Windows Autopilot em Hybrid Join com VPN AlwaysOn
O que é o Windows Autopilot?
O Autopilot permite preparar dispositivos para um modo produtivo a partir do Out-Of-Box Experience do (OOBE), ele otimiza a experiencia principalmente de dispositivos com um contrato OEM, onde a organização adquire um lote de dispositivos de um fabricante e esses dispositivos possuem uma versão do Windows pré-instalada, vale reforçar que o Autopilot não aplica imagem de S.O, é necessário que o Windows esteja pré-instalado no estado do OOBE.
Quando se tem um grande contrato OEM corporativo o próprio fornecedor do contrato normalmente disponibiliza um arquivo CSV com os hashes de hardware de todos os dispositivos do contrato, a partir daí podemos importar esse hash para o Intune e automatizar assim o provisionamento desse lote de dispositivos com uma experiencia de Self-Service para o usuário final.
![](https://cloudinsane.com.br/wp-content/uploads/2023/09/autopilot1.png)
Autopilot em um cenário de Hybrid Join com VPN AlwaysOn
O que o Hybrid Join do Azure AD?
Este método oferece suporte a um ambiente gerenciado que inclui o Active Directory local e o Azure AD. Quando utilizamos o Hybrid Azure AD join para adicionar um dispositivo ao Azure Active Directory, significa que ele está visível em seu Active Directory on-premises e no Azure Active Directory.
O que a VPN AlwaysOn?
A VPN Always On fornece conectividade com recursos corporativos usando políticas de túnel que exigem autenticação e criptografia até chegarem ao gateway da VPN. Por padrão, as sessões de túnel terminam no gateway da VPN, que também funciona como o gateway IKEv2, fornecendo segurança de ponta a ponta.
Quando trabalhamos em um cenário híbrido devemos nos atentar a alguns passos para termos uma experiencia de provisionamento completa, independentemente de onde o usuário esteja, desde que ele tenha uma conexão segura com a internet.
Nesse post abordaremos a configuração do Autopilot através do Intune com um perfil de VPN AllwaysOn IKEv2 e autenticação por certificado de computador.
Pré-requisitos para o Autopilot em Hybrid Join
- AADConnect deve estar configurado para Hybrid Join com OU de dispositivos sincronizada
- Dispositivo com Windows 10 ou 11, versão 1809 ou posterior pré-instalado
- Dispositivo com acesso à internet
- Comunicação com um Controlador de domínio
- O conector Intune para Active Directory deve ser instalado em um computador que está executando Windows Server 2016 ou posterior com .NET Framework versão 4.7.2 ou posterior.
- O servidor que hospeda o conector Intune deve ter acesso à Internet e ao Active Directory.
Passos para a implantação:
- Configurar o MDM: https://learn.microsoft.com/pt-br/autopilot/windows-autopilot-hybrid#set-up-windows-automatic-mdm-enrollment
- Criar Delegação de OU para o Conector do Intune: https://learn.microsoft.com/pt-br/autopilot/windows-autopilot-hybrid#increase-the-computer-account-limit-in-the-organizational-unit
- Instalar Conector do Intune: https://learn.microsoft.com/pt-br/autopilot/windows-autopilot-hybrid#install-the-intune-connector
- Criar um grupo de dispositivos: https://learn.microsoft.com/pt-br/autopilot/windows-autopilot-hybrid#create-a-device-group
- Criar um perfil de implantação: https://learn.microsoft.com/pt-br/autopilot/windows-autopilot-hybrid#create-and-assign-an-autopilot-deployment-profile
- Criar um perfil de ESP do Autopilot: https://learn.microsoft.com/pt-br/autopilot/windows-autopilot-hybrid#optional-turn-on-the-enrollment-status-page
- Criar um perfil para ingresso no domínio do ADDS: https://learn.microsoft.com/pt-br/autopilot/windows-autopilot-hybrid#create-and-assign-a-domain-join-profile
- Exportar o Root Certificate da CA interna e criar um perfil de certificado confiável no Intune: https://learn.microsoft.com/pt-br/mem/intune/protect/certificates-trusted-root#to-create-a-trusted-certificate-profile
- Configurar a utilização de certificado para dispositivo: https://learn.microsoft.com/pt-br/mem/intune/protect/certificates-pfx-configure
- Criar uma configuração de VPN Device-Tunnel: https://learn.microsoft.com/en-us/windows-server/remote/remote-access/vpn/vpn-device-tunnel-config
Em resumo durante o processo de provisionamento o perfil de VPN através da configuração XML irá solicitar a emissão do certificado emitido para o dispositivo, bem como fechar o túnel e conectar o dispositivo a VPN permitindo assim que esse dispositivo tenha uma comunicação com um Domain Controller e consiga realizar o ingresso no domínio mesmo sem estar dentro da rede interna. É importante que toda configuração necessária, bem como a validação de suporte ao IKEv2 seja verificada pela equipe responsável de firewall da organização para garantir o funcionamento do processo e criação correta do arquivo de configuração XML apresentado no passo 10 desse post.