Partager via

Inscrire des appareils avec des groupes autopatch

Important

Si vous débutez avec Autopatch, jusqu’à 48 heures peuvent s’avérer nécessaires pour que les appareils apparaissent comme inscrits dans le rapport d’appartenance aux groupes autopatch. Pendant cette période de 48 heures, les appareils subissent les processus d’intégration nécessaires avant d’apparaître comme inscrits

Un groupe Autopatch est un conteneur logique ou une unité qui regroupe plusieurs groupes Microsoft Entra et stratégies de mise à jour logicielle. Pour plus d’informations, consultez Groupes d’autopatch Windows.

Lorsque vous créez un groupe Autopatch ou modifiez un groupe Autopatch, les groupes de Microsoft Entra basés sur l’appareil que vous utilisez sont analysés en continu pour voir si de nouveaux appareils doivent être ajoutés au groupe Autopatch.

Diagramme détaillé du flux de travail d’inscription d’appareil

Consultez le diagramme de flux de travail détaillé suivant. Le diagramme couvre le processus d’inscription de l’appareil Windows Autopatch :

Diagramme du flux de travail d’inscription d’appareil.

Étape Description
Étape 1 : Affecter des groupes Entra L’administrateur informatique identifie le groupe Microsoft Entra qu’il souhaite attribuer lorsqu’il crée un groupe De mise à jour automatique ou modifie un groupe Autopatch.
Étape 2 : Découvrir les appareils La fonction Windows Autopatch Discover Devices détecte les appareils (toutes les heures) qui ont été précédemment ajoutés par l’administrateur informatique à partir de Microsoft Entra groupes utilisés avec les groupes Autopatch à l’étape 1. L’ID d’appareil Microsoft Entra est utilisé par Windows Autopatch pour interroger les attributs d’appareil dans Microsoft Intune et l’ID Microsoft Entra lors de l’inscription d’appareils dans son service.
  1. Une fois que les appareils sont découverts à partir du groupe Microsoft Entra, la même fonction collecte des attributs d’appareil supplémentaires et les enregistre dans sa mémoire pendant l’opération de découverte. Les attributs d’appareil suivants sont collectés à partir de Microsoft Entra’ID dans cette étape :
    1. AzureADDeviceID
    2. Système d’exploitation
    3. DisplayName (Nom de l’appareil)
    4. AccountEnabled
    5. RegistrationDateTime
    6. ApproximateLastSignInDateTime
  2. Dans cette même étape, la fonction Windows Autopatch discover devices appelle une autre fonction, la condition préalable de l’appareil case activée fonction. La fonction de configuration requise de l’appareil case activée évalue les prérequis logiciels au niveau de l’appareil pour se conformer aux exigences de préparation de l’appareil Windows Autopatch avant l’inscription.
Étape 3 : Vérifier les prérequis La fonction de prérequis Windows Autopatch effectue un appel intune API Graph pour valider séquentiellement les attributs de préparation des appareils requis pour le processus d’inscription. Pour plus d’informations, consultez la section Configuration requise détaillée case activée diagramme de flux de travail. Le service vérifie les attributs de préparation de l’appareil et/ou les prérequis suivants :
  1. Si l’appareil est géré par Intune ou non.
    1. Windows Autopatch cherche à voir si l’ID d’appareil Microsoft Entra est associé à un ID d’appareil Intune.
      1. Si oui, cela signifie que cet appareil est inscrit dans Intune.
      2. Si ce n’est pas le cas, cela signifie que l’appareil n’est pas inscrit dans Intune, et qu’il ne peut donc pas être géré par le service Windows Autopatch.
    2. Si l’appareil n’est pas géré par Intune, le service Windows Autopatch ne peut pas collecter les attributs de l’appareil, tels que la version du système d’exploitation, la date d’inscription Intune, le nom de l’appareil et d’autres attributs. Dans ce cas, le service Windows Autopatch utilise les attributs d’appareil Microsoft Entra collectés et enregistrés dans sa mémoire à l’étape 3a.
