MSNLoop
MVP Yannick Plavonil

Catégories


Étiquettes


MSNLoop


Documentation technique destinée aux professionnels de l'informatique qui ont recours aux produits, outils et technologies Microsoft pour gérer et déployer Windows.

Windows Autopilot vs le réseau

Yannick PlavonilYannick Plavonil

Poursuivant sur notre thème Windows Autopilot, la série est écrite par Michael Niehaus, employé Microsoft basé à Seattle. Vous pouvez trouver cela et plus encore sur son propre blog – Out of Office Hours.


L’un des plus grands défis que nous rencontrons avec les clients qui souhaitent adopter Windows Autopilot pour déployer de nouveaux appareils est la variété des configurations réseau. 

Cela peut être décomposé en quelques catégories de haut niveau:

Généralement, tous ces problèmes peuvent être considérés comme des problèmes de «démarrage». Dans le passé, lorsque les clients utilisaient des mécanismes de déploiement traditionnels basés sur des images, ils construisaient des mécanismes pour contourner ces problèmes, résolvant souvent les problèmes avant que l’appareil ne soit livré à l’utilisateur final. Lors du passage à Windows Autopilot, ces mécanismes peuvent ne plus fonctionner (selon les spécificités).

Nos conseils généraux pour la mise en réseau de Windows Autopilot se concentrent sur les connexions sortantes, c’est-à-dire à quels services Internet l’appareil doit-il parler pour terminer le processus d’approvisionnement de Windows Autopilot. Mais cela ne parle pas vraiment des éléments que j’ai mentionnés ci-dessus.

Il existe des solutions générales qui peuvent être appliquées aux défis ci-dessus. Il est utile d’en parler avant d’entrer dans les scénarios qui en profitent le plus. Voici une liste:

Maintenant, parlons des différents scénarios de Windows Autopilot.

User-driven Azure AD Join

La meilleure chose à propos de Azure AD Join est qu’elle nécessite simplement un accès Internet. Voyons comment les solutions ci-dessus peuvent s’appliquer:

Alors qu’est-ce que je recommande? C’est une sorte d’organigramme:

User-driven Hybrid Azure AD Join

La jointure Azure AD hybride a les mêmes exigences que la jointure Azure AD, mais avec une autre: elle a besoin d’une connectivité à un contrôleur de domaine Active Directory, donc l’appareil doit être sur le réseau d’entreprise. Encore une fois, en examinant la liste de solutions ci-dessus:

Encore une fois, des recommandations:

User-driven Azure AD Join avec pré-provisionnement gants blancs

Le pré-approvisionnement de gants blancs Windows Autopilot divise le processus d’approvisionnement des appareils en deux parties, une phase technicien et une phase utilisateur. La bonne chose à propos de la phase de technicien est qu’elle peut être effectuée sur n’importe quel réseau (le vôtre, un partenaire, un OEM ou un distributeur, etc.) et peut donc fournir tous les paramètres de proxy ou certificats de machine nécessaires, avant même que l’utilisateur n’obtienne l’appareil.

La seule chose qu’il ne peut pas faire: pré-approvisionner les certificats d’utilisateur. Pour ce faire, l’utilisateur doit réellement se connecter (créer le profil utilisateur). Donc, si vous utilisez 802.1x avec des certificats utilisateur, cela n’aidera pas à obtenir la machine sur le réseau d’entreprise. Les mêmes suggestions dans la section user-driven Azure AD Join ci-dessus s’appliquent toujours à la partie utilisateur du processus.

User-driven hybrid Azure AD Join avec pré-provisionnement gants blancs

Les conditions requises pour effectuer une jointure Azure AD hybride à l’aide du pré-approvisionnement de gants blancs sont en réalité différentes d’un déploiement normal user-driven Azure AD Join Windows Autopilot. Plus précisément, il n’est pas nécessaire que la phase technicien du processus soit effectuée sur le réseau d’entreprise – elle peut être effectuée sur n’importe quel réseau car elle n’a pas besoin de parler directement à un contrôleur de domaine Active Directory. Donc, cela peut aussi être fait sur n’importe quel réseau (le vôtre, un partenaire, un OEM ou un distributeur, etc.) Cela joindrait l’appareil à Active Directory via le processus de jonction de domaine hors ligne (en utilisant le connecteur Intune pour Active Directory, alias le connecteur ODJ ) et approvisionnez tous les paramètres de proxy ou certificats de machine nécessaires avant même que l’utilisateur n’obtienne l’appareil.

Comme avec le pré-approvisionnement de gant blanc pour Azure AD Join, cela a également la même limitation en ce qui concerne les certificats d’utilisateur – toujours aucun moyen d’obtenir ceux sur l’appareil sans que l’utilisateur se connecte, ce qui doit être fait sur le réseau d’entreprise car il doit être validé par un contrôleur de domaine Active Directory. Consultez donc les exigences et suggestions Hybrid Azure AD Join ci-dessus pour cette partie du processus (en gardant à l’esprit la configuration qui peut être effectuée par le processus du technicien).

Self-deploying Azure AD Join

Le mode de déploiement automatique de Windows Autopilot prend uniquement en charge Azure AD Join. Il a donc également les mêmes exigences que la section user-driven Azure AD Join ci-dessus. Il existe cependant des exigences de mise en réseau supplémentaires, car certains appareils ne sont pas livrés avec le certificat EK requis sur le TPM et doivent pouvoir obtenir ce certificat sur Internet «juste à temps» pour qu’il puisse être utilisé par le processus d’attestation du TPM. Les URL exactes nécessaires pour cela peuvent varier selon le fabricant du TPM.

Résumé

Microsoft recherche des moyens d’améliorer Windows Autopilot pour prendre en compte la complexité des réseaux d’entreprise existants. Microsoft envisage notamment:

Si l’un de ces éléments vous intéresse, veuillez soumettre des suggestions via https://microsoftintune.uservoice.com

Vous pouvez également envisager de modifier votre réseau également. Les réseaux de confiance zero trust gagnent en popularité, déplaçant la frontière de sécurité vers un autre endroit (au lieu d’essayer de protéger chaque partie du réseau). Ou vous pouvez envisager d’utiliser un proxy transparent sur votre réseau (pas besoin de configurer des machines individuelles pour cela).

Yannick Plavonil est un consultant, spécialisé dans les solutions de gestion et déploiement Windows en entreprise. Activement impliqué dans les communautés, il a reçu le titre Microsoft Most Valuable Professional (MVP). Ses domaines d'expertise comprennent les outils de déploiements Windows, MDT, WinPE, USMT, WDS, ConfigMgr et Intune.

Commentaires 0
Il n'y a actuellement aucun commentaire.