Все, что вы хотели знать о программе развертывания Windows Autopilot (Часть 3)
Если желаете ознакомиться с другими частями этой серии статей, перейдите по ссылкам:Autopilot – это название современного способа развертывания Windows, который вам наверняка понравится. Если вы еще мало знакомы с этой технологией, ознакомьтесь с предыдущими статьями, где есть общий обзор и предварительные условия . У развертывания Windows есть множество нюансов, и поэтому существует целый ряд сценариев, в которых Autopilot может сыграть свою роль. Приготовьте попкорн и устроитесь поудобнее – итак, мы начинаем.
Режим под управлением пользователя
Первый сценарий, по которому Autopilot работал в самом начале, был режим под управлением пользователя. Изначально Microsoft поддерживала только присоединение устройства к Azure Active Directory и его регистрацию в Intune с последующей передачей настроек из Intune на компьютер, чтобы пользователи могли сами настроить устройство. Мы рассмотрим весь процесс развертывания, чтобы продемонстрировать, как это выглядит на практике.
Представьте себе, пользователь открыл новое OEM-устройство – например, Surface Book. Есть стандартная установка Windows, которая была загружена на устройство непосредственно OEM (оригинальным производителем оборудования). Во время загрузки пользователю задается несколько вопросов. К примеру: язык ОС, регион и раскладка клавиатуры.
После подключения к сети, устройство получает инструкции – оно «общается» со службой развертывания Autopilot и загружает профиль настроек. В нем конкретно указывается, к какой организации принадлежит устройство и каким будет его дальнейшее «поведение». Следующим шагом будут ответные действия – загруженные настройки будет применены к остальной части пользовательского интерфейса. Если эти настройки включают шаблон именования (который доступен для Windows 10 1809), устройство переименует себя и перезагрузится (не волнуйтесь – это часть нормального процесса). После перезагрузки у него будет соглашение об именах, которое вы указали, и пользователь сможет вернуться в сеть, а затем ввести адрес электронной почты и пароль на странице входа.
Страница входа может быть настроена под вашу организацию или даже под конкретного пользователя. Если вы предварительно зададите настройки пользователя, которому принадлежит это устройство, вы обеспечите ему/ ей приятный нестандартный пользовательский опыт. Пользователю даже не придется вводить свой адрес электронной почты, потребуется только лишь ввод пароля, и настройки будут завершены в ближайшее время.
Во время развертывания Autopilot включит устройство в AAD. Это повлечет регистрацию в MDM, и по ее завершении устройство начнет получать политики. Для отслеживания прогресса очень удобно использовать страницу статуса регистрации (ESP). Если вы хотите настроить ESP, ознакомьтесь со «статьей»:https://it-partner.ru/articles/everything-you-wanted-to-know-about-windows-autopilot-deployment-program-part-1 .
Желательно продолжать держать пользователя без доступа на этом этапе, пока настройки не будут завершены полностью. Вы ведь не хотите, чтобы ваш пользователь наблюдал за рабочим столом, пока выполняются какие-то настройки. Ему не обязательно точно знать, что происходит. С другой стороны, если все установки выполняются во время отображения страницы состояния регистрации, пользователь окажется в более благоприятной ситуации, когда устройство уже будет настроено и готово к продуктивной работе.
Количество времени, которое требуется для регистрации, может сильно различаться. Это зависит от того, какой объем данных вы загружаете на устройство, каковы технические возможности устройства и пропускная способность сети. Если у вас много программного обеспечения и настроек, процесс может занять минимум от пяти минут и до нескольких часов. Если вы не хотите, чтобы пользователь ждал так долго, вы можете настроить, какие приложения будут блокировать рабочий стол, а какие – нет.
Когда вы переходите с Все на Выбранное, вы можете определить, какие именно приложения попадут в список блокировки, из-за чего пользователю придется оставаться в ESP до момента их полной установки.
