IT Partner

Золотой партнер Microsoft с 2006 года

Все, что вы хотели знать о программе развертывания Windows Autopilot (Часть 4)

Возможные сценарии – гибридное присоединение Azure AD и Autopilot для существующих устройств

Если желаете ознакомиться с другими частями этой серии статей, перейдите по ссылкам:

Autopilot – это сервис от Microsoft, который упрощает развертывание Windows на новых и существующих устройствах. В предыдущей статье были рассмотрены режимы под управлением пользователя, сброса и саморазвертывания. Теперь рассмотрим подробнее еще 2 оставшихся и очень вероятные сценарии.

Гибридное присоединение AAD

Согласно отзывам клиентов, многие компании заинтересованы в подключении устройств к доменам на местах через OOBE, что было невозможным ранее. Гибридный сценарий позволяет вам сделать это, поскольку компьютер зарегистрирован как в вашей локальной AD, так и в AAD. Интересный факт – вы можете уже оказаться в такой ситуации, если развернули AAD Connect и запустили Windows 10 1607 или более позднюю версию (в Windows уже есть код, который автоматически регистрирует присоединенные к домену устройства в AAD, если вы уже выполнили развертывание AAD Connect). Если вы еще не запутались во всех этих терминах, добавим еще один – некоторые называют этот сценарий DJ ++ (где «DJ» означает Domain Joined).

В то же время клиенты ожидают, что Autopilot сможет выполнять такие действия, как автоматически принимать лицензионное соглашение Windows, пропускать страницы конфиденциальности, переименовывать устройства, а затем выбирать, будет ли этот первый пользователь администратором или обычным пользователем. В общем, выполнять все то, что они привыкли делать в режиме под управлением пользователем. В реальности это должно сводиться к таким действиям: зарегистрировать ваше устройство в Autopilot, назначить профиль и впервые загрузить устройство. Если процесс выходит за рамки этих трех этапов – он не облегчает работу конечного пользователя.

Благодаря одной технологии все эти условия были выполнены. Выделим время и вникнем в особенности, как это работает.

Что на самом деле подразумевает Autopilot для гибридного присоединения к AAD?

Технология, которую мы рассматриваем – не нова. Она существует уже довольно давно и называется ODJ blob, В ее основе – blob-объект присоединения к домену оффлайн. При этом blob, безусловно, не является аморфным объектом с неопределенной формой и размером. Согласно компьютерной терминологии, это большой двоичный объект, используемый для хранения информации в базах данных. Фактически, вы можете создать BLOB-объект с любого компьютера, подключенного к AD, или с сервера. Пример команды приведен на рисунке ниже:

Лучший способ получить общее представление о ODJ blob –считать, что он хранит учетные данные для любого компьютера, подключенного к вашей AD.

OOBE для гибридного развертывания

При запуске компьютера, которому впервые назначен гибридный профиль AAD, вы получите следующий опыт. Во время загрузки вы подключите устройство к сети (которая имеет прямое подключение к вашему DC, так как соединение через VPN не поддерживается) и загрузит профиль Autopilot. Компьютер предложит вам войти под учетными данными AAD (привязанными к вашему тенанту). Если вы настроили многофакторную аутентификацию на своем тенанте AAD, там также будет MFA. В этот момент устройство пропустит присоединение к AAD и вместо этого зарегистрируется в MDM. Действуя в профиле конфигурации устройства «DJ» (мы скоро поговорим об этом), компьютер запросит ODJ BLOB-объект от Intune. MDM передаст запрос Connector, который создаст большой двоичный объект, отправит его обратно, а Intune передаст его этому компьютеру.

Если начнется перезагрузка – это будет подтверждением того, что все описанное выше произошло (если вместо перезагрузки вы увидите на экране сообщение об ошибке – это будет означать, что DC не был найден):

Эта перезагрузка обновит имя устройства в соответствии с объектом, созданным от вашего имени на DC. Все, что буде происходить дальше, уже знакомо вам по другим сценариям – вы увидите ESP, и все ваши конфигурации будут установлены на компьютер. Когда процесс завершится, вам будет предложено ввести учетные данные AD и вы попадете на рабочий стол.