      1. Une fois qu’il dispose des attributs de l’appareil collectés à partir de l’ID de Microsoft Entra à l’étape 3a, l’appareil est marqué avec le status Échec de la configuration requise et le status de préparation à la mise à jour automatique de l’appareil s’affiche comme Non inscrit dans le rapport d’appartenance aux groupes de mise à jour automatique. L’administrateur informatique peut examiner les raisons pour lesquelles l’appareil n’a pas été inscrit dans Windows Autopatch. L’administrateur informatique corrige ces appareils. Dans ce cas, l’administrateur informatique doit case activée pourquoi l’appareil n’a pas été inscrit dans Intune.
      2. Une raison courante est que lorsque l’ID d’appareil Microsoft Entra est obsolète, il n’a plus d’ID d’appareil Intune associé. Pour y remédier, propre tous les enregistrements d’appareils Microsoft Entra obsolètes de votre locataire.
    3. Si l’appareil est géré par Intune, la fonction de configuration requise de Windows Autopatch case activée passe à l’case activée de configuration requise suivante, qui évalue si l’appareil a été archivé dans Intune au cours des 28 derniers jours.
  2. Si l’appareil est un appareil Windows ou non.
    1. Windows Autopatch cherche à voir si l’appareil est un appareil Windows et appartenant à l’entreprise.
      1. Si oui, cela signifie que cet appareil peut être inscrit auprès du service, car il s’agit d’un appareil Windows appartenant à l’entreprise.
      2. Si ce n’est pas le cas, cela signifie que l’appareil est un appareil non-Windows, ou qu’il s’agit d’un appareil Windows, mais qu’il s’agit d’un appareil personnel.
  3. Windows Autopatch vérifie la famille de références SKU Windows. La référence SKU doit être :
    1. Enterprise
    2. Pro
    3. Station de travail Pro
    4. Éducation
    5. Professionnel Éducation
  4. Si l’appareil répond à la configuration requise du système d’exploitation, Windows Autopatch vérifie si l’appareil est :
    1. Géré uniquement par Intune.
      1. Si l’appareil est uniquement géré par Intune, l’appareil est marqué comme Ayant passé tous les prérequis.
    2. Co-géré par Configuration Manager et Intune.
      1. Si l’appareil est cogéré à la fois par Configuration Manager et Intune, un autre prérequis case activée est évalué pour déterminer si l’appareil satisfait aux charges de travail activées pour la cogestion requises par Windows Autopatch pour gérer les appareils dans un état cogéré. Les charges de travail de cogestion requises évaluées à cette étape sont les suivantes :
        1. Stratégies de Mises à jour Windows
        2. Configuration de l’appareil
        3. Office Cliquer pour exécuter
      2. Si Windows Autopatch détermine que l’une de ces charges de travail n’est pas activée sur l’appareil, le service marque l’appareil comme ayant échoué et le status de préparation à la mise à jour automatique de l’appareil s’affiche comme Non inscrit dans le rapport d’appartenance aux groupes de mise à jour automatique.
Étape 4 : Calculer la distribution dynamique et attribuer des appareils Microsoft Entra Groupes, qui sont directement affectés à un anneau de déploiement, ajoute ces appareils au groupe Microsoft Entra créé par Autopatch pour cet anneau de déploiement.

Si vous choisissez d’utiliser la distribution dynamique, le service Autopatch distribue les appareils que vous avez sélectionnés. Le service prend un pourcentage des appareils du pool dynamique et les ajoute aux groupes de Microsoft Entra appropriés. Les appareils membres de groupes Microsoft Entra qui sont directement affectés ne sont pas inclus dans le pool dynamique.

