Déployer Windows 11 en entreprise avec Autopilot et Intune : tutoriel

Windows Autopilot combiné à Microsoft Intune représente la méthode moderne de déploiement et gestion des postes de travail en entreprise. Cette approche “zero-touch” permet à un employé de recevoir un PC neuf, de le connecter à Internet et d’obtenir automatiquement une configuration professionnelle complète, sans intervention du service informatique. Ce tutoriel vous guide pas à pas dans la mise en place de cette infrastructure.

---

Architecture de la solution

Avant de commencer, comprenons les composants :

• Windows Autopilot : service Microsoft qui pré-configure Windows lors du premier démarrage (OOBE)
• Microsoft Intune : plateforme MDM (Mobile Device Management) pour gérer les appareils
• Azure Active Directory (Entra ID) : annuaire cloud pour l’identité et l’accès
• Microsoft 365 Business Premium ou EMS : licences incluant Intune

Prérequis de licences : Chaque utilisateur doit disposer d’une licence incluant Intune. Les licences compatibles sont : Microsoft 365 Business Premium, Microsoft 365 E3/E5, EMS E3/E5, ou Intune Plan 1 standalone.

---

Étape 1 — Préparer l’environnement Intune

1.1 Accéder au Centre d’administration Intune

1. Connectez-vous au Centre d’administration Microsoft Intune avec un compte Administrateur global ou Administrateur Intune
2. Vérifiez que votre abonnement Intune est actif : Administration du locataire → État du locataire

1.2 Configurer l’inscription automatique MDM

# Vérifier la configuration MDM via Graph API
Connect-MgGraph -Scopes "DeviceManagementServiceConfig.ReadWrite.All"

# Vérifier l'URL MDM configurée
Get-MgPolicyMobileDeviceManagementPolicy | Select-Object Id, AppliesTo, Description

Via le portail Azure (Entra ID) :

1. Portail Azure → Azure Active Directory → Mobilité (MDM et gestion des applications mobiles)
2. Cliquez sur “Microsoft Intune”
3. Étendue des utilisateurs MDM : sélectionnez “Tout” (ou un groupe pilote)
4. Laissez les URLs MDM par défaut
5. Cliquez sur Enregistrer

---

Étape 2 — Enregistrer les appareils dans Windows Autopilot

Il existe plusieurs méthodes pour enregistrer les appareils :

Méthode 1 : Via le fabricant (OEM) — recommandée pour les achats neufs

Lors de la commande de PC chez votre revendeur, demandez l’enregistrement automatique Autopilot. Le revendeur soumet le hash matériel directement à votre tenant Microsoft 365.

Méthode 2 : Extraire le hash matériel manuellement

# Script à exécuter sur chaque PC à enregistrer
# Télécharger et exécuter le script Get-WindowsAutopilotInfo
Install-Script -Name Get-WindowsAutopilotInfo -Force

# Extraire le hash matériel et l'exporter en CSV
Get-WindowsAutopilotInfo -OutputFile "C:\Temp\AutopilotHWID.csv"

# Pour plusieurs machines en réseau
Get-WindowsAutopilotInfo -ComputerName "PC-001","PC-002","PC-003" `
    -OutputFile "C:\Temp\AutopilotHWID-Batch.csv"

Importer les appareils dans Intune :

1. Dans le Centre d’administration Intune : Appareils → Windows → Inscription Windows → Appareils (sous Windows Autopilot)
2. Cliquez sur “Importer”
3. Sélectionnez le fichier CSV généré
4. Attendez la fin de l’importation (quelques minutes)

---

Étape 3 — Créer un profil de déploiement Autopilot

Le profil Autopilot définit l’expérience OOBE (Out-Of-Box Experience) que verront vos utilisateurs :

1. Dans Intune : Appareils → Windows → Inscription Windows → Profils de déploiement
2. Cliquez sur “+ Créer un profil” → “PC Windows”
3. Nom : Profil-Autopilot-Standard-Entreprise
4. Description : Profil de déploiement standard pour les postes de travail Contoso
5. Mode de déploiement :
   • “Géré par l’utilisateur” : l’utilisateur se connecte avec son compte Azure AD
   • “Prédéploiement” : le technicien pré-configure avant remise à l’utilisateur
6. Rejoindre Azure AD en tant que : Appareil joint à Azure AD

Configuration de l’expérience OOBE :

• CLUF Microsoft : Masquer (accepté automatiquement)
• Paramètres de confidentialité : Masquer
• Options de compte : Masquer (join Azure AD obligatoire)
• Type de compte utilisateur : Standard (pas administrateur local)
• Langue (région) : Français
• Configurer automatiquement le clavier : Oui

Cliquez sur “Suivant”, sélectionnez les appareils à cibler, puis “Créer”.