При отслеживании установки Office ProPlus могут возникнуть некоторые проблемы, поэтому во избежание этого ознакомьтесь с дополнительной информацией .
В Intune вы можете настроить политики для устройства – они будут устанавливаться на этапе Настройки устройства. Кроме того, вы можете ориентировать их на пользователей, и они будут обрабатываться на этапе Настройки учетной записи. Например, если у вас есть 1 приложение для всех устройств и 2 приложения для группы пользователей, вы увидите соответствующую информацию об ESP (0 из 1 в Настройках устройства и 0 из 2 в Настройках учетной записи). Больше информации здесь .
Настройка профиля для этого режима обсуждалась здесь .
р3. Сброс Windows Autopilot
Основное назначение процедуры сброса Autopilot – избавиться от любого «мусора», который мог накопиться на компьютере. Например, от дополнительных приложений, дополнительных настроек или тому подобного. Есть два варианта выполнить сброс: локально и удаленно. В обоих случаях результат будет одним и тем же:
- Все приложения, настройки и личные файлы стираются.
- Сохраняется присоединение к AAD и регистрация в MDM, поэтому устройство по-прежнему находится под управлением. У вас не появится никаких отдельных объектов AAD или Intune, вы будете продолжать использовать те же самые;
- Сохраняются все пакеты обеспечения, которые были предварительно установлены с ОС.
- Выбранные во время OOBE параметры, такие как язык и клавиатура, а также некоторые детали сетевых подключений сохраняются (если вы хотите сохранить их).
На сброс уйдет 20-30 минут. После этого вам откроется экран входа в систему, а устройство будет готово к использованию следующим пользователем.
В Windows 10 версии 1709 вы можете инициировать сброс локально с помощью нажатия клавиш – Windows-Control-R с экрана блокировки. После этого приходит запрос аутентификации, и вы должны ввести данные учетной записи администратора, чтобы подтвердить сброс устройства. Очевидно, что вы не захотите, чтобы это коснулось каждого устройства в вашей организации. Поэтому предусмотрена специальная политика, которую нужно предварительно настроить, чтобы включить локальный сброс. Если вы пытаетесь нажать клавишу сброса и ничего не происходит, скорее всего, вы не включили эту политику.
Сброс удаленно – это новый вариант для Windows 1809. Он предполагает удаленное действие внутри Intune, где вы выбираете соответствующее устройство, а затем нажимаете на сброс Autopilot и тем самым задаете команду сброса на устройстве.
Изначально опция сброса предназначалась для школ – после окончания семестра, устройства могут вернуться к начальному состоянию. Однако, безусловно, существуют и корпоративные сценарии. Например, когда сотрудник идет на повышение или уходит из компании и его компьютер нужно подготовить к использованию в других целях.
Режим саморазвертывания
Этот режим не привязан к конкретному пользователю. Это может быть просто устройство с общим доступом, используемое разными людьми на инфо-стойке, в колл-центре, в школе или в каком-то другом месте, где каждый может подойти, ввести учетные данные и попользоваться устройством. Это также может быть закрытый киоск или цифровая вывеска (например, табло статуса полета в аэропорту). Режим под управлением пользователя не очень хорошо подходит для любого из этих сценариев, так как в процессе развертывания исключается практически любое взаимодействие с пользователем. Наоборот, если на устройстве предварительно настроен режим саморазвертывания, то сразу же после его включения и подключения к сети действия происходят автоматически – с этого момента полностью исключено ваше вмешательство в процесс развертывания. Все, что вам остается – лишь наблюдать за ходом установки.
Настройка режима саморазвертывания включает те же три шага, что и режим под управлением пользователя: регистрация устройства, назначение профиля через Intune с самостоятельным развертыванием, подключение к сети и просто загрузка устройства.
Что касается подключения к Интернету, нужно учесть один нюанс: если устройство подключено к Интернету через Ethernet, оно загрузится само. Если вы не подключены к Ethernet или другой сети при загрузке – нужно настроить соединение с Интернетом через Wi-Fi.
