Home Intune Intune – Conhecendo e Implantando o Autopilot

Intune – Conhecendo e Implantando o Autopilot

por Avatar photoSérgio Sant'Ana Júnior
por Avatar photoSérgio Sant'Ana Júnior 1,4K visualizações 13 minutos leitura

Quando falamos em gerenciamento moderno de dispositivos Windows, o Microsoft Intune se destaca como uma ferramenta completa e flexível. Entre os diversos recursos que ele oferece, um dos mais interessantes é o Windows Autopilot. Esse recurso permite que você configure novos computadores diretamente da nuvem, deixando tudo pronto para o usuário final sem precisar passar horas na preparação manual das máquinas.

A ideia é simples: O Autopilot garante que o dispositivo chegue ao usuário praticamente “no jeito”, já integrado ao Microsoft Intune, com as políticas e aplicativos definidos pela sua organização. Isso significa menos esforço da sua equipe de TI e uma experiência mais ágil, amigável e padronizada para quem recebe a máquina.

Neste artigo, vamos explicar o que é o Autopilot, seus benefícios e, principalmente, como configurá-lo passo a passo, mesmo que você esteja começando agora no Intune. Vamos lá?

O que é o Windows Autopilot?

O Windows Autopilot é um serviço integrado à nuvem Microsoft 365 que permite configurar novos PCs Windows 10 ou Windows 11 sem intervenção manual complexa. Em vez de criar imagens personalizadas ou gastar tempo pré-instalando software, você utiliza o Autopilot para registrar o dispositivo, definir um perfil de implantação (ou seja, as configurações, aplicativos e políticas que deverão ser aplicadas) e pronto! Quando o usuário liga a máquina pela primeira vez, a configuração é aplicada automaticamente, bastando a ele inserir suas credenciais corporativas.

Principais vantagens do Autopilot:

  • Implantação simplificada: Tudo é feito a partir da nuvem, dispensando processos manuais.
  • Consistência nas configurações: Todos os dispositivos seguem um padrão, evitando erros de configuração.
  • Economia de tempo da equipe de TI: Menos tempo preparando máquinas e mais foco em tarefas estratégicas.
  • Experiência agradável para o usuário final: O usuário recebe o equipamento pronto para uso corporativo após uma rápida autenticação.

Pré-requisitos para usar o Autopilot

Antes de começar, é importante ter em mente alguns pontos:

  1. Licenças necessárias: Você precisará do licenciamento do Microsoft Intune – Exemplo: Microsoft 365 E3, E5, Microsoft 365 Business Premium ou licenças específicas do Intune.
  2. Dispositivos compatíveis: O Autopilot funciona em dispositivos com Windows 10 (versão 1703 ou superior) e Windows 11.
  3. Acesso de administrador: Permissões adequadas no Microsoft Intune, como Administrador Global ou Administrador de Serviço do Intune. para configurar os perfis de implantação, importar o HWID, etc.
  4. Conectividade com a internet: Durante o processo de configuração, o dispositivo precisa estar conectado à internet para baixar as configurações e políticas.

Coletando o Hardware ID (HWID)

Antes de partir para a configuração do Autopilot, é fundamental entender como obter o identificador de hardware (Hardware ID) dos dispositivos, bem como reconhecer situações em que essa coleta não é necessária.

Se você possui um dispositivo ainda não gerenciado pelo Intune ou recém-adquirido, será preciso obter o HWID para registrá-lo no Autopilot. Há duas formas comuns de se conseguir isso:

