Processus du mode Windows Autopilot user-driven Azure AD join


  • Share on Pinterest

Poursuivant sur notre thème Windows Autopilot, la série est écrite par Michael Niehaus, employé Microsoft basé à Seattle. Vous pouvez trouver cela et plus encore sur son propre blog – Out of Office Hours.


Nous avons déjà parlé de l’enregistrement de périphérique et du téléchargement initial du profil Windows Autopilot. C’est tout le travail de préparation pour le vrai processus de provisionnement effectué par Windows Autopilot. Voyons maintenant le processus de provisionnement.

  • Si le profil Windows Autopilot a spécifié un modèle de nomenclature, le nom sera calculé et appliqué, puis le périphérique redémarrera. (Windows Autopilot supporte les variables %SERIAL% et %RAND:x% pour la nomenclature du périphérique. Voir la documentation Intune à ce sujet.)
  • Si aucun utilisateur n’a été préattribué au périphérique (voir les prérequis réseau pour Azure AD):
    • La page de connexion Azure AD s’affiche, affichant le logo de l’organisation (logo personnalisé, nom de l’organisation, texte d’aide) comme décrit précédemment. (Si vous voyez d’autres pages avant cela, par exemple le choix entre entre domicile et Travail/École, les conditions EULA, etc., alors cela implique que le périphérique n’est pas enregistré pour Windows Autopilot. Vous suivez les étapes standard des pages OOBE) L’utilisateur peut ensuite saisir son adresse de messagerie (techniquement, son UPN Azure AD).

  • Si un utilisateur a été préassigné à l’appareil:
    • La page de connexion Azure AD sera ignorée (toutefois, si vous utilisez ADFS ou un autre fournisseur de fédération, vous pourriez voir cette page pour entrer les informations)
  • La page du mot de passe Azure AD, si vous utilisez un fournisseur d’identité fédérée (par exemple, ADFS), la page web qu’il fournit, s’affiche pour que l’utilisateur puisse fournir son mot de passe.

  • Le périphérique essaiera ensuite de se connecter à Azure AD. Si vous avez activé MFA pour la jointure Azure AD, vous serez invité à terminer ce processus.
  • Si vous avez configuré l’inscription MDM automatique, la jointure Azure AD déclenchera l’inscription Intune. (Si vous ne configurez pas l’inscription automatique de MDM, le périphérique ne sera pas géré. Consultez la configuration réseau requise pour Intune.)
  • Si vous avez activé la page ESP (Enrollment Status Page), elle apparaîtra pour traiter les étapes de préparation du périphérique. La plus importante de ces étapes est la dernière, intitulée «Préparation de votre appareil pour la gestion mobile». Pour cette étape, l’appareil attend une réponse du service MDM lui indiquant ce qui doit être fait.
  • Une fois les étapes de préparation terminées, la phase «Configuration de l’appareil» commence. Cela indiquera initialement «Identification» jusqu’à ce que le service MDM (Intune) lui indique quelles stratégies doivent être appliquées et suivies. Celles-ci sont ensuite traitées par le périphérique client jusqu’à ce que toutes aient été traitées. Si l’un d’entre eux échoue, l’ESP signalera l’incident (avec des options permettant de réinitialiser ou de continuer, si vous avez activé celles-ci dans les paramètres ESP).

  • Une fois que toutes les étapes de configuration du périphérique sont terminées, l’utilisateur sera automatiquement connecté en utilisant les informations d’identification saisies. Si, par hasard, l’une des applications ou les paramètres appliqués pendant la phase de «Configuration du périphérique» ont provoqué un redémarrage, alors l’ouverture de session ne sera pas automatique (les informations d’identification n’étant pas enregistrées sur le disque, cela constituerait un problème de sécurité); l’utilisateur devrait taper à nouveau ses informations d’identification.
  • Une fois l’utilisateur connecté, la première animation de connexion (FSIA) s’affiche. Cela peut prendre quelques minutes, tandis que Windows s’occupe de l’installation des applications UWP intégrées et configurées, ainsi que d’autres tâches ponctuelles.

