Windows Autopilot Pre-Aprovisionamiento

Windows Autopilot Pre-Aprovisionamiento

Windows Autopilot ayuda a las organizaciones a aprovisionar fácilmente nuevos dispositivos mediante la imagen y los controladores oem preinstalados. Esta funcionalidad permite a los usuarios finales preparar sus dispositivos para la empresa mediante un proceso sencillo.

Windows Autopilot también puede proporcionar un servicio de aprovisionamiento previo que ayuda a los asociados o al personal de TI a aprovisionar previamente un equipo Windows totalmente configurado y listo para la empresa. Desde la perspectiva del usuario final, la experiencia controlada por el usuario de Windows Autopilot no cambia, pero conseguir que su dispositivo esté totalmente aprovisionado es más rápido.

Con Windows Autopilot para la implementación aprovisionada previamente, el proceso de aprovisionamiento se divide. Las partes que consumen mucho tiempo las realiza TI, asociados o OEM. El usuario final simplemente completa algunas directivas y configuraciones necesarias y, a continuación, puede empezar a usar su dispositivo.

En este nuevo artículo vamos a ver el proceso de configuración de Windows autopilot Pre-aprovisionamiento.

Prerequisitos:

  • Una versión compatible actualmente de Windows.
  • Ediciones de Windows Pro, Enterprise o Education.
  • Una suscripción a Intune.
  • Dispositivos físicos que admiten el módulo de plataforma segura (TPM) 2.0 y la atestación de dispositivos.
  • No se admiten máquinas virtuales.
  • El proceso de aprovisionamiento previo usa las funcionalidades de implementación automática de Windows Autopilot, por lo que se requiere TPM 2.0.
  • El proceso de atestación de TPM también requiere acceso a un conjunto de direcciones URL HTTPS que son únicas para cada proveedor de TPM.
  • Conectividad de red. El uso de conectividad inalámbrica requiere seleccionar la región, el idioma y el teclado antes de poder conectarse e iniciar el aprovisionamiento.
  • Un perfil de página de estado de inscripción (ESP) debe tener como destino el dispositivo.

Los dispositivos programados para el aprovisionamiento previo se registran para Autopilot a través del proceso de registro normal.

Para estar listo para probar Windows Autopilot para la implementación aprovisionada previamente, asegúrese de que los escenarios existentes controlados por el usuario de Windows Autopilot se puedan usar correctamente:

  • Unión a Microsoft Entra controlada por el usuario. Asegúrese de que los dispositivos se pueden implementar mediante Windows Autopilot y unirlos a un inquilino de Microsoft Entra ID.
  • Unión híbrida de Microsoft Entra controlada por el usuario. Para habilitar las características de la unión híbrida de Microsoft Entra, asegúrese de que se pueden realizar las siguientes acciones:
    • Implemente dispositivos con Windows Autopilot.
    • Unir los dispositivos a un dominio de Active Directory local.
    • Registre los dispositivos con el identificador de Microsoft Entra.

Teniendo estas consideraciones podremos utilizar las configuraciones y aplicaciones alojadas en Intune para poder implementarlas en un proceso de pre-aprovisionamiento cuando se lanza Autopilot.

Para Configurar White Glove desde el portal de Intune basta con activar la caracteristica desde el siguiente enlace.

Devices – Enrollment – Windows Autopilot – Deployment Profiles – Crear Perfil

Debemos habilitar la opción: Allow preprovisioned deployment

Asignamos al grupo de seguridad de dispositivos de Autopilot. y creamos el perfil de implementacion.

este grupo lo vamos a asignar con las etiquetas de Hardware Hash de Group Tag, para ello en el grupo de Seguridad vamos a crear una regla como se muestra a continuación.

(device.devicePhysicalIds -any (_ -eq "[OrderID]:whiteglove"))

Ahora debemos crear el perfil de Enrollment Status Page para nuestros dispositivos de Autopilot Pre-Aprovisionados.

La característica principal de la Página de estado de inscripción (ESP) es mostrar el progreso y el estado actual al usuario final mientras el dispositivo se está configurando e inscrito a través del proceso de Autopilot. La otra característica principal del ESP es impedir que un usuario inicie sesión y use el dispositivo hasta que se instalen todas las directivas y aplicaciones necesarias. Se pueden crear varios perfiles ESP con diferentes configuraciones y asignarlos adecuadamente en función de diferentes necesidades y escenarios.

Vamos a Dispositivos – Windows – Inscripción – Windows Autopilot – Pagina de estado de inscripción crear un perfil.

Configuramos de acuerdo a la siguiente imagen.

Otros prerrequisitos a tomar en cuenta es la inscripción automática de Windows en Intune esto lo podemos ver realizando los siguientes pasos.

Para que Windows Autopilot funcione, los dispositivos deben poder inscribirse automáticamente en Intune. La inscripción de dispositivos en Intune se puede configurar automáticamente en Azure Portal:

  1. Inicie sesión en el portal de Azure.
  2. Seleccione Microsoft Entra ID..
  3. En la pantalla Información general, en Administrar en el panel izquierdo, seleccione Movilidad (MDM y WIP).
  4. En la pantalla Movilidad (MDM y WIP), en Nombre , seleccione Microsoft Intune.
  5. En la página de Microsoft Intune que se abre, en Ámbito de usuario MDM, seleccione Todos o Algunos:
    • Si se selecciona Todo , todos los usuarios pueden inscribir automáticamente sus dispositivos en Intune.
    • Si se selecciona Algunos , solo los usuarios de los grupos especificados en el vínculo de Grupos pueden inscribir automáticamente sus dispositivos en Intune. Para agregar grupos:
      1. Seleccione el vínculo en Grupos.
      2. En la ventana Seleccionar grupos que se abre, seleccione los grupos que desee agregar. Asegúrese de que los grupos seleccionados son grupos de usuarios de Microsoft Entra que contienen los usuarios deseados.
      3. Una vez seleccionados todos los grupos deseados, seleccione Seleccionar para cerrar la ventana Seleccionar grupos .
  6. En la pantalla de Microsoft Intune , si se han realizado cambios, seleccione Guardar.