Si vous avez moins de 100 appareils dans un groupe Autopatch, la distribution peut ne pas correspondre à votre sélection.
Étape 5 : Inscription post-appareil Si vous avez déployé windows Autopatch Client Broker, des actions d’inscription post-appareil se produisent. Pour plus d’informations, consultez Vérifications de préparation post-inscription de l’appareil et Windows Autopatch Client Broker.
Étape 6 : Passer en revue les status d’inscription des appareils Les administrateurs informatiques passent en revue les status de préparation à la mise à l’échelle automatique de l’appareil. Les appareils sont inscrits ou non inscrits dans le rapport d’appartenance aux groupes autopatch.
  1. Si l’appareil a été correctement inscrit, le status de préparation de la mise à l’autopatch de l’appareil apparaît comme Inscrit dans le rapport d’appartenance aux groupes autopatch.
  2. Si ce n’est pas le cas, le status de préparation à la mise à l’échelle automatique de l’appareil s’affiche comme Non inscrit dans le rapport d’appartenance aux groupes autopatch.
Étape 7 : Fin du workflow d’inscription Il s’agit de la fin du workflow d’inscription d’appareil Windows Autopatch.

Diagramme de flux de travail des prérequis case activée détaillé

Comme décrit à l’étape 3 du diagramme de flux de travail d’inscription d’appareil détaillé précédent, le diagramme suivant est une représentation visuelle de la construction des prérequis pour le processus d’inscription des appareils Windows Autopatch. Les vérifications des prérequis sont effectuées de manière séquentielle.

Diagramme de la configuration requise case activée workflow.

Rapport d’appartenance aux groupes autopatch

Windows Autopatch a un rapport d’appartenance aux groupes autopatch fournit les informations suivantes :

  • Appartenance au groupe Autopatch (uniquement si l’appareil est ajouté à un groupe Autopatch)
  • Mettre à jour status
  • Stratégies qui ciblent chaque appareil

Remarque

Vous pouvez configurer des rôles personnalisés pour accéder au rapport d’appartenance aux groupes autopatch, y compris les différentes actions de l’appareil.

Pour attribuer un anneau , l’utilisateur a besoin d’un minimum d’autorisations de lecture/de groupe de correction automatique Windows. Utilisez le menu déroulant pour sélectionner l’anneau de déploiement vers lequel déplacer les appareils. Le menu affiche uniquement les anneaux de déploiement dans l’étendue des utilisateurs.

Pour afficher les propriétés de l’appareil, l’autorisation minimale requise est Gérer les appareils/Lecture.

Les administrateurs délimités peuvent uniquement déplacer des appareils entre des anneaux de déploiement dans le même groupe Autopatch, avec les mêmes balises d’étendue.

Pour plus d’informations, consultez Contrôles d’accès en fonction du rôle Windows Autopatch.

Afficher le rapport d’appartenance aux groupes autopatch

Pour afficher le rapport d’appartenance des groupes autopatch :

  1. Dans le Centre d’administration Intune, sélectionnez Appareils dans le volet gauche.
  2. Sous Gérer les mises à jour, sélectionnez Mises à jour Windows.
  3. Sélectionnez l’onglet Surveiller , puis sélectionnez Appareils de mise à jour automatique.

Une fois qu’un appareil est ajouté à un groupe autopatch, un status de préparation s’affiche. Chaque status de préparation vous aide à déterminer s’il y a des actions à effectuer ou si l’appareil est prêt pour le service.

État de préparation

Autopatch readiness status dans le rapport d’appartenance des groupes autopatch Description du sous-état
Recommandé
  • Prêt : les appareils ont réussi à passer toutes les vérifications des prérequis et à s’inscrire avec succès auprès de Windows Autopatch. En outre, les appareils prêts ont réussi à passer toutes les vérifications de préparation post-inscription de l’appareil et n’ont pas d’alertes actives les ciblant.
  • Non prêt : ces appareils ont été correctement inscrits auprès de Windows Autopatch. Toutefois, ces appareils :
    • Échec d’une ou de plusieurs vérifications de préparation post-inscription de l’appareil.
    • Ne sont pas prêts à gérer une ou plusieurs charges de travail de mise à jour logicielle par le service.
    • L’appareil n’a pas communiqué avec Microsoft Intune au cours des 28 derniers jours
    • L’appareil est en conflit avec les stratégies ou avec l’appartenance au groupe Autopatch
Non inscrit
  • Conflit de groupe Autopatch : l’appareil est en conflit avec l’appartenance au groupe Autopatch
  • Échec des prérequis : l’appareil n’a pas réussi à réussir une ou plusieurs vérifications de préparation post-inscription de l’appareil.
  • Exclus : les appareils avec cette status sont supprimés du service Windows Autopatch uniquement. Microsoft part du principe que vous gérez ces appareils vous-même dans une certaine capacité.

