Edição atual tal como às 12h04min de 13 de junho de 2023

Introdução

Consoles de Gerenciamento

portal.azure.com

endpoint.microsoft.com

intuneeducation.portal.azure.com

Adicionar Máquina no Domínio

Passo 1: Renomear o computador no padrão correto: <SIGLA DA UNIDADE>-XXXXX

Passo 2: Entrar em Configurações - Contas

Passo 3: Entrar em “Acessar trabalho ou escola”

Passo 4: Escolher a opção “Adicionar este dispositivo ao Azure Active Directory”

Passo 5: Entrar com usuário e senha com permissão para adicionar dispositivos ao domínio.

Criar grupos exclusivos para a unidade

Passo 1: Acessar a página [1]

Passo 2: Acessar o “Azure Active Directory”

Passo 3: Acessar no menu da esquerda o item: “Unidades administrativas”

Passo 4: Acessar a UA da sua unidade

Passo 5: Acessar o item “Grupos” no menu esquerdo.

Passo 6: Clicar em Novo grupo e preencher as opções desejadas.

Automação de Tarefas

Inserir equipamento automaticamente no AzureAD e renomear com o padrão SIGLAUNIDADE-XXX

Inserir equipamento no domínio AzureAD automaticamente e renomear o mesmo com o padrão SIGLAUNIDADE-XXX e criação de usuário admin local

1. Fazer o download e instalação do Windows Configuration Designer

2. Criar um novo pacote de provisionamento

3. Crie um nome para o pacote e selecione o local onde deseja salva-lo.

4. Coloque a sigla da sua unidade seguido dos parâmetros que deseja utilizar padronizar para os nomes dos dispositivos, aqui em franca adotamos o padrão FCHS-NUMERO_DE_SERIE_DO_EQUIPAMENTO, então a configuração ficará assim: FCHS-%SERIAL%

5. Caso queira configurar o perfil de alguma rede sem fio é possível na opção Set up network.

6.Para configurar o ingresso automático no Azure AD, selecione a opção Enroll in Azure AD e depois clique no botão Get Bulk Token. Será necessário entrar com as credenciais de uma conta com privilégios para adicionar dispositivos ao Azure AD.

NOTA: O token de ingresso no Azure AD tem data de expiração, então será necessário gerar um novo pacote de provisionamento de tempos em tempos.

7. É possível adicionar uma conta local de administrador, aplicativos e certificados no pacote de provisionamento.

8. Por fim, clique em Create para finalizar e gerar o pacote de provisionamento.

9. Para adicionar o pacote de provisionamento a um computador, copie a pasta do pacote gerado para o dispositivo e execute o arquivo .ppkg

10. Após confirmar a adição do pacote de provisionamento, o mesmo será renomeado e ingressado ao Azure AD e depois reiniciado

Os pacotes de provisionamento podem ser instalados via Script PowerShell através do comando Install-ProvisioningPackage

Deploy de Aplicativos com o Microsoft Intune

Preparação dos arquivos de instalção

Será necessário o download da Ferramenta de preparação de Conteúdo do Microsoft Win32 (IntuneWinAppUtil.exe) neste link

1. Crie uma pasta para preparar os arquivos de instalação, e dentro dela coloque o utilitário IntuneWinAppUtil.exe

2. Crie outra pasta com o nome do aplicativo que deseja adicionar e faça o Download dos arquivos de instalação dentro dela (neste exemplo utilizei o instalador do cliente do Google Drive)

3. Prepare o arquivo de instalação para gerar um arquivo do tipo .intunewin (mais informações aqui) com o utilitário (IntuneWinAppUtil.exe)

Execute o comando

IntuneWinAppUtil.exe -c <Caminho_da_pasta_com_os_arquivos_de_instalação> -s <Nome_do_arquivo_de_instalação> -o <Pasta_onde_será_gerado_o_arquivo_.intunewin>

Exemplo:

IntuneWinAppUtil.exe -c c:\temp\GoogleDrive -s GoogleDriveSetup.exe -o c:\temp\intuneapps

Como resultado, será gerado o arquivo GoogleDriveSetup.intunewin na pasta c:\temp\intuneapps

Criação do pacote de instalação no Microsoft Endpoint

1. Acesso o portal do Microsoft Endpoint Manager

2. Entre na Guia Apps > All apps e clique em: +Add

3. Selecione o tipo de aplicativo como Windows app (win32)

4. Selecione e faça o upload do arquivo .intunewin gerado no passo anterior

5. Preencha as informações do aplicativo como Nome, Descrição, Versão, Editor, Categoria e demais informações que desejar

6. Configure os parâmetros de instalação do aplicativo. Para descobrir quais os parâmetros de instalação dos aplicativos que deseja instalar, veja a documentação de instalação do fornecedor do aplicativo. Neste site tem uma lista com os parâmetros de instalação silenciosa dos principais aplicativos utilizados. Neste exemplo de instalação do Google Drive, os parâmetros de instalação utilizados foram estes:

GoogleDriveSetup.exe --silent --gsuite_shortcuts=false

onde

• GoogleDriveSetup.exe: Nome do arquivo de instalação. Este arquivo é o mesmo arquivo que foi baixado e colocado na pasta de instalação quando foi gerado o arquivo .intunewin
• --silent: Parâmetro que indica instalação silenciosa, sem necessidade de interação com o usuário.
• --gsuite_shortcuts=false: Este parâmetro indica para o instalador não criar os links dos Google Apps na área de trabalho.

