Režim Windows Autopilot řízený uživatelem

• Platí pro:

  ✅ Windows 11, ✅ Windows 10

Režim Windows Autopilot řízený uživatelem umožňuje nakonfigurovat nová zařízení s Windows tak, aby je automaticky transformovala ze stavu výroby do stavu připraveného k použití. Tento proces nevyžaduje, aby se pracovníci IT dotýkali zařízení.

Proces je jednoduchý. Zařízení je možné dodávat nebo distribuovat koncovému uživateli přímo podle následujících pokynů:

1. Rozbalte zařízení, zapojte ho a zapněte ho.
2. Pokud používá více jazyků, zvolte jazyk, národní prostředí a klávesnici.
3. Připojte ho k bezdrátové nebo kabelové síti s přístupem k internetu. Pokud používáte bezdrátovou síť, nejprve se připojte k wi-fi síti.
4. Zadejte svoji e-mailovou adresu a heslo pro účet organizace.

Zbytek procesu je automatizovaný. Zařízení provede následující kroky:

1. Připojte se k organizaci.
2. Zaregistrujte se v Microsoft Intune nebo jiné službě MDM.
3. Proveďte konfiguraci tak, jak ji definuje organizace.

Během počátečního nastavení počítače (OOBE) můžete potlačit jakékoli další výzvy. Další informace o dostupných možnostech najdete v tématu Konfigurace profilů Autopilotu.

Důležité

Pokud používáte Active Directory Federation Services (AD FS) (AD FS), existuje známý problém, který může koncovému uživateli umožnit přihlášení pomocí jiného účtu, než je účet přiřazený k tomuto zařízení.

Režim Windows Autopilot řízený uživatelem podporuje Microsoft Entra připojení a Microsoft Entra hybridních připojených zařízení. Další informace o těchto dvou možnostech spojení najdete v následujících článcích:

• Co je identita zařízení?
• Přečtěte si další informace o koncových bodech nativních pro cloud.
• Microsoft Entra připojených vs. Microsoft Entra hybridně připojených v koncových bodech nativních pro cloud.
• Kurz: Nastavení a konfigurace koncového bodu Windows nativního pro cloud pomocí Microsoft Intune
• Postupy: Plánování implementace Microsoft Entra připojení.
• Architektura pro transformaci správy koncových bodů Windows.
• Úspěch se vzdáleným windows autopilotem a Microsoft Entra hybridním spojením.

Kroky procesu řízeného uživatelem jsou následující:

1. Jakmile se zařízení připojí k síti, stáhne profil Windows Autopilotu. Profil definuje nastavení použitá pro zařízení. Definujte například výzvy potlačené během počátečního nastavení počítače.

2. Systém Windows kontroluje důležité aktualizace OOBE. Pokud jsou k dispozici aktualizace, nainstalují se automaticky. V případě potřeby se zařízení restartuje.

3. Uživateli se zobrazí výzva k zadání přihlašovacích údajů Microsoft Entra. Toto přizpůsobené uživatelské prostředí zobrazuje Microsoft Entra název tenanta, logo a přihlašovací text.

4. Zařízení se připojí Microsoft Entra ID nebo Active Directory v závislosti na nastavení profilu Windows Autopilot.

5. Zařízení se zaregistruje do Intune nebo jiné nakonfigurované služby MDM. V závislosti na potřebách vaší organizace k této registraci dochází buď:

   • Během procesu Microsoft Entra připojení pomocí automatické registrace MDM.

   • Před procesem připojení ke službě Active Directory.

6. Pokud je tato konfigurace nakonfigurovaná, zobrazí se stránka stavu registrace (ESP).

7. Po dokončení úloh konfigurace zařízení se uživatel přihlásí k Windows pomocí přihlašovacích údajů, které zadal dříve. Pokud se zařízení během procesu ESP zařízení restartuje, musí uživatel znovu zadat svoje přihlašovací údaje. Tyto podrobnosti se po restartování nezachovají.