Scénarios pris en charge lors de l’imbrication d’autres groupes Microsoft Entra

Windows Autopatch prend également en charge les scénarios de groupe imbriqués Microsoft Entra suivants :

Microsoft Entra groupes synchronisés à partir de :

Mise à jour automatique Windows sur les charges de travail Windows 365 Entreprise

Windows 365 Entreprise permet aux administrateurs informatiques d’inscrire des appareils auprès du service Windows Autopatch dans le cadre de la création d’une stratégie d’approvisionnement Windows 365. Cette option offre une expérience transparente pour les administrateurs et les utilisateurs afin de s’assurer que vos PC cloud sont toujours à jour. Lorsque les administrateurs informatiques décident de gérer leur Windows 365 PC cloud avec Windows Autopatch, le processus de création de stratégie d’approvisionnement Windows 365 appelle les API d’inscription des appareils Windows Autopatch pour inscrire les appareils au nom de l’administrateur informatique.

Pour inscrire de nouveaux appareils Windows 365 PC Cloud avec Windows Autopatch à partir de la stratégie d’approvisionnement Windows 365 :

  1. Accédez au Centre d’administration Intune.
  2. Dans le volet gauche, sélectionnez Appareils.
  3. Accédez à Provisionnement> Windows 365.
  4. Sélectionnez Stratégies d’approvisionnement >Créer une stratégie.
  5. Fournissez un nom de stratégie et sélectionnez Type de jointure. Pour plus d’informations, consultez Types de jointure d’appareil.
  6. Sélectionnez Suivant.
  7. Choisissez l’image souhaitée, puis sélectionnez Suivant.
  8. Sous la section Services managés Microsoft , vérifiez que Windows Autopatch est sélectionné.
  9. Affectez votre stratégie en conséquence, puis sélectionnez Suivant.
  10. Sélectionnez Créer. À présent, vos pc Windows 365 Entreprise cloud nouvellement provisionnés sont automatiquement inscrits et gérés par Windows Autopatch.

Pour plus d’informations, consultez Créer une stratégie d’approvisionnement Windows 365.

Autopatch Windows sur les charges de travail Azure Virtual Desktop

Windows Autopatch est disponible pour vos charges de travail Azure Virtual Desktop. Les administrateurs d’entreprise peuvent provisionner leurs charges de travail Azure Virtual Desktop pour qu’elles soient gérées par Windows Autopatch à l’aide du processus d’inscription d’appareil existant.

Windows Autopatch fournit la même étendue de service avec les machines virtuelles qu’avec les appareils physiques. Toutefois, windows Autopatch reporte toute prise en charge spécifique d’Azure Virtual Desktop à support Azure, sauf indication contraire.

Conditions préalables

Windows Autopatch pour Azure Virtual Desktop suit les mêmes prérequis que Windows Autopatch et les prérequis d’Azure Virtual Desktop.

Le service prend en charge les éléments suivants :

  • Machines virtuelles persistantes personnelles

Les fonctionnalités Azure Virtual Desktop suivantes ne sont pas prises en charge :

  • Hôtes multisession
  • Machines virtuelles non persistantes mises en pool
  • Diffusion en continu d’applications distantes

Déployer autopatch sur Azure Virtual Desktop

Les charges de travail Azure Virtual Desktop peuvent être inscrites dans Windows Autopatch à l’aide de la même méthode que vos appareils physiques.

