Windows AutoPilot, le Master du Cloud ?
Introduction
Windows AutoPilot est un service décrit par Microsoft mais qui est aussi un ensemble de technologies présentes sur Azure permettant de gérer l’ensemble du cycle de vie d’un poste sous Windows 10 à destination des utilisateurs. Cela va d’un nouveau poste fournit à l’utilisateur, mais aussi au recyclement, pour remettre à zero rapidement un poste et le redonner directement après. Cette méthode de déploiement de Windows est fortement inspirée du programme Apple DEP (Device Enrollment Program) qui permet de fournir un iPhone sortie de sa boîte et de le fournir directement à l’utilisateur sans configuration préalable. Ce dernier allume son téléphone et, à l’aide d’étapes simple, voit son iPhone prêt à être utilisé, configuré et avec les applications nécessaires déployées automatiquement… . Windows AutoPilot entend faire la même chose, offrir une expérience de Self Deployment aux utilisateurs pour un ordinateur sorti de boîte. Windows 10 s’installera avec la version choisie par l’administrateur et les applications d’entreprise seront automatiquement installées. Nous pouvons presque parler d’un Master Cloud, mais Windows AutoPilot est-il capable de remplacer un master avec une Task Sequence sur MDT ? Il peut être difficile de répondre à cette question, cela dépendra de l’infrastructure qui est en place et quelle sera la vision du poste de travail selon vous.
Self Deployment
Un des principaux intérêt d’AutoPilot est de faire du « Self Deployment » ou du « Self Service » Expérience. Cela entend mettre l’utilisateur au centre de la procédure de livraison de son poste. Dans un contexte IT communément standard, un ordinateur est acheté auprès d’un fournisseur. Le service informatique reçoit le poste, installe l’OS, le configure, le personnalise, installe les applications, les configurent… avant de délivrer le poste à l’utilisateur final. On peut imaginer que cette procédure soit automatisée via un soft tiers type SCCM avec l’utilisation d’un master sous séquence de tâche avec MDT ou tout simplement jouée via une clé USB préconfigurée. Dorénavant, avec AutoPilot, l’ordinateur peut être directement remis à l’utilisateur sans passer par l’IT. Celui-ci va se connecter avec ses identifiants et l’ordinateur ainsi que ses applications vont se déployer / configurer seul avec l’aide d’Autopilot. Autopilot ne s’arrête pas au simple déploiement d’un nouveau poste. Il prend aussi en compte le cycle de vie de l’appareil. Si l’utilisateur doit changer d’appareil, celui-ci peut être remis à un autre utilisateur simplement avec un simple ordre distant de réinitialisation. Le poste se reformate / réinstalle / reconfigure pour (re)commencer une nouvelle vie . Ce processus facilite énormément la vie des équipes informatiques, et permet de gagner du temps. Windows AutoPilot va permettre de configurer un poste et de rendre ce dernier « prêt à utiliser » pour l’utilisateur. Cependant, pour avoir un déploiement propre d’Autopilot, il faut respecter un certains nombre de prérequis / configuration.
Prérequis
Windows Autopilot va permettre de configurer un poste et que celui-ci soit prêt pour l’utilisateur. C’est une solution qui a donc un impact direct sur celui-ci, il est alors extrêmement important de bien préparer le déploiement et de prendre en compte tous les prérequis. Il sera nécessaire d’avoir les licences permettant d’avoir les services Intune, Azure AD, Windows 10 entreprise, En plus de ces licences, il sera aussi important de définir la jonction des postes. Est-ce que l’on décide de conserver ces postes sur un domaine Active Directory afin de bénéficier des GPOs/imprimantes.. ou est-ce que l’on va uniquement se reposer sur un Azure Active Directory et Intune pour configurer les postes ? On pourra répondre à ces questions uniquement après un audit de l’existant afin de savoir si l’on peut se passer d’un Active Directory local pour la gestion des postes. Intune est une brique essentielle pour AutoPilot, c’est à travers de cette solution que l’on pourra automatiser l’installation des applications et la gestion des postes. C’est à partir de la console d’Intune, ou plus récemment, Microsoft Endpoint Manager. Intune permettra de contrôler l’inscription des périphériques sous Windows 10 et de gérer le cheminement proposé à l’utilisateur lors de l’installation.
Une configuration par Intune
La configuration d’Autopilot se fera principalement par Intune. Nous serons ainsi capables de définir les applications à installer automatiquement, par exemple la suite Office. Intune ce n’est pas que l’installation d’applications. C’est aussi une solution capable de pousser des configurations sur le poste, par exemple Bitlocker, pour chiffrer le poste. Intune, ou MDM pour Mobile Device Management, offre des options complètes pour gérer Bitlocker, tout en permettant ensuite de récupérer les clés Bitlocker directement sur la console Endpoint Manager. Ce n’est pas tout, nous avons la possibilité de gérer tous les aspects de sécurité du poste, comme Windows Defender ou le Firewall. Ou encore, pousser des certificats sur le poste. Nous pouvons même contrôler Google Chrome avec Intune puisque les ADMX peuvent y être configurés. Les options de configurations proposées par Intune sont immenses, et il y a des ajouts tous les mois. C’est avec ces options de configuration que le poste sera prêt avec Autopilot. En plus des configurations/application, c’est aussi avec Intune que l’on préparera l’inscription des postes sur la solution, la configuration de la page d’inscription, ce qui sera présenté à l’utilisateur, mais aussi le profil de déploiement, afin de gérer la jonction du poste ou encore un modèle de nommage qui sera appliqué à l’ordinateur.
Un chantier important
AutoPilot touche directement au poste de travail des collaborateurs. Il est alors très important de bien analyser tous les besoins, et même, être capable de différencier les métiers, pour automatiquement préparer un poste en fonction du métier. Ainsi, les applications et/ou les configurations seront différentes en fonction de la personne. Ce travail est possible grâce aux différents services proposés par Azure Active Directory, comme les groupes dynamiques par exemple. Une personne, ou un ordinateur seront automatiquement dans un ou plusieurs groupes, sur lesquels les configurations d’Intune sont affectées. De ce fait, la configuration du poste sera pour la plupart du temps automatisée. Afin de rendre cette automatisation possible, il faut avant tout analyser le domaine, pour savoir si la création des groupes dynamiques est possible. Il faudra aussi tenir compte de l’ensemble du besoin des différents métiers. Ce travail dépendra énormément de la structure et du nombre de personnes.
Conclusion
AutoPilot est donc un ensemble de service nous offrant la possibilité de préparer des postes de travail à partir d’Azure. On pourrait presque parler du Master du cloud, puisque cela peut nous éviter d’avoir une Task Sequence ou un Media sur clé USB pour installer Windows 10 sur les postes des arrivants ou pour le cycle de vie des appareils et simplifiant grandement le maintien des postes à jour. Cependant, il faut prendre en compte plusieurs points. Il s’agit de services exclusivement sur Azure, toute installation d’application dépendra d’une bonne connexion internet. De plus, il sera extrêmement important d’avoir une bonne intégration d’Azure Active Directory sur l’infrastructure locale ou encore revoir l’état de l’ADFS sur l’authentification des postes. Néanmoins, si tous les prérequis sont réunis, la préparation d’un AutoPilot peut faciliter le maintien d’un Master et réduire le temps de travail des équipes IT pour préparer les postes. Cela facilitera grandement la gestion des applications, puisqu’il ne sera plus nécessaire de refaire un média à chaque fois qu’une application doit être mise à jour, et le déploiement sera effectué simplement sur les postes distants.