Režim Windows Autopilot řízený uživatelem

Režim Windows Autopilot řízený uživatelem umožňuje nakonfigurovat nové zařízení s Windows tak, aby ho automaticky transformoval z továrního stavu do stavu připraveného k použití. Tento proces nevyžaduje, aby se pracovníci IT dotýkali zařízení.

Proces je jednoduchý. Zařízení je možné dodávat nebo distribuovat koncovému uživateli přímo podle následujících pokynů:

1. Rozbalte zařízení, zapojte ho a zapněte ho.
2. Pokud používá více jazyků, vyberte jazyk, národní prostředí a klávesnici.
3. Připojte ho k bezdrátové nebo kabelové síti s přístupem k internetu. Pokud používáte bezdrátovou síť, nejprve se připojte k wi-fi síti.
4. Zadejte účet e-mailové adresy a heslo pro organizaci.

Zbytek procesu je automatizovaný. Zařízení provede následující kroky:

1. Připojte se k organizaci.
2. Zaregistrujte se do Microsoft Intune nebo jiné služby správy mobilních zařízení (MDM).
3. Proveďte konfiguraci tak, jak ji definuje organizace.

Další výzvy je možné potlačit během počátečního nastavení počítače(OOBE). Další informace o dostupných možnostech najdete v tématu Konfigurace profilů Windows Autopilotu.

Důležité

Pokud se používá Active Directory Federation Services (AD FS) (AD FS), existuje známý problém, který může koncovému uživateli umožnit přihlášení pomocí jiného účtu, než je účet přiřazený k tomuto zařízení.

Režim Windows Autopilot řízený uživatelem podporuje Microsoft Entra připojení a Microsoft Entra hybridních připojených zařízení. Další informace o těchto dvou možnostech spojení najdete v následujících článcích:

• Co je identita zařízení?
• Přečtěte si další informace o koncových bodech nativních pro cloud.
• Microsoft Entra připojených vs. Microsoft Entra hybridně připojených v koncových bodech nativních pro cloud.
• Kurz: Nastavení a konfigurace koncového bodu Windows nativního pro cloud pomocí Microsoft Intune
• Postupy: Plánování implementace Microsoft Entra připojení.
• Architektura pro transformaci správy koncových bodů Windows.
• Úspěch se vzdáleným windows autopilotem a Microsoft Entra hybridním spojením.

Kroky procesu řízeného uživatelem jsou následující:

1. Jakmile se zařízení připojí k síti, stáhne profil Windows Autopilotu. Profil definuje nastavení použitá pro zařízení. Definujte například výzvy potlačené během počátečního nastavení počítače.

2. Systém Windows kontroluje důležité aktualizace OOBE. Pokud jsou k dispozici aktualizace, nainstalují se automaticky. V případě potřeby se zařízení restartuje.

3. Uživateli se zobrazí výzva k zadání přihlašovacích údajů Microsoft Entra. Toto přizpůsobené uživatelské prostředí zobrazuje Microsoft Entra název tenanta, logo a přihlašovací text.

4. Zařízení se připojí Microsoft Entra ID nebo Active Directory v závislosti na nastavení profilu Windows Autopilot.

5. Zařízení se zaregistruje do Intune nebo jiné nakonfigurované služby MDM. V závislosti na potřebách organizace k této registraci dochází buď:

   • Během procesu Microsoft Entra připojení pomocí automatické registrace MDM.

   • Před procesem připojení ke službě Active Directory.

6. Pokud je tato konfigurace nakonfigurovaná, zobrazí se stránka stavu registrace (ESP).

7. Po dokončení úloh konfigurace zařízení se uživatel přihlásí k Windows pomocí přihlašovacích údajů, které zadal dříve. Pokud se zařízení během procesu ESP zařízení restartuje, musí uživatel znovu zadat svoje přihlašovací údaje. Tyto podrobnosti se po restartování nezachovají.

8. Po přihlášení se zobrazí stránka stavu registrace pro úlohy konfigurace cílené na uživatele.

Pokud se během tohoto procesu najdou nějaké problémy, přečtěte si téma Řešení potíží s Windows Autopilotem – přehled.

