Windows Autopilot w firmie – wdrożenie urządzeń krok po kroku

Czym jest Windows Autopilot i dlaczego warto?

Windows Autopilot to usługa Microsoftu umożliwiająca automatyczne konfigurowanie urządzeń z systemem Windows bez konieczności ręcznej interwencji działu IT. Zamiast godzinami przygotowywać każdy laptop z osobna – instalować system, dołączać do domeny, konfigurować zasady i wgrywać aplikacje – wystarczy zarejestrować urządzenie w systemie. Resztą zajmie się Autopilot w momencie pierwszego uruchomienia przez pracownika.

Mechanizm jest elegancki: producent lub reseller rejestruje urządzenie w usłudze Autopilot na podstawie unikalnego identyfikatora sprzętowego (tzw. hardware hash). Gdy pracownik włącza laptop po raz pierwszy i łączy się z internetem, Windows automatycznie pobiera profil konfiguracyjny z Microsoft Intune i instaluje aplikacje, zasady bezpieczeństwa oraz ustawienia firmowe. Zero obrazów systemowych, zero technika przy biurku pracownika.

Dla firm MŚP to przełom organizacyjny. Korzyści są wymierne:

• Oszczędność czasu IT – wdrożenie urządzenia skraca się z kilku godzin do kilkunastu minut pracy administratora
• Standaryzacja konfiguracji – każde urządzenie trafia do pracownika w identycznej, zatwierdzonej konfiguracji zgodnej z polityką bezpieczeństwa
• Dostawa bezpośrednia – laptop można wysłać od dostawcy prosto do pracownika, nawet zdalnego, bez pośrednictwa IT
• Mniej błędów ludzkich – konfiguracja odbywa się automatycznie według zdefiniowanego profilu, nie przez technika wykonującego czynności ręcznie

Wymagania wstępne przed wdrożeniem

Zanim przystąpisz do wdrożenia, upewnij się, że spełniasz wymagania techniczne i licencyjne. Pominięcie któregokolwiek z elementów spowoduje niepowodzenie konfiguracji przy pierwszym uruchomieniu urządzenia.

Wymagania licencyjne: Windows Autopilot wymaga licencji obejmującej Microsoft Intune oraz Microsoft Entra ID (dawniej Azure AD) co najmniej w wersji P1. Dla firm MŚP najwygodniejsza jest subskrypcja Microsoft 365 Business Premium, która zawiera Intune, Entra ID P1 oraz Defender for Business – wszystko czego potrzebujesz w jednym pakiecie. Każdy pracownik rejestrujący urządzenie musi mieć aktywnie przypisaną licencję przed pierwszym uruchomieniem sprzętu.

Wymagania sprzętowe i systemowe:

• Windows 10 (wersja 1903 lub nowsza) lub Windows 11 w edycji Pro, Business lub Enterprise
• Urządzenie musi być fabrycznie nowe lub zresetowane do ustawień fabrycznych – Autopilot działa tylko w trybie OOBE (Out-of-Box Experience)
• Aktywne połączenie z internetem przy pierwszym uruchomieniu (Wi-Fi lub Ethernet)
• Dostęp do serwerów Microsoftu wymaganych przez Intune i Autopilot (pełna lista w dokumentacji Microsoft Learn)

Wymagania organizacyjne: Firma musi mieć skonfigurowanego dzierżawcę Microsoft 365 (tenant) z aktywnym Entra ID i Microsoft Intune. Domyślnie urządzenia dołączają do Entra ID w modelu chmurowym (Azure AD Join). Jeśli korzystasz z lokalnej domeny Active Directory, konieczna jest konfiguracja trybu Hybrid Azure AD Join oraz instalacja Intune Connector na serwerze domenowym – co istotnie zwiększa złożoność wdrożenia.

