Salta al contenuto
Tutorial

Microsoft Intune Autopilot zero-touch deployment Windows 11: tutorial PMI italiane

Tutorial hands-on Microsoft Intune Autopilot per zero-touch deployment Windows 11 nelle PMI italiane. Setup, profilo Autopilot, registrazione hardware hash, prima accensione dell'utente.

SynSphere Italia 11 min di lettura

Microsoft Intune Autopilot è lo standard del 2026 per il deployment di nuovi PC Windows 11 nelle aziende: l’utente riceve il device sigillato, lo accende, fa login con il proprio account Entra ID, il device si configura da solo con policy aziendali, app aziendali, accesso ai dati di lavoro. Zero IT touching del device. Per le PMI italiane in fase di refresh post-Windows 10 EOL è il pattern operativo standard.

Questo tutorial accompagna step-by-step il setup di Intune Autopilot per zero-touch deployment Windows 11 in una PMI italiana 50-200 dipendenti. Pre-requisiti, configurazione tenant, registrazione hardware, profilo Autopilot, validazione, troubleshooting comune.

Prima di iniziare: Intune Autopilot richiede Microsoft 365 Business Premium o equivalente (Intune Plan 1). Per la decisione fra Intune e Jamf su flotte miste vedi Intune vs Jamf Pro.

Pre-requisiti

Prima di iniziare verifica:

  1. Licensing: Microsoft 365 Business Premium (~22 €/u/m) o licenze separate Intune Plan 1 + Entra ID P1. Una licenza per ogni utente che riceverà device Autopilot.
  2. Tenant Microsoft 365 già configurato con dominio aziendale verificato.
  3. Entra ID Connect in sync se hai Active Directory on-premises (opzionale per scenari hybrid).
  4. Connettività internet dei device target (essenziale — Autopilot è cloud-only).
  5. Accesso amministrativo al Microsoft Intune admin center (intune.microsoft.com) con ruolo Intune Administrator o Global Administrator.

Tempo stimato per il setup iniziale del primo Autopilot: 2-4 ore se l’ambiente è pronto. Per i device successivi: 5-10 minuti per registrazione hardware.

Step 1 — Configurare Entra ID per Autopilot

Apri l’admin center Microsoft Entra (entra.microsoft.com) e configura:

1.1 — Mobility (MDM and MAM)

Entra ID admin center → Devices → All devices → Device settings (oppure Mobility)

Imposta:

  • MDM user scope: All (o Some con gruppo specifico se vuoi testare prima)
  • MDM terms of use URL, MDM discovery URL, MDM compliance URL: lascia i default Microsoft Intune (precompilati)

Questo dice a Entra ID che il MDM autoritativo per gli utenti è Microsoft Intune.

1.2 — Company Branding

Entra ID admin center → Company branding → Default sign-in

Carica:

  • Logo aziendale (240×60 px, PNG/JPG)
  • Sfondo della pagina di login (1920×1080 px)
  • Username hint (es. nome.cognome@azienda.it)

Questo branding apparirà nella schermata di Autopilot quando l’utente fa il primo login.

Step 2 — Creare il profilo Autopilot in Intune

Apri Microsoft Intune admin center (intune.microsoft.com):

2.1 — Crea il deployment profile

Devices → Windows → Enrollment → Windows Autopilot profiles → Create profile → Windows PC

Configura:

  • Nome: es. AP-Standard-User (deployment standard per utenti business)
  • Convert all targeted devices to Autopilot: Yes (registra automaticamente nuovi device nei gruppi)
  • Device type: User-driven (l’utente fa login al primo boot — pattern raccomandato)

Out-of-box experience (OOBE):

  • Deployment mode: User-driven
  • Join to Microsoft Entra ID as: Microsoft Entra joined (cloud-only, raccomandato 2026) oppure Microsoft Entra hybrid joined se hai ancora AD on-premises
  • Microsoft Software License Terms: Hide
  • Privacy settings: Hide
  • Hide change account options: Hide
  • User account type: Standard (raccomandato — niente diritti admin local)
  • Allow White Glove OOBE: No (per zero-touch standard, lascia disabilitato)
  • Language (Region): User Select o Italian (Italy)
  • Automatically configure keyboard: Yes
  • Apply device name template: Yes con pattern es. PMI-%RAND:5% (genera nomi univoci tipo PMI-K8M2X)

Click Next, Scope tags (lascia default o assegna a scope tag aziendale), Assignments: assegna al gruppo dinamico Entra ID di tutti gli utenti Autopilot (lo creiamo al passo successivo).

