Comment configurer Windows Autopilot dans Microsoft Intune à partir de zéro

Avant d'enregistrer des appareils, vous devez configurer Entra ID pour l'inscription automatique. Cela garantit que les appareils peuvent rejoindre votre organisation et s'inscrire automatiquement dans Intune.

Connectez-vous au centre d'administration Microsoft Intune à endpoint.microsoft.com avec votre compte administrateur. Accédez à Appareils > Inscription > Windows > Inscription automatique.

Définissez le périmètre utilisateur MDM sur :

• Tous - Tous les utilisateurs peuvent inscrire des appareils automatiquement
• Certains - Seuls les groupes spécifiés peuvent s'inscrire (recommandé pour les déploiements pilotes)

Si vous choisissez "Certains", cliquez sur Sélectionner des groupes et ajoutez vos groupes d'utilisateurs cibles. Configurez de la même manière le périmètre utilisateur MAM si vous prévoyez d'utiliser la gestion des applications mobiles.

Vérification : Accédez à Appareils > Inscription > Windows > Inscription automatique et confirmez que votre périmètre utilisateur MDM est configuré correctement. Le statut devrait indiquer "Configuré" avec votre périmètre sélectionné.

Les groupes dynamiques attribuent automatiquement des appareils aux profils Autopilot en fonction des propriétés des appareils. Cela élimine la gestion manuelle des groupes à mesure que vous augmentez votre déploiement.

Dans le centre d'administration Intune, accédez à Groupes > Tous les groupes > Nouveau groupe. Configurez les paramètres suivants :

• Type de groupe : Sécurité
• Nom du groupe : Appareils Autopilot
• Type d'adhésion : Appareil dynamique

Cliquez sur Ajouter une requête dynamique et créez une règle. Pour les appareils enregistrés via Autopilot, utilisez cette requête :

(device.devicePhysicalIDs -any (_ -contains "[ZTDId]"))

Cette règle inclut automatiquement tout appareil avec un ID de déploiement sans contact, qui est attribué lors de l'enregistrement Autopilot.

Pour un ciblage plus spécifique, vous pouvez créer des groupes basés sur les modèles d'appareils ou les numéros de série :

(device.deviceModel -eq "Surface Laptop 5") or (device.serialNumber -startsWith "ABC")

Vérification : Après avoir créé le groupe, cliquez sur Valider les règles pour tester votre requête dynamique. Le groupe se remplira avec des appareils une fois qu'ils seront enregistrés dans Autopilot.

L'enregistrement des appareils est la base d'Autopilot. Vous avez deux options principales : l'enregistrement OEM/partenaire (automatique) ou l'enregistrement manuel à l'aide de PowerShell.

Option A : Enregistrement OEM/Partenaire (Recommandé)

Si vous avez acheté des appareils chez Dell, HP, Lenovo ou Microsoft Surface, demandez l'enregistrement Autopilot lors de l'achat. Fournissez votre ID de locataire Entra ID (trouvé dans Entra ID > Aperçu) à votre fournisseur. Les appareils apparaîtront dans Intune sous 24 à 48 heures.

Option B : Enregistrement Manuel avec PowerShell

Pour les appareils existants ou les achats non-OEM, capturez le hachage matériel manuellement. Sur l'appareil cible, ouvrez PowerShell en tant qu'administrateur et exécutez :

Install-Script -Name Get-WindowsAutoPilotInfo -Force
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
Get-WindowsAutoPilotInfo -Online

Lorsque vous y êtes invité, connectez-vous avec vos identifiants d'administrateur Intune. Le script télécharge le hachage de l'appareil directement sur votre locataire.

Pour un enregistrement en masse, exportez d'abord vers CSV :

Get-WindowsAutoPilotInfo -OutputFile C:\AutopilotHashes.csv

Ensuite, importez le CSV dans Intune : Appareils > Windows > Inscription Windows > Appareils > Importer.

Vérification : Accédez à Appareils > Windows > Inscription Windows > Appareils dans Intune. Vos appareils enregistrés devraient apparaître avec le statut "Non assigné" dans les 15 minutes suivant l'enregistrement.

Le profil de déploiement définit le comportement des appareils pendant l'expérience prête à l'emploi (OOBE) et les paramètres appliqués automatiquement.

Dans le centre d'administration Intune, accédez à Appareils > Windows > Inscription Windows > Profils de déploiement. Cliquez sur Créer un profil > PC Windows.