Jak zarejestrować urządzenia w programie Autopilot

Rejestracja urządzenia to kluczowy krok – bez niej laptop nie będzie wiedział, do którego tenanta ma się podłączyć podczas pierwszego uruchomienia. Masz do wyboru trzy główne metody:

Metoda 1: Rejestracja przez OEM lub resellera (zalecana)
Gdy zamawiasz sprzęt u Microsoftu lub autoryzowanego partnera, możesz poprosić o rejestrację urządzeń w Autopilot jeszcze przed wysyłką. Reseller dodaje urządzenia do Twojego tenanta przez Microsoft Partner Center, podając Twój identyfikator dzierżawcy. Laptop trafia do pracownika gotowy do konfiguracji – zero dodatkowej pracy dla Twojego IT i możliwość bezpośredniej dostawy od dystrybutora do końcowego użytkownika.

Metoda 2: Import przez skrypt PowerShell
Jeśli masz urządzenie już w firmie (po resecie fabrycznym), możesz pobrać hardware hash za pomocą skryptu Get-WindowsAutoPilotInfo ze sklepu PowerShell Gallery. Uruchom PowerShell jako administrator i wykonaj kolejno:

1. Zainstaluj skrypt: Install-Script -Name Get-WindowsAutoPilotInfo
2. Pobierz hash: Get-WindowsAutoPilotInfo.ps1 -OutputFile C:\Autopilot\HWID.csv
3. Zaimportuj wygenerowany plik CSV do portalu Intune

Metoda 3: Import ręczny przez portal Intune
W centrum administracyjnym Intune przejdź do Urządzenia → Rejestracja urządzeń → Windows → Windows Autopilot → Urządzenia, a następnie kliknij Importuj i prześlij plik CSV z hardware hashami. Proces importu trwa kilka minut – po zakończeniu urządzenia pojawią się na liście z numerami seryjnymi i statusem gotowości.

Tworzenie profilu wdrożeniowego w Microsoft Intune

Profil Autopilot określa, jak urządzenie ma się skonfigurować podczas pierwszego uruchomienia: co pracownik zobaczy na ekranie, do jakiego katalogu dołączy urządzenie i które kroki OOBE zostaną pominięte. Możesz mieć wiele profili – np. osobny dla działu sprzedaży i osobny dla zarządu. Oto jak go utworzyć:

1. Zaloguj się do centrum administracyjnego Intune (intune.microsoft.com) i przejdź do Urządzenia → Rejestracja urządzeń → Windows → Profile wdrożenia
2. Kliknij Utwórz profil → Windows PC
3. Nadaj profilowi opisową nazwę, np. Autopilot-pracownik-standard, i opcjonalny opis
4. Wybierz tryb wdrożenia: dla MŚP najczęściej stosowany jest Sterowany przez użytkownika (User-Driven) – pracownik loguje się własnym kontem firmowym i urządzenie jest do niego przypisane
5. Ustaw typ dołączenia: Azure AD joined dla środowisk w pełni chmurowych lub Hybrid Azure AD joined przy lokalnym Active Directory
6. W sekcji OOBE skonfiguruj uproszczony ekran powitalny: ukryj umowę licencyjną EULA, pomiń stronę ustawień prywatności, wyłącz opcję dodania konta lokalnego i skonfiguruj asystenta Cortana zgodnie z polityką firmy
7. Opcjonalnie ustaw szablon nazwy urządzenia, np. FIRMA-%RAND:4%, który nada każdemu laptopowi unikalną nazwę z czteroznakowym losowym sufiksem
8. Kliknij Utwórz, przejdź do zakładki Przypisania i dodaj grupę urządzeń Autopilot lub konkretne urządzenia z listy

Oprócz profilu Autopilot warto od razu skonfigurować stronę stanu rejestracji (ESP – Enrollment Status Page). ESP wyświetla pracownikowi pasek postępu instalacji aplikacji i polityk, blokując dostęp do pulpitu do czasu zakończenia wdrożenia. Konfigurację znajdziesz w: Urządzenia → Rejestracja Windows → Strona stanu rejestracji. Bez ESP pracownik może zacząć pracę zanim wszystkie polityki bezpieczeństwa zostaną zastosowane.

