Configuration requise pour la préparation des appareils Windows Autopilot

• S’applique à:

  ✅ Windows 11

Conseil

RSS peut être utilisé pour avertir quand des exigences sont ajoutées ou mises à jour à cette page. Par exemple, le lien RSS suivant inclut cet article :

https://learn.microsoft.com/en-us/search/?terms=%22Software%2C%20Networking%2C%20Licensing%2C%20Configuration%2C%20and%20RBAC%20requirements%20for%20Windows%20Autopilot%20device%22

Cet exemple inclut la &locale=en-us variable . La locale variable est obligatoire, mais elle peut être modifiée d’autres paramètres régionaux pris en charge. Par exemple : &locale=es-es.

Pour plus d’informations sur l’utilisation de RSS pour les notifications, consultez Comment utiliser la documentation dans la documentation Intune.

La liste des conditions requises pour la préparation des appareils Windows Autopilot est organisée en cinq catégories différentes :

• Logiciel : configuration requise pour le système d’exploitation.
• Mise en réseau : configuration réseau requise.
• Licences : conditions requises pour les licences.
• Configuration : configurations requises dans Microsoft Entra ID et Microsoft Intune.
• RBAC : autorisations RBAC requises pour un administrateur de préparation d’appareil Windows Autopilot.

Sélectionnez l’onglet approprié pour afficher les exigences pertinentes :

Logiciel

Configuration logicielle requise

La préparation des appareils Windows Autopilot dépend des fonctionnalités spécifiques disponibles dans le client Windows, les Microsoft Entra ID et un service de gestion des appareils mobiles (GPM), comme Microsoft Intune. Pour utiliser la préparation des appareils Windows Autopilot et accéder à ces fonctionnalités, certaines exigences logicielles doivent être remplies.

Windows 11

• Windows 11, version 23H2 avec KB5035942 ou une version ultérieure : le support d’installation de Windows daté d’avril 2024 ou version ultérieure a KB5035942 inclus.
• Windows 11, la version 22H2 avec KB5035942 ou une version ultérieure : le support d’installation windows d’avril 2024 ou ultérieur a KB5035942 inclus.

Importante

• Vérifiez auprès des fabricants OEM que la mise à jour minimale requise est installée sur les appareils fournis par l’OEM.
• Si vous installez Windows à partir du support d’installation, vérifiez que la mise à jour minimale requise est installée sur le support. Le support d’installation Windows mis à jour avec la dernière mise à jour cumulative est disponible dans le Centre de gestion des licences en volume (VLSC).

Les éditions Windows suivantes sont prise en charge :

• Windows 11 Professionnel.
• Windows 11 Professionnel Éducation.
• Windows 11 Professionnel pour les Stations de travail.
• Windows 11 Entreprise.
• Windows 11 Éducation.

Réseau

Configuration de réseau requise

La préparation de l’appareil Windows Autopilot dépend de différents services Internet. L’accès à ces services doit être fourni pour que la préparation de l’appareil Windows Autopilot fonctionne correctement. Dans le cas le plus simple, l’activation des fonctionnalités appropriées peut être obtenue en veillant à ce que les conditions suivantes soient remplies :

• Assurez la résolution de noms DNS (Domain Name Services) pour les noms DNS Internet.
• Autoriser l’accès à tous les hôtes via le port 80 (HTTP), 443 (HTTPS) et 123 (UDP/NTP).

Une configuration supplémentaire peut être nécessaire pour accorder l’accès aux services requis dans les environnements qui :

• Avoir un accès Internet plus restrictif.
• Exiger l’authentification avant que l’accès à Internet puisse être obtenu.

Remarque

L’authentification intelligente carte et basée sur les certificats n’est pas prise en charge pendant l’expérience OOBE (out-of-box experience). Pour plus d’informations, consultez Cartes à puce et authentification basée sur les certificats.

