Vai al contenuto principale
La distribuzione Zero-Touch per i dispositivi Windows non è attualmente disponibile. Stiamo completando i restanti test con i nostri partner prima di riattivare questa funzionalità.
Il pilota automatico Windows offre ai nuovi dispositivi Windows un’esperienza di configurazione immediata. Quando un dipendente accende un dispositivo per la prima volta, accede con le proprie credenziali Microsoft e tutte le app, le impostazioni e i criteri di sicurezza aziendali vengono applicati automaticamente, senza che sia richiesto alcun intervento IT. Questo articolo illustra la configurazione completa: dalla registrazione del dominio FleetDM in Azure alla creazione di profili di distribuzione e al test dell’esperienza Autopilot.

Prerequisiti

  • Un account Microsoft con accesso come amministratore
  • Un “inquilino” di Entra
  • Una licenza che include Microsoft Entra ID Piano 1 (o Piano 2) e Windows Autopilot
La licenza minima che copre entrambe le funzionalità è Enterprise Mobility + Security E3 (confronta i piani). Screenshot: Quali sono i prerequisiti?

Esperienza dei dipendenti al primo avvio

  1. Accendere il dispositivo
  2. Seleziona paese e lingua, configura il layout della tastiera
  3. Connettersi a Internet
  4. Accetta i termini e le condizioni di FleetDM Screenshot: Cosa succede quando un dipendente arriva con una workstation configurata con Autopilot?
  5. Accedi con credenziali Microsoft (+ 2FA se abilitato) Screenshot: Cosa succede quando un dipendente arriva con una workstation configurata con Autopilot?
  6. Configura un codice PIN e un’impronta digitale (se supportati) Screenshot: Cosa succede quando un dipendente arriva con una workstation configurata con Autopilot?
  7. Il dispositivo è pronto: le app e i criteri definiti nella dashboard vengono applicati automaticamente

Restrizioni

I dispositivi Autopilot utilizzano gli account Entra anziché gli account locali. Microsoft sta progressivamente deprecando gli account locali a favore degli account Entra. L’amministratore Entra può configurare se gli utenti dispongono di privilegi di account standard o amministratore. Gli utenti Entra con il ruolo Amministratore globale diventano automaticamente amministratori di tutti i dispositivi Autopilot a cui accedono. Per l’autenticazione con Entra è necessario l’accesso a Internet durante il primo avvio.

Come configurarlo

La configurazione presuppone che la tua azienda si chiami ACME e utilizzi il dominio acme.com.

Passaggio 1: registrare il dominio FleetDM e creare l’applicazione Fleet su Azure

Questo passaggio richiede il coordinamento con il supporto Primo. Quando registri il dominio FleetDM in Azure, Microsoft genera un codice di verifica che dovrà essere comunicato al team Primo. Prima di continuare, attendere fino a 2 giorni lavorativi per la propagazione della configurazione DNS.
Eseguirai tre operazioni nella console di Microsoft Azure con diritti di amministratore:
  1. Dichiarare il dominio FleetDM come legittimo con Azure
  2. Creare l’applicazione Fleet e concederle le autorizzazioni MDM
  3. Imposta FleetDM come MDM predefinito per i nuovi dispositivi (sostituendo Intune se applicabile)

1. Dichiarare il dominio FleetDM

  • Accedi con un account amministratore all’indirizzo: Microsoft Azure
  • Cerca e fai clic su Nomi di dominio
  • Fai clic su + Aggiungi dominio personalizzato
  • In the field, enter .mdm.getprimo.com (i.e. acme.mdm.getprimo.com, ask support (support@getprimo.com) if you don’t know this domain name)
  • Condividi con noi il valore del campo Destinazione o indirizzo di routing (nel formato MS=ms12345678)
  • Attendi la nostra risposta (2 giorni lavorativi al massimo) prima di proseguire con la procedura
  • È quindi possibile fare clic su Verifica

2. Creare l’applicazione FleetDM

  • Accedi con un account amministratore all’indirizzo: Microsoft Azure
  • Cerca Mobilità (MDM e MAM)
  • Scegli + Aggiungi applicazione, quindi scegli + Crea la tua applicazione
  • Inserisci Fleet come nome dell’applicazione e fai clic su Crea
  • Compila
    • MDM terms of use URL: https://{company}.mdm.getprimo.com/api/mdm/microsoft/tos
    • MDM discovery URL: https://{company}.mdm.getprimo.com/api/mdm/microsoft/discovery
  • Fai clic su Salva
  • Torna a Mobilità (MDM e MAM)
  • Fare clic sull’applicazione Fleet quindi su Impostazioni personalizzate dell’applicazione MDM
  • Fai clic sul collegamento sottostante URI ID applicazione, quindi fai clic su Modifica
  • Enter your Fleet instance address (https://{company}.mdm.getprimo.com) and click Save Schermata: 2. Creazione dell'applicazione FleetDM
  • Scegli Autorizzazioni API quindi Aggiungi un’autorizzazione
  • Fare clic su Microsoft Graph quindi su Autorizzazioni delegate, quindi selezionare:
    • Gruppo > Raggruppa.Leggi.Tutto
    • Gruppo > Gruppo.ReadWrite.All
    • e fai clic su Aggiungi autorizzazioni Schermata: 2. Creazione dell'applicazione FleetDM
  • Quindi torna alle Autorizzazioni API e Aggiungi un’autorizzazione, quindi scegli nuovamente Microsoft Graph
  • Questa volta, fai clic su Autorizzazioni applicazione e aggiungi le seguenti autorizzazioni:
    • Dispositivo > Dispositivo.Leggi.Tutto
    • Dispositivo > Device.ReadWrite.All
    • Directory > Directory.Leggi.Tutto
    • Gruppo > Raggruppa.Leggi.Tutto
    • Utente > Utente.Leggi.Tutto
    • e fai clic su Aggiungi autorizzazioni
  • Una volta tornato alla schermata delle autorizzazioni API, fai clic su Concedi il consenso amministratore per ACME
L’applicazione Fleet è ora dichiarata come MDM legittima con il portale di Azure.