Если вы перейдете на страницу Настройки и нажмете Учетные записи, вы обнаружите, что устройство подключено к локальному домену и MDM зарегистрирован. Индикатором будет кнопка Инфо, благодаря которой можно узнать подробности регистрации.

Если ваш домен или Intune автоматически отключают System Center Configuration Manager (SCCM), ваше устройство также попадет под совместное управление. Благодаря этому сценарию новый компьютер идеально впишется в ваше цифровое пространство, а современный метод развертывания сэкономит вам кучу денег.

Давайте коротко рассмотрим шаги, необходимые для успешного выполнения этого процесса.

1. Создайте профиль для гибридного присоединения к AAD

Если вы просматривали предыдущие статьи на эту тему, то уже знаете, как создать профиль (если нет – вы можете узнать об этом «здесь»: https://it-partner.ru/blog/everything-you-wanted-to-know-about-windows-autopilot-deployment-program-part-1 ). Единственное отличие состоит в том, что вы выбираете Hybrid AAD во втором выпадающем меню.

2. Установите Connector

Этот с Connector для AD, как вы уже знаете, используется Intune для связи с локальным DC во время развертывания. Вам понадобится Windows Server 2016 или более поздняя версия, и перед началом установки также проверьте свой языковой пакет, поскольку Connector можно установить на компьютер только с определенной раскладкой клавиатуры. Более детально вы можете узнать об этом здесь.

Поскольку предварительные условия уже перечислены, давайте перейдем к установке Connector на DC. В Intune найдите Регистрация устройства, затем в разделе Регистрация Windows – Intune Connector для AD и выберите Добавить connector.

Подсказки приведут вас к открытию файла настроек .exe для завершения установки. Затем выберите Настроить и выполните аутентификацию с вашими учетными данными администратора. Через несколько минут вы можете проверить, все ли прошло успешно – статус Connector в Intune должен измениться на Активный.

3. Создайте профиль DJ с конфигурациями для устройства

Устройство должно «знать», что вы ожидаете, что вы собираетесь подключиться к своему AD. Чтобы «проинформировать» его об этом, нужен соответствующий профиль. Вот «инструкция», как его создать: https://docs.microsoft.com/en-us/intune/windows-autopilot-hybrid#create-and-assign-a-domain-join-profile

Автопилот для существующих устройств

Многих клиентов не хватает бюджета на покупку новых устройств для всех, и Автопилот может выполнить важную функцию, задействовав те устройства, которые уже есть в наличии.

Регистрация устройства

Обычно, первый шаг – регистрация тех устройств, которые уже есть в вашем имении. Это можно сделать с помощью скрипта PowerShell. Он должен быть запущен на каждом компьютере (с Windows 10 или выше), поскольку он генерирует хэш-порт в виде файла CSV, который может быть загружен на любой из порталов, упомянутых ранее. Однако мы специально рекомендуем вам использовать портал Intune. Этот метод идеально подходит для тестирования и проверки устройств, которые уже есть в вашем распоряжении. Если вам интересно, что это за таинственный хэш-порт – это очень сложный ID, эффективно реализованный на аппаратных и программных особенностях устройства. По этой причине невозможно собрать аппаратные хеши в Windows 7, но вскоре мы вернемся к этой проблеме. Эти хэши затем загружаются в Intune.

Еще одна функциональная возможность – регистрация устройств в Autopilot, если они уже зарегистрированы в Intune. Просто нажмите переключатель в Intune, и устройства, которые у вас уже есть, будут автоматически зарегистрированы в Autopilot. Помните, все эти устройства должны быть объединены в одну группу, которой должен быть назначен профиль.

Если устройства с Windows 10, которыми вы уже владеете, еще не управляются через Intune, можно просто переключиться либо через совместное управление с «Config Manager «: https://docs.microsoft.com/en-us/sccm/comanage/how-to-enable , либо через групповую политику, автоматически регистрирующую ваши недавно зарегистрированные Intune устройства также и в Autopilot.
Это очень мощные инструменты, особенно автоматическая регистрация через Intune. Они помогут вам вовлечь большинство тех устройств, которые у вас уже есть, в поток, поддерживающий Autopilot.