  1. Fornecedor do Hardware:
    Alguns fabricantes podem enviar o conjunto de dados necessário do Autopilot diretamente para sua organização. Assim, você já recebe as informações prontas para importação no Intune, poupando tempo e esforço.
  2. Script PowerShell:
    Se o dispositivo já está em suas mãos, mas ainda não foi gerenciado pelo Intune, você pode usar um script PowerShell fornecido pela Microsoft para extrair o HWID. O que iremos utilizar é o script Get-WindowsAutopilotInfo.ps1, disponível no site oficial da Microsoft. Copie o codigo para o Notepad (bloco de notas), salve em uma pasta de fácil acesso, eu particularmente sempre salvo na pasta Downloads. 
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
New-Item -Type Directory -Path "C:\HWID"
Set-Location -Path "C:\HWID"
$env:Path += ";C:\Program Files\WindowsPowerShell\Scripts"
Set-ExecutionPolicy -Scope Process -ExecutionPolicy RemoteSigned
Install-Script -Name Get-WindowsAutopilotInfo
Get-WindowsAutopilotInfo -OutputFile AutopilotHWID.csv

Como pode visualizar no meu exemplo abaixo, eu salvei o script com o nome WindowsAutopilot.ps1 na pasta Downloads. Depois executei o Powershell com permissões de administrador, segui com os comandos:

  • Acesse o diretório: Executei o comando cd ~\Downloads para acessar o diretório onde o script foi salvo.
  • Executei o script: Após isso só executei o script com o comando .\WindowsAutopilot.ps1. Após concluir será salvo o arquivo csv na pasta C:\HWID.

Esse CSV será posteriormente importado no Microsoft Intune, registrando o dispositivo no Autopilot. Agora vamos importa-lo.

  • No portal, vá para Dispositivos > Windows > Registro > Dispositivos.
  • Clique em Importar > Selecione o arquivo > Importar.

Dispositivo já Gerenciado pelo Intune

Se o seu dispositivo já está ingressado e gerenciado pelo Intune, não é necessário coletar o Hardware ID separadamente. Nesses casos, o próprio Intune oferece uma opção para converter dispositivos já existentes diretamente para o Autopilot. A Microsoft disponibiliza um recurso chamado “Convert all targeted devices to Autopilot” no Intune. Quando você ativa essa opção e aplica a um grupo de dispositivos já gerenciados, o Intune tenta coletar automaticamente o hardware hash (equivalente ao HWID) do dispositivo, registrando-o no Autopilot. Isso reduz a necessidade de rodar scripts ou obter o HWID manualmente, tornando mais simples o processo.

  1. Versão do Windows: O dispositivo precisa estar rodando Windows 10 versão 1903 ou superior (ou Windows 11), e devidamente integrado ao Azure AD.
  2. Tipo de Ingresso no Microsoft Entra ID: O dispositivo deve estar Azure AD joined ou Hybrid Azure AD joined, devidamente registrado no Intune.
  3. Política Aplicada corretamente: É preciso habilitar a política “Convert all targeted devices to Autopilot” no Intune e direcioná-la ao grupo de dispositivos desejados. O Intune então faz a coleta do hardware hash em segundo plano.

Sem esse recurso, se você tivesse um PC novo ou não gerenciado, precisaria rodar o script PowerShell para extrair o HWID ou contar com o fabricante para fornecê-lo. Com o dispositivo já gerenciado e atendendo aos requisitos, basta configurar a opção no Intune. O hardware hash é então extraído silenciosamente, e o dispositivo aparece na lista de Autopilot sem que você precise fazer o upload manual.

Hands-on – Criar o Grupo para os Dispositivos

Antes de atribuir perfis do Autopilot, é recomendado criar um grupo de dispositivos ao qual você vai aplicar as políticas e perfis. Assim, qualquer dispositivo pertencente a esse grupo receberá automaticamente as configurações definidas.

  • Navegue até Grupos > Novo grupo.
  • Tipo de grupo: escolha Segurança.
  • Digite um nome e descrição para o grupo, por exemplo: “Grupo Autopilot“.
  • Em Tipo de associação, selecione Dispositivo Dinâmico.
  • Clique em Adicionar consulta dinâmica, copie a regra logo abaixo e cole no campo.
  • Salve e por fim Criar.
(device.devicePhysicalIDs -any (_ -startsWith "[ZTDid]"))

Com o grupo criado os dispositivos serão adicionados gradualmente em poucos minutos.

