Her tester vi Autopilot mot en virtuell maskin med Windows 10. Tenanten benytter Microsoft 365 Business Premium, som kommer med Intune og en full lisens på Azure AD Premium P1. Gangen er å hente ut maskinvare-hashkoden ved hjelp av et PowerShell-skript og kontrollere MDM-oppsettet for Intune. Så må hashkoden importeres til distribusjonstjenesten for Windows Autopilot. Helst burde vi ha satt opp firmavaremerking for tenanten, men det gjøres ikke her. Vi trenger en dynamisk sikkerhetsgruppe for Autopilot-enheter. Vi konfigurerer ut-av-ekse-opplevelsen for sluttbrukere i Intune. Så kjører vi Sysprep på Windows 10-maskinen for å tilbakestille den. Til slutt starter vi opp Windows 10 og tester hvordan Autopilot fungerer for bruker, og kontrollerer registeringen i Intune.
Hente ut hashkoden for maskinen
Du må starte PowerShell som administrator og installere skriptet Get-WindowsAutoPilotInfo. Du får beskjed om at du trenger NuGet Provider 2.8.5.201 eller nyere for å laste det ned. Du må bekrefte at du stoler på kodelageret. Tast inn Install-Script -Name Get-WindowsAutoPilotInfo.
Kjør skriptet. Syntaksen er Get-WindowsAutoPilotInfo.ps1 -outputfile <.csv-fil>.
Maskinvare-hashkoden lagres i en CSV-fil. Den inneholder de tre kolonnene Device Serial Number, Windows Product ID og Hardware Hash, men kan også inneholde en fjerde.
Kontrollere MDM-oppsettet for Intune
Logg deg på administrasjonssentret for Microsoft 365. Klikk på ellipsen (...) i sidepanelet for Vis alle. Du må inn i Endepunktbehandling under Administrasjonssentre.
Velg Devices, Enroll devices under Device enrollment. Under General må vi kontrollere om Windows-enheter innrulleres i Intune når de meldes inn i eller registreres i Azure AD. CNAME må valideres.
Klikk på Automatic Enrollment. Her er brukerområde for MDM satt til alle, og nettadressene er riktige. MDM står for mobile device management – mobil enhetsbehandling. MAM – mobile application management eller mobil applikasjonsbehandling – benyttes ikke her.
Klikk på CNAME Validation, tast inn domenenavnet og klikk på Test. Nå ser du Windows enrollment. Under Windows Autopilot Deployment Program har du tre alternativer: Deployment Profiles (distribusjonsprofiler) lar deg tilpasse opplevelsen av hvordan Autopilot klargjør Windows 10.
Devices (enheter) behandler Windows Autopilot-enheter. Intune Connector for Active Directory (Intune-kobling for AD) er nødvendig for å konfigurere enheter for hybrid medlemskap i Azure AD (ikke vist her og benyttes ikke i fresmtillingen).
Importere maskinvare-hashkoden
Klikk på Devices og på Import. Det åpnes en rute til høyre. Blad deg frem til filen. Du skal se et grønt sjekkmerke som viser at radene er formattert riktig. Klikk på Import, noe som kan ta opptil 15 minutter.
Etter hvert vil du se at maskinen dukker opp. Du kan fremtvinge en synkronisering og oppdatering. Enheten kan tildeles en bruker, du kan gi den et navn – strengt tatt ikke nødvendig.
Opprette en dynamisk sikkerhetsgruppe for Autopilot-enheter
Gå inn i administrasjonssentret for Azure AD. Velg Groups. Klikk på New Group.
Velg sikkerhetsgruppe. Medlemskapstype er dynamisk enhet. Legg til en dynamisk spørring.
Hvis du vil opprette en gruppe som inkluderer alle Autopilot-enheter, skriver du inn: (device.devicePhysicalIDs -any (_ -contains "[ZTDId]"))
- Intunes gruppekodefelt kartlegger OrderID-attributtet for Azure AD-enheter. For en gruppe med alle Autopilot-enheter med et spesifikt gruppemerke (Azure AD-enheten OrderID) må du skrive: (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")
- For en gruppe som inkluderer alle Autopilot-enheter med en spesifikk innkjøpsordre-ID skriver du inn: (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")
Gruppen her inkluderer alle Autopilot-enheter.
Vi kan validere regelen ved å legge til Autopilot-enheten. Klikk på Save og på Create.