Pour faciliter le déploiement, nous vous recommandons d’imbriquer un groupe d’appareils dynamique dans votre groupe d’inscription d’appareils Autopatch. Le groupe d’appareils dynamique cible le préfixe Name défini dans votre hôte de session, mais exclut tous les hôtes de session multisession. Par exemple :

Nom du groupe Nom d’appartenance dynamique
Windows Autopatch - Hôtes de session du pool d’hôtes
  • (device.displayName -contains "AP")
  • (device.deviceOSType -ne "Windows 10 Enterprise for Virtual Desktops")

Nettoyer le double état de Microsoft Entra appareils hybrides joints et inscrits dans Azure dans votre locataire Microsoft Entra

Un Microsoft Entra double état se produit lorsqu’un appareil est initialement connecté à Microsoft Entra ID en tant qu’appareil inscrit Microsoft Entra. Toutefois, lorsque vous activez Microsoft Entra jointure hybride, le même appareil est connecté deux fois à Microsoft Entra ID, mais en tant qu’appareil Microsoft Entra hybride.

Dans l’état double, vous avez deux enregistrements d’appareil Microsoft Entra avec différents types de jointure pour le même appareil. Dans ce cas, l’enregistrement d’appareil hybrid Microsoft Entra est prioritaire sur l’enregistrement d’appareil Microsoft Entra inscrit pour tout type d’authentification dans Microsoft Entra ID, ce qui rend l’enregistrement d’appareil Microsoft Entra inscrit obsolète.

Il est recommandé de détecter et d’propre les appareils obsolètes dans Microsoft Entra ID avant d’inscrire les appareils avec Windows Autopatch. Consultez Guide pratique pour gérer les appareils obsolètes dans Microsoft Entra ID.

Warning

Si vous n’propre pas d’appareils obsolètes dans Microsoft Entra ID avant d’inscrire des appareils avec windows Autopatch, vous risquez de constater que les appareils ne respectent pas les conditions préalables Intune ou Cloud-Attached (l’appareil doit être géré par Intune ou cogéré) case activée dans l’onglet Non prêt, car il s’attend à ce que ces appareils soient obsolètes. Microsoft Entra appareils ne sont plus inscrits dans le service Intune.

La prise en charge est disponible via Windows 365 ou l’équipe d’ingénierie du service Depatch Windows pour les incidents liés à l’inscription d’appareil.

Scénarios de cycle de vie de gestion des appareils

Il existe quelques autres scénarios de cycle de vie de gestion des appareils à prendre en compte lors de la planification de l’inscription d’appareils dans un groupe de mise à jour automatique.

Actualisation de l’appareil

Si un appareil a été précédemment inscrit dans un groupe Autopatch, mais qu’il doit être réimagené, vous devez exécuter l’un des processus d’approvisionnement d’appareil disponibles dans Microsoft Intune pour réimager l’appareil.

L’appareil est joint à Microsoft Entra ID (hybride ou Microsoft Entra uniquement). Ensuite, réinscrire également dans Intune. Aucune autre action n’est requise de votre part ou du service Windows Autopatch, car l’enregistrement d’ID d’appareil Microsoft Entra de cet appareil reste le même.

Réparation de l’appareil et remplacement du matériel

Si vous avez besoin de réparer un appareil précédemment inscrit dans le service Windows Autopatch, en remplaçant la carte mère, les cartes d’interface réseau non distantes ou le disque dur, vous devez réinscrire l’appareil dans le service Windows Autopatch, car un nouvel ID matériel est généré en cas de modifications matérielles majeures, telles que :

  • UUID SMBIOS (carte mère)
  • Adresse MAC (cartes réseau non distantes)
  • Série, modèle, informations sur le fabricant du disque dur du système d’exploitation

Quand l’une de ces modifications matérielles se produit, Microsoft Entra’ID crée un enregistrement d’ID d’appareil pour cet appareil, même s’il s’agit techniquement du même appareil.

Important

Si un nouvel ID d’appareil Microsoft Entra est généré pour un appareil précédemment inscrit dans le service Windows Autopatch, même s’il s’agit techniquement du même appareil, le nouvel ID d’appareil Microsoft Entra doit être ajouté via l’appartenance directe de l’appareil ou par le biais d’un groupe imbriqué Microsoft Entra dynamique/affecté dans l’expérience de groupe Windows Autopatch. Ce processus garantit que l’ID d’appareil Microsoft Entra nouvellement généré est inscrit auprès de Windows Autopatch et que ses mises à jour logicielles continuent d’être gérées par le service.

  • Last updated on