Когда вы жмете далее, то ваше устройство, подключенное к Интернету (как и любое другое с Autopilot версии 1703 с июльскими обновлениями) пытается обратиться к службе а Autopilot и отправить свой хэш порта. с Autopilot отправит профиль для саморазвертывания. Если в этом профиле вы включили переименование устройства, оно включится с выполненным переименованием устройства. Когда машина снова включится, вы увидите фирменную страницу приветствия. Примерно через 5-10 секунд вы автоматически перейдете на страницу статуса регистрации.
На этой странице вы увидите три разных шага – подготовка устройства, настройка устройства и настройка учетной записи. Через раздел подготовки устройства, обычно, отслеживается состояние устройства в процессе его присоединения к Azure Active Directory. Но как это произойдет без аутентификации пользователя? С этой целью был разработан новый механизм. Для его реализации нужен чип TPM 2.0, чтобы устройство проходило аутентификацию в AAD от вашего имени. Не уверены, что ваши устройства настолько продвинуты? Большинство современных устройств имеют TPM или модуль Trusted Platform Module, который представляет собой выделенный микроконтроллер, предназначенный для защиты оборудования с помощью встроенных криптографических ключей. Проверьте наличие чипа TPM 2.0. Устройства с виртуальными TPM (например, виртуальные машины Hyper-V) или с более ранними версиями чипов (например, TPM 1.2) в этом режиме работать не будут.
Затем все конфигурации Intune будут переданы на устройство и настроят его работать как киоск. Например, запуск непосредственно веб-браузера киоска или недавно выпущенного приложения, что позволит вам включить некоторые из сценариев типа киоск.
Лицензионные требования для этого режима те же, что и для предыдущего. Разница лишь в том, что обязательно должен быть чип TPM 2.0 (поскольку аутентификация от вашего имени происходит с использованием этого чипа) и Windows 10 1809 (или более поздняя версия). Если у вас этого нет, вы увидите сообщение об ошибке в разделе Подготовка устройства в ESP, поскольку оно не сможет присоединяться к AAD без учетных данных пользователя.
Настройка профиля и сценария саморазвертывания
В разделе Регистрации устройства в Intune выберите Регистрацию Windows и Профили развертывания. Выберите +Создать профиль, дайте ему название и в раскрывающемся списке Режим развертывания выберите Саморазвертывание.
Когда дело доходит до настройки OOBE, в отличие от режима под управлением пользователя, нет никого, кто мог бы настроить язык, регион, клавиатуру, подключение к Интернету и затем выполнить аутентификацию. Все эти настройки должны быть автоматизированы, поэтому при создании профиля Autopilot вы увидите некоторые новые опции, позволяющие предварительно выбрать язык, регион и клавиатуру от имени пользователя.
Все остальные настройки такие же, как и для режима под управлением пользователя. Нажмите Сохранить, подождите завершения процедуры назначения профиля и загрузите ваш компьютер – развертывание произойдет автоматически без какого-либо стороннего участия. Таким образом, как видим, режим саморазвертывания идеально подходит для сценариев без участия пользователей или для устройств совместного использования.
Выводы
Использовать Autopilot можно разными способами. На этот раз мы рассмотрели варианты, как пользователи могут самостоятельно запускать развертывание новых устройств, как можно выполнить сброс на устройстве локально и удаленно, и как развертывание может произойти автоматически, без какого-либо взаимодействия с пользователем. Далее еще будет – следующая статья посвящена тому, как запускать развертывание с помощью Autopilot для уже существующих устройств, как перейти с Windows 7 на Windows 10 с помощью Autopilot и как подключить устройство к вашей локальной AD во время OOBE (другими словами, это называется гибридным сценарием присоединения AAD).
Скачайте PDF Развертывание Zero Touch.pdf