Pierwsze uruchomienie – co widzi pracownik

Po zarejestrowaniu urządzenia i przypisaniu profilu możesz wysłać laptop bezpośrednio do pracownika – nawet jeśli pracuje zdalnie. Oto co dzieje się krok po kroku przy pierwszym uruchomieniu:

1. Pracownik włącza laptop i podłącza go do internetu przez Wi-Fi lub Ethernet
2. Windows wykrywa urządzenie w bazie Autopilot i pobiera przypisany profil – ekran OOBE zmienia się na spersonalizowaną stronę logowania z logo firmy i komunikatem powitalnym Twojej organizacji
3. Pracownik wpisuje swój firmowy adres e-mail i hasło, a jeśli masz włączone MFA – przechodzi przez weryfikację drugiego składnika
4. Urządzenie automatycznie dołącza do Microsoft Entra ID i rejestruje się w Microsoft Intune
5. Strona stanu rejestracji (ESP) wyświetla postęp: instalacja zasad bezpieczeństwa, certyfikatów i aplikacji firmowych (Teams, OneDrive, Defender, narzędzia branżowe itp.)
6. Po zakończeniu pracownik trafia na w pełni skonfigurowany pulpit Windows – urządzenie gotowe do pracy zgodnie ze standardami bezpieczeństwa firmy

Cały proces trwa zazwyczaj 20–40 minut w zależności od liczby instalowanych aplikacji i szybkości łącza internetowego. Dział IT może śledzić status konfiguracji w czasie rzeczywistym w Intune: Urządzenia → Monitor → Stan rejestracji. Żadna fizyczna interwencja technika nie jest wymagana – urządzenie konfiguruje się samo.

Najczęstsze błędy i jak ich unikać

Wdrożenie Autopilot bywa wymagające, szczególnie przy pierwszych próbach. Oto najczęstsze problemy, z jakimi spotykają się administratorzy MŚP, i ich rozwiązania:

• Urządzenie nie rozpoznaje profilu Autopilot – sprawdź w Intune (Urządzenia → Windows → Windows Autopilot → Urządzenia), czy hardware hash urządzenia jest prawidłowo zaimportowany i czy profil jest przypisany do urządzenia lub jego grupy. Synchronizacja między importem a usługą Autopilot może trwać do 15 minut.
• Błąd braku licencji (kod 0x80180014) – pracownik musi mieć przypisaną licencję M365 Business Premium (lub inną zawierającą Intune) zanim spróbuje zalogować się w OOBE. Zweryfikuj przypisanie licencji w centrum administracyjnym Microsoft 365 (Użytkownicy → Aktywni użytkownicy → Licencje).
• ESP zawiesza się lub zgłasza błąd instalacji aplikacji – przyczyną najczęściej są błędnie skonfigurowane aplikacje Win32 w Intune lub problemy z dostępnością sieci. Diagnostykę ułatwia narzędzie MDMDiagnosticsTool oraz Podgląd zdarzeń w sekcji Dzienniki aplikacji i usług → Microsoft → Windows → DeviceManagement-Enterprise-Diagnostics-Provider.
• Urządzenie było wcześniej używane – Autopilot działa wyłącznie na urządzeniach w trybie OOBE. Jeśli sprzęt był już skonfigurowany i używany, konieczny jest reset fabryczny przez Ustawienia → System → Odzyskiwanie → Resetuj komputer → Usuń wszystko. Dopiero po resecie urządzenie można zarejestrować w Autopilot.
• Zapora lub proxy blokuje serwery Microsoft – upewnij się, że reguły firewall i serwera proxy zezwalają na ruch do wszystkich adresów URL wymaganych przez Intune i Autopilot. Pełna, aktualizowana lista adresów dostępna jest w oficjalnej dokumentacji Microsoft Learn pod hasłem Network endpoints for Microsoft Intune.

Przed pełnym wdrożeniem zawsze testuj kompletny przepływ na jednym urządzeniu pilotażowym – od rejestracji po zalogowanie pracownika. Dopiero po potwierdzeniu, że wszystko działa poprawnie, rozszerz wdrożenie na całą flotę sprzętu.