Passer au contenu principal
Le déploiement Zero-Touch pour les appareils Windows n’est actuellement pas disponible. Nous effectuons les tests restants avec nos partenaires avant de réactiver cette fonctionnalité.
Le pilote automatique Windows offre aux nouveaux appareils Windows une expérience de configuration prête à l’emploi. Lorsqu’un employé allume un appareil pour la première fois, il se connecte avec ses informations d’identification Microsoft et toutes les applications, paramètres et politiques de sécurité de l’entreprise sont appliqués automatiquement — aucune intervention informatique n’est requise. Cet article couvre la configuration complète : de l’enregistrement du domaine FleetDM sur Azure à la création de profils de déploiement et au test de l’expérience Autopilot.

Conditions préalables

  • Un compte Microsoft avec accès administrateur
  • Un « locataire » Entra
  • Une licence qui comprend Microsoft Entra ID Plan 1 (ou Plan 2) et Windows Autopilot
La licence minimale couvrant les deux fonctionnalités est Enterprise Mobility + Security E3 (comparer les forfaits). Capture d'écran : Quels sont les prérequis ?

Expérience employé lors du premier démarrage

  1. Allumer l’appareil
  2. Sélectionnez le pays et la langue, configurez la disposition du clavier
  3. Connectez-vous à Internet
  4. Acceptez les termes et conditions de FleetDM Capture d'écran : Que se passe-t-il lorsqu'un employé arrive avec un poste de travail configuré avec Autopilot ?
  5. Connectez-vous avec les informations d’identification Microsoft (+ 2FA si activé) Capture d'écran : Que se passe-t-il lorsqu'un employé arrive avec un poste de travail configuré avec Autopilot ?
  6. Configurer un code PIN et une empreinte digitale (si pris en charge) Capture d'écran : Que se passe-t-il lorsqu'un employé arrive avec un poste de travail configuré avec Autopilot ?
  7. L’appareil est prêt : les applications et les politiques définies dans le tableau de bord sont appliquées automatiquement

Restrictions

Les appareils Autopilot utilisent des comptes Entra plutôt que des comptes locaux. Microsoft abandonne progressivement les comptes locaux au profit des comptes Entra. L’administrateur Entra peut configurer si les utilisateurs disposent de privilèges de compte standard ou d’administrateur. Les utilisateurs Entra dotés du rôle Administrateur global sont automatiquement administrateurs sur tous les appareils Autopilot auxquels ils se connectent. Un accès Internet est requis lors du premier démarrage pour s’authentifier auprès d’Entra.

Comment le configurer

La configuration suppose que votre entreprise s’appelle ACME et utilise le domaine acme.com.

Étape 1 — Enregistrez le domaine FleetDM et créez l’application Fleet sur Azure

Cette étape nécessite une coordination avec le support Primo. Lorsque vous enregistrez le domaine FleetDM dans Azure, Microsoft génère un code de vérification qui doit être communiqué à l’équipe Primo. Attendez jusqu’à 2 jours ouvrés pour que la configuration DNS se propage avant de continuer.
Vous effectuerez trois opérations dans la console Microsoft Azure avec les droits d’administrateur :
  1. Déclarez le domaine FleetDM comme légitime avec Azure
  2. Créez l’application Fleet et accordez-lui les autorisations MDM
  3. Définir FleetDM comme MDM par défaut pour les nouveaux appareils (en remplaçant Intune le cas échéant)

1. Déclarez le domaine FleetDM

  • Connectez-vous avec un compte administrateur sur : Microsoft Azure
  • Recherchez et cliquez sur Noms de domaine
  • Cliquez sur + Ajouter un domaine personnalisé
  • In the field, enter .mdm.getprimo.com (i.e. acme.mdm.getprimo.com, ask support (support@getprimo.com) if you don’t know this domain name)
  • Partagez avec nous la valeur du champ Destination ou adresse de routage (au format MS=ms12345678)
  • Attendez notre réponse (2 jours ouvrés maximum) avant de poursuivre la procédure
  • Vous pouvez ensuite cliquer sur Vérifier

2. Créez l’application FleetDM

  • Connectez-vous avec un compte administrateur sur : Microsoft Azure
  • Rechercher Mobilité (MDM et MAM)
  • Choisissez + Ajouter une application, puis choisissez + Créer votre propre application
  • Entrez Fleet comme nom d’application et cliquez sur Créer
  • Remplir
    • MDM terms of use URL: https://{company}.mdm.getprimo.com/api/mdm/microsoft/tos
    • MDM discovery URL: https://{company}.mdm.getprimo.com/api/mdm/microsoft/discovery
  • Cliquez sur Enregistrer
  • Revenir à Mobilité (MDM et MAM)
  • Cliquez sur l’application Fleet puis sur Paramètres personnalisés de l’application MDM
  • Cliquez sur le lien ci-dessous Application ID URI puis cliquez sur Modifier
  • Enter your Fleet instance address (https://{company}.mdm.getprimo.com) and click Save Capture d'écran : 2. Création de l'application FleetDM
  • Choisissez Autorisations API puis Ajouter une autorisation
  • Cliquez sur Microsoft Graph puis sur Autorisations déléguées, puis sélectionnez :
    • Groupe > Groupe.Read.All
    • Groupe > Groupe.ReadWrite.All
    • et cliquez sur Ajouter des autorisations Capture d'écran : 2. Création de l'application FleetDM
  • Revenez ensuite aux Autorisations API et Ajouter une autorisation, puis choisissez à nouveau Microsoft Graph.
  • Cette fois, cliquez sur Autorisations d’application et ajoutez les autorisations suivantes :
    • Périphérique > Périphérique.Read.All
    • Périphérique > Device.ReadWrite.All
    • Répertoire > Répertoire.Read.All
    • Groupe > Groupe.Read.All
    • Utilisateur > Utilisateur.Read.All
    • et cliquez sur Ajouter des autorisations
  • Une fois de retour sur l’écran des autorisations API, cliquez sur ** Accorder le consentement de l’administrateur pour ACME **
L’application Fleet est désormais déclarée comme MDM légitime auprès du portail Azure.