8. Po přihlášení se zobrazí stránka stavu registrace pro úlohy konfigurace cílené na uživatele.

Pokud se během tohoto procesu najdou nějaké problémy, přečtěte si téma Řešení potíží s Windows Autopilotem.

Další informace o dostupných možnostech spojení najdete v následujících částech:

• Microsoft Entra připojení je k dispozici, pokud se zařízení nemusí připojovat k místní Active Directory doméně.
• Microsoft Entra hybridní připojení je k dispozici pro zařízení, která se potřebují připojit k Microsoft Entra ID i k vaší místní Active Directory doméně.

Režim řízený uživatelem pro připojení Microsoft Entra

Pokud chcete dokončit nasazení řízené uživatelem pomocí Windows Autopilotu, postupujte následovně:

1. Ujistěte se, že uživatelé provádějící nasazení v režimu řízeném uživatelem můžou zařízení připojit k Microsoft Entra ID. Další informace najdete v tématu Konfigurace nastavení zařízení v dokumentaci Microsoft Entra.

2. Vytvořte profil Autopilotu pro režim řízený uživatelem s požadovaným nastavením.

   • V Intune se tento režim explicitně zvolí při vytváření profilu.

   • V Microsoft Store pro firmy a Partnerském centru je výchozí režim řízený uživatelem.

3. Pokud používáte Intune, vytvořte skupinu zařízení v Microsoft Entra ID a přiřaďte k této skupině profil Autopilotu.

Pro každé zařízení nasazené pomocí nasazení řízeného uživatelem jsou potřeba tyto další kroky:

• Přidejte zařízení do Windows Autopilotu. Tento krok můžete provést dvěma způsoby:

  • Automaticky výrobcem OEM nebo partnerem při nákupu zařízení.

  • Ručně, jak je popsáno v tématu Přidání zařízení do Windows Autopilotu.

• Přiřaďte k zařízení profil Autopilotu:

  • Pokud používáte Intune a Microsoft Entra dynamických skupin zařízení, můžete toto přiřazení provést automaticky.

  • Pokud používáte Intune a Microsoft Entra skupiny statických zařízení, přidejte zařízení do skupiny zařízení ručně.

  • Pokud používáte jiné metody, například Microsoft Store pro firmy nebo Partnerské centrum, přiřaďte ručně k zařízení profil Autopilotu.

Tip

Pokud je zamýšleným koncovým stavem zařízení spoluspráva, můžete nakonfigurovat registraci zařízení v Intune a povolit tak spolusprávu, ke které dochází během procesu Autopilotu. Toto chování směruje autoritu úlohy orchestrovaným způsobem mezi Configuration Manager a Intune. Další informace najdete v tématu Postup registrace pomocí Autopilotu.

Režim řízený uživatelem pro Microsoft Entra hybridní připojení

Důležité

Microsoft doporučuje nasadit nová zařízení jako nativní pro cloud pomocí Microsoft Entra join. Nasazení nových zařízení jako Microsoft Entra zařízení s hybridním připojováním se nedoporučuje, a to ani prostřednictvím Autopilotu. Další informace najdete v tématu Microsoft Entra join a Microsoft Entra hybrid join v koncových bodech nativních pro cloud: Která možnost je pro vaši organizaci nejvhodnější.

Windows Autopilot vyžaduje připojení zařízení Microsoft Entra. Pokud máte místní Active Directory prostředí, můžete zařízení připojit k místní doméně. Pokud chcete zařízení připojit, nakonfigurujte zařízení Autopilot tak, aby byla hybridně připojená k Microsoft Entra ID.

Tip

Když Microsoft komunikuje se zákazníky, kteří k nasazení, správě a zabezpečení svých klientských zařízení používají Microsoft Intune a Microsoft Configuration Manager, často dostáváme dotazy týkající se spolusprávy zařízení a Microsoft Entra hybridních zařízení. Mnoho zákazníků si tato dvě témata plete. Spoluspráva je možnost správy, zatímco Microsoft Entra ID je možnost identity. Další informace najdete v tématu Principy scénářů hybridní Microsoft Entra a spolusprávy. Cílem tohoto blogového příspěvku je vysvětlit, Microsoft Entra hybridního připojení a spolusprávu, jak fungují společně, ale nejsou to stejné věci.

