Conditional Access dans Entra ID : une sécurité avancée pour vos infrastructures
Entra ID, anciennement connu sous le nom d’Azure Active Directory (Azure AD), est le service d’identité cloud de Microsoft, dédié...
Microsoft a annoncé le 22 Mai dernier une nouvelle version de Windows Autopilot V2 nommé « Windows Autopilot Device Preparation » avec la volonté à nouveau de faire preuve d’innovation sur cette solution utilisée par bon nombres d’entreprises.
Nous allons voir dans cet article les changements apportés sur cette nouvelle version ainsi que sa mise en place.
Pour faire l’historique de Windows Autopilot, c’est une solution intégrée à Microsoft Intune que Microsoft a sorti en 2017 et qui a révolutionné totalement la façon de déployer des postes de travail Windows avec une vision plus « moderne » et « cloud » que ces prédécesseurs comme SCCM ou MDT. Les avantages mis en avant à l’époque étaient :
Il est possible avec Windows Autopilot de préparer des périphériques en mode « Entra ID Join » et « Entra ID Hybrid Join » (la bonne pratique restant le mode Entra ID Join).
On a également pu voir de nouveaux concepts apparaitre tel que « user-driven » qui permet à l’utilisateur final de provisionner son périphérique directement sans action de l’IT, « whiteglove » qui permet à l’IT ou à un partenaire/revendeur de pré-provisionner entièrement le périphérique avant de le mettre à disposition de l’utilisateur final ou « self-deploying » qui permet de provisionner des PC en mode Kiosque.
Pour avoir une vue d’ensemble sur Windows Autopilot, vous pouvez suivre ce lien vers le site de Microsoft.
Windows Autopilot Device Preparation vise à simplifier encore plus le déploiement des périphériques, en optimisant le temps global de préparation de celui-ci et en améliorant notamment la résolution des problématiques qui peuvent survenir pendant le déploiement ainsi que le reporting.
La grosse nouveauté comparée à Windows Autopilot est qu’il n’est plus nécessaire d’importer le hash matériel pour pouvoir bénéficier du service. Autre nouveauté, le profil de déploiement sera à déployer sur un profil utilisateur et non machine.
Les améliorations apportées par Microsoft dans cette nouvelle version se résument en 4 axes majeurs qui sont :
Les améliorations apportées par Microsoft se résume en 2 axes dont 1 majeur que sont :
Pour déployer un poste de travail avec succès avec cette nouvelle version, il y a un certain nombre de prérequis à respecter notamment :
Souvenez-vous, la collecte et l’import des hardware hash de votre parc informatique dans Autopilot. Des manipulations qui pouvaient s’avérer longue et fastidieuse, c’est de l’histoire ancienne !
En effet, dans cette nouvelle version d’Autopilot, plus forcément besoin d’importer ces informations. Le déploiement se basant sur un groupe utilisateurs Entra ID.
Il y a cependant, une petite particularité à savoir, particulièrement si vous utilisez les « Device Platform Restrictions »
Il faudra ajouter votre poste dans la partie « Corporate Identifiers » sous Intune.
Pour cela, je vous invite à suivre ce lien qui vous expliquera la démarche.
Il est recommandé de mettre en place cette restriction et d’ajouter vos périphériques dans les Corporate Identifiers pour faire en sorte que seuls les périphériques de confiance peuvent consommer le service Autopilot.
Si vous avez mis en place des restrictions et que vous n’avez pas ajouté votre périphérique dans les corporate identifiers, vous aurez une erreur du type « This feature is not supported ».
Attention, à aujourd’hui, cette partie ne fonctionne pas comme attendu, il est donc préconisé par Microsoft de retirer la restriction pour pouvoir utiliser la nouvelle version Autopilot le temps d’une correction. Plus d’infos ici.
Cette nouvelle version s’articule autour de 2 groupes qui sont nécessaire à son bon fonctionnement.
Petite particularité sur ce groupe, il faut lui affecter un propriétaire qui se nomme « Intune Provisionning Client ». Attention dans certains cas, il peut aussi s’appeler « Intune Autopilot ConfidentialClient » (ID : f1346770-5b25-470b-88bd-d5744ab7952c)
Si jamais vous n’avez ni l’un, ni l’autre : suivez cette page
Nous allons voir ici comment créer un profil.
