Hopp til hovedinnhold

Kom i gang med Windows Autopilot - Del 1

Logo letter
Evelon AS
Jon-Alfred Smith

Windows Autopilot endrer radikalt på hvordan du klargjør og distribuerer Windows 10-enheter. I stedet for å slette en forhåndsinstallert versjon av operativsystemet tilbakestiller og tilpasser du Windows. Underveis kan du foreta en oppgradering fra Pro til Business eller Enterprise. Et typisk scenario er når du bestiller nye maskiner. Da ber du leverandøren legge til maskinvare-IDene i Autopilot-tjenesten. Dermed er de registrert i din Microsoft 365-leier (tenant). Din oppgave som IT-administrator blir å opprette en Autopilot-profil som sørger for en forenklet ut-av-esken-opplevelse. Så kan du levere PCene direkte til dine ansatte, uten at du har vært i nærheten av maskinvaren.

Bruker slår på maskinen, kobler seg til Internett og logger på med sin Microsoft 365-konto. Med få museklikk blir enheten bedriftsklar og kan tas i bruk. I bakgrunnen meldes den inn i Azure AD og registreres i Intune, Microsofts skybaserte plattform for mobil enhets- og applikasjonsbehandling. Via konfigurasjonsprofiler i Intune tilpasser og sikrer du enhetene. Og så ruller du ut alle applikasjoner brukerne dine trenger. Autopilot rommer også andre bruksområder, med støtte for hybride miljøer. Her får du en oversikt over mulighetene og konseptene, samt krav til lisenser. Så blir det mer teknisk med en detaljert gjennomgang av hvordan du selv kan prøve ut og gjøre deg kjent med Autopilot.

Oversikt over Autopilot

autopilot1

Windows Autopilot er en samling teknologier utviklet av Microsoft, for å sette opp og konfigurere Windows 10-enheter. Her inngår Autopilot-tjenesten og Azure AD Premium (P1 el. P2), som har funksjoner for automatisk enhetsregistrering og dynamiske grupper. I tillegg er det nødvendig med en løsning for mobil enhetsbehandling. Som spesialister på Microsoft 365 benytter vi naturlig nok Microsoft Intune. Autopilot støtter imidlertid også andre MDM-plattformer, som VMware Workspace ONE (tidl. AirWatch) og MobileIron. For tredjepartsløsninger må du plusse på med Microsoft Store for bedrifter for å registrere enheter i distribusjonstjenesten for Autopilot.

Autopilot gjør slutt på galskapen med å fjerne en Windows-installasjon med drivere på en splitterny maskin, for så å rulle ut et skreddersydd bilde av operativsystemet med Microsoft Deployment Toolkit (MDT) eller System Center Configuration Manager. Dette tar tid, krever ekspertise og er tungvint å vedlikeholde. Med Autopilot er enheten umiddelbart klar til bruk. Når den er registrert i Intune, kan du automatisk distribuere dine tilpasninger, policyer og applikasjoner. Figuren ovenfor gjengir de to vanligste bruksområdene. Minst jobb er det med enheter som sendes ut fra leverandøren og leveres direkte til ansatte. Det krever noe mer å registrere eksisterende enheter manuelt for gjenbruk til andre medarbeidere.

Sluttbruker får samme enkle opplevelse når maskinen starter opp for første gang. Hun eller han foretar i praksis en selv-utrulling. Autopilot dikterer noen få installasjonsinstruksjoner og reduserer samspillet med bruker til et par tre museklikk før den er klar til bruk – magisk for dine ansatte og automatisk for IT. Det gjør det lett å distribuere PCer internt og sende dem ut til hjemmekontor. Til forskjell fra tradisjonelle løsninger krever Autopilot lite eller ingen infrastruktur. Verktøyene er i skyen og kan nå maskinene uansett hvor de befinner seg – hendig for enheter som sjelden eller aldri er innom kontoret.

Gangen i Windows Autopilot

autopilot2
  • En Windows 10-enhet har en unik maskinvare-ID – også kjent som identifikator eller hashkode. Denne må legges til i Autopilot-tjenesten. Dette gjøres i Intune, alternativt i Microsoft Store for forretninger om du har en tredjepartsløsning for mobil enhetsbehandling. Dette kan utføres av deg, maskinvare- eller tjenesteleverandøren og din partner, så som Lillevik IT.
  • IT-administrator konfigurerer Autopilot-profilen for enhetene. Dette forteller datamaskinene hvordan de skal oppføre seg ved første oppstart, den såkalte ut-av-esken-opplevelse eller out-of-box-experience (OOBE).
  • Maskinen blir sendt fra leverandør (OEM) eller muligens av IT-avdelingen til sluttbruker.
  • Bruker får den nye maskinen, pakker opp esken, slår den på og kobler den til et nettverk. Maskinen kontakter Windows Autopilot-tjenesten under første oppstart. Den spør om enhetens maskinvare-ID er forhåndsregistrert i din Azure AD-leietaker (tenant).
  • Hvis enhetens maskinvare-ID blir oppdaget i Autopilot, melder maskinen seg inn i Azure Active Directory (AAD). Bruker får en tilpasset ut-av-esken-opplevelse.
  • Hvis du har aktivert automatisk påmelding til en MDM-tjeneste – som Microsoft Intune – etter AAD-registrering, vil enheten bli lagt til i Intune.