---

Étape 4 — Créer un profil de configuration Intune

Les profils de configuration appliquent automatiquement les paramètres Windows à tous les appareils gérés :

4.1 Profil de configuration de base

1. Appareils → Profils de configuration → “+ Créer un profil”
2. Plateforme : Windows 10 et versions ultérieures
3. Type de profil : Catalogue de paramètres
4. Cliquez sur Créer

4.2 Ajouter les paramètres via PowerShell

# Créer un profil de configuration via Graph API
$Headers = @{Authorization = "Bearer $(Get-MgAccessToken)"}

$ConfigProfile = @{
    "@odata.type" = "#microsoft.graph.windows10CustomConfiguration"
    displayName = "CFG-Postes-Standard"
    description = "Configuration de base pour tous les postes Contoso"
    omaSettings = @(
        @{
            "@odata.type" = "#microsoft.graph.omaSettingString"
            displayName = "Désactiver Cortana"
            omaUri = "./Vendor/MSFT/Policy/Config/Experience/AllowCortana"
            value = "0"
        },
        @{
            "@odata.type" = "#microsoft.graph.omaSettingString"
            displayName = "Bloquer accès App Store"
            omaUri = "./Vendor/MSFT/Policy/Config/ApplicationManagement/RequirePrivateStoreOnly"
            value = "1"
        },
        @{
            "@odata.type" = "#microsoft.graph.omaSettingString"
            displayName = "Configurer Windows Update - Anneau de déploiement"
            omaUri = "./Vendor/MSFT/Policy/Config/Update/BranchReadinessLevel"
            value = "0"
        }
    )
}

Invoke-MgGraphRequest -Method POST `
    -Uri "https://graph.microsoft.com/v1.0/deviceManagement/deviceConfigurations" `
    -Body ($ConfigProfile | ConvertTo-Json -Depth 10)

---

Étape 5 — Configurer les anneaux de déploiement Windows Update

Gérez les mises à jour Windows de manière progressive via les anneaux (rings) :

1. Appareils → Windows → Anneaux de mise à jour pour Windows 10 et versions ultérieures
2. Créez 3 anneaux progressifs :

Anneau Pilote (5-10% des postes) :

• Nom : WU-Anneau-Pilote
• Canal de maintenance : Canal semi-annuel (préversion)
• Report des mises à jour de qualité : 0 jours
• Report des mises à jour de fonctionnalités : 0 jours
• Ciblage : Groupe GRP-Intune-Pilote

Anneau Préproduction (20-30% des postes) :

• Nom : WU-Anneau-Preprod
• Canal de maintenance : Canal semi-annuel
• Report des mises à jour de qualité : 7 jours
• Report des mises à jour de fonctionnalités : 30 jours

Anneau Production (tous les autres postes) :

• Nom : WU-Anneau-Production
• Canal de maintenance : Canal semi-annuel
• Report des mises à jour de qualité : 14 jours
• Report des mises à jour de fonctionnalités : 60 jours

---

Étape 6 — Déployer des applications via Intune

Déployer Microsoft 365 Apps :

1. Applications → Windows → “+ Ajouter”
2. Type d’application : Microsoft 365 Apps for Windows 10 et versions ultérieures
3. Configurez la suite :
   • Applications : Word, Excel, PowerPoint, Outlook, Teams, OneNote
   • Canal de mise à jour : Canal mensuel des entreprises
   • Version : Dernière
   • Architecture : 64 bits
4. Affectation : Requis pour “Tous les appareils”

Déployer une application Win32 personnalisée :

# Préparer l'application pour Intune (nécessite l'outil IntuneWinAppUtil)
# Télécharger : https://github.com/microsoft/Microsoft-Win32-Content-Prep-Tool

# Créer le package .intunewin
.\IntuneWinAppUtil.exe `
    -c "C:\Sources\7-Zip" `
    -s "7z2301-x64.exe" `
    -o "C:\Packages" `
    -q

# Le fichier 7z2301-x64.intunewin est prêt à être uploadé dans Intune

Dans Intune :

1. Applications → Windows → + Ajouter → Application Windows (Win32)
2. Uploadez le fichier .intunewin
3. Commande d’installation : 7z2301-x64.exe /S
4. Commande de désinstallation : "C:\Program Files\7-Zip\Uninstall.exe" /S
5. Règle de détection : Chemin de fichier C:\Program Files\7-Zip\7z.exe

