Autopilot Device deployment

---

Autopilot הינה טכנולוגייה יחסית חדשה, אשר מאפשרת לאנשי ה-IT לבצע התקנות של מחשבים חדשים בצורה אוטומטית בעזרת קובץ תשובות שנמצא בענן.
זאת אומרת שעובד יכול לקבל מחשב חדש מבלי שמחלקת ה-IT הגדירה אותו לפני וכאשר העובד החדש יתחבר אל המחשב בפעם הראשונה עם האימייל והססמה שלו, ה-Autopilot שהגדרנו יתחיל לרוץ בצורה אוטומטית ויכין את המחשב לאותו עובד.

כיום כבר אין צורך להכין Image מותאם אישית לארגונים באופן ידני אלא, להכין קובץ תשובות ב-Azure
של מה שצריך להיות מוגדר או מותקן על ה-Device של החברה וכך לחסוך זמן יקר ותמיד ניתן לשנות ולעדכן את הקובץ תשובות בכל זמן נתון.

בואו נבין איך זה עובד:
בעזרת ה- Hardware Identity של המחשב ניתן לנהל אותו וזה הדבר היחיד שאנחנו נדשרים לייצא מהמחשב באופן ידני או שתקבלו אותו מהחברה אשר שמספקת לכם את המחשב.
משתמש הקצה מתחבר עם פרטי ההתחברות שלו, מאחורי הקלעים המחשב יתחבר לענן של Microsoft יוריד את קובץ התשובות שמשוייך ל- Hardware Identityשלו והמחשב יתחיל בפעולת ה-Autopilot.

מה ניתן לבצע עם Autopilot:
1. חיבור לדומיין באופן אוטומטי אל Azure AD או אל Active Directory מקומי בסביבות היברידיות.
2. הצטרפות אוטומטית של מכשירים ניידים או מחשבים אשר לא מחוברים לדומיין (MDM) בכדי לנהל את האפליקציות שלהם דרך ה-Azure.
3. הגבלת משתמשי Administrators מקומי, ניתן להגדיר שלא יהיה בכלל משתמשי Admin מקומי על המחשב, מה שמעלה את רמת האבטחה.
4. שיוך Devices לקבוצות ולאחר מכן להפיץ אלייהם אפליקציות או לשנות הגדרות וזה יקרה באופן אוטומטי.
5. הגדרה של (Out of Box Experience) OOBE מותאם אישית לארגונך.
6. ביצוע איפוס למערכת ההפעלה (לא כולל Hardware ID) של ה-Devices הרשומים ב-Azure דרך הפאנל ניהול, ולאחר מכן ה-Autopilot יגדיר את המחשב מחדש.

אחרי שלמדנו קצת על המוצר, בוא נתחיל להגדיר אותו בארגון.
במידה והינכם עובדים בתצורה היברידית אל מול ה-Active Directory המקומי, תצטרכו לייזר Connector אשר מחבר בין ה-Devices של שנמצאים ב-AD לבין ה-Intune, במידה ולא אתם ראשיים לדלג על שליו זה.

---

הגדרת Connector בין ה-Active Directory המקומי לבין ה-Intune:
התחברו אל הפאנל ניהול של – Microsoft Endpoint Manager admin center וגשו אל:
Devices –> Enroll devices –> Windows enrollment –> Intune Connector for Active Directory
ליחצו על Add ולאחר מכן על:
“Download the on-premises Intune Connector for Active Directory”
המופיע בצד ימין.
מיד תחל ההורדה של התוכנה אשר מייצר לנו את ה-Connector הנדרש.

העבירו את הקובץ על שרת ה-Ad-Connect שלכם והתקינו אותו.

לאחר שתלחצו “Configure Now” תתבקשו להכניס אימייל וססמה להגדרת ה-Connector.
במידה והגדרתם הכל תקין, תקבלו את ההודעה הבאה:
“The Intune connector for active directory successfully enrolled”

גשו שוב אל:
Devices –> Enroll devices –> Windows enrollment –> Intune Connector for Active Directory
וודאו שאתם רואים את ה-Connector החדש שיצרתם.