Configurez l'onglet Informations de base :

• Nom : Profil Autopilot Standard
• Description : Déploiement joint Entra ID piloté par l'utilisateur

Dans l'onglet Expérience prête à l'emploi (OOBE), configurez ces paramètres critiques :

• Mode de déploiement : Piloté par l'utilisateur
• Joindre à Microsoft Entra ID en tant que : Joint à Microsoft Entra ID
• Conditions de licence logicielle Microsoft : Masquer
• Paramètres de confidentialité : Masquer
• Masquer les options de changement de compte : Masquer
• Type de compte utilisateur : Standard (pas Administrateur)
• Autoriser OOBE White Glove : Non (sauf si vous avez besoin de pré-approvisionnement)

Configurez le modèle de nommage de l'appareil :

CORP-%SERIAL%

Cela crée des noms d'appareils comme "CORP-ABC123456". Les variables disponibles incluent %SERIAL%, %RAND:x% (chiffres aléatoires), et du texte statique.

Activez Convertir tous les appareils ciblés en Autopilot pour enregistrer automatiquement les appareils qui rejoignent votre domaine.

Vérification : Après enregistrement, le profil apparaît dans votre liste de profils de déploiement avec le statut "Non assigné". Le profil est prêt pour l'affectation d'appareil.

La page d'état d'inscription montre aux utilisateurs la progression de la configuration de l'appareil et les empêche d'utiliser l'appareil avant que toutes les politiques et applications ne soient installées.

Accédez à Appareils > Windows > Inscription Windows > Page d'état d'inscription. Cliquez sur Créer un profil.

Configurez l'onglet Paramètres :

• Afficher la progression de l'installation des applications et des profils : Oui
• Afficher une erreur lorsque l'installation prend plus de temps que le nombre de minutes spécifié : 60
• Afficher un message personnalisé lorsque l'erreur de limite de temps se produit : "La configuration prend plus de temps que prévu. Veuillez contacter le support informatique."
• Permettre aux utilisateurs de collecter des journaux sur les erreurs d'installation : Oui
• Afficher la page uniquement pour les appareils provisionnés par l'expérience prête à l'emploi (OOBE) : Oui

Configurez les exigences de Configuration de l'appareil :

• Bloquer l'utilisation de l'appareil jusqu'à ce que toutes les applications et profils soient installés : Oui
• Permettre aux utilisateurs de réinitialiser l'appareil si une erreur d'installation se produit : Oui
• Permettre aux utilisateurs d'utiliser l'appareil si une erreur d'installation se produit : Non
• Bloquer l'utilisation de l'appareil jusqu'à ce que ces applications requises soient installées si elles sont assignées à l'utilisateur/appareil : Sélectionner les applications critiques

Définissez les exigences de Configuration de l'utilisateur de manière similaire, en vous concentrant sur les applications et politiques assignées à l'utilisateur.

Vérification : Le profil ESP apparaît dans votre liste. Vous l'assignerez à des groupes à l'étape suivante avec votre profil de déploiement.

L'affectation de profil détermine quels appareils reçoivent votre configuration Autopilot. Une affectation appropriée garantit un déploiement cohérent dans votre organisation.

Retournez à votre profil de déploiement : Appareils > Windows > Inscription Windows > Profils de déploiement. Sélectionnez votre profil et cliquez sur Affectations.

Cliquez sur Ajouter des groupes et sélectionnez votre groupe dynamique "Appareils Autopilot" créé précédemment. Définissez le type d'affectation sur Inclure.

Pour la page d'état d'inscription, accédez à Appareils > Windows > Inscription Windows > Page d'état d'inscription. Sélectionnez votre profil ESP et assignez-le au même groupe d'appareils.

Vous pouvez également assigner des profils ESP à des groupes d'utilisateurs si vous souhaitez des expériences différentes en fonction des rôles des utilisateurs :

• Personnel IT : Délais d'attente plus courts, messages d'erreur plus techniques
• Utilisateurs standard : Délais d'attente plus longs, messages simplifiés
• Cadres : Installation prioritaire des applications, blocage minimal

Vérification : Vérifiez que le statut d'affectation indique "Succès" et affiche le nombre d'appareils ciblés. Le groupe dynamique devrait se remplir avec vos appareils Autopilot enregistrés dans les 30 minutes.

Avant de déployer des appareils, configurez les politiques et applications principales qui doivent être installées pendant Autopilot. Cela garantit que les appareils sont entièrement configurés lorsque les utilisateurs les reçoivent.

Créer des profils de configuration :

Accédez à Appareils > Profils de configuration > Créer un profil. Créez ces profils essentiels :

1. Profil Wi-Fi (si nécessaire) :

• Plateforme : Windows 10 et versions ultérieures
• Type de profil : Wi-Fi
• Configurez les paramètres Wi-Fi de votre entreprise, y compris le SSID, le type de sécurité et les certificats

2. Chiffrement BitLocker :

• Plateforme : Windows 10 et versions ultérieures
• Type de profil : Protection des points de terminaison
• Configurez les paramètres BitLocker sous Chiffrement Windows

3. Anneau de mise à jour Windows :

• Accédez à Appareils > Windows > Mises à jour Windows 10 et versions ultérieures > Anneaux de mise à jour
• Créez un anneau avec votre calendrier de mise à jour préféré (par exemple, différer les mises à jour de fonctionnalités de 30 jours)

Déployer des applications essentielles :

Accédez à Applications > Toutes les applications > Ajouter. Ajoutez ces applications critiques :

• Applications Microsoft 365 : Utilisez la suite d'applications intégrée
• Portail d'entreprise : Nécessaire pour l'auto-service des utilisateurs
• Logiciel de sécurité : Microsoft Defender ou antivirus tiers

Pour chaque application, définissez l'affectation sur Requis pour votre groupe d'appareils Autopilot. Cela garantit l'installation des applications pendant l'ESP.