Další informace o dostupných možnostech spojení najdete v následujících částech:

• Microsoft Entra připojení je k dispozici, pokud se zařízení nemusí připojovat k místní Active Directory doméně.
• Microsoft Entra hybridní připojení je k dispozici pro zařízení, která se potřebují připojit k Microsoft Entra ID i k místní Active Directory doméně.

Režim řízený uživatelem pro připojení Microsoft Entra

Pokud chcete dokončit nasazení řízené uživatelem pomocí Windows Autopilotu, postupujte následovně:

1. Ujistěte se, že uživatelé provádějící nasazení v režimu řízeném uživatelem můžou zařízení připojit k Microsoft Entra ID. Další informace najdete v tématu Konfigurace nastavení zařízení v dokumentaci Microsoft Entra.

2. Vytvořte profil Windows Autopilotu pro režim řízený uživatelem s požadovaným nastavením.

   • V Intune je tento režim explicitně zvolen při vytvoření profilu.

   • V Microsoft Store pro firmy a Partnerském centru je výchozí režim řízený uživatelem.

3. Pokud používáte Intune, vytvořte skupinu zařízení v Microsoft Entra ID a přiřaďte k této skupině profil Windows Autopilot.

Pro každé zařízení nasazené pomocí nasazení řízeného uživatelem jsou potřeba tyto další kroky:

• Přidejte zařízení do Windows Autopilotu. Tento krok je možné provést dvěma způsoby:

  • Automaticky výrobcem OEM nebo partnerem při zakoupení zařízení.

  • Ručně, jak je popsáno v tématu Ruční registrace zařízení ve Windows Autopilotu.

• Přiřaďte k zařízení profil Windows Autopilotu:

  • Pokud používáte Intune a Microsoft Entra dynamické skupiny zařízení, můžete toto přiřazení provést automaticky.

  • Pokud používáte Intune a Microsoft Entra statických skupin zařízení, přidejte zařízení do skupiny zařízení ručně.

  • Pokud používáte jiné metody, například Microsoft Store pro firmy nebo Partnerské centrum, přiřaďte ručně k zařízení profil Windows Autopilot.

Tip

Pokud je zamýšleným koncovým stavem zařízení spoluspráva, je možné registraci zařízení nakonfigurovat v Intune a povolit tak spolusprávu, ke které dochází během procesu Windows Autopilotu. Toto chování směruje autoritu úlohy orchestrovaným způsobem mezi Configuration Manager a Intune. Další informace najdete v tématu Postup registrace pomocí Windows Autopilotu.

Režim řízený uživatelem pro Microsoft Entra hybridní připojení

Důležité

Microsoft doporučuje nasadit nová zařízení jako nativní pro cloud pomocí Microsoft Entra join. Nasazení nových zařízení jako Microsoft Entra zařízení s hybridním připojováním se nedoporučuje, a to ani prostřednictvím Windows Autopilotu. Další informace najdete v tématu Microsoft Entra join a Microsoft Entra hybrid join v koncových bodech nativních pro cloud: Která možnost je pro vaši organizaci nejvhodnější.

Windows Autopilot vyžaduje připojení zařízení Microsoft Entra. V místní Active Directory prostředí je možné zařízení připojit k místní doméně. Pokud se chcete připojit k zařízením, nakonfigurujte zařízení Windows Autopilot tak, aby byla hybridně připojená k Microsoft Entra ID.

Tip

Když Microsoft komunikuje se zákazníky, kteří k nasazení, správě a zabezpečení svých klientských zařízení používají Microsoft Intune a Microsoft Configuration Manager, často dostáváme dotazy týkající se spolusprávy zařízení a Microsoft Entra hybridních zařízení. Mnoho zákazníků si tato dvě témata plete. Spoluspráva je možnost správy, zatímco Microsoft Entra ID je možnost identity. Další informace najdete v tématu Principy scénářů hybridní Microsoft Entra a spolusprávy. Cílem tohoto blogového příspěvku je vysvětlit, Microsoft Entra hybridního připojení a spolusprávu, jak fungují společně, ale nejsou to stejné věci.