Atenção: O atributo devicePhysicalIDs é um array (uma lista de valores) e, para verificar se qualquer um desses valores contém a informação ZTDId, é preciso usar o operador -any. Essa expressão significa: “Inclua no grupo qualquer dispositivo cujo array devicePhysicalIds contenha um elemento com a string [ZTDId]. O ZTDId está relacionado ao Zero-Touch Deployment, o identificador usado pelo Autopilot para reconhecer dispositivos registrados.

Criar o Perfil de Implantação do Autopilot

Agora o próximo passo é criar um perfil de implantação. Esse perfil define como será a experiência do usuário ao ligar o dispositivo pela primeira vez (OOBE) e quais configurações serão aplicadas. Esta etapa define onde os perfis de implantação serão configurados, permitindo personalizar o comportamento do Autopilot.

No menu da esquerda vá até Dispositivos > Windows > Registro > Perfil de Implantação > Criar Perfil > Computador Windows.

  • Clique em Criar perfil.
  • Dê um nome ao perfil (por exemplo: “Windows Autopilot”) para identificar sua finalidade.
  • Habilite a opção Converter todos os dispositivos de destino em Autopilot, caso deseje que dispositivos registrados no Intune sejam automaticamente convertidos para uso com o Autopilot. Esta opção é ideal para dispositivos que já estão no Intune, mas ainda não foram configurados para o Autopilot.
  • Clique em Avançar para prosseguir.

Em Modo de implantação, escolha entre:

  • Orientado pelo Usuário: Exige que o usuário final realize o login com suas credenciais do Microsoft Entra ID durante o processo de configuração.
  • Auto-implantação: Automatiza o processo de configuração sem interação do usuário final, ideal para quiosques ou dispositivos compartilhados.

Neste nosso exemplo vamos seguir com a opção Orientado pelo Usuário.

Configure o dispositivo para ingressar no Microsoft Entra ID como:

  • Ingressado no Microsoft Entra: Ideal para dispositivos diretamente gerenciados pela organização. Neste artigo irei abordar somente esse cenário.
  • Ingressado no Microsoft Entra Híbrido: Para dispositivos que precisam ser integrados ao Active Directory local e ao Microsoft Entra ID.

Ajuste as outras opções, não existe certo ou errado, somente o que atende as necessidades do seu ambiente corporativo:

  • Exibir Termos de Licença para Software: Escolha entre “Mostrar” ou “Ocultar”.
  • Configurações de Privacidade: Opte por “Mostrar” ou “Ocultar” as opções de privacidade.
  • Ocultar as opções de alteração de conta: Escolha “Mostrar” ou “Ocultar” para permitir ou restringir alterações.
  • Tipo de Conta do Usuário: Defina se a conta será configurada como Administrador ou Padrão.
  • Permitir Implantação Pré-provisionada: A implantação pré-provisionada permite que a organização prepare os dispositivos antes de entregá-los ao usuário final. Isso significa que aplicativos, políticas e configurações podem ser aplicados no dispositivo de forma antecipada, economizando tempo durante a configuração inicia
  • Idioma (Região): Configure o idioma padrão com base no sistema operacional ou escolha um específico.
  • Configurar o teclado automaticamente: Ative para alinhar o layout do teclado ao idioma configurado.
  • Aplicar modelo de nome do dispositivo: Escolha para configurar nomes padronizados nos dispositivos.

Avance para a proxima etapa. Agora, você precisará designar o perfil criado a um grupo específico de dispositivos ou usuários. Isso garante que o perfil será aplicado aos dispositivos desejados. Este grupo pode ser aplicado aqui. Ele identifica automaticamente dispositivos do Windows Autopilot com base nos IDs físicos atribuídos pelo fabricante. Isso é útil para garantir que apenas dispositivos específicos recebam o perfil.