3. Définissez FleetDM comme MDM par défaut pour les nouveaux appareils

  • Connectez-vous avec un compte administrateur sur : Microsoft Azure
  • Accédez à Mobilité (MDM et MAM)
  • Cliquez sur Microsoft Intune
  • Dans Portée utilisateur MDM, sélectionnez Aucun.
  • Dans Portée utilisateur MAM, sélectionnez Aucun.
  • Cliquez sur Enregistrer
  • Accédez à Mobilité (MDM et MAM)
  • Cliquez sur Fleet
  • Dans Portée utilisateur MDM, sélectionnez Tous.
  • Dans Portée utilisateur MAM, sélectionnez Tous
  • Cliquez sur Enregistrer
L’application Fleet est désormais déclarée comme MDM qui gérera les nouveaux appareils avec le portail Azure. Remarque : Si vous avez inscrit des appareils sur FleetDM avant de terminer ces opérations, contactez l’assistance afin que l’équipe puisse forcer le passage de MDM de Intune à FleetDM en exécutant un script. Sans cela, l’appareil peut se trouver dans un état incohérent qui affecte l’expérience d’inscription.

Étape 2 — Créer des profils de déploiement Autopilot

Pour terminer la configuration d’Autopilot, créez au moins un profil de déploiement. Vous pouvez trouver la documentation officielle de Microsoft sur les profils de déploiement sur ce lien : https://learn.microsoft.com/fr-fr/autopilot/profiles. Ce profil vous permet de définir les paramètres suivants :
  • Choix du type d’utilisateur : Administrateur ou Standard
Note: Entra users with a Global Administrator role are administrators of all devices regardless of this setting’s value
  • Choix du pays par défaut
  • Choix de la langue du clavier par défaut
  • Modèle de dénomination des appareils
Par exemple : ACME-%RAND:5% générera les noms suivants :
  • ACME-23456
  • ACME-98479
  • ACME-19838
Pour créer un profil de déploiement, suivez ces instructions :
  • Accédez à : Centre d’administration Microsoft Intune
  • Cliquez sur + Créer un profil
  • Nommez le profil dans la première étape.
  • Décrivez les modes de déploiement dans la deuxième étape.
  • Attribuez des profils aux appareils à la troisième étape.
Créez un groupe dynamique pour cibler tous les appareils ZTD :
  • Accédez à : portal.azure.com
  • Cliquez sur + Créer un groupe
  • Nommez-le “Dispositifs de pilote automatique Windows”, par exemple
  • Comme cible, sélectionnez “périphériques dynamiques”
  • Pour la règle dynamique, utilisez (device.devicePhysicalIds -any (_ -startsWith “[ZTDid]”))
  • Cliquez sur Créer
Enfin, créez une configuration de page de statut d’inscription :
  • Accédez à : Centre d’administration Microsoft Intune
  • Cliquez sur + Créer
  • La première étape vous permet de nommer le profil (c’est-à-dire Primo)
  • Activez l’affichage de la progression dans la deuxième étape. Les valeurs par défaut fonctionnent pour la plupart des déploiements.
  • Attribuez l’ESP à votre groupe dynamique dans la troisième étape.

Étape 3 — Testez l’expérience Autopilot

Partager l’accès à la console d’administration Intune avec InMac

Pour qu’Autopilot fonctionne automatiquement sur les appareils commandés via Primo, effectuez l’opération suivante avec notre revendeur partenaire InMac :
  • Établir une relation de partenariat Microsoft entre InMac et vous
Cet accès leur permettra, pour chaque appareil commandé, d’informer Intune de son existence et de s’assurer qu’il est pris en charge par Primo lors de son initialisation. Pour ce faire, vous devez utiliser le lien suivant à partir d’un compte doté du rôle Administrateur global : Suivez les instructions jusqu’à accepter la relation de partenariat.

Alternative : test sur le matériel existant (nécessite une réinitialisation de l’appareil)

Il existe une autre façon de tester l’expérience Autopilot sans nécessairement commander de nouveaux appareils via Primo (et donc sans avoir à établir la relation de partenariat et l’accès granulaire à la console d’administration décrite dans le paragraphe précédent). Pour cela, il suffit de suivre ces instructions de notre partenaire FleetDM (Étape 2 : enregistrer un poste de test) qui décrit la démarche qui consiste à :
  • extraire le hachage de l’appareil (son numéro de série, pour ainsi dire)
  • en l’important dans la liste des appareils Autopilot sur votre console Azure/Intune (c’est ainsi que se fait le lien entre cet appareil et votre entreprise)
  • réinitialiser l’appareil
L’utilisateur peut alors profiter de l’expérience Autopilot.