  • Une fois que la FSIA est terminée, l’ESP s’affiche à nouveau, cette fois pour traiter les paramètres ciblés par l’utilisateur via la phase «Configuration du compte». Cela indiquera initialement «Identification» en attendant que le service MDM (Intune) envoie la liste des stratégies utilisateur et des applications au périphérique. Celles-ci sont ensuite traitées par le périphérique client jusqu’à ce que toutes aient été traitées. En cas d’échec de l’un d’entre eux, l’ESP signalera l’incident (avec des options permettant de réinitialiser ou de continuer, si vous avez activé ces options dans les paramètres ESP).

  • Dès que ces opérations sont terminées, l’utilisateur peut voir le bureau. Le processus est terminé.

Quelques notes:

  • Si vous installez Office 365 ProPlus à partir d’Intune, une stratégie est appliquée au périphérique (suivi par l’ESP dans Windows 10 1809 et versions ultérieures), ce qui oblige le CSP intégré à télécharger le programme d’installation d’Office; il lance ensuite l’installation d’Office. Le statut de ceci est rapporté à l’ESP.
  • Si vous installez des applications Win32 via Intune en utilisant les extensions de gestion Intune, vous remarquerez peut-être que l’ESP du périphérique affiche initialement quelque chose comme des applications «0 sur 1». Cette application est probablement l’extension de gestion Intune. Une fois celui-ci installé, les numéros peuvent changer (sous Windows 10 1903 au moins, car les versions antérieures ne prennent pas en charge le suivi des applications Win32). Intune Management Extensions utilise l’optimisation de la distribution (Delivery Optimization, DO). Vous verrez ainsi le trafic réseau lié à cette dernière. (Voir les conditions de réseau pour DO aussi.)
  • Si vous avez activé Enterprise State Roaming, vous pouvez voir les paramètres de synchronisation du trafic du cloud au périphérique.
  • Les vérifications des mises à jour Windows standard (par exemple, les mises à jour cumulatives, les mises à jour de fonctionnalités) ne se produisent pas avant la prochaine vérification en arrière-plan, généralement en dehors de la fenêtre «Heures actives» configurée.
  • Les mises à jour des applications intégrées à la boîte de dialogue sont différées pendant un certain temps pour ne pas nuire à l’expérience de connexion.
  • Il est fort probable que les redémarrages se produisent au fur et à mesure que les stratégies sont appliquées (et si celles-ci se produisent au mauvais moment, elles peuvent perturber les installations d’applications, en particulier celles de longue durée telle qu’Office). Certaines choses qui peuvent provoquer des redémarrages:
    • Application d’une nouvelle clé de produit pour modifier la référence Windows 10. (Cela n’est pas vraiment nécessaire, car la SKU peut être modifiée sans redémarrage, mais cela arrive quand même.)
    • Déverrouillage d’un périphérique en mode S.
    • Application de stratégies qui installent Hyper-V ou d’autres fonctionnalités de sécurité basées sur la virtualisation.
    • Applications.
  • La page d’état des inscriptions attend par défaut toutes les applications, mais vous pouvez configurer un sous-ensemble de ces applications en spécifiant une liste dans les paramètres ESP dans Intune. Cette liste agit comme un filtre – toutes les applications non incluses dans cette dernière s’installeront en arrière-plan sans que l’ESP n’attende; toutes les applications supplémentaires de cette liste qui ne sont même pas déployées sur l’appareil seront ignorées.
  • La page Statut d’inscription attend un sous-ensemble de stratégies. Nous nous employons à définir exactement le contenu de cette liste et à l’étendre de manière à couvrir pratiquement tout ce que vous pourriez souhaiter attendre avant de permettre à l’utilisateur d’accéder au périphérique.

C’est le scénario le plus simple dans son ensemble. Ils deviennent beaucoup plus intéressants à partir d’ici. Notez que le déploiement gant blanc (White glove) modifie également ce flux de manière significative, ce qui en fait un sujet à part.