Situatie

Ca specialist IT, știu că în mediile de enterprise moderne, metoda clasică de “făcut stick-uri USB” și instalat manual este considerată arhaică. Viitorul (și prezentul) aparține Modern Endpoint Management-ului.

Instalarea Windows prin Windows Autopilot nu este propriu-zis o “instalare” de la zero, ci o provizionare (provisioning). Ideea este că Windows-ul vine preinstalat de la producător (OEM), iar Autopilot îl transformă dintr-un sistem “generic” într-un workstation securizat, gata de lucru pentru compania ta, fără ca IT-ul să atingă măcar laptopul.

Iată o arhitectură complexă a soluției, detaliată pas cu pas:

Arhitectura Soluției: Implementare Windows Autopilot & Microsoft Intune

1. Pre-rechizite și Licențiere

Înainte de orice, ai nevoie de “fundația” Microsoft 365.

• Licențiere: Minim Microsoft 365 Business Premium, sau E3/E5.

• Identitate: Azure AD (acum Microsoft Entra ID).

• MDM: Microsoft Intune (Endpoint Manager).

• DNS: Domeniul companiei configurat corect în tenant.

2. Colectarea și inrolarea Hardware-ului

Fiecare dispozitiv are un ID unic numit Hardware Hash. Ai trei metode de a-l introduce în sistem:

• OEM Direct: HP, Dell sau Lenovo trimit automat hash-urile în tenant-ul tău la achiziție.

• Manual (pentru teste): Rulezi un script PowerShell pe un Windows existent:

  PowerShell

  Install-Script -Name Get-WindowsAutopilotInfo
  Get-WindowsAutopilotInfo.ps1 -Online
  

• Self-Deployment: Dispozitivul se înrolează singur la prima conectare la internet dacă este configurat astfel.

3. Configurarea Profilelor în Microsoft Intune

Aici se întâmplă “magia”. Trebuie să configurezi următoarele componente:

A. Autopilot Deployment Profile

Definești experiența utilizatorului (Out-of-Box Experience – OOBE):

• Deployment Mode: User-Driven (cel mai comun).

• Join to Azure AD as: Azure AD Joined.

• Privacy Settings: Hide (pentru a nu plictisi utilizatorul).

• User Account Type: Standard (pentru securitate maximă) sau Administrator.

B. Enrollment Status Page (ESP)

Aceasta este ecranul care blochează utilizatorul până când aplicațiile critice sunt instalate.

• Configurează sistemul să nu lase utilizatorul să intre pe desktop până când antivirusul (Bitdefender sau Defender for Endpoint) și browserul nu sunt gata.

4. Automatizarea Post-Instalare 

După ce Windows-ul “se recunoaște” ca fiind al firmei, Intune începe să împingă resursele:

• Configuration Profiles: Setări de Wi-Fi, VPN, restricții USB, configurare BitLocker.

• Compliance Policies: Dacă laptopul nu are BitLocker activat sau nu are ultimele update-uri, îi blocăm accesul la Outlook/Teams.

• App Deployment: Automatizăm instalarea de:

  • Microsoft 365 Apps (Office).

  • Aplicații de business (Line-of-Business sau Win32 apps ambalate prin IntuneWinAppUtil).

  • Browsere (Edge/Chrome).

5. Fluxul de lucru pentru utilizatorul final

1. Angajatul primește laptopul acasă (sigilat)

2. Îl deschide și îl conectează la Wi-Fi

3. Windows-ul detectează că aparține companiei și cere doar adresa de e-mail și parola de corporație

4. Se activează MFA (Multi-Factor Authentication)

5. Așteaptă 15-30 minute (timp în care ESP instalează tot)

6. Desktop Gata! Toate fișierele din OneDrive sunt acolo, Outlook e configurat, securitatea e activă.

Considerații avansate de Securitate (Nivel Senior)

1. Hybrid Azure AD Join: Dacă încă ai servere On-Premise (Domain Controllers), vei avea nevoie de un Intune Connector instalat pe un server local pentru a face legătura între cloud și Active Directory-ul vechi. Totuși, recomandarea mea este să mergi pe Cloud Native (Azure AD Joined) dacă este posibil.

2. Windows Update for Business (WUfB): Configurează “Update Rings”. Nu lăsa utilizatorii să amâne update-urile la infinit. Setează un “deadline” de 3 zile pentru instalarea patch-urilor de securitate.

3. Local Admin Password Solution (LAPS): Folosește Windows LAPS integrat în Intune pentru a gestiona parolele de admin local în mod unic și rotativ pentru fiecare laptop.

Solutie

Tip solutie

Permanent