Como criamos anteriormente o grupo dinâmico com o nome “Grupo Autopilot” irei atribuir esse grupo, avançar e concluir a criação do perfil.

Aqui está o texto revisado com as correções necessárias e informações validadas. Vamos garantir que o processo esteja correto, incluindo a impossibilidade de excluir a política padrão da ESP.

Configuração Personalizada da Página de Status de Registro (ESP)

A Página de Status de Registro (ESP) é uma funcionalidade essencial no Microsoft Intune para garantir que dispositivos sejam configurados corretamente durante o processo de provisionamento. Este artigo apresenta um passo a passo atualizado para criar uma configuração personalizada da ESP, seguindo as melhores práticas e atendendo às necessidades organizacionais.

A ESP é um recurso que exibe o progresso da instalação de aplicativos, perfis e políticas atribuídos a um dispositivo durante sua configuração inicial. Sua função é garantir que todos os requisitos sejam atendidos antes que o dispositivo seja disponibilizado para uso.

O Intune aplica uma política padrão da ESP a todos os dispositivos e usuários. Essa política não pode ser excluída, mas é possível criar políticas personalizadas com maior prioridade para substituir a padrão em cenários específicos.

E porque criar uma Política Personalizada? Criar uma política personalizada permite:

  • Especificar aplicativos e perfis críticos para dispositivos.
  • Bloquear o uso até que todas as configurações sejam concluídas.
  • Ajustar o comportamento da ESP para diferentes grupos de dispositivos ou usuários.

Configurando uma Política Personalizada

Vamos desativar a poltica padrão e criar uma política personalizada, porém fique a vontade se quiser utilizar a política padrão.

  • Navegue até Dispositivos > Windows > Registro > Página de Status de Registro.

Desativar a Política Padrão

  1. Clique na política padrão existente (“Todos os usuários e dispositivos”).
  2. Na tela de Propriedades, clique em Editar na seção de Configurações.
  3. Ajuste as seguintes configurações para desativar o impacto da política:
    • Mostrar andamento da configuração: Altere para Não.
  4. Clique em Revisar + Salvar para aplicar as alterações.

Inicie a Criação de uma Nova Política

  1. Clique em + Criar.
  2. Preencha os campos:
    • Nome: Insira um nome descritivo, como “Perfil ESP”.
    • Descrição: Detalhe o objetivo da política (opcional). No meu exemplo inclui a descrição: Configuração personalizada da página de status de registro.
    • Avançe para a próxima etapa.

Na seção de configuração, ajuste as opções para atender às melhores práticas:

  1. Mostrar o andamento da configuração do perfil e de aplicativos:
    • Habilitar (Sim): Isso permite que os usuários acompanhem o progresso da configuração.
  2. Mostrar erro quando a instalação demorar mais que o número especificado de minutos:
    • Configure para 60 ou 120 minutos dependendo da complexidade do ambiente. Um tempo limite reduzido evita travas desnecessárias.
  3. Mensagem personalizada para erros:
    • Inclua uma mensagem clara e amigável, como: “A configuração não foi concluída. Por favor, entre em contato com o suporte técnico.”
  4. Habilitar logs para diagnóstico:
    • Habilitar (Sim): Crucial para coleta de informações e solução de problemas em caso de falhas.
  1. Bloquear o uso do dispositivo até que todos os perfis e aplicativos sejam instalados:
    • Habilitar (Sim): Garante que o dispositivo esteja completamente configurado antes do uso.
  2. Permitir que os usuários redefinam o dispositivo em caso de erro:
    • Habilitar (Sim): Permite ao usuário resolver problemas básicos, como falhas de conexão ou erro temporário de instalação.
  3. Configuração de aplicativos obrigatórios:
    • Adicione apenas os aplicativos essenciais, como:
      • Portal da Empresa (Company Portal).
      • Microsoft Teams.
      • Antivírus ou soluções de segurança essenciais.
      • Microsoft 365 Apps
      • Outros que julgar necessário.