Pour cela, rendez-vous dans la rubrique « Enrollment », puis choisir « Device Preparation Policies » puis « Create »
Après avoir choisi un nom à votre profil, vous arrivez dans la catégorie « Device Group », c’est là que vous devez sélectionner le groupe Entra ID « Device » créer précédemment et sur lequel vous avez assigner vos applications et vos configurations.
Ensuite, il convient de paramétrer l’expérience de déploiement selon vos besoins, notamment le temps alloué pour l’installation des applications ou le message d’erreur à afficher à l’utilisateur en cas d’échec.
Il faut choisir ensuite les applications et les scripts qui s’exécuteront lors de la préparation Autopilot (donc avant que l’utilisateur se connecte).
Pour l’instant, la limite est fixée à 10 applications et 10 scripts. Cette limitation a été fixée par Microsoft à la suite de remontées de télémétrie qui leur ont indiqué qu’environ 90% des déploiements Autopilot sont effectués avec une dizaine d’applications. Petite nouveauté, il est désormais possible de mixer tout type d’application, même si le type WIN32 reste recommandé.
Dans la rubrique « Assignments », vous pouvez choisir le groupe Entra ID « Utilisateurs » précédemment créer.
Faite la revue du profil, puis cliquez sur Créer. Votre profil est prêt, maintenance place au déploiement !
La nouveauté sur cette version est que le profil Autopilot est téléchargé après la connexion de l’utilisateur et non avant comme Autopilot classique. Vous pouvez faire le lien avec l’assignement du profil précédemment créer à un groupe utilisateur.
L’expérience OOBE peut être différentes selon les versions de Windows 11 (Pro vs Entreprise). Vous aurez beaucoup plus de questions sur un Windows 11 Pro, par exemple : Nom de la machine / Localisation / Données de diagnostic etc…
Coté Utilisateur, les nouveautés se font notamment à travers ces 2 nouveaux écrans.
L’utilisateur pourra ainsi mieux voir la progression du déploiement grâce au pourcentage d’avancement.
Il aura également un écran lui indiquant quand la configuration est terminée, en cliquant sur Next, sa session se lancera automatiquement. (Il peut y avoir quelques questions OOBE selon l’édition).
Dans cette nouvelle version, vous retrouverez un reporting détaillé et quasi en temps réel.
Avoir une vue regroupée de tous les déploiements en cours avec leur état et la durée totale passée.
Avoir un reporting granulaire sur les déploiements en échec avec l’étape concernée (Applications ou scripts en erreur).
Microsoft a vraiment retravaillé cette partie qui était un peu le point faible de l’ancienne version d’Autopilot.
Windows Autopilot Device Preparation améliore considérablement la manière de déployer un poste de travail Windows 11. L’expérience utilisateur et l’optimisation se sont vus retravaillés et renforcés. Ces améliorations auront sans doute un impact plus que positif sur la productivité des équipes IT et des utilisateurs.
La solution est encore en cours de développement par les équipes de Microsoft et des nouveautés / évolutions sont également attendues sur ces parties :
Si vous voulez en savoir plus voici quelques liens utiles :
Retour sur l’annonce de Microsoft : Windows deployment with the next generation of Windows Autopilot | Microsoft Intune Blog
Lien vers les problèmes connues : Windows Autopilot device preparation known issues | Microsoft Learn
La foire aux questions : Windows Autopilot device preparation FAQ | Microsoft Learn
La documentation générale : What’s new in Autopilot device preparation | Microsoft Learn
Articles similaires
Entra ID, anciennement connu sous le nom d’Azure Active Directory (Azure AD), est le service d’identité cloud de Microsoft, dédié...
Microsoft rend obligatoire l’authentification multifacteur pour ses portails d’administration Azure et Microsoft 365. En imposant la MFA, l’objectif est clair...
Annoncée lors de l’événement annuel organisé par Microsoft : « Ignite » de 2023, la solution de sauvegarde native pour Microsoft 365 est...