vez disso, para permitir a ligação à rede da organização, o Intune fornece a configuração de VPN necessária antes de o utilizador tentar iniciar sessão no Windows.

Requisitos para o modo orientado pelo utilizador com o ID e a VPN híbridos do Microsoft Entra

Além dos principais requisitos para o modo orientado pelo utilizador com a associação híbrida microsoft Entra, os seguintes requisitos adicionais aplicam-se a um cenário remoto com suporte de VPN:

  • Uma versão atualmente suportada do Windows.

  • No perfil de associação híbrida do Microsoft Entra para o Autopilot, ative a seguinte opção: Ignorar verificação de conectividade de domínio.

  • Uma configuração de VPN com uma das seguintes opções:

    • Pode ser implementado com o Intune e permite que o utilizador estabeleça manualmente uma ligação VPN a partir do ecrã de início de sessão do Windows.

    • Estabelece automaticamente uma ligação VPN conforme necessário.

A configuração de VPN específica necessária depende do software VPN e da autenticação que está a ser utilizada. Para soluções VPN não Microsoft, esta configuração normalmente envolve implementar uma aplicação Win32 através de Extensões de Gestão do Intune. Esta aplicação incluiria o software de cliente VPN e quaisquer informações de ligação específicas. Por exemplo, nomes de anfitrião de pontos finais VPN. Para obter detalhes de configuração específicos desse fornecedor, veja a documentação do fornecedor de VPN.

Observação

Os requisitos de VPN não são específicos do Autopilot. Por exemplo, se for implementada uma configuração de VPN para ativar reposições remotas de palavras-passe, essa mesma configuração pode ser utilizada com o Windows Autopilot. Esta configuração permitiria que um utilizador iniciasse sessão no Windows com uma nova palavra-passe quando não estava na rede da organização. Assim que o utilizador iniciar sessão e as respetivas credenciais estiverem em cache, as tentativas de início de sessão subsequentes não precisam de conectividade, uma vez que o Windows utiliza as credenciais em cache.

Se o software VPN necessitar de autenticação de certificados, utilize o Intune para implementar também o certificado de dispositivo necessário. Esta implementação pode ser efetuada com as capacidades de inscrição de certificados do Intune, direcionando os perfis de certificado para o dispositivo.

Algumas configurações não são suportadas porque não são aplicadas até o utilizador iniciar sessão no Windows:

  • Certificados de utilizador
  • Plug-ins de VPN não Microsoft UWP da Loja Windows

Validação

Antes de tentar uma associação híbrida do Microsoft Entra com a VPN, é importante confirmar que o modo orientado pelo utilizador para o processo de associação híbrida do Microsoft Entra funciona na rede interna. Este teste simplifica a resolução de problemas ao garantir que o processo principal funciona antes de adicionar a configuração de VPN.

Em seguida, confirme que o Intune pode ser utilizado para implementar a configuração da VPN e os respetivos requisitos. Teste estes componentes com um dispositivo existente que já esteja associado ao Microsoft Entra híbrido. Por exemplo, alguns clientes VPN criam uma ligação VPN por computador como parte do processo de instalação. Valide a configuração com os seguintes passos:

  1. Verifique se é criada, pelo menos, uma ligação VPN por computador.

    Get-VpnConnection -AllUserConnection
    
  2. Tente iniciar manualmente a ligação VPN.

    RASDIAL.EXE "ConnectionName"
    
  3. Termine sessão no Windows. Verifique se o ícone de ligação VPN é apresentado na página de início de sessão do Windows.

  4. Mova o dispositivo para fora da rede interna e tente estabelecer a ligação com o ícone na página de início de sessão do Windows. Inicie sessão numa conta que não tenha credenciais em cache.

Para configurações de VPN que se ligam automaticamente, os passos de validação podem ser diferentes.

Observação

Uma VPN sempre ativada pode ser utilizada para este cenário. Para obter mais informações, veja Deploy always-on VPN (Implementar uma VPN always-on).

Próximas etapas