Klienta Configuration Manager nejde nasadit při zřizování nového počítače v režimu Windows Autopilot pro Microsoft Entra hybridní připojení. Toto omezení je způsobeno změnou identity zařízení během procesu připojení Microsoft Entra. Nasaďte klienta Configuration Manager po dokončení procesu Windows Autopilot. Alternativní možnosti instalace klienta najdete v tématu Metody instalace klienta v Configuration Manager.

Požadavky na režim řízený uživatelem s hybridním Microsoft Entra ID

• Vytvořte profil Windows Autopilotu pro režim řízený uživatelem.

  V profilu Windows Autopilot v části Připojit k Microsoft Entra ID jako vyberte Microsoft Entra hybrid join.

• Pokud používáte Intune, je v Microsoft Entra ID potřeba skupina zařízení. Přiřaďte ke skupině profil Windows Autopilot.

• Pokud používáte Intune, vytvořte a přiřaďte profil připojení k doméně. Konfigurační profil připojení k doméně obsahuje informace o místní Active Directory doméně.

• Zařízení musí mít přístup k internetu. Další informace najdete v tématu Požadavky na síť.

• Nainstalujte Intune Connector pro Službu Active Directory.

  Poznámka

  Konektor Intune pro Active Directory připojí zařízení k místní doméně. Uživatelé nepotřebují oprávnění k připojení zařízení k místní doméně. Toto chování předpokládá, že konektor je nakonfigurovaný pro tuto akci jménem uživatele. Další informace najdete v tématu Zvýšení limitu účtu počítače v organizační jednotce (OU).

• Pokud používáte proxy server, povolte a nakonfigurujte možnost nastavení proxy serveru WPAD (Web Proxy Auto-Discovery Protocol).

Kromě těchto základních požadavků na uživatelem řízené Microsoft Entra hybridní připojení platí pro místní zařízení následující další požadavky:

• Zařízení má aktuálně podporovanou verzi Windows.

• Zařízení je připojené k interní síti a má přístup k řadiči domény služby Active Directory.

  • Potřebuje přeložit záznamy DNS pro doménu a řadiče domény.

  • Aby bylo možné uživatele ověřit, musí komunikovat s řadičem domény.

Režim řízený uživatelem pro Microsoft Entra hybridní připojení s podporou sítě VPN

Zařízení připojená ke službě Active Directory vyžadují připojení k řadiči domény služby Active Directory pro mnoho aktivit. Mezi tyto aktivity patří ověřování přihlašovacích údajů uživatele při přihlašování a použití nastavení zásad skupiny. Proces windows Autopilotu řízený uživatelem pro Microsoft Entra zařízení připojená k hybridnímu připojení ověřuje, že zařízení může kontaktovat řadič domény příkazem ping na řadič domény.

S přidáním podpory sítě VPN pro tento scénář je možné nakonfigurovat proces Microsoft Entra hybridního připojení tak, aby přeskakoval kontrolu připojení. Tato změna neodstraní potřebu komunikace s řadičem domény. Místo toho, aby bylo možné připojení k síti organizace, Intune zajistí potřebnou konfiguraci sítě VPN před tím, než se uživatel pokusí přihlásit k Windows.

Požadavky na režim řízený uživatelem s hybridními Microsoft Entra ID a VPN

Kromě základních požadavků na režim řízený uživatelem s Microsoft Entra hybridním spojením platí pro vzdálený scénář s podporou sítě VPN následující dodatečné požadavky:

• Aktuálně podporovaná verze Windows.

• V Microsoft Entra profilu hybridního připojení pro Windows Autopilot povolte následující možnost: Přeskočit kontrolu připojení k doméně.

• Konfigurace sítě VPN s jednou z následujících možností:

  • Dá se nasadit s Intune a umožní uživateli ručně navázat připojení VPN z přihlašovací obrazovky Windows.

  • Automaticky naváže připojení VPN podle potřeby.