Para evitar problemas, a recomendação é priorizar a instalação de aplicativos da Microsoft Store pois esses não apresentam os mesmos problemas de conflito.

Durante a configuração do Windows Autopilot, é fundamental atentar para a combinação de métodos de instalação de aplicativos. Misturar aplicativos Win32 (instalados via pacotes .intunewin) com aplicativos LOB (Line-of-Business, como pacotes .msi) no mesmo perfil pode resultar em falhas no processo de provisionamento.

O serviço TrustedInstaller é responsável por gerenciar a instalação de aplicativos no Windows. Durante o processo de provisionamento do Autopilot, se aplicativos LOB e Win32 forem instalados simultaneamente, ambos tentarão acessar o TrustedInstaller ao mesmo tempo, o que pode causar bloqueios e falhas de instalação. No contexto do Autopilot, especialmente durante a Enrollment Status Page (ESP), esses conflitos podem impedir que os aplicativos sejam instalados corretamente. Isso pode resultar em falhas no provisionamento do dispositivo ou na interrupção do fluxo de configuração.

Atenção: Evite sobrecarregar esta lista com aplicativos não críticos. Para otimizar o provisionamento, mantenha apenas os aplicativos essenciais, como ferramentas de segurança e produtividade. Outros aplicativos podem ser configurados para instalação posterior, garantindo que o processo inicial seja mais rápido e menos propenso a falhas.

Após preencher tudo corretamente, avance para próxima etapa de Atribuição. Atribua o Grupo Dinâmico de dispositivos criado anteriormente para esse propósito. O motivo é simples, este grupo é atualizado automaticamente com dispositivos inscritos no Autopilot. Então esse grupo é ideal para cenários em que novos dispositivos são frequentemente adicionados.

Observação: A criação de grupos dinâmicos requer licença Entra P1 ou P2. Verifique se as contas estão licenciadas devidamente.

Após configurar tudo e avançar para a etapa de criação, valide antes as configurações e clique em criar.

O foco em simplificar o provisionamento e resolver problemas rapidamente faz toda a diferença em ambientes corporativos, proporcionando uma experiência tranquila aos usuários e garantindo conformidade com as necessidades organizacionais.

E agora concluimos mais uma jornada do conhecimento. Você já havia implantado o Autopilot antes? Compartilhe sua experiencia, faça também parte desta jornada.

Avatar photo

Profissional com quase 20 anos de experiência em Tecnologia, e especializado em soluções Microsoft 365, atuando como Analista Cloud na Mundo 365. Sou fundador e redator do Jornada 365, onde compartilho insights valiosos e dicas práticas sobre o ecossistema Microsoft 365 e Intune. Estou constantemente em busca de aprimoramento pessoal e profissional e convido você a acompanhar e fazer parte desta jornada de conhecimento e aperfeiçoamento contínuo.

Você também pode gostar

Dispositivos Obsoletos – Gerenciando os ciclos de vida...

Microsoft Intune – Simplicando o gerenciamento de dispositivos...

Intune – Potencialize e Transforme o Microsoft Edge...

Intune – Agende atualizações automáticas dos pacotes com...

Microsoft Intune – Wallpaper e Lockscreen Windows Pro

Intune – Habilitando o Web sign-in for Windows...

Microsoft Intune – Como Integrar o Compliance (Data...

Intune – Fixando atalhos na Barra de Tarefas...

Intune – Bloqueando usuários de adicionarem contas pessoais...

Microsoft Intune – Como Restringir o Acesso ao...

Deixe um comentário

Salve meu nome, e-mail e site neste navegador para a próxima vez que eu comentar.

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.

Olá! Este site utiliza cookies para melhorar sua experiência de navegação, personalizar conteúdo e anúncios, fornecer funcionalidades de redes sociais e analisar nosso tráfego. Ao continuar a usar nosso site, você concorda com o uso de cookies. Aceitar