Czy leci z nami pilot? Można by się zapytać.
Leci oraz dostarcza wiele ciekawych rozwiązań. Tym pilotem dla mnie jest Microsoft 365.
Dziś chciałbym opowiedzieć wam o czymś takim jak AutoPilot, czyli on-boarding urządzeń dla pracowników z jak najmniejszym udziałem końcowego użytkownika.
W skrócie – użytkownik powinien się zalogować do urządzenia i nic więcej nie robić. Cały proces instalacji powinien być automatyczny. Aplikacje, konfiguracje, ustawienia oraz wiele, wiele innych rzeczy powinno zostać ustawione dla niego bez jego jakiejkolwiek ingerencji.
Pokrótce powiemy sobie dziś jak skonfigurować AutoPilota w naszym środowisku oraz jak zebrać hash urządzenia, czyli identyfikator, który jest indywidualny dla każdego urządzenia.
Zacznijmy od strony…
Microsoft Endpoint Manager
Pierwsze co musimy zrobić, to skonfigurować kto może dołączyć urządzenia do swojej organizacji – czy nikt, określona grupa użytkowników czy też może wszyscy użytkownicy. Na potrzeby tego wpisu uznajmy, że każdy użytkownik. W późniejszym wpisie skupimy się na tym, aby ustawić coś takiego jak “enrollment restrictions” co pozwoli nam na zablokowanie urządzeń domowych a pozostawienie tylko tych “korporacyjnych”.
Aby to skonfigurować, udajemy się do portalu MEM > Devices > Windows > Automatic enrollment i tam zaznaczamy opcję MDM User scope na wymaganą przez nas.
Następnie udajemy się na urządzenie, które chcemy dodać do naszej organizacji. Na tej maszynie musimy posiadać uprawnienia lokalnego administratora.
To, co będziemy robić na takiej maszynie to instalacja modułu PowerShell do generowania hashu urządzenia oraz jego eksport.
Odpalamy PowerShella z uprawieniami administratora i wykonujemy komendy (oczywiście zgadzamy się na wprowadzenie zmian w systemie)
Set-ExecutionPolicy bypass
install-script get-windowsautopilotinfo
md C:\autopilotInfo
get-windowsautopilotinfo -OutputFile C:\autopilotInfo\hash.csvW ten sposób wygenerujemy plik CSV, który należy wrzucić do portalu MEM – o czym opowiem za chwilę.
Wygenerowany plik wrzucamy do portalu MEM > Devices > Windows > Devices > Import i wskazujemy plik. Klikamy na import i czekamy na informację o zakończeniu importu. Standardowo czas importu wynosi około 2-3 minut.
Po zniknięciu komunikatu, wciskamy Refresh, aby odświeżyć i naszym oczom powinno się ukazać…
Dodaliśmy właśnie naszą pierwszą maszynę, ale tak właściwie to co z tego, skoro ona nie ma przypisanego nawet żadnego profilu?
Musimy się zająć wpierw grupą w AAD, aby wszystkie zaimportowane urządzenia wpadały do takiej grupy. Cały opis opisałem w tym poście: AutoPilot – dynamiczna grupa urządzeń.
Jeżeli grupa jest już stworzona, należy zrobić coś takiego jak…
Deployment Profile.
Ale o tym już w kolejnym poście!
