Windows Autopilot em Hybrid Join com VPN AlwaysOn

Jair Herrera Junior

setembro 1, 2023

O que é o Windows Autopilot?

O Autopilot permite preparar dispositivos para um modo produtivo a partir do Out-Of-Box Experience do (OOBE), ele otimiza a experiencia principalmente de dispositivos com um contrato OEM, onde a organização adquire um lote de dispositivos de um fabricante e esses dispositivos possuem uma versão do Windows pré-instalada, vale reforçar que o Autopilot não aplica imagem de S.O, é necessário que o Windows esteja pré-instalado no estado do OOBE.

Quando se tem um grande contrato OEM corporativo o próprio fornecedor do contrato normalmente disponibiliza um arquivo CSV com os hashes de hardware de todos os dispositivos do contrato, a partir daí podemos importar esse hash para o Intune e automatizar assim o provisionamento desse lote de dispositivos com uma experiencia de Self-Service para o usuário final.

Autopilot em um cenário de Hybrid Join com VPN AlwaysOn

O que o Hybrid Join do Azure AD?

Este método oferece suporte a um ambiente gerenciado que inclui o Active Directory local e o Azure AD. Quando utilizamos o Hybrid Azure AD join para adicionar um dispositivo ao Azure Active Directory, significa que ele está visível em seu Active Directory on-premises e no Azure Active Directory.

O que a VPN AlwaysOn?

A VPN Always On fornece conectividade com recursos corporativos usando políticas de túnel que exigem autenticação e criptografia até chegarem ao gateway da VPN. Por padrão, as sessões de túnel terminam no gateway da VPN, que também funciona como o gateway IKEv2, fornecendo segurança de ponta a ponta.

Quando trabalhamos em um cenário híbrido devemos nos atentar a alguns passos para termos uma experiencia de provisionamento completa, independentemente de onde o usuário esteja, desde que ele tenha uma conexão segura com a internet.

Nesse post abordaremos a configuração do Autopilot através do Intune com um perfil de VPN AllwaysOn IKEv2 e autenticação por certificado de computador.

Pré-requisitos para o Autopilot em Hybrid Join

  • AADConnect deve estar configurado para Hybrid Join com OU de dispositivos sincronizada
  • Dispositivo com Windows 10 ou 11, versão 1809 ou posterior pré-instalado
  • Dispositivo com acesso à internet
  • Comunicação com um Controlador de domínio
  • O conector Intune para Active Directory deve ser instalado em um computador que está executando Windows Server 2016 ou posterior com .NET Framework versão 4.7.2 ou posterior.
  • O servidor que hospeda o conector Intune deve ter acesso à Internet e ao Active Directory.

Passos para a implantação:

  1. Configurar o MDM: https://learn.microsoft.com/pt-br/autopilot/windows-autopilot-hybrid#set-up-windows-automatic-mdm-enrollment
  2. Criar Delegação de OU para o Conector do Intune: https://learn.microsoft.com/pt-br/autopilot/windows-autopilot-hybrid#increase-the-computer-account-limit-in-the-organizational-unit
  3. Instalar Conector do Intune: https://learn.microsoft.com/pt-br/autopilot/windows-autopilot-hybrid#install-the-intune-connector
  4. Criar um grupo de dispositivos: https://learn.microsoft.com/pt-br/autopilot/windows-autopilot-hybrid#create-a-device-group
  5. Criar um perfil de implantação: https://learn.microsoft.com/pt-br/autopilot/windows-autopilot-hybrid#create-and-assign-an-autopilot-deployment-profile
  6. Criar um perfil de ESP do Autopilot: https://learn.microsoft.com/pt-br/autopilot/windows-autopilot-hybrid#optional-turn-on-the-enrollment-status-page
  7. Criar um perfil para ingresso no domínio do ADDS: https://learn.microsoft.com/pt-br/autopilot/windows-autopilot-hybrid#create-and-assign-a-domain-join-profile
  8. Exportar o Root Certificate da CA interna e criar um perfil de certificado confiável no Intune: https://learn.microsoft.com/pt-br/mem/intune/protect/certificates-trusted-root#to-create-a-trusted-certificate-profile
  9. Configurar a utilização de certificado para dispositivo: https://learn.microsoft.com/pt-br/mem/intune/protect/certificates-pfx-configure
  10. Criar uma configuração de VPN Device-Tunnel: https://learn.microsoft.com/en-us/windows-server/remote/remote-access/vpn/vpn-device-tunnel-config

Em resumo durante o processo de provisionamento o perfil de VPN através da configuração XML irá solicitar a emissão do certificado emitido para o dispositivo, bem como fechar o túnel e conectar o dispositivo a VPN permitindo assim que esse dispositivo tenha uma comunicação com um Domain Controller e consiga realizar o ingresso no domínio mesmo sem estar dentro da rede interna. É importante que toda configuração necessária, bem como a validação de suporte ao IKEv2 seja verificada pela equipe responsável de firewall da organização para garantir o funcionamento do processo e criação correta do arquivo de configuração XML apresentado no passo 10 desse post.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Secured By miniOrange