Windows Autopilot

Neste artigo vou mostrar a configuração básica padrão do Autopilot para dispositivos nuvem do Entra ID que atende a maioria dos ambientes.

Autopilot é um método para personalizar a primeira inicialização ou experiência fora da caixa (OOBE) para dispositivos novos ou recém-provisionados, utilizando a versão otimizada da imagem OEM pré-instalada no dispositivo.

Por exemplo, a organização faz a aquisição do equipamento novo junto ao fabricante e entrega diretamente para o usuário final. O usuário ligando o dispositivo conectado a internet, e inserindo suas credenciais corporativa, automaticamente o Autopilot realiza a configuração do dispositivo, ingressando ele a rede da organização (Entra ID ou Active Directory), aplicando políticas e configurações, realizando instalação de aplicativos etc.

Saiba mais sobre o Autopilot:

• Resumo do Windows Autopilot | Microsoft Learn
• Cenários do Windows Autopilot | Microsoft Learn

Requisitos:

• Licenciamento: Requisitos de licenciamento do Windows Autopilot | Microsoft Learn
• Software: Requisitos de software do Windows Autopilot | Microsoft Learn
• Rede: Requisitos de rede do Windows Autopilot | Microsoft Learn
• Configuração: Requisitos de configuração do Windows Autopilot | Microsoft Learn
  • Configuração do registro automático: Habilitando registro automático de dispositivos no Microsoft Intune – CloudMTI
  • Configuração da identidade visual do Microsoft Entra: Configurando LAB para estudos e testes Parte 6 – Configurando Microsoft 365 – CloudMTI

Configurando o Autopilot para dispositivos apenas nuvem

Essa configuração atende apenas dispositivos que serão registrados no Entra ID e não terão integração com ambiente locais de Active Directory.

É uma implantação simples, e recomendada na maioria dos casos.

Criar grupo para dispositivos Autopilot

Primeiro passo vamos criar 1 grupo para centralizar todos os dispositivos que forem registrados como Autopilot.

No portal https://intune.microsoft.com acessar o menu Grupos e criar um grupo.

• Tipo de Grupo: Segurança
• Nome do grupo: gs-intune_autopilot
• Descrição do grupo: *Opcional
• As funções do Microsoft Entra podem ser atribuídas ao grupo: Não
• Tipo de associação: Dispositivo Dinâmico
• Em Membros de dispositivo dinâmico clicar em Adicionar consulta dinâmica.

Clicar em Editar.

Em Sintaxe da regra, inserir a consulta:

(device.devicePhysicalIDs -any (_ -contains "[ZTDID]"))

Após a configuração da sintaxe, clicar em Salvar.

Após configurar a consulta dinâmica, clicar em Criar para criar o grupo.

Configuração da Página de Status de Registro

A página de status do registro aparece durante a configuração inicial do dispositivo e durante a primeira conexão do usuário. Se habilitada, os usuários poderão ver o progresso da configuração de aplicativos atribuídos e perfis direcionados aos dispositivos deles. Saiba mais.

No portal https://intune.microsoft.com, acessar Dispositivos, Windows.

Em Windows registro acessar Página de Status de Registro.

Clicar em Criar.

Adicionar o nome do perfil que será criado.

Em Mostrar o andamento da configuração do perfil e de aplicativos, selecionar a opção Sim.

A opção Bloqueie o uso do dispositivo até que os aplicativos necessários sejam instalados, se eles estiverem atribuídos ao usuário/dispositivo, serve para quando uma lista de aplicativos que são implantados para os dispositivos Autopilot, mas apenas alguns aplicativos específicos precisam ser instalados durante o Autopilot, deixando os demais aplicativos para serem instalados após a finalização do Autopilot.

Para apontar os aplicativos que serão instalados durante o Autopilot, marcar essa opção como Selecionado, e selecionar os aplicativos.

As demais configurações, as opções padrões atendem a maioria dos cenários, mas caso precise personalizar o perfil para um caso específico, as opções são autoexplicativas.

Atribuir o perfil ao grupo criado para os dispositivos Autopilot.

Avançar.

Criar o perfil.

Configuração do Perfil de Implantação

Os perfis do Windows Autopilot Deployment permitem que você personalize a experiência inicial para seus dispositivos. Saiba mais.

Em Windows registro, acessar Perfil de Implantação.

Em Criar perfil, selecionar a opção Computador Windows.

Adicionar o nome do perfil que será criado.

A opção Converter todos os dispositivos de destino em Autopilot, importa os dispositivos ingressados no Intune que receberem o perfil como Autopilot. O dispositivo não é formatado.

Em Modo de implantação, selecionar a opção Orientado pelo Usuário.

Em Ingressar no Microsoft Entra ID como, selecionar a opção Ingressado no Microsoft Entra.