Konkrétní požadovaná konfigurace sítě VPN závisí na použitém softwaru vpn a ověřování. U řešení VPN jiných společností než Microsoft tato konfigurace obvykle zahrnuje nasazení aplikace Win32 prostřednictvím rozšíření Intune Management. Tato aplikace by zahrnovala klientský software VPN a všechny konkrétní informace o připojení. Například názvy hostitelů koncových bodů VPN. Podrobnosti o konfiguraci specifické pro daného poskytovatele najdete v dokumentaci k poskytovateli VPN.

Poznámka

Požadavky na síť VPN nejsou specifické pro Windows Autopilot. Pokud je například implementována konfigurace SÍTĚ VPN, která umožňuje vzdálené resetování hesel, lze stejnou konfiguraci použít se systémem Windows Autopilot. Tato konfigurace by uživateli umožnila přihlásit se k Windows pomocí nového hesla, když není v síti organizace. Jakmile se uživatel přihlásí a jeho přihlašovací údaje se ukládají do mezipaměti, následné pokusy o přihlášení nepotřebují připojení, protože Systém Windows používá přihlašovací údaje uložené v mezipaměti.

Pokud software VPN vyžaduje ověření certifikátu, použijte Intune a nasaďte také požadovaný certifikát zařízení. Toto nasazení je možné provést pomocí funkcí Intune zápisu certifikátů, které se zaměřují na profily certifikátů na zařízení.

Některé konfigurace nejsou podporované, protože se nepoužijí, dokud se uživatel nepřihlásí do Windows:

• Uživatelské certifikáty
• Moduly plug-in VPN pro UPW jiné společnosti než Microsoft z Windows Storu

Validace

Před pokusem o Microsoft Entra hybridní připojení pomocí sítě VPN je důležité ověřit, že režim řízený uživatelem pro Microsoft Entra proces hybridního připojení funguje v interní síti. Tento test zjednodušuje řešení potíží tím, že se před přidáním konfigurace SÍTĚ VPN ujistěte, že základní proces funguje.

Dále ověřte, Intune můžete použít k nasazení konfigurace sítě VPN a jejích požadavků. Otestujte tyto komponenty na existujícím zařízení, které je už Microsoft Entra hybridně připojené. Někteří klienti VPN například v rámci procesu instalace vytvoří připojení VPN pro jednotlivé počítače. Pomocí následujících kroků ověřte konfiguraci:

1. Ověřte, že se vytvořilo alespoň jedno připojení VPN pro každý počítač.

   Get-VpnConnection -AllUserConnection
   

2. Pokuste se ručně spustit připojení VPN.

   RASDIAL.EXE "ConnectionName"
   

3. Odhlaste se z Windows. Ověřte, že se na přihlašovací stránce Systému Windows zobrazuje ikona připojení VPN .

4. Přesuňte zařízení mimo interní síť a pokuste se navázat připojení pomocí ikony na přihlašovací stránce windows. Přihlaste se k účtu, který nemá přihlašovací údaje uložené v mezipaměti.

U konfigurací VPN, které se připojují automaticky, se postup ověření může lišit.

Poznámka

Pro tento scénář je možné použít nepřetržitě zapnutou síť VPN. Další informace najdete v tématu Nasazení sítě VPN always-on.

Další kroky

• Nasaďte Microsoft Entra zařízení připojená k hybridnímu připojení pomocí Intune a Windows Autopilotu.
• Postup registrace pomocí Windows Autopilotu
• Vyzkoušejte hybridní připojení Windows Autopilotu přes VPN ve vašem testovacím prostředí Azure.

Související obsah

• Co je identita zařízení?
• Přečtěte si další informace o koncových bodech nativních pro cloud.
• Microsoft Entra připojených vs. Microsoft Entra hybridně připojených v koncových bodech nativních pro cloud.
• Kurz: Nastavení a konfigurace koncového bodu Windows nativního pro cloud pomocí Microsoft Intune
• Postupy: Plánování implementace Microsoft Entra připojení.
• Architektura pro transformaci správy koncových bodů Windows.
• Principy scénářů hybridní Azure AD a spolusprávy
• Úspěch se vzdáleným windows autopilotem a hybridním připojením k Azure Active Directory