Etter en stund får den alt du trenger for være produktiv: applikasjoner, policyer, skript, Windows-oppdateringer og -funksjoner fra MDM-tjenesten. Et viktig moment er at bruker som knyttes til enheten, ikke behøver være lokal administrator – i tråd med prinsippet om minste privilegium.

Krav til lisenser

Her forholder vi oss til Microsoft Intune for mobil enhets- og applikasjonsbehandling. Du må ha en lisens på Intune og Azure AD Premium. Disse tjenestene kan lisensiere separat, men de blir rimeligere i en pakke. Vår generelle anbefaling for små og mellomstore bedrifter er Microsoft 365 Business Premium. For økt sikkerhet kan det være aktuelt med Microsoft 365 E3 eller E5. Førstelinje-arbeidere kan klare seg med Microsoft 365 F3. All Autopilot-funksjonalitet er tilgjengelig i Enterprise Mobility + Security E3 / E5, som ytterligere inneholder en rekke sikkerhetsmekanismer. For kiosker kan det holde med et Device Only-abonnement.

Windows Autopilot-scenarioer

autopilot3

I alt er det fem forskjellige bruksområder for Autopilot. Vi har så langt konsentrert oss om bruker-dreven modus ved at enten leverandøren eller IT-avdelingen legger til maskinvare-hashkoden i Autopilot-tjenesten. Bruker knyttes opp mot enheten og autentiseres mot Azure AD. Det er også mulig med en hybrid konfigurasjon der maskinen meldes inn i lokalt AD. Det forutsetter at det er satt opp synkronisering mot Azure for brukere og enheter. Du må konfigurere en Intune-kobling mot en domenekontroller (DC) – gjerne flere for feiltoleranse. Så må du gi DCene utvidede rettigheter til å legge til maskiner i Autopilot. En gruppepolicy må settes opp. For at dette skal fungere må klientenhetene ha fysisk kontakt med en DC, noe som typisk ikke er tilfellet når du sender ut en maskin til hjemmekontor.

PCer for bedrifter kommer som regel med Windows 10 Pro og er skapt for å gi en optimalisert opplevelse, uten reklame og prøveversjoner, bare med Microsofts og leverandørens egne programmer. Om det likevel skulle være behov for å kvitte seg med uønsket programvare, kan du opprette en distribusjonspakke i Windows Configuration Designer som fjerner den. Hver bruker knyttet til en Autopilot-enhet, må være lisensiert. Om du tildeler en lisens på Microsoft Business Premium, blir Windows 10 Pro til Business, som utvider Windows med et sett av skytjenester og funksjoner for enhetsadministrasjon. Med en lisens på Microsoft 365 E3 / E5 blir Windows-utgaven til Enterprise ved en funksjon som omtales som abonnementsaktivering.

Med selvdistribusjonsmodus kan du rulle ut Windows 10 til en kiosk, digitalt skilt eller delt enhet med minimale behov for administrasjon. Denne prosessen er fullstendig automatisert og krever en kablet Ethernet-tilkobling, en TPM-brikke 2.0 eller høyere som håndterer attestering. Hvit hanske (White Glove) er en modus som lar IT forhåndsklargjøre Windows 10-enheter fullt konfigurert med applikasjoner. På den måten kan du også melde maskinen inn i ditt lokale AD før den sendes ut til brukere. Med Autopilot tilbakestilling kan du klargjøre enheter som allerede ligger i Autopilot, for neste bruker. Personlige filer, applikasjoner og innstillinger fjernes. Enheten gjenopprettes til sin opprinnelige tilstand. Samtidig beholder du maskinidentiteten i Azure AD og Intune. Endelig har du eksisterende enheter du ønsker å hente inn i Autopilot, noe som kan gjøres manuelt med PowerShell eller automatisert med Intune eller System Center Configuration Manager.

Avsluttende ord

Windows Autopilot sørger for forhåndskonfigurerte Windows-enheter ved å levere oppsetts- og konfigurasjonstjenester for nye enheter, sånn at de er klare til bruk rett ut av esken. Her gjennomgår vi i detalj hvordan du kan sette opp Autopilot manuelt for å forklare hvordan distribusjonstjenesten fungerer. For nye maskiner vil du be enhetsleverandøren om å behandle alle Windows Autopilot-registreringer i virksomheten din. Dette gjør at IT ikke trenger å manuelt behandle maskinvare-hashkoder for hvert nytt maskinvarekjøp. Ta Windows-enheten ut av esken og skru den på. Windows Autopilot setter den opp i få steg og gjør den bedriftsklar.

Du får klargjort enheter uten anstrengelse og leverer en bedre brukeropplevelse med et enkelt tilpasset oppsett. Med Windows Autopilot kan du flytte til skyen i ditt eget tempo. Du kobler enheter utstyrt med Windows Autopilot, til Azure AD og registrerer dem i Intune, Microsofts plattform for mobil enhets- og applikasjonsbehandling. Windows Autopilot gjør livssyklusen til Windows-enheter enklere, fra implementering til levetidens slutt. Med Autopilot kan du implementere moderne administrasjon, som reduserer de samlede omkostninger knyttet til å håndtere PC-livssyklusen, tiden IT bruker på PCer og kraven til infrastruktur som må vedlikeholdes.

Neste uke publiseres del 2 av Kom i gang med Windows Autopilot - med en innføring i hvordan Autopilot kan settes opp.

Publisert: . Oppdatert: .

Vi hjelper gjerne til med å finne den beste løsningen for din bedrift

Ta kontakt med oss for en uforpliktende prat!