2.2 — Crea il gruppo dinamico Entra ID per gli utenti Autopilot

Entra ID admin center → Groups → New group → Security:

  • Group name: AP-Autopilot-Users
  • Membership type: Dynamic User
  • Dynamic rule: (user.assignedPlans -any (assignedPlan.servicePlanId -eq "c1ec4a95-1f05-45b3-a911-aa3fa01094f5" -and assignedPlan.capabilityStatus -eq "Enabled")) (filtra solo utenti con licenza Intune attiva)

Click Save.

Torna al profilo Autopilot creato e nelle assignments seleziona il gruppo AP-Autopilot-Users.

Step 3 — Configurare Enrollment Status Page (ESP)

L’ESP è la schermata che l’utente vede durante l’enrollment Autopilot. Importante per UX e per evitare che l’utente usi il device prima che le policy siano applicate.

Intune → Devices → Windows → Enrollment → Enrollment Status Page → Create profile:

  • Nome: ESP-Standard-User
  • Show app and profile configuration progress: Yes
  • Show an error when installation takes longer than X minutes: 60 (max 1 ora)
  • Show custom message when time limit or error occurs: messaggio custom es. Setup in corso. Se vedi questo messaggio per più di 60 min, contatta helpdesk@azienda.it
  • Allow users to collect logs about installation errors: Yes
  • Block device use until all apps and profiles are installed: Yes
  • Allow users to reset device if installation error occurs: Yes
  • Allow users to use device if installation error occurs: No (forza la chiamata helpdesk per gestire errori)
  • Block device use until these required apps are installed: lista app critiche (Office 365 Apps, Microsoft Teams, antivirus, eventuale VPN client)

Assegna al gruppo AP-Autopilot-Users.

Step 4 — Registrare l’hardware hash dei device

Ogni device Windows ha un hash hardware univoco che deve essere registrato in Microsoft Intune prima che Autopilot funzioni per quel device. Tre modalità:

4.1 — Registrazione tramite OEM (raccomandato per acquisti nuovi)

Quando ordini i nuovi PC da Dell, HP, Lenovo, Microsoft Surface partner, fornisci il tenant Microsoft 365 al rivenditore che registra automaticamente i device sul tuo Autopilot. È il pattern zero-effort: il device arriva all’utente già pronto.

OEM partner principali Italia: Dell, HP, Lenovo, Microsoft Surface authorized resellers — verifica che siano “Autopilot ready”.

4.2 — Registrazione manuale via PowerShell (per device esistenti)

Per device già in possesso dell’azienda (es. PC riassegnati post-formattazione):

Da PowerShell elevato sul device:

# Install script Get-WindowsAutopilotInfo
Install-Script -Name Get-WindowsAutopilotInfo -Force

# Genera hash hardware e salva CSV su chiavetta USB / file share
Set-ExecutionPolicy -Scope Process -ExecutionPolicy RemoteSigned
Get-WindowsAutopilotInfo -OutputFile C:\Temp\AutopilotHash.csv

Carica il CSV in Intune → Devices → Windows → Enrollment → Devices → Import.

4.3 — White Glove pre-provisioning (per IT manager)

Pattern intermedio: l’IT manager pre-provisiona i device prima di consegnarli all’utente. Permette di testare il deployment prima della distribuzione. Configurabile dal profilo Autopilot abilitando Allow White Glove OOBE: Yes.

Step 5 — Configurare le policy che Autopilot applicherà

Le policy Intune che il device riceverà durante Autopilot dipendono dal contesto aziendale. Esempio minimale per PMI italiana:

Policy compliance (obbligatorio)

Intune → Devices → Compliance policies → Create policy → Windows 10 and later:

  • BitLocker enabled: Required
  • Secure Boot: Required
  • Code integrity: Required
  • Minimum OS version: 10.0.22631 (Windows 11 23H2 minimum)
  • Defender for Endpoint risk score: Low

Policy configuration profile baseline

Devices → Configuration profiles → Create → Windows 10 and later → Settings catalog:

  • Telemetry settings (basic per privacy)
  • Windows Update settings (auto-restart, deferral 7 giorni)
  • Firewall settings (block inbound by default)
  • BitLocker auto-enable (XTS-AES 256-bit)

Microsoft Defender enforcement

Intune → Endpoint security → Antivirus → Create policy:

  • Real-time protection: On
  • Cloud-delivered protection: High
  • Scan files when accessed: Yes
  • Submit samples: Send safe samples automatically

App deployment

Intune → Apps → Windows → Add → Microsoft 365 Apps:

  • Microsoft 365 Apps for Business (Office full suite)
  • Microsoft Teams (preinstallato in Windows 11, configurare auto-login)

Assegna tutte le policy al gruppo AP-Autopilot-Users.