Миграция с Windows 7 на Windows 10

Если у вас Windows 7, и вы в замешательстве из-за прекращения поддержки этой версии (с 14 января 2020 г), Autopilot сможет помочь вам обновить версию до Windows 10. Этот процесс будет состоять из нескольких шагов:

1. Групповая политика развертывания для перенаправления данных в OneDrive

На вашем устройстве Windows 7 хранятся важные данные, файлы и другие материалы, и вы хотите быть уверенны, что все это сохранится на компьютере после его обновления. В то же время, миграция данных как часть типичной последовательности задач Configuration Manager довольно сложна. Вместо этого вы можете использовать OneDrive for Business и «Known Folder Move»: https://techcommunity.microsoft.com/t5/Microsoft-OneDrive-Blog/Migrate-Your-Files-to-OneDrive-Easily-with-Known-Folder-Move/ba-p/207076 , чтобы уверенно перенести в облако все из документов, изображений и основных папок. Зная, что облако является безопасной средой, вы можете настроить Intune на сброс настроек OneDrive, которые будут возвращать данные на обновленное устройство.

2. Создание файла конфигурации Autopilot

Самый простой способ получить файл конфигурации json – опять же, через PowerShell. Microsoft опубликовала сценарий PowerShell для загрузки модуля и последующего подключения к Intune с помощью API-интерфейса графа Intune. Для этого потребуется ввести учетные данные администратора. После аутентификации вы сможете запросить список профилей Autopilot, определенных в Intune. Так будут выглядеть детали доступных профилей:

Эта информация должна быть преобразована в формат json, и на экране будут отображаться эквиваленты этих профилей в формате json.

Затем версию Json следует скопировать/вставить в текстовый файл, который помещается в папку Windows как часть Task Sequence, чтобы выполнялся весь процесс.

Внимательно рассмотрев этот конкретный файл json, вы сможете увидеть имя тенанта и все другие детали Autopilot. Есть также ID корреляции ZTD (сообщается через Intune и присваивается существующим объектам Intune, которые прошли и использовали этот файл конфигурации). Позже он пригодится для группировки этих устройств, если вы захотите.

3. Развертывание последовательности задач (Task Sequence) для обновления до Windows 10

Типичная последовательность задач (TS) для обновления до Windows 10 в Config Manager, вероятно, будет значительно больше, чем эта:

Для нее характерна особенность – она не выполняет миграцию данных (мы уже позаботились об этом на первом этапе). TS только перезагружается в Windows PE (в среде предустановки), переформатирует диск, в зависимости от того, какая система используется (BIOS или UEFI), устанавливает операционную систему, в нужное место копирует json, устанавливает любые драйверы устройств, необходимые для конкретного оборудования, которое вы запускаете, избавляется от xml, предназначенного для автоматизации процесса OOBE, потому что это будет обязанностью Autopilot. После перезапуска, файл json настроит все для нестандартного пользовательского опыта.

4. Устройство Windows 10 проходит процесс через Autopilot при первой загрузке

При первой загрузке компьютера вы столкнетесь с обычной клавиатурой, локальными компонентами, сетевыми подключениями, и только после начнет считываться файл конфигурации с указанием, к какому тенанту Azure AD должно присоединиться устройство, и прочих деталей. Аутентификация произойдет на настроенной фирменной странице входа в систему и станет завершением процесса присоединения компьютера к AAD, его регистрации в Intune, что приведет к смене настроек. Во время этого процесса будет отображаться страница статуса регистрации. Затем вы входите в систему как пользователь и завершаете настройку пользователя. Если все работает, вы попадете на рабочий стол. Оттуда вы можете зайти в проводник и сразу же проверить ваши файлы, поскольку OneDrive автоматически настроен на выполнение процесса миграции Known Folder.

Итак, теперь, когда мы обсудили все возможные сценарии … вы готовы к запуску Autopilot. Это все, что нужно знать, по крайней мере, на данный момент. Однако в перспективе – разработка еще множества других классных функций, которые мы будем рассматривать, как только они появятся. Оставайтесь с нами, чтобы узнать больше о продуктах Microsoft в следующих статьях. До скорого!

Скачайте PDF Развертывание Zero Touch.pdf