Extracción de Hardware Hash para Windows Autopilot
Guía operativa para equipos Lenovo — ThinkPad, ThinkBook, IdeaPad
1. Contexto
Esta guía cubre la extracción del hardware hash de equipos Lenovo nuevos, paso necesario para enrolarlos en Microsoft Windows Autopilot. El hash es una huella digital única del equipo que Microsoft Intune usa para reconocerlo y aplicarle su configuración automáticamente cuando el usuario final lo encienda por primera vez.
El procedimiento es el mismo para cualquier equipo Lenovo sin importar qué traiga de fábrica (Windows 11 Pro OEM, FreeDOS, Ubuntu, o nada). Booteamos desde un USB con el instalador de Windows 11, abrimos un cmd, corremos el script y apagamos. Una sola receta para todo el lote.
El equipo queda intacto
No se instala nada, no se configura nada. Solo abrimos un terminal, sacamos el hash, y apagamos. El disco no se toca. Cuando el usuario final encienda el equipo, arranca normal y Autopilot lo toma desde cero.
2. Antes de empezar — qué necesitás
- USB "Hashes": cualquier USB de 1 GB en adelante. Va a acumular un archivo
autopilot.csvcon todos los hashes, uno arriba del otro. El archivoextraer-hash.cmd(incluido en este paquete) debe estar copiado en la raíz del USB — no dentro de una carpeta. - USB "Instalador Windows 11": se prepara una vez con la Media Creation Tool oficial de Microsoft (ver sección 4). Capacidad mínima 8 GB. Sirve para todo el lote.
- Cable de red ethernet: el script descarga utilidades de Microsoft la primera vez. Las Lenovo nuevas vienen con puerto ethernet (ThinkPad) o requieren adaptador USB-ethernet (ThinkBook delgadas y la mayoría de IdeaPad).
- Planilla impresa con los seriales del lote, para ir tildando cuál procesaste.
- Clip o lápiz para el botón Novo (ver sección 3.2).
3. Particularidades de Lenovo (leer una vez antes de empezar)
Las Lenovo tienen un par de cosas distintas a otras marcas que vale la pena saber antes:
3.1 Las teclas F-keys vienen "invertidas" por default (Fn lock)
En la mayoría de Lenovo modernas, las teclas F1 a F12 por default ejecutan funciones especiales (volumen, brillo, etc.) en lugar de F1-F12 reales. Esto rompe el atajo Shift+F10.
Si Shift+F10 no abre el cmd, usá Fn+Shift+F10
Probá las dos. Una de las dos siempre funciona. También podés activar el "Fn Lock" presionando Fn+Esc una vez — queda fijo y las F-keys vuelven a ser F-keys normales.
3.2 El botón Novo (atajo Lenovo para boot menu y BIOS)
Lenovo agrega un botón propio llamado Novo (símbolo: flecha curva pequeña ↶) que abre un menú especial sin importar qué F-key use el modelo. Es la forma más fácil de entrar al boot menu o al BIOS.
En notebooks (ThinkPad / IdeaPad / ThinkBook)
┌─────────────────────────────┐
│ ┌────────────────────────┐ │
│ │ LENOVO LCD │ │
│ └────────────────────────┘ │
│ │
│ [TECLADO COMPLETO] │
│ │
│ ←───── lateral izquierdo o │
│ al lado del power │
│ botón pequeño ↶ │
└─────────────────────────────┘
Está en el lateral izquierdo de la notebook (cerca de la bisagra) o al lado del botón de power. Es pequeño, hundido, hay que presionarlo con la punta de un clip o un lápiz. Algunas IdeaPad muy nuevas lo reemplazan por Fn+F2.
Cómo usarlo
- Equipo apagado.
- Apretar el botón Novo con un clip (1-2 segundos).
- El equipo arranca y muestra el Novo Button Menu con 4 opciones:
- Normal Startup
- BIOS Setup ← para configurar TPM
- Boot Menu ← para bootear el USB de Win11
- System Recovery
- Flechas + Enter para elegir.
3.3 Teclas alternativas según modelo
| Línea Lenovo | Boot menu | BIOS Setup |
|---|---|---|
| ThinkPad (T, X, L, E) | F12 al encender | F1 al encender |
| ThinkBook | F12 al encender | F2 al encender |
| IdeaPad | F12 o Fn+F12 | F2 o Fn+F2 |
| Cualquier Lenovo (si dudás) | Botón Novo (sección 3.2) — abre menú con ambas opciones | |
3.4 TPM 2.0 — verificar si un hash falla
Autopilot necesita TPM 2.0 activado. Las Lenovo nuevas lo traen activado de fábrica, pero si un equipo falla la extracción de hash, verificalo:
- Entrar al BIOS (botón Novo → BIOS Setup, o F1 en ThinkPad / F2 en ThinkBook/IdeaPad).
- Ir a Security → Security Chip.
- Verificar que esté en
ActiveoEnabled(TPM 2.0). - F10 para guardar y salir.
4. Preparar el USB del instalador Windows 11 (una sola vez)
Este USB nos da acceso a un entorno mínimo de Windows (WinPE) desde donde corremos el script. No se instala nada en el equipo — usamos el instalador solo como un "Windows portátil" en RAM. Una vez preparado, el mismo USB sirve para todo el lote.
- Desde una PC con Windows con internet, ir a microsoft.com/software-download/windows11.
- Descargar "Crear medios de instalación de Windows 11".
- Ejecutarla, seleccionar el USB destino (mínimo 8 GB — se borra entero).
- Esperar 20-40 minutos a que termine de armar el USB booteable.
No se instala Windows en el equipo
Solo usamos el instalador para tener acceso a un cmd con drivers. Cancelamos antes de tocar el disco. El equipo Lenovo queda exactamente como vino de fábrica (Win11 OEM, FreeDOS, Ubuntu o lo que sea).