Em Aplicar modelo de nome do dispositivo, selecionando a opção Sim, é possível configurar um padrão de nome que os dispositivos receberam.

As demais configurações, as opções padrões atendem a maioria dos cenários, mas caso precise personalizar o perfil para um caso específico, as opções são autoexplicativas.

Atribuir o perfil ao grupo criado para os dispositivos Autopilot.

Criar o perfil.

Coletar Hash de Hardware

Caso o fabricante não forneça um arquivo com os Hash de Hardware dos dispositivos, é possível gerar essas planilhas manualmente em cada dispositivo, utilizando os métodos a seguir:

Método 1

No dispositivo já implantado onde o Hash de Hardware será coletado, com um prompt elevado do Windows PowerShell  executar os comandos a seguir:

md c:\HWID
Set-Location c:\HWID
Set-ExecutionPolicy -Scope Process -ExecutionPolicy Unrestricted -Force
Install-Script -Name Get-WindowsAutopilotInfo -Force
$env:Path += ";C:\Program Files\WindowsPowerShell\Scripts"
Get-WindowsAutopilotInfo.ps1 -OutputFile AutopilotHWID.csv

Será gerado uma planilha em C:\HWID, copiar a planilha para outro dispositivo ou Pendrive, e restaurar de fabrica o dispositivo onde o Hash de Hardware foi coletado.

Método 2

Em um dispositivo novo, na tela de país e região, pressionar SHIFT + F10 para abrir um Prompt de comando.

Com o Prompt de comando aberto, digitar os comandos

Powershell
# Prompt de comando irá se tornar um Prompt PowerShell

Install-Script -Name Get-WindowsAutopilotInfo
# Será Instalado o script que coleta e gera o arquivo com o Hash de Hardware

Get-WindowsAutopilotInfo.ps1 –OutputFile C:\Dispositivo.csv
# Para gerar o arquivo com o Hash de Hardware no C:
# Para gerar o arquivo direto em um Pendrive, apontar a letra que o Pendrive foi mapeado.

Se o erro abaixo ocorrer durante o comando que gera o arquivo de Hash de Hardware, executar o comando:

Set-ExecutionPolicy Bypass

E tentar gerar o arquivo novamente.

Após gerar o arquivo, pressionar tecla Windows + E, para abrir o Explorer, e em C: copiar o arquivo gerado para outro dispositivo ou Pendrive.

Importando os dispositivos Autopilot

Em Windows registro, acessar Dispositivos.

Em Dispositivos do Windows Autopilot clicar em Importar.

Em Adicionar dispositivos Autopilot, carregar a planilha com os Hash de Hardware dos dispositivos e clicar em Importar.

Aguardar o tempo de importação para os dispositivos aparecerem.

Restaurar Windows de volta para experiência fora da caixa (OOBE)

Se foi necessário configurar o Windows para capturar o Hash de Hardware, esses são os passos necessários para voltar o Windows para experiência fora da caixa.

Acessar as configurações do Windows, Windows Update, Opções avançadas.

Em Opções avançadas acessar Recuperação.

Em Recuperação acessar Restaurar o computador.

Em Restaurar o PC selecionar a opção Remover tudo.

Avançar as configurações adicionais.

Clicar em Restaurar para iniciar o processo.

Implantação do Autopilot

Com o Hash de Hardware importado e o dispositivo na experiência fora da caixa, ele precisa iniciar a implantação do Windows com as configurações de login corporativas.

Caso ele inicie na tela de idioma, ele não conseguiu baixar e carregar a politica ESP do Intune, nesse caso, reiniciar o dispositivo e verificar se irá carregar a politica corretamente.

Nesta tela o usuário do dispositivo irá ingressar com a conta corporativa, com licença do Intune e do Entra ID (P1 mínimo) e com permissão de ingresso de dispositivos Windows MDM.

A implantação será iniciada e será necessário aguardar a conclusão das 3 etapas.

Na etapa de Preparação do dispositivo, basicamente será realizado o ingresso do dispositivo no Entra ID e o registro no Intune.

Em Configurações do dispositivo, basicamente todas as configurações de conformidade, perfis de configuração, aplicações, scripts etc, atribuídas para dispositivos serão implantadas nesta etapa.

Em Configurações da conta, basicamente todas as configurações de conformidade, perfis de configuração, aplicações, scripts etc, atribuídas para usuários serão implantadas nesta etapa.

Após a conclusão das três etapas, acessando as configurações é possível verificar que o dispositivo ja está ingressado com o usuário corporativo do Entra ID, e o nome que o dispositivo recebeu da implantação Autopilot.

Acessando Contas, Acessar trabalho ou escola, é possível verificar que o dispositivo está sendo gerenciado pela organização.

No portal do Intune é possível verificar que o dispositivo está registrado e é gerenciado pelo Intune.