Vérification : Vérifiez que tous les profils et applications affichent le statut "Affectation réussie". Testez avec un appareil pilote pour confirmer l'ordre et le timing de l'installation.

Les tests valident votre configuration avant le déploiement complet. Un test approprié détecte les problèmes de configuration qui pourraient affecter des centaines d'appareils.

Préparer l'appareil de test :

Réinitialisez un appareil Autopilot enregistré aux paramètres d'usine. Sur Windows 11, allez dans Paramètres > Système > Récupération > Réinitialiser ce PC > Tout supprimer. Choisissez "Supprimer les fichiers et nettoyer le lecteur" pour une réinitialisation complète.

Surveiller le processus OOBE :

Démarrez l'appareil et connectez-vous à Internet. Le processus Autopilot devrait commencer automatiquement :

1. Configuration initiale : L'appareil télécharge et applique les mises à jour
2. Détection Autopilot : "Configuration pour le travail ou l'école" apparaît
3. Renommage de l'appareil : L'appareil se renomme selon votre modèle et redémarre
4. Connexion de l'utilisateur : L'utilisateur entre les identifiants Entra ID
5. Phase ESP : La page d'état d'inscription montre la progression
6. Bureau : L'utilisateur atteint le bureau avec toutes les applications et politiques appliquées

Vérifier le succès du déploiement :

Après la fin du déploiement, vérifiez ces éléments sur l'appareil :

# Vérifier le statut de jonction Entra ID
dsregcmd /status

# Vérifier l'inscription Intune
Get-ChildItem "HKLM:\SOFTWARE\Microsoft\Enrollments"

# Vérifier les applications installées
Get-AppxPackage | Where-Object {$_.Name -like "*Microsoft.Office*"}

# Vérifier le statut de BitLocker
manage-bde -status

Dans le centre d'administration Intune, vérifiez Appareils > Tous les appareils pour confirmer que l'appareil apparaît avec le statut de conformité correct.

Vérification : L'appareil de test devrait compléter le déploiement en 15-45 minutes selon la complexité des applications. Toutes les politiques et applications assignées devraient être installées et fonctionnelles.

La surveillance continue garantit des déploiements réussis et aide à identifier les problèmes avant qu'ils n'affectent plusieurs appareils.

Surveiller les déploiements Autopilot :

Dans le centre d'administration Intune, utilisez ces emplacements de surveillance :

• Appareils > Surveiller > Échecs d'inscription : Affiche les appareils qui ont échoué lors de l'inscription
• Appareils > Windows > Inscription Windows > Appareils : Liste tous les appareils Autopilot et leur statut d'affectation
• Rapports > Inscription des appareils : Fournit des analyses détaillées de l'inscription

Problèmes courants et solutions :

1. Appareil ne détectant pas le profil Autopilot :

• Vérifier que l'appareil est enregistré : Vérifiez le hachage matériel dans la liste des appareils
• Confirmer l'affectation du profil : Assurez-vous que l'appareil est dans le groupe assigné
• Vérifiez la connectivité Internet pendant l'OOBE

2. Erreurs de délai d'attente ESP :

• Augmenter les valeurs de délai d'attente dans le profil ESP
• Retirer les applications non critiques de la liste d'installation requise
• Vérifiez les journaux de déploiement des applications pour des échecs spécifiques

3. Modifications de profil non appliquées :

• Réinitialiser complètement l'appareil - les modifications de profil nécessitent un nouveau déploiement
• Vérifier l'appartenance au groupe et la portée de l'affectation
• Vérifiez les profils conflictuels

Collecter des informations de diagnostic :

Pour les déploiements échoués, collectez ces journaux :

# Exporter les diagnostics Autopilot
mdmdiagnosticstool.exe -area Autopilot -cab C:\AutopilotDiag.cab

# Vérifier les journaux d'événements
Get-WinEvent -LogName "Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider/Admin" | Where-Object {$_.TimeCreated -gt (Get-Date).AddHours(-2)}

Vérification : Établir des métriques de référence pour des déploiements réussis (objectif : taux de réussite de 95 %, temps de déploiement moyen inférieur à 30 minutes). Surveillez ces métriques chaque semaine et enquêtez sur les tendances.