Все, что вы хотели знать о программе развертывания Windows Autopilot (Часть 1)
Как пользователю выполнить процесс развертывания нового устройства? Новенькие, блестящие девайсы – это ваша слабость? Как, впрочем, для каждого из нас. Однако, прежде чем начать с удовольствием пользоваться своим новым устройством, вы должны запастись терпением и потратить уйму времени на отладку необходимых конфигураций и настроек. Ну что ж, эта проблема теперь решена – забудьте о старом способе развертывания устройств. Раньше все это обходилось недешево и требовало много времени. Вам нужно было создать собственный образ, собрать драйверы и так далее, чтобы развернуть операционную систему на машине, на которой уже есть ОС, установленная поставщиком оборудования.
Если желаете ознакомиться с другими частями этой серии статей, перейдите по ссылкам:
Microsoft предложила новый способ реализации этого процесса. Вы берете устройство из коробки, не создаете для него никаких новых образов, а просто трансформируете в нечто готовое для бизнеса. Все необходимые конфигурации вы можете настроить поверх той базовой операционной системы, которая поставляется OEM (производителем оригинального оборудования). Она уже предварительно оптимизирована для их аппаратного обеспечения. Все это обойдется вам намного дешевле и откроет новые сценарии. Например, пользователь может развернуть устройство, даже если ИТ-специалист к нему не притронется, либо устройство выполнит автоматическое развертывание сразу же после подключения к сети и так далее.
Новое выполнение этого процесса выгодно как пользователям, так и ИТ-специалистам:
- Конечные пользователи могут выполнить развертывание самостоятельно. Все политики и пользовательские данные поступят на устройство из облака, и не придется тратить остаток дня, чтобы снова начать работать. Устройство может быть доставлено конечному потребителю напрямую. Вместе с ним – простой набор инструкций. Например: взять устройство, подключить к розетке, включить, подключить к Wi-Fi, ввести свой ID и пароль, подождать, пока завершатся все настройки машины, в кратчайшие сроки приступить к работе.
- ИТ-специалисту даже не нужно брать в руки устройство для его настройки, потому что предустановленную ОС (обычно это Windows 10 Pro) можно преобразовать во все, что вам нужно. Вы просто устанавливаете поверх этой ОС все свое программное обеспечение, в том числе решения для безопасности, приложения для повышения производительности, Office и так далее.
Администрирование
Что касается администрирования, существует четыре портала для загрузки устройств в Autopilot.
Большинство пользователей предпочитают использовать портал Intune. Остальные три варианта порталов имеют более узкую специализацию. Microsoft 365 Business в первую очередь подходит для малого и среднего бизнеса, который пользуется соответствующей подпиской. Портал Partner Center, в основном, используется дистрибьюторами и реселлерами, которые добавляют новые устройства в вашу организацию от вашего имени. Microsoft Store for Business первоначально был порталом для обслуживания устройств Autopilot. Теперь это место, где административные действия могут выполнять клиенты, которые работают со сторонними службами MDM.
Здесь мы сосредоточим внимание, прежде всего, на Intune, где происходит три основных этапа развертывания Autopilot (опыт работы на других порталах будет очень похожим).
Here we will focus primarily on Intune going through three basic steps for Autopilot deployment (the experience on the other portals will be very similar).
Step 1. Регистрация устройства
Самый простой способ зарегистрировать устройство – позволить это сделать кому-то другому. Сегодня можно назвать шесть производителей OEM, которые выпускают полностью готовые к работе устройства:
Эти производители OEM оказывают поддержку через прием заявок и могут регистрировать новые машины для вашей организации.
Давайте посмотрим, что для вас может сделать OEM, дистрибьютор или реселлер:
- добавлять в тенант Azure новые устройства (в частности, в службу развертывания Autopilot) во время обработки вашей заявки;
- привязывать устройства к пользовательскому заказу на покупку для легкой группировки устройств. OEM фактически присваивает устройству ID заказа на покупку, поэтому у всех устройств, которые засвечиваются в Intune, появляется атрибут. Он указывает, к какому заказу на покупку привязан девайс. Теперь вы можете использовать этот атрибут для группировки устройств, что очень удобно;
- маркировать устройства индивидуальными атрибутами. Например, можно попросить производителя OEM пометить заказанные вами ноутбуки специальным атрибутом ноутбука, а все рабочие столы – атрибутом рабочего стола, чтобы вы могли сгруппировать их по этому общему признаку;
- предварительно установить ОС, которая готова к трансформациям. Некоторые производители предоставляют чистую версию Windows без несанкционированного программного обеспечения, у других есть своя точка зрения насчет того, что следует предварительно загружать на свои устройства. В некоторых случаях, чтобы получить чистую ОС, вам, возможно, придется хорошо попросить об этом или даже доплатить.
Если ваш OEM, реселлер или дистрибьютор этого не выполняет или вы хотите зарегистрировать уже существующие устройства, вы можете воспользоваться такой опцией на бэкэнде (больше информации вы найдете в следующих статьях).
Шаг 2. Назначение профиля
Представьте, что вы купили определенное количество устройств, и они были добавлены OEM в ваш список Autopilot. Итак, OEM не назначает профиль, это все еще обязан делать сам клиент. Вы, очевидно, не захотите выполнять все это для каждого вашего устройства по отдельности, особенно, если их очень много. Это действительно утомительно! Решить задачу вам поможет Intune – создайте профиль с нужными настройками, присвойте ему имя, сохраните, и Intune применит его к отдельным машинам.
Как создать этот профиль?
В консоли Intune нажмите Регистрация устройства, а затем регистрация Windows. В этой статье мы акцентируем внимание на режиме развертывания пользователем, поэтому выберите эту опцию в раскрывающемся меню. Этот режим предполагает, что конечный пользователь сам выполнит развертывание устройства. В настройках вы увидите множество опций для корректировки, например, скрыть пользовательское лицензионное соглашение и не показывать какие-либо конфиденциальные страницы.