Conditions requises pour le service

La préparation de l’appareil Windows Autopilot s’appuie sur plusieurs types de services différents pour fonctionner correctement. Pour que ces services fonctionnent correctement, il peut être nécessaire d’effectuer certaines configurations réseau. Ces services et leurs configurations réseau requises sont les suivants :

Service de déploiement de préparation d’appareil Windows Autopilot

Une fois qu’une connexion réseau est en place, chaque appareil Windows contacte le service de déploiement de préparation de l’appareil Windows Autopilot. Les URL suivantes sont utilisées :

• https://ztd.dds.microsoft.com
• https://cs.dds.microsoft.com
• https://login.live.com

Activation de Windows

La préparation de l’appareil Windows Autopilot nécessite des services d’activation Windows. Pour plus d’informations sur les URL qui doivent être accessibles pour les services d’activation, consultez Échec de l’activation ou de la validation Windows avec le code d’erreur 0x8004FE33.

Identifiant Microsoft Entra

Microsoft Entra ID valide les informations d’identification de l’utilisateur. En outre, l’appareil est joint à Microsoft Entra ID pendant la préparation de l’appareil Windows Autopilot. Pour plus d’informations, voir Service web d’URL et d’adresses IP Office 365.

Microsoft Intune

Une fois authentifié, Microsoft Entra ID déclenche l’inscription de l’appareil dans le service de gestion des appareils mobiles (GPM) Intune. Pour plus d’informations sur les exigences de communication réseau de Intune, consultez les articles suivants :

• Configuration requise pour le réseau Intune et bande passante.
• Points de terminaison réseau pour Microsoft Intune.

Collecte automatique des diagnostics d’appareils de préparation des appareils Windows Autopilot

Pour diagnostics de pouvoir charger correctement à partir du client, assurez-vous que l’URL lgmsapeweu.blob.core.windows.net n’est pas bloquée sur le réseau. Les diagnostics sont disponibles pendant 28 jours avant d’être supprimés.

Pour plus d’informations, consultez Collecter des diagnostics à partir d’un appareil Windows.

Windows Update

Pendant le processus OOBE (out-of-box experience) et après la configuration du système d’exploitation Windows, le service Windows Update récupère les mises à jour nécessaires. Si vous rencontrez des problèmes de connexion à Windows Update, consultez résolution des problèmes Windows Update.

Si Windows Update est inaccessible, le processus de préparation de l’appareil Windows Autopilot se poursuit, mais les mises à jour critiques ne sont pas disponibles.

Optimisation de la distribution

La préparation de l’appareil Windows Autopilot contacte le service d’optimisation de la distribution lors du téléchargement des applications et des mises à jour. Ce contact établit un partage d’égal à égal du contenu afin que seuls quelques appareils doivent le télécharger à partir d’Internet.

• Windows Mises à jour.
• Mises à jour des applications et des applications du Microsoft Store.
• Office Mises à jour.
• Intune Applications Win32.

Si le service d’optimisation de la distribution est inaccessible, le processus Autopilot continue avec les téléchargements d’optimisation de la distribution à partir du cloud sans pair à pair.

Synchronisation du protocole NTP (Network Time Protocol)

Lorsqu’un appareil Windows démarre, il communique avec un serveur de temps réseau pour s’assurer que l’heure sur l’appareil est correcte. Vérifiez que le port UDP 123 vers time.windows.com est accessible.

DNS (Domain Name System)

Pour résoudre les noms Internet de tous les services, l’appareil communique avec un serveur DNS, généralement fourni via DHCP. Ce serveur DNS doit être en mesure de résoudre les noms Internet.

Données de diagnostic

La collecte de données de diagnostic est activée par défaut. Pour plus d’informations, consultez Gérer les données de diagnostic d’entreprise.

Si l’appareil ne peut pas envoyer de données de diagnostic, le processus de préparation de l’appareil Windows Autopilot continue. Toutefois, les services qui dépendent des données de diagnostic ne fonctionnent pas.

Indicateur d'état de la connexion réseau (NCSI)

Windows doit être en mesure de dire que l’appareil peut accéder à Internet. Pour plus d’informations, consultez l’indicateur d’état de connexion réseau (NCSI).

*.msftconnecttest.com doit être résolu via DNS et accessible via HTTP.

Services de notifications Push Windows (WNS)

Ce service est utilisé pour permettre à Windows de recevoir des notifications d’applications et de services. Pour plus d’informations, consultez Microsoft Store.

Si les services WNS ne sont pas disponibles, le processus de préparation de l’appareil Windows Autopilot se poursuit toujours sans notifications.