3. Impostare FleetDM come MDM predefinito per i nuovi dispositivi

  • Accedi con un account amministratore all’indirizzo: Microsoft Azure
  • Vai a Mobilità (MDM e MAM)
  • Fare clic su Microsoft Intune
  • Nell’ambito utente MDM, seleziona Nessuno
  • In Ambito utente MAM, seleziona Nessuno
  • Fai clic su Salva
  • Vai a Mobilità (MDM e MAM)
  • Fare clic su Fleet
  • Nell’ambito utente MDM, seleziona Tutto
  • In Ambito utente MAM, seleziona Tutto
  • Fai clic su Salva
L’applicazione Fleet è ora dichiarata come MDM che gestirà i nuovi dispositivi con il portale di Azure. Nota: se hai registrato dispositivi su FleetDM prima di completare queste operazioni, contatta l’assistenza in modo che il team possa forzare la modifica di MDM da Intune a FleetDM eseguendo uno script. Senza questo, il dispositivo potrebbe trovarsi in uno stato incoerente che influisce sull’esperienza di registrazione.

Passaggio 2: creare profili di distribuzione Autopilot

Per completare la configurazione del pilota automatico, crea almeno un profilo di distribuzione. Puoi trovare la documentazione ufficiale di Microsoft sui profili di distribuzione a questo link: https://learn.microsoft.com/fr-fr/autopilot/profiles. Questo profilo consente di definire le seguenti impostazioni:
  • Scelta del tipo di utente: Amministratore o Standard
Note: Entra users with a Global Administrator role are administrators of all devices regardless of this setting’s value
  • Scelta del paese predefinita
  • Scelta della lingua predefinita della tastiera
  • Modello di denominazione del dispositivo
Ad esempio: ACME-%RAND:5% genererà i seguenti nomi:
  • ACME-23456
  • ACME-98479
  • ACME-19838
Per creare un profilo di distribuzione, seguire queste istruzioni: Crea un gruppo dinamico per scegliere come target tutti i dispositivi ZTD:
  • Vai a: portal.azure.com
  • Fai clic su + Crea gruppo
  • Chiamalo, ad esempio, “Dispositivi autopilota Windows”.
  • Come target seleziona “dispositivi dinamici”
  • Per la regola dinamica, utilizzare (device.devicePhysicalIds -any (_ -startsWith “[ZTDid]”))
  • Fai clic su Crea
Infine, crea una configurazione della pagina di stato della registrazione:
  • Vai a: Interfaccia di amministrazione di Microsoft Intune
  • Fai clic su + Crea
  • Il primo passaggio consente di nominare il profilo (ad esempio Primo)
  • Abilita la visualizzazione dell’avanzamento nel secondo passaggio. I valori predefiniti funzionano per la maggior parte delle distribuzioni.
  • Assegna l’ESP al tuo gruppo dinamico nel terzo passaggio.

Passaggio 3: testare l’esperienza del pilota automatico

Condivisione dell’accesso alla console di amministrazione Intune con InMac

Affinché Autopilot funzioni automaticamente sui dispositivi ordinati tramite Primo, completa la seguente operazione con il nostro rivenditore partner InMac:
  • Stabilisci una relazione di partnership Microsoft tra te e InMac
Questo accesso consentirà loro, per ciascun dispositivo ordinato, di informare Intune della sua esistenza e di garantire che venga gestito da Primo durante la sua inizializzazione. A tale scopo, è necessario utilizzare il seguente collegamento da un account con il ruolo di Amministratore globale: Seguire le istruzioni fino ad accettare il rapporto di partnership.

Alternativa: test sull’hardware esistente (richiede il ripristino del dispositivo)

Esiste un altro modo per testare l’esperienza Autopilot senza necessariamente ordinare nuovi dispositivi tramite Primo (e quindi senza dover stabilire il rapporto di partnership e l’accesso granulare alla console di amministrazione descritto nel paragrafo precedente). Per fare ciò, è sufficiente seguire queste istruzioni del nostro partner FleetDM (Passaggio 2: registrare una stazione di prova) che descrive il processo che consiste in:
  • estrarre l’hash del dispositivo (il suo numero di serie, per intenderci)
  • importandolo nell’elenco dei dispositivi Autopilot sulla tua console Azure/Intune (ecco come viene creato il collegamento tra questo dispositivo e la tua azienda)
  • reimpostare il dispositivo
L’utente può quindi usufruire dell’esperienza Autopilot.