Opprette en distribusjonsprofil
Klikk på Windows Autopilot Deployment Profiles og Create Profile. Det vil starte en veiviser. Her spesifiserer du distribusjonsmodus og innstillingene for ut-av-esken-opplevelsen. Vi kommer til å velge brukerdreven modus. Da trenger vi påloggingsinformasjon for brukere. En konto må være opprettet for pålogging. Enheten assosieres med denne. Til forskjell krever selvdistribusjonmodus ingen legitimasjon. Påloggingsopplysninger lagres i TPM. Enheten er ikke knyttet til en bruker.
Tast inn et navn og eventuelt en beskrivelse. Vi skal ikke konvertere enheter til Autopilot. Klikk på Next nederst på siden (ikke vist her).
Det er ut-av-esken-opplevelsen vi konfigurerer her, det bruker ser når maskinen starter opp. Det gir et forenklet første møte med Windows. Distribusjonsmodusen er brukerdreven. Alternativet er selvdistribusjon. Maskinen meldes inn i Azure AD. Det andre muligheten er hybrid medlemskap; da er Windows-enheten medlem av både lokalt AD og Azure AD. Foreslåtte standardinnstillinger er markert med blått.
Ikke vis lisensavtalen og oppsettet for personvern. Skjul alternativene for å endre brukerkonto. Her er kontotype satt til lokal administrator. I de fleste tilfellene vil du velge standardbruker. Hvit hanske -OOBE er beregnet for IT, så de kan tilpasse konfigurasjonen ytterligere og forhåndsinstallere programvare. Her trykker du Windows-tasten fem ganger under oppstart. Språkområdet er satt til norsk bokmål. Tastaturet konfigureres automatisk. Det brukes ingen navnemal for enheter. Du kunne satt opp for eksempel WIN-%RAND:4%. Det gir et maskinnavn som WIN-0001 osv. Klikk på Next.
Profilen tildeles den dynamiske sikkerhetsgruppen Autopilot Devices. Det er ingen ekskluderte grupper. Klikk Next nederst på siden. Du får et sammendrag av valgene. Klikk på Create.
Tilbakestille Windows 10 med Sysprep
Da er det på tide å nullstille maskinen med Sysprep. På Windows 10 får du antakelig en feilmelding om at Sysprep ikke kunne validere Windows-installasjonen. Den bunner i installerte Microsoft Store-apper. Kjør disse to PowerShell-kommandoene: Get-AppxPackage -AllUsers | Remove-AppxPackage og Get-AppxProvisionedPackage -online | Remove-AppxProvisionedPackage -online.
Teste Windows 10 med Autopilot
Når du slår på maskinen igjen, vil Windows 10 starte opp som du er vant til når du installerer operativsystemet for første gang. Men det er også avgjørende forskjeller. Ut-av-esken-opplevelsen er tilpasset og forenklet. I bakgrunnen meldes enheten inn i Azure AD og registreres i Microsoft Intune. Under første oppstart kontrollerer Windows om den er satt opp mot Autopilot.
Kontrollere enheter i Microsoft Intune
Windows-enheten vi rullet ut med Autopilot, er dukket opp i Intune. Den figurerer som bedriftseid og er i samsvar med våre retningslinjer. Nå får den konfigurasjonspolicyer, og nødvendig programvare blir automatisk distribuert, så som Microsoft 365 Apps for Enterprise (Office 365 ProPlus).
Avsluttende ord
Windows Autopilot sørger for forhåndskonfigurerte Windows-enheter ved å levere oppsetts- og konfigurasjonstjenester for nye enheter, sånn at de er klare til bruk rett ut av esken. Her gjennomgikk vi i detalj hvordan du kan sette opp Autopilot manuelt for å forklare hvordan distribusjonstjenesten fungerer. For nye maskiner vil du be enhetsleverandøren om å behandle alle Windows Autopilot-registreringer i virksomheten din. Dette gjør at IT ikke trenger å manuelt behandle maskinvare-hashkoder for hvert nytt maskinvarekjøp. Ta Windows-enheten ut av esken og skru den på. Windows Autopilot setter den opp i få steg og gjør den bedriftsklar.
Du får klargjort enheter uten anstrengelse og leverer en bedre brukeropplevelse med et enkelt tilpasset oppsett. Med Windows Autopilot kan du flytte til skyen i ditt eget tempo. Du kobler enheter utstyrt med Windows Autopilot, til Azure AD og registrerer dem i Intune, Microsofts plattform for mobil enhets- og applikasjonsbehandling. Windows Autopilot gjør livssyklusen til Windows-enheter enklere, fra implementering til levetidens slutt. Med Autopilot kan du implementere moderne administrasjon, som reduserer de samlede omkostninger knyttet til å håndtere PC-livssyklusen, tiden IT bruker på PCer og kraven til infrastruktur som må vedlikeholdes.