Вы можете отключить параметр изменения учетной записи, чтобы конечный пользователь не мог выйти из настроенного OOBE. Это важно, потому что машине не будет назначен профиль Autopilot до тех пор, пока она не будет подключена к сети. Поэтому, если пользователь никогда не подключится к сети, устройству никогда не будут присвоены параметры, настроенные организацией. Вы должны тщательно проконтролировать, чтобы процесс не был упущен, иначе это не принесет никакой пользы. Кстати, для устройств в режиме S (с защищенной ОС) всегда требуется подключение к Интернету, поэтому в таком случае вы в полной безопасности.
У вас есть опция, с помощью которой можно определить, должен ли пользователь стать администратором или нет. Вы сможете все так же входить на этот компьютер под другими аккаунтами администраторов тенанта, но пользователи, которые настраивают компьютер сами, таких прав иметь не будут.
Новейшая опция, которая работает с Windows 10 1809 – это шаблон именования. На данный момент существует два типа шаблонов именования: случайное число с X-цифрой или серийный номер. Чтобы настроить имя устройства, вы можете ввести префикс (в нашем примере – CMN), а затем выбрать серийный номер или случайное число, которое будет добавлено к этому префиксу.
Теперь, когда профиль развертывания готов, вам нужен пользователь или группа пользователей, которым вы его назначите. Группы можно создавать вручную или, сделав еще один шаг в автоматизации, создать динамические группы. Во втором случае вам не приходится добавлять отдельные машины в группу вручную – вы создаете динамический запрос, который определяет, какие компьютеры должны оказаться в этой группе. Как только OEM-производитель регистрирует в Autopilot другую партию компьютеров, для каждого из них автоматически создаются объекты Azure AD с определенными атрибутами. Затем динамическая группа выбирает их, основываясь на этом атрибуте, и в Intune предоставляется профиль настроек.
Помните, когда мы говорили про OEM-регистрацию новых устройств для вашей компании, мы упоминали, что для упрощения группировки можно добавлять ID заказа или специальный идентификатор устройства? Сейчас самое время воспользоваться этим функционалом. Самый простой способ – применить один и тот же профиль к каждому зарегистрированному компьютеру. Если вам подходит такой вариант – вы создаете группу, даете ей имя и вводите запрос, который выбирает все компьютеры на основе атрибута на зарегистрированных в Autopilot устройствах (в нашем примере, согласно запросу, в группу должны войти все компьютеры с атрибутом ZTDId, присвоенным каждому устройству, зарегистрированному в Autopilot). Со временем AAD оценивает запрос и выбирает все машины, которые соответствуют этим правилам.
То же самое касается отборки по любому атрибуту на ваш выбор, будь то ID заказа на покупку или пользовательский атрибут.
Когда создан профиль и сформирована группа, вы просто позволяете Intune связать все это вместе, назначив профиль группе. На странице профиля в Intune в разделе Назначения укажите одну или несколько групп. В этом примере мы выберем «Устройства, которые не являются киосками». Следовательно, Intune будет постоянно проверять эту группу на наличие новых машин и назначать им профиль.
Все, что вам понадобится для успешного администрирования – создавать профили, назначать их группам и добавлять нужные компьютеры в соответствующие группы (или создавать группы с правильными запросами). Просто проконтролируйте, чтобы в процессе выполнения заказа ОЕМ поставляли устройства с правильными атрибутами для вашего тенанта, все остальное произойдет само собой.
Step 3. Развертывание
Когда девайс доставлен непосредственно сотруднику, на него выполняются первые загрузки и происходит мгновенная сверка со службой развертывания Autopilot, чтобы определить, принадлежит ли устройство какой-либо организации. Возможно, это сложно представить, но каждое устройство Windows 10 регистрируется в службе развертывания Autopilot сразу же после подключения к сети. Если оно не зарегистрировано в Autopilot, оно проходит через обычный поток OOBE (например, если это пользовательское устройство). Если выясняется, что устройство зарегистрировано в организации и имеет привязку к профилю, на нем запускается развертывание с настройками, которые были предварительно заданы вашей организацией через профиль.
Чтобы убедиться, что приложения установлены и настройки завершены до того, как сотрудник получит доступ к рабочему столу, вы можете так настроить страницу статуса регистрации, чтобы она оставалась на экране до завершения развертывания (требуется версия 1803 с накопительным обновлением в мае или более поздняя версия). На этой странице отображается процесс развертывания, который проходит три этапа: подготовка устройства, его настройка и настройка учетной записи.
Эта страница будет отображаться во время развертывания, если вы зададите нужные параметры в консоли Intune в разделе Регистрация Windows, настраивая взаимодействие с пользователем. В настоящее время для всех пользователей используется только один глобальный параметр, но ожидаются улучшения для определенных групп.
В этих настройках вы можете задать конфигурации для страницы регистрации, чтобы показать прогресс, заблокировать устройство до момента полной установки приложений и загрузки данных, выдавать пользовательские сообщения в случае ошибок, указать тайм-аут (если это, к примеру, занимает больше 60 минут, давать пользователю возможность начать пользоваться рабочим столом) и т. д. После настройки всего этого, все развертывания Autopilot будут автоматически показывать это как часть процесса.
Вместо заключения – небольшой взлом стереотипов как итог всего того, что обсуждалось выше:
Эта статья – только начало. Autopilot может предложить гораздо больше возможностей, чтобы превратить развертывание и перезагрузку вашего устройства в захватывающий опыт. Следуйте за нашей информацией, чтобы узнать больше.
Скачайте PDF Развертывание Zero Touch.pdf