Microsoft Store

Les applications du Microsoft Store peuvent être envoyées à l’appareil en les déclenchant via Intune ou un autre service MDM. Des mises à jour d’applications et des applications supplémentaires peuvent également être nécessaires lorsque l’utilisateur se connecte pour la première fois. Pour plus d’informations, consultez Mettre à jour vers Intune’intégration au Microsoft Store sur Windows et FAQ : Prise en charge des expériences du Microsoft Store sur les appareils gérés.

Si le Microsoft Store n’est pas accessible, le processus Autopilot se poursuit toujours sans applications du Microsoft Store.

Microsoft 365

Dans le cadre de la configuration de l’appareil Intune, l’installation des applications Microsoft 365 pour entreprise peut être nécessaire. Pour obtenir une liste qui inclut tous les services Office, noms DNS, adresses IP, y compris les Microsoft Entra ID et autres services susceptibles de chevaucher les services répertoriés précédemment, consultez Office 365 URL et plages d’adresses IP.

Listes de révocation de certificats (CRL)

Certains de ces services doivent également case activée listes de révocation de certificats pour les certificats utilisés dans les services. Pour obtenir la liste complète, consultez Office 365 URL et plages d’adresses IP et chaînes de certificats Office 365.

Paramètres du proxy

Le déploiement des paramètres de proxy pour la préparation des appareils Windows Autopilot doit être configuré sur le serveur proxy lui-même. L’implémentation de paramètres de proxy via Intune stratégie n’est pas entièrement prise en charge, car elle peut entraîner des problèmes et un comportement inattendu avec les déploiements d’accès privilégié.

Licences

Conditions d'octroi de licence

La préparation des appareils Windows Autopilot dépend des fonctionnalités spécifiques disponibles dans le client et les Microsoft Entra ID Windows. Il nécessite également un service de gestion des appareils mobiles (GPM) tel que Microsoft Intune. Ces fonctionnalités peuvent être obtenues par le biais de différentes éditions et programmes d’abonnement.

Pour fournir les Microsoft Entra ID et les fonctionnalités GPM nécessaires, notamment l’inscription GPM automatique et les fonctionnalités de personnalisation de l’entreprise, l’un des abonnements suivants est requis :

• Microsoft 365 Business Premium abonnement.
• abonnement Microsoft 365 F1 ou F3.
• Abonnement Microsoft 365 Academic A1, A3 ou A5.
• Microsoft 365 Entreprise abonnement E3 ou E5, qui inclut toutes les fonctionnalités client Windows, Microsoft 365 et EMS (Microsoft Entra ID et Intune).
• abonnement Enterprise Mobility + Security E3 ou E5, qui inclut toutes les fonctionnalités de Intune et de Microsoft Entra ID nécessaires.
• abonnement Intune éducation, qui inclut toutes les fonctionnalités de Microsoft Entra ID et de Intune nécessaires.
• Microsoft Entra ID abonnement P1 ou P2 et Microsoft Intune ou un autre service MDM.

Remarque

Lorsqu’un abonnement Microsoft 365 est utilisé, des licences doivent toujours être attribuées aux utilisateurs pour qu’ils puissent inscrire l’appareil dans Intune. Pour plus d’informations, consultez Attribuer des licences aux utilisateurs afin qu’ils puissent inscrire des appareils dans Intune.

En outre, les éléments suivants sont également recommandés, mais pas obligatoires :

• Applications Microsoft 365 pour les grandes entreprises - Les applications Microsoft 365 pour entreprise peuvent être déployées facilement via Intune ou un autre service GPM.
• Activation d’abonnement Windows : passez automatiquement des appareils de Windows Pro à Windows Enterprise Edition.

Configuration

Configuration requise

Avant de pouvoir utiliser la préparation de l’appareil Windows Autopilot, certaines tâches de configuration sont nécessaires pour prendre en charge les scénarios Autopilot courants.

• Configurez Microsoft Entra’inscription automatique. Pour Microsoft Intune, consultez Configurer l’inscription automatique windows Intune et Activer l’inscription automatique Windows pour plus d’informations. Si vous utilisez un autre service de gestion des appareils mobiles (GPM), contactez le fournisseur pour connaître les URL ou la configuration spécifiques nécessaires à ces services.

• Le premier utilisateur qui se connecte doit disposer des autorisations de jointure Microsoft Entra. Pour plus d’informations, consultez Autoriser les utilisateurs à joindre des appareils à Microsoft Entra ID.