Step 6 — Test del deployment Autopilot

Test prima della distribuzione massiva:

  1. Prendi un device target (anche VM Hyper-V con TPM virtuale)
  2. Esegui Sysprep /generalize /oobe /shutdown se il device era già configurato
  3. Accendi il device
  4. Connettiti al WiFi durante OOBE
  5. Il device legge il proprio hardware hash → contatta Microsoft Autopilot service → riceve la configurazione → mostra il login Entra ID branded
  6. L’utente fa login con nome.cognome@azienda.it + password + MFA
  7. ESP page mostra progress di installazione policy e app (15-30 min tipici)
  8. Device pronto all’uso con Outlook configurato, Teams loggato, Office attivato

Troubleshooting comune

Errore: “Something went wrong” durante OOBE

Causa frequente: hardware hash non registrato correttamente. Verifica in Intune → Devices → Windows → Enrollment → Devices che il device appaia nella lista. Se manca, ri-genera hash e re-import CSV.

Errore: utente non assegnato al gruppo dinamico

Il gruppo AP-Autopilot-Users ha membership dinamica basata su servicePlanId. Verifica che l’utente abbia effettivamente la licenza Intune assegnata. Sync gruppi dinamici Entra ID può richiedere 15-30 minuti dopo assegnazione licenza.

ESP timeout dopo 60 minuti

Possibili cause: app pesante in installazione (es. Adobe Creative Cloud), connettività lenta, troppo policy concorrenti. Mitigation: ridurre app obbligatorie nell’ESP, aumentare timeout a 90-120 min, verificare bandwidth.

Device join fallisce con “AAD join failed”

Causa frequente: Conditional Access policy che blocca il device durante l’enrollment. Esclui il flusso Autopilot dalle policy CA che richiedono compliant device (catch-22 — il device non può essere compliant durante l’enrollment iniziale).

BitLocker non si attiva

Verifica che il device abbia TPM 2.0 attivo nel BIOS e che la compliance policy includa BitLocker required. Su device riassegnati, vecchi recovery key potrebbero confondere il setup — clear TPM nel BIOS prima del re-deployment.

Rollout production

Pattern operativo per il rollout massivo:

  1. Pilot 5-10 utenti prima del rollout massivo. Pattern: helpdesk + IT manager + 3-5 utenti early adopter.
  2. Documentazione utente finale in 1 pagina: cosa aspettarsi al primo boot, contatto helpdesk se errore.
  3. Comunicazione preventiva 1 settimana prima del refresh hardware: cosa significa “Autopilot”, quali sono i tempi (15-30 min al primo boot), helpdesk dedicato.
  4. Distribuzione progressiva 10-20 device alla settimana inizialmente, scalando man mano che il processo è rodato.
  5. Helpdesk dedicato per le prime 4 settimane del rollout — l’esperienza utente Autopilot al primo boot è generalmente fluida, ma alcuni utenti hanno bisogno di guida sul flusso login + MFA.

Cosa fare dopo

Una volta consolidato Autopilot:

  • Modello DaaS: se gestisci una flotta in DaaS, il provider DaaS può fornire device Autopilot-ready pre-registrati sul tuo tenant
  • Conditional Access avanzata: device compliant via Intune → accesso ai dati sensibili gated da compliance status
  • Defender for Endpoint integration: telemetry security dei device Autopilot finisce in Defender XDR
  • App provisioning: estensione del catalogo app via Win32 apps o Microsoft Store

Per setup Intune Autopilot operativo sul tuo tenant, training del team IT e supporto al rollout di una flotta 50-500 device, contattaci: valutazione gratuita iniziale, pilot 10 device incluso nel pacchetto di onboarding.

Tag

Prodotti SynSphere correlati

I prodotti del catalogo SynSphere richiamati in questo articolo.

Confronti correlati

Approfondisci con confronti puntuali fra i prodotti citati nell'articolo.

Potrebbe interessarti anche

Articoli correlati per argomento e categoria editoriale.

Hai bisogno di un consiglio sul tuo scenario?

L'articolo ti ha dato spunti utili ma vuoi confrontarti con un esperto sul tuo specifico contesto aziendale? Discovery iniziale gratuita, senza impegno.

Contattaci