Permitir a los usuarios unir dispositivos a Microsoft Entra ID siguiendo los siguientes pasos:

Para que Windows Autopilot funcione, es necesario permitir a los usuarios unir dispositivos a Microsoft Entra ID. Permitir que los usuarios unan dispositivos a Microsoft Entra ID se pueden configurar en Azure Portal:

  1. Inicie sesión en el portal de Azure.
  2. Seleccione Microsoft Entra ID..
  3. En la pantalla Información general , en Administrar en el panel izquierdo, seleccione Dispositivos.
  4. En dispositivos | Pantalla de información general , en Administrar en el panel izquierdo, seleccione Configuración del dispositivo.
  5. En dispositivos | Pantalla de configuración del dispositivo que se abre, en Usuarios pueden unir dispositivos a Microsoft Entra, seleccione Todo o Seleccionado:
    • Si se selecciona Todo , todos los usuarios pueden unir sus dispositivos a Microsoft Entra ID.
    • Si se selecciona Some , solo los usuarios especificados en Seleccionado pueden unir sus dispositivos a Microsoft Entra ID. Para agregar usuarios:
      1. Seleccione el vínculo en Seleccionado.
      2. En la página Miembros permitidos para unir dispositivos que se abre:
        1. Seleccione Agregar.
        2. En la ventana Agregar miembros que se abre:
          1. Seleccione los usuarios o grupos que desee agregar.
          2. Una vez seleccionados todos los usuarios y grupos deseados, seleccione Seleccionar para cerrar la ventana Agregar miembros .
        3. Seleccione Aceptar.

Ahora si vamos a extraer el Hardware Hash del dispositivo, para esto tenemos varias maneras usando los scripts de Powershell, de manera online o de manera manual para posteriormente subir la información a Microsoft Intune.

Online:

During OOBE launch CDM using (FN+Shift+F10) or (Mayus+F10)
PowerShell.exe -ExecutionPolicy Bypass
Install-Script -name Get-WindowsAutopilotInfo -Force
Set-ExecutionPolicy -Scope Process -ExecutionPolicy RemoteSigned
Get-WindowsAutopilotInfo -Online

Manual:

powershell.exe
cd /
md scripts
cd .\scripts\
set-executionpolicy -executionpolicy remotesigned
save-script -name Get-WindowsAutopilotInfo -Path c:\scripts
.\get-windowsautopilotinfo.ps1 -outputfile c:\scripts\autopilot.csv

Ahora debemos agregar aquellas aplicaciones y perfiles de configuración que vamos a agregar al Pre-Aprovisionamiento, asignando al grupo de seguridad antes creado, para este ejemplo he agregado las siguientes aplicaciones.
7-Zip
Office 365
OneDrive
Varios perfiles de configuración

Con la ayuda de Intel EMA herramienta desarrollada por Intel Corporation podemos monitorear nuestros dispositivos de manera remota inclusive sin necesidad de tener software instalado, esto mediante la tecnología V-Pro.

Iniciando con el proceso tradicional de autopilot, cuando es un equipo nuevo en el OOBE de inicio tecleamos Shift + F10 para que aparezca la ventana de CMD y poder extrar el Hardware Hash.

debemos guardar el archivo resultante y apagar el equipo usando el comando shutdown -s -t 00 volveremos a encender el equipo para comenzar el proceso de Autopilot cuando ya este el archivo Hardware Hash en Intune y con todas las configuraciones necesarias para el Pre-Aprovisionamiento.

Para este ejercicio lo haremos de manera manual para posteriormente editar el archivo y agregar el ScopeTag para el grupo de seguridad que configuramos mediante de nuestra regla dinámica.

Ahora vamos a subir el archivo a Intune Enrollment – Windows Autopilot – Devices – Import.

Ahora debemos activar el dispositivo y verificar que el Group Tag corresponda al grupo de Seguridad mediante nuestra regla dinamica.

Una vez asignado el usuario y perfil, verificamos el dispositivo en nuestro grupo.

Ahora sí, comenzamos el proceso de Windows Autopilot Pre-Aprovisionamiento, encendemos nuestro equipo de cómputo conectado a internet y mediante cable ethernet para iniciar la configuración.

En la primera pantalla de OOBE oprimimos la tecla Windows 5 veces para iniciar el proceso de Pre-Aprovisionamiento.

Elegimos la opción de Pre.provisionin with Windows Autopilot.

Inicia el proceso de ESP para Autopilot.

Una vez terminado el proceso, procedemos a resellar el dispositivo. para dejarlo en un modo listo para el usuario y enviarlo a su destino, el usuario solamente tendrá que prender el dispositivo e iniciar sesión en él, toda la configuración estará lista para su trabajo.

Experiencia de usuario al encender el equipo.

Tabla de contenidos

Categorías

Categorías
Translate »