---

בסופו של דבר בכדי להחיל את הגדרות ה-Autopilot על Devices שאינם נמצאים ב-Intune או ב-Active Directory המקומי
מפני שהן עוד לא הוגדרו, נצטרך ליצור קבוצה דינמית חדשה דרך ה-Azure.

גשו אל:
Microsoft Endpoint Manager admin center –> Groups –> New Group
Group type – Security
Group name – תנו שם שאתם רוצים לקבוצה.
Azure AD roles can be assigned to the group = No
Membership type = Dynamic Device
Dynamic device members –>Add dynamic query –> Edit

העתיקו את הערך הבא:

(device.devicePhysicalIDs -any (_ -contains "[ZTDID]"))

הדביקו אותו תחת Rule syntax ולחצו OK.

כך נראת תוצאה תקינה:

---

לאחר שיצרנו קבוצה, כעת נוכל להגדיר את קובץ התשובות (Deployment Profiles) ל-OOBE.

Deployment Profiles – הגדרת קובץ תשובות של OOBE בהתאמה אישית לארגון, בעברית פשוטה ה-OOBE זו חוויה אשר המשתמש חווה כשמערכת ההפעלה עולה בהדלקת המחשב בפעם הראשונה.
בכדי להגדיר פרופיל חדש נפתח את ” Microsoft Endpoint Manager admin center” וניגש אל:
Devices –> Enroll devices –> Windows enrollment –> Deployment Profiles –> Create profile –> Windows PC

לאחר שהגדרתם שם ליחצו “Next” ובואו נעבור על ההגדרות:

Convert all targeted devices to Autopilot – האם להחיל את הפרופיל רק על ה-Devices שמשוייכים ל-Autopilot הנוכחי או להחיל את הפרופיל על כל ה-Devices אשר מחוברים ל-Intune.

הגדרות (Out of Box Experience) OOBE:
Deployment mode – האם ההתקנה תתבצע ע”י המשתמש (user driven) או הגדרת מחשב למטרה מסויימת (Self-Deploying), משתמשים בהגדרה זו בדרך כלל בכדי להפיץ מחשבי קיוסק אשר לא אמורים להיות מחוברים לדומיין והייעוד שלהם הוא לספק מידע מסויים.
Join to Azure AD as – האם לצרף את המחשב ל-Active Directory ב-Azure או גם ל-AD המקומי.
Skip AD connectivity check (Hybrid Azure AD) – האם לצרף את המחשב לדומיין גם אין המחשב לא נמצא ברשת שמחוברת אל ה-Active directory המקומי.
Microsoft Software License Terms & Privacy settings – האם להציג את הסכם ההתקשרות וההגדרות הפרטיות של Microsoft.
Hide change account options – האם להסתיר את שינוי החשבון, המשתמש יוכל לשנות את החשבון שהוא התחבר אליו לחששבון של משתמש אחר.
User account type – האם להעניק למשתמש הרשאת Administrator או להגדיר אותו כמשתמש רגיל.
Allow pre-provisioned deployment – במידה ותסמנו את הגדרה זו ב- “Yes”, מה שיקרה זה שכאשר אתם נמצאים במצב OOBE תהיה לכם אפשרות להתקין את כל האפליקציות שהגדרתם ב-Azure ע”י 5 לחיצות רצופות של כפתור ה-Windows במקלדת.
Apply device name template – האם אנחנו רוצים לקבוע באופן עצמאי שמות אקראיים למחשבים או לתת שזה יקרה באופן אוטומטי.
עברו אל לשונית “Assignments”  ושייכו את הקבוצה הדימנית שיצרנו קודם לכן אל הפרופיל בכדי שה-Autopilot יחול על ה-Devices חדשים.

---

PowerShell.exe -ExecutionPolicy Bypass
Install-Script -name Get-WindowsAutopilotInfo -Force
Set-ExecutionPolicy -Scope Process -ExecutionPolicy RemoteSigned
Get-WindowsAutopilotInfo -Online

---

This Article Was Written By Matan Sigavker