---

Étape 7 — Configurer le Compliance (Conformité)

Les stratégies de conformité vérifient que les appareils respectent vos exigences de sécurité :

1. Appareils → Stratégies de conformité → “+ Créer une stratégie”
2. Plateforme : Windows 10 et versions ultérieures
3. Nommez-la : COMP-Postes-Standard

Paramètres de conformité recommandés :

• Intégrité de l’appareil :
  • Exiger BitLocker : Oui
  • Exiger le démarrage sécurisé : Oui
  • Exiger l’intégrité du code : Oui
• Propriétés de l’appareil :
  • Version minimale du système d’exploitation : 10.0.22621 (Windows 11 22H2)
• Sécurité du système :
  • Mot de passe requis : Oui
  • Longueur minimale : 8 caractères
  • Antivirus requis : Oui
  • Pare-feu requis : Oui
  • Microsoft Defender Antimalware requis : Oui

Actions en cas de non-conformité :

• Immédiatement : Marquer comme non conforme
• Après 1 jour : Envoyer un email de notification à l’utilisateur
• Après 7 jours : Bloquer l’accès aux ressources d’entreprise

---

Étape 8 — Tester le flux Autopilot complet

Test avec un appareil physique ou une VM :

# Réinitialiser un PC pour tester Autopilot
# (exécuter sur le PC cible - ATTENTION : efface tout !)
Reset-WindowsUpdate -ResetType "FactoryReset"

# Ou via la commande CMD Windows
systemreset.exe -factoryreset

Procédure de test :

1. Démarrez le PC réinitialisé ou neuf
2. Connectez-le à Internet (Ethernet de préférence)
3. L’OOBE Autopilot se lance automatiquement
4. L’écran affiche : “Connexion en cours… Votre organisation gère cet appareil”
5. L’utilisateur se connecte avec son compte Azure AD ([email protected])
6. Autopilot configure automatiquement Windows en arrière-plan (~15-30 minutes)
7. Le bureau s’affiche avec toutes les applications déployées

Astuce : Créez un utilisateur de test dédié pour valider le flux Autopilot sans affecter les vrais utilisateurs. Vérifiez dans Intune (Appareils → Surveiller → État d’inscription Autopilot) que l’appareil passe bien en état “Succès”.

---

Étape 9 — Monitorer le déploiement

# Rapport des appareils Autopilot via Graph API
Connect-MgGraph -Scopes "DeviceManagementManagedDevices.Read.All"

# Lister les appareils Autopilot et leur état
Get-MgDeviceManagementWindowsAutopilotDeviceIdentity |
    Select-Object SerialNumber, Model, EnrollmentState, LastContactedDateTime |
    Format-Table -AutoSize

# Rapport des inscriptions récentes
Get-MgDeviceManagementManagedDevice -Filter "operatingSystem eq 'Windows'" |
    Where-Object {$_.EnrolledDateTime -gt (Get-Date).AddDays(-30)} |
    Select-Object DeviceName, UserPrincipalName, EnrolledDateTime, ComplianceState |
    Sort-Object EnrolledDateTime -Descending |
    Format-Table -AutoSize

Tableau de bord de conformité :

Dans le Centre d’administration Intune :

1. Appareils → Surveiller → État de conformité de l’appareil
2. Visualisez le pourcentage d’appareils conformes/non conformes
3. Cliquez sur “Non conforme” pour identifier les appareils problématiques

---

Étape 10 — Résolution des problèmes courants

Diagnostiquer les échecs Autopilot :

REM Afficher les événements Autopilot dans l'observateur d'événements
eventvwr /c "Microsoft-Windows-Provisioning-Diagnostics-Provider/Admin"

REM Collecter les journaux de diagnostic Autopilot
mdmdiagnosticstool.exe -area Autopilot -cab C:\Temp\AutopilotDiag.cab

Codes d’erreur fréquents :

# Vérifier l'état de l'inscription sur un poste
dsregcmd /status

# Résultat attendu pour un poste joint correctement :
# AzureAdJoined : YES
# MDMEnrolled   : YES
# DeviceId      : [GUID]

---

Conclusion

Vous disposez maintenant d’une infrastructure complète de déploiement moderne Windows 11 avec Autopilot et Intune. Vos nouveaux PC se configurent automatiquement à la première connexion, les mises à jour Windows sont gérées progressivement via les anneaux de déploiement, et la conformité de votre parc est surveillée en temps réel. Cette approche réduit considérablement le temps de déploiement (de plusieurs heures à moins de 30 minutes d’intervention) et standardise la configuration de l’ensemble de votre parc informatique, quelle que soit sa taille.