Les configurations suivantes sont facultatives, mais recommandées. Elles ne sont pas obligatoires :

• Passez automatiquement de Windows Pro à Windows Entreprise. Pour plus d’informations, consultez Activation d’abonnement Windows.

Il n’existe aucune configuration matérielle supplémentaire requise pour utiliser Autopilot, au-delà de la configuration matérielle requise pour exécuter Windows. Pour plus d’informations, reportez-vous aux rubriques suivantes :

• Recherchez Windows 11 spécifications, fonctionnalités et configuration requise pour l’ordinateur.
• Configuration matérielle minimale requise pour Windows.
• Windows 11 exigences.

RBAC

Autorisations RBAC requises

Les autorisations de contrôle d’accès en fonction du rôle (RBAC) suivantes sont requises dans un rôle dans Intune pour qu’un utilisateur administre la préparation de l’appareil Windows Autopilot :

• Configurations de l’appareil

  • Lire
  • Supprimer
  • Affecter
  • Créer
  • Update

• Programmes d’inscription

  • Attribution de l’appartenance de l’appareil au moment de l’inscription

• Applications gérées

  • Lire

• Applications mobiles

  • Lire

• Organization

  • Lire

Pour créer un rôle personnalisé avec ces autorisations à utiliser avec la préparation de l’appareil Windows Autopilot :

1. Connectez-vous au Centre d’administration Microsoft Intune.

2. Dans l’écran d’accueil , sélectionnez Administration du locataire dans le volet gauche.

3. Dans l’administrateur client | Écran status client, sélectionnez Rôles.

4. Dans les rôles Endpoint Manager | Écran Tous les rôles , vérifiez que Tous les rôles est sélectionné sous Gérer.

5. Sélectionnez le menu déroulant Créer, puis sélectionnez Intune rôle. L’écran Ajouter un rôle personnalisé s’ouvre.

6. Dans l’écran Ajouter un rôle personnalisé :

   1. Dans la page Informations de base :

      1. Nom : entrez un nom pour le rôle personnalisé, par exemple Administrateur de préparation d’appareil Windows Autopilot.

      2. Description : entrez une description pour le rôle personnalisé.

   2. Sélectionnez Suivant.

   3. Dans la page Autorisations , sous Sélectionner une catégorie ci-dessous pour configurer les paramètres, faites défiler la liste pour rechercher les paramètres suivants. Une fois le paramètre localisé, développez-le, puis passez aux autorisations suivantes :

      • Configurations de l’appareil

        • Lecture : Oui
        • Supprimer : Oui
        • Attribuer : Oui
        • Créer : Oui
        • Mise à jour : Oui

        Afficher les rapports peut être laissé à la valeur par défaut Non.

      • Programmes d’inscription

        • Attribution de l’appartenance de l’appareil au moment de l’inscription : Oui

        Toutes les autres autorisations peuvent être conservées à la valeur par défaut Non.

      • Applications gérées

        • Lecture : Oui

        Toutes les autres autorisations peuvent être conservées à la valeur par défaut Non.

      • Applications mobiles

        • Lecture : Oui

        Toutes les autres autorisations peuvent être conservées à la valeur par défaut Non.

      • Organization

        • Lecture : Oui

        Toutes les autres autorisations peuvent être conservées à la valeur par défaut Non.

   4. Une fois que toutes les autorisations sont correctement définies, sélectionnez Suivant.

   5. Dans la page Balises d’étendue , sélectionnez Suivant.

      Remarque

      Les balises d’étendue sont facultatives. Si une balise d’étendue personnalisée doit être spécifiée, accédez à cette page. Pour plus d’informations sur les balises d’étendue, voir Utiliser le contrôle d’accès en fonction du rôle et les balises d’étendue pour l’informatique distribuée.

   6. Dans la page Vérifier + créer , vérifiez que toutes les autorisations sont correctes, puis sélectionnez Créer.

7. Le nouveau rôle personnalisé de préparation d’appareil Windows Autopilot peut désormais être attribué aux utilisateurs qui administrent la préparation des appareils Windows Autopilot.

Pour plus d’informations, consultez Contrôle d’accès en fonction du rôle (RBAC) avec Microsoft Intune.