Klienta Configuration Manager nemůžete nasadit při zřizování nového počítače v režimu Windows Autopilotu řízeném uživatelem pro Microsoft Entra hybridní připojení. Toto omezení je způsobeno změnou identity zařízení během procesu připojení Microsoft Entra. Nasaďte klienta Configuration Manager po dokončení procesu Autopilotu. Alternativní možnosti instalace klienta najdete v tématu Metody instalace klienta v Configuration Manager.

Požadavky na režim řízený uživatelem s hybridním Microsoft Entra ID

• Vytvořte profil Windows Autopilotu pro režim řízený uživatelem.

  V profilu Autopilot v části Připojit k Microsoft Entra ID jako vyberte Microsoft Entra hybrid join.

• Pokud používáte Intune, potřebujete skupinu zařízení v Microsoft Entra ID. Přiřaďte ke skupině profil Windows Autopilot.

• Pokud používáte Intune, vytvořte a přiřaďte profil připojení k doméně. Konfigurační profil připojení k doméně obsahuje informace o místní Active Directory doméně.

• Zařízení musí mít přístup k internetu. Další informace najdete v tématu Požadavky na síť.

• Nainstalujte intune Connector pro Active Directory.

  Poznámka

  Intune Connector připojí zařízení k místní doméně. Uživatelé nepotřebují oprávnění k připojení zařízení k místní doméně. Toto chování předpokládá, že konektor pro tuto akci nakonfigurujete jménem uživatele. Další informace najdete v tématu Zvýšení limitu účtu počítače v organizační jednotce.

• Pokud používáte proxy server, povolte a nakonfigurujte možnost nastavení proxy serveru WPAD.

Kromě těchto základních požadavků na uživatelem řízené Microsoft Entra hybridní připojení platí pro místní zařízení následující další požadavky:

• Zařízení má aktuálně podporovanou verzi Windows.

• Zařízení je připojené k interní síti a má přístup k řadiči domény služby Active Directory.

  • Potřebuje přeložit záznamy DNS pro doménu a řadiče domény.

  • Aby bylo možné uživatele ověřit, musí komunikovat s řadičem domény.

Režim řízený uživatelem pro Microsoft Entra hybridní připojení s podporou sítě VPN

Zařízení připojená ke službě Active Directory vyžadují připojení k řadiči domény služby Active Directory pro mnoho aktivit. Mezi tyto aktivity patří ověřování přihlašovacích údajů uživatele při přihlašování a použití nastavení zásad skupiny. Proces Autopilotu řízený uživatelem pro Microsoft Entra zařízení připojená k hybridnímu připojení ověřuje, že zařízení může kontaktovat řadič domény příkazem ping na řadič domény.

S přidáním podpory sítě VPN pro tento scénář můžete nakonfigurovat proces Microsoft Entra hybridního připojení tak, aby přeskočí kontrolu připojení. Tato změna neodstraní potřebu komunikace s řadičem domény. Místo toho Intune před pokusem uživatele o přihlášení k Windows doručí potřebnou konfiguraci sítě VPN, aby umožnil připojení k síti organizace.

Požadavky na režim řízený uživatelem s hybridními Microsoft Entra ID a VPN

Kromě základních požadavků na režim řízený uživatelem s Microsoft Entra hybridním spojením platí pro vzdálený scénář s podporou sítě VPN následující dodatečné požadavky:

• Aktuálně podporovaná verze Windows.

• V Microsoft Entra profilu hybridního připojení pro Autopilot povolte následující možnost: Přeskočit kontrolu připojení k doméně.

• Konfigurace sítě VPN s jednou z následujících možností:

  • Dá se nasadit s Intune a umožní uživateli navázat připojení VPN ručně z přihlašovací obrazovky Windows.

  • Automaticky naváže připojení VPN podle potřeby.