*Para instalação de arquivos do tipo MSI o comando de instalação padrão é: msiexec /i "<nome_do_instalador.msi>" /qn

O comando de desinstalação normalmente é o caminho do arquivo uninstall do aplicativo.

No caso do Google Drive, o caminho seria algo do tipo:

"%ProgramFiles%\Google\Drive File Stream\w.x.y.z\uninstall.exe" --silent --force_stop

7. Selecione a arquitetura (x86 ou x64) e versão mínima do sistema operacional requeridos para fazer o deploy do aplicativo

8. Crie as regras de detecção para verificar se o aplicativo ja está instalado

Neste exemplo, foi feita uma verificação de o arquivo GoogleDriveFS.exe existe no diretório padrão de instalação

• No caso de instaladores MSI, é melhor verificar se já existe o Código de Produto MSI

9. Adicione as dependências caso o aplicativo dependa de outro aplicativo instalado para funcionar.

No caso do Google Drive, nenhuma dependência é necessária.

10. Caso a instalação do aplicativo seja a atualização de outro pacote previamente instalado, adicione o pacote do aplicativo que este novo pacote irá atualizar

11. Adicione a TAG de escopo da sua unidade.

12. Faça a atribuição dos grupos, usuários ou dispositivos no qual este aplicativo será instalado.

• A instalação pode ser obrigatória, onde todos os objetos adicionados terão este pacote de software instalado, ou disponível para dispositivos registrados no AzureAD, onde a instalação ficará a critério do usuário.

13. Por fim, crie o pacote e aguarde o termino do upload do arquivo de instalação .intunewin. Após o término do upload, o pacote já ficará disponível

• Mais informações sobre o deploy de aplicativos Win32 estão disponíveis na documentação oficial da Microsoft

Deploy de Scrips PowerShell como Win32App

Crie o arquivo .intunewin normalmente.

Nos parâmetros de instalação do aplicativo, coloque o comando abaixo, especificando o nome do arquivo de script PowerShell

%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe -executionpolicy bypass -file install.ps1

ou

%windir%\sysnative\windowspowershell\v1.0\powershell.exe -ExecutionPolicy Bypass -file "install.ps1"

Configurar maquina para uso compartilhada e Habilitar o usuário Convidado

1. Acesse o Intune Admin Center > Devices > Configuration profiles e depois clique em Create profile

2. Em Platform, Selecione a opção Windows 10 and later e em Profile type, selecione Templates

3. Selecione o template Shared mult-user device em Template name e depois clique em Create

4. Crie um nome para essa configuração e depois clique em Next

• Recomendo Colocar um nome começando com as sigla da sua unidade

5. Selecione as seguintes opções:

• Shared PC mode: Enabled - Esta opção configura o dispositivo como sendo de usuo compartilhado
• Guest account: Guest - Esta opção cria uma opção para login utilizando um usuário convidado, que não necessita de credenciais. Aqui você também pode tratar os usuários do domínio como se fossem convidados, aplicando a politica de convidados nesses usuários de dominio nos computadores onde essa politica for aplicada.
• Account management: Enabled - Quando ativada, esta opção exclui os perfis dos usuários no dispositivo quando eles efetuarem o logoff ou o dispositivo entrar em tarefa de manutenção
• 'Account Deletion:' Esta opção aparece quando a opção Account management esta habilitada. Com esta opção pode-se definir se as contas seão deletedas quando uma porcentagem de ustilização do disco do equipamento for atingida ou a conta ficar inativa ou mesmo imediatamente após o usuário fazer logoff.
• Local Storage: - Especifica se o armazenamento local ficará disponível para o usuário.
• Power Polices: - Especifica se as politicas de energia serão aplicadas no dispositivo.
• Sleep time out: Especifica o numero de segundo que o dispositivo entrará no modo dormir
• Sign-in when PC wakes: - Especifica se o usuário deverá entrar com a senha novamente quando o PC sai do modo de espera
• Maintenance start time: - Especifica o numero de minutos após a meia-noite em que o PC entrará no modo de manutenção.
• Education polices: - Aplica as politicas educacionais

6. Em Scope tags, selecione o escopo da sua unidade e clique em Next

7. Escolha os grupos ou dispositivos que deseja aplicar essa configuração de perfil

8. É possível criar regras para aplicação ou não dessas politicas de acordo com a versão ou edição do sistema operacional.

9. Por fim irá aparecer uma página de resumo com as configurações definidas anteriormente, caso este tudo OK clique em Create