5. Procedimiento por equipo repetir en cada Lenovo
Mismos pasos para todos los equipos del lote, sin importar qué sistema operativo traigan.
- Conectá el cable ethernet (o adaptador USB-ethernet en ThinkBook/IdeaPad delgadas).
- Enchufá los dos USB: el del instalador Windows 11 y el de Hashes.
- Equipo apagado. Apretar el botón Novo (sección 3.2) con un clip → elegir Boot Menu. Alternativa: encender y apretar F12 apenas se prenda.
- En el boot menu, elegir el USB del instalador (aparece como "USB HDD: SanDisk..." o similar, en modo UEFI).
- Esperá unos segundos. Aparece la pantalla del instalador de Windows con selección de idioma.
- Presioná Shift+F10. Si no abre nada, probá Fn+Shift+F10 (ver sección 3.1). Abre un cmd.
- Buscá la letra del USB de Hashes:
El USB del instalador suele serwmic logicaldisk get name,volumenameX:(unidad temporal de WinPE). El otro USB es el de Hashes — fijate en el nombre del volumen ("HASHES" u otro). - Ejecutá el script (cuidado:
D:es la letra del USB de Hashes, no la del instalador):D:\extraer-hash.cmd - Esperá 1 a 2 minutos. El script:
- Descarga utilidades de Microsoft (PowerShell Gallery)
- Extrae el hash del TPM
- Lo agrega al CSV del USB (acumulativo — no sobreescribe)
- Cuando diga OK — Hash extraído y guardado en el USB, apagá:
En el entorno del instalador, elwpeutil shutdownshutdowncomún no funciona; usáwpeutil shutdown. - Tildá el serial en la planilla, desenchufá ambos USB, pasá al siguiente equipo.
No tocar la opción "Instalar ahora"
Solo necesitamos el cmd (Shift+F10) desde la primera pantalla del instalador. Si por error apretás "Instalar", cancelá con la flecha hacia atrás o reiniciá — mientras no llegues a la pantalla de "Aceptar términos" y "Particionar disco", no se toca nada del equipo.
Si el USB del instalador no aparece en el boot menu
En las Lenovo con Secure Boot estricto puede no listar USBs no firmados. Entrá al BIOS (botón Novo → BIOS Setup), buscá Security → Secure Boot y poné
Disabled temporalmente. Después de extraer todos los hashes, volvé a Enabled.
Tiempo por equipo
~3 a 4 minutos por equipo. El boot del USB de Windows tarda. Para lotes grandes considerá tener 2 sets de USBs y procesar en paralelo con otro técnico.
6. Después de procesar el lote: subir el CSV a Intune
- Conectá el USB de Hashes a una PC con internet.
- Abrí
HASHES\autopilot.csvcon Bloc de notas. No usar Excel: rompe el formato del hash (Excel lo trata como número, agrega comillas, le saca padding). - Validar:
- 1 línea de cabecera + 1 fila por equipo procesado.
- Cada fila:
Device Serial Number, Windows Product ID, Hardware Hash. - Si faltan filas, comparar seriales del CSV con la planilla para detectar cuál falta.
- Entrá al Centro de administración de Microsoft Intune.
- Devices → Windows → Windows enrollment → Windows Autopilot → Devices.
- Clic en Import, seleccionar el
autopilot.csv. - Esperar — para lotes grandes puede tardar 10-15 minutos.
- Sync en la barra superior, después Refresh hasta ver todos los dispositivos listados.
7. Troubleshooting Lenovo
| Problema | Solución |
|---|---|
| Shift+F10 no abre cmd | Las F-keys de Lenovo están "invertidas". Probar Fn+Shift+F10. O activar Fn Lock con Fn+Esc (queda fijo). |
| El equipo Lenovo no bootea del USB | BIOS → Security → Secure Boot → Disabled (temporalmente). O usar el botón Novo → Boot Menu, que ignora Secure Boot. |
| No encuentro el botón Novo | En ThinkPad está en el lateral izquierdo cerca de la bisagra. En IdeaPad nuevas, lo reemplazaron por Fn+F2. Si no aparece, usá la tabla de la sección 3.3. |
| Script dice "No se detectó el USB" | El archivo extraer-hash.cmd tiene que estar en la raíz del USB. No funciona si está dentro de una carpeta. Probá otro puerto USB. |
| Error de NuGet / Install-Script falla | Verificar internet con ping google.com. Sin red, el script no puede descargar las utilidades — conseguir conectividad (cable ethernet, hotspot del celular) antes de seguir. |
| El instalador arranca pero no aparece selección de idioma (pantalla negra larga) | El USB puede haber booteado en modo Legacy. Apagar, volver a entrar al boot menu y elegir explícitamente la opción que dice "UEFI: ..." del USB. |
| El CSV tiene menos filas que equipos procesados | Algún equipo falló. Comparar seriales del CSV vs planilla impresa para identificar cuál falta y reprocesarlo. |
Intune dice ZtdDeviceAssignedToAnotherTenant |
Ese Lenovo ya está registrado en otro tenant Autopilot. Hay que pedirle al tenant anterior que lo libere — no es técnico, es comercial. |
| Hash corrupto / error 400 al importar | Abrí el CSV con Notepad, agregá un = al final del hash de la fila problemática. Ver Microsoft Learn Troubleshooting FAQ. |
| TPM no detectado / hash inválido para ese equipo | Botón Novo → BIOS Setup → Security → Security Chip → Active. F10 guardar. Reintentá. |
8. Anexo — Checklist imprimible para campo
Imprimir esta página suelta y llevarla al sitio donde se procesan los equipos. Cubre el procedimiento completo en un vistazo.