Konkrétní požadovaná konfigurace sítě VPN závisí na použitém softwaru vpn a ověřování. U řešení VPN třetích stran tato konfigurace obvykle zahrnuje nasazení aplikace Win32 prostřednictvím rozšíření Intune Management Extensions. Tato aplikace by zahrnovala klientský software VPN a všechny konkrétní informace o připojení. Například názvy hostitelů koncových bodů VPN. Podrobnosti o konfiguraci specifické pro daného poskytovatele najdete v dokumentaci k vašemu poskytovateli VPN.

Poznámka

Požadavky na síť VPN nejsou specifické pro Autopilot. Pokud je například implementována konfigurace SÍTĚ VPN, která umožňuje vzdálené resetování hesel, lze stejnou konfiguraci použít se systémem Windows Autopilot. Tato konfigurace by uživateli umožnila přihlásit se k Windows pomocí nového hesla, když není v síti organizace. Jakmile se uživatel přihlásí a jeho přihlašovací údaje se ukládají do mezipaměti, následné pokusy o přihlášení nepotřebují připojení, protože Systém Windows používá přihlašovací údaje uložené v mezipaměti.

Pokud software VPN vyžaduje ověření certifikátu, nasaďte pomocí Intune také požadovaný certifikát zařízení. Toto nasazení je možné provést pomocí funkcí zápisu certifikátů Intune, které se zaměřují na profily certifikátů na zařízení.

Některé konfigurace nejsou podporované, protože se nepoužijí, dokud se uživatel nepřihlásí do Windows:

• Uživatelské certifikáty
• Moduly plug-in VPN pro UPW jiné společnosti než Microsoft z Windows Storu

Ověření

Než se pokusíte Microsoft Entra hybridní připojení pomocí sítě VPN, je důležité ověřit, že v interní síti funguje režim řízený uživatelem pro Microsoft Entra proces hybridního připojení. Tento test zjednodušuje řešení potíží tím, že se před přidáním konfigurace SÍTĚ VPN ujistěte, že základní proces funguje.

Dále ověřte, že můžete použít Intune k nasazení konfigurace sítě VPN a jejích požadavků. Otestujte tyto komponenty na existujícím zařízení, které je už Microsoft Entra hybridně připojené. Někteří klienti VPN například v rámci procesu instalace vytvoří připojení VPN pro jednotlivé počítače. Pomocí následujících kroků ověřte konfiguraci:

1. Ověřte, že se vytvořilo alespoň jedno připojení VPN pro každý počítač.

   Get-VpnConnection -AllUserConnection
   

2. Pokuste se ručně spustit připojení VPN.

   RASDIAL.EXE "ConnectionName"
   

3. Odhlaste se z Windows. Ověřte, že se na přihlašovací stránce Systému Windows zobrazuje ikona Připojení VPN.

4. Přesuňte zařízení mimo interní síť a pokuste se navázat připojení pomocí ikony na přihlašovací stránce windows. Přihlaste se k účtu, který nemá přihlašovací údaje uložené v mezipaměti.

U konfigurací VPN, které se připojují automaticky, se postup ověření může lišit.

Poznámka

Pro tento scénář můžete použít trvale zapnutou síť VPN. Další informace najdete v tématu Nasazení sítě VPN always-on.

Další kroky

• Nasazení Microsoft Entra hybridních zařízení pomocí Intune a Windows Autopilotu
• Postup registrace pomocí Autopilotu
• Vyzkoušení hybridního připojení k Autopilotu přes VPN v testovacím prostředí Azure

Související články

• Co je identita zařízení?
• Přečtěte si další informace o koncových bodech nativních pro cloud.
• Microsoft Entra připojených vs. Microsoft Entra hybridně připojených v koncových bodech nativních pro cloud.
• Kurz: Nastavení a konfigurace koncového bodu Windows nativního pro cloud pomocí Microsoft Intune
• Postupy: Plánování implementace Microsoft Entra připojení.
• Architektura pro transformaci správy koncových bodů Windows.
• Principy scénářů hybridní Azure AD a spolusprávy
• Úspěch se vzdáleným windows autopilotem a hybridním připojením k Azure Active Directory