Felhasználó által vezérelt Windows Autopilot mód

A Windows Autopilot felhasználóalapú üzemmódja lehetővé teszi, hogy egy új Windows-eszköz úgy legyen konfigurálva, hogy automatikusan átalakítsa őket a gyári állapotukból használatra kész állapotba. Ehhez a folyamathoz nincs szükség arra, hogy az informatikai személyzet megérintse az eszközt.

A folyamat egyszerű. Az eszközök közvetlenül a végfelhasználóhoz szállíthatók vagy terjeszthetők az alábbi utasítások szerint:

1. Csomagolja ki az eszközt, csatlakoztassa, és kapcsolja be.
2. Ha több nyelvet használ, válasszon nyelvet, területi beállítást és billentyűzetet.
3. Csatlakoztassa vezeték nélküli vagy vezetékes hálózathoz internetkapcsolattal. Vezeték nélküli kapcsolat használata esetén először csatlakozzon a wi-fi hálózathoz.
4. Adjon meg egy e-mail-címet és egy jelszót a szervezet számára.

A folyamat többi része automatizált. Az eszköz a következő lépéseket hajtja végre:

1. Csatlakozzon a szervezethez.
2. Regisztrálhat Microsoft Intune vagy más mobileszköz-kezelési (MDM) szolgáltatásban.
3. A konfigurálás a szervezet által meghatározott módon.

A kezdőélmény (OOBE) során más kérések is mellőzhetők. Az elérhető lehetőségekről további információt a Windows Autopilot-profilok konfigurálása című témakörben talál.

Fontos

Ha Active Directory összevonási szolgáltatások (AD FS) (ADFS) van használatban, van egy ismert probléma, amely lehetővé teszi, hogy a végfelhasználó az eszközhöz rendelt fióktól eltérő fiókkal jelentkezzen be.

A Windows Autopilot felhasználóalapú módja támogatja a hibrid csatlakoztatott eszközök Microsoft Entra csatlakoztatását és Microsoft Entra. A két csatlakozási lehetőségről az alábbi cikkekben talál további információt:

• Mi az az eszközidentitás?.
• További információ a natív felhőbeli végpontokról.
• Microsoft Entra csatlakoztatott és Microsoft Entra hibrid csatlakozás a natív felhőbeli végpontokon.
• Oktatóanyag: Natív felhőbeli Windows-végpont beállítása és konfigurálása Microsoft Intune.
• Útmutató: Tervezze meg Microsoft Entra csatlakozás implementálását.
• Keretrendszer a Windows végpontkezelési átalakításához.
• Sikeres a távoli Windows Autopilot és Microsoft Entra hibrid csatlakozás.

A felhasználóalapú folyamat lépései a következők:

1. Miután az eszköz csatlakozik egy hálózathoz, az eszköz letölt egy Windows Autopilot-profilt. A profil határozza meg az eszközhöz használt beállításokat. Definiálja például az OOBE során letiltott kéréseket.

2. A Windows kritikus OOBE-frissítéseket keres. Ha elérhetők frissítések, azok automatikusan települnek. Ha szükséges, az eszköz újraindul.

3. A rendszer Microsoft Entra hitelesítő adatokat kér a felhasználótól. Ez a testreszabott felhasználói felület megjeleníti a Microsoft Entra bérlő nevét, emblémát és bejelentkezési szöveget.

4. Az eszköz a Windows Autopilot-profil beállításaitól függően csatlakozik Microsoft Entra ID vagy az Active Directoryhoz.

5. Az eszköz regisztrál Intune vagy egy másik konfigurált MDM-szolgáltatásra. A szervezeti igényektől függően a regisztráció a következő esetekben történik:

   • A Microsoft Entra csatlakoztatási folyamat során az MDM automatikus regisztrációjának használatával.

   • Az Active Directory csatlakoztatási folyamata előtt.

6. Ha konfigurálva van, megjelenik a regisztrációs állapotlap (ESP).

7. Az eszközkonfigurációs feladatok befejezése után a felhasználó a korábban megadott hitelesítő adatokkal jelentkezik be a Windowsba. Ha az eszköz újraindul az eszköz ESP-folyamata során, a felhasználónak újra meg kell adnia hitelesítő adatait. Ezek az adatok az újraindítás után nem maradnak meg.

8. A bejelentkezés után megjelenik a regisztrációs állapotlap a felhasználó által megcélzott konfigurációs feladatokhoz.

Ha a folyamat során bármilyen probléma merül fel, tekintse meg a Windows Autopilot hibaelhárításával kapcsolatos áttekintést.

Az elérhető csatlakozási lehetőségekről az alábbi szakaszokban talál további információt:

• Microsoft Entra csatlakozás akkor érhető el, ha az eszközöknek nem kell helyi Active Directory tartományhoz csatlakozniuk.
• Microsoft Entra hibrid csatlakoztatás azokhoz az eszközökhöz érhető el, amelyeknek Microsoft Entra ID és a helyi Active Directory tartományhoz is csatlakozniuk kell.

Felhasználó által vezérelt mód Microsoft Entra csatlakozáshoz

Ha felhasználóalapú üzembe helyezést szeretne végrehajtani a Windows Autopilot használatával, kövesse az alábbi előkészítési lépéseket:

1. Győződjön meg arról, hogy a felhasználóalapú üzemmódú telepítéseket végző felhasználók csatlakoztathatnak eszközöket Microsoft Entra ID. További információ: Eszközbeállítások konfigurálása a Microsoft Entra dokumentációjában.

2. Hozzon létre egy Windows Autopilot-profilt a felhasználóalapú módhoz a kívánt beállításokkal.

   • A Intune ezt a módot explicit módon választja ki a profil létrehozásakor.

   • A Microsoft Store Vállalatoknak és a Partnerközpontban a felhasználóalapú üzemmód az alapértelmezett.

3. Ha Intune használ, hozzon létre egy eszközcsoportot Microsoft Entra ID, és rendelje hozzá a Windows Autopilot-profilt.

A felhasználóalapú központi telepítéssel üzembe helyezett összes eszközhöz az alábbi további lépések szükségesek:

• Adja hozzá az eszközt a Windows Autopilothoz. Ez a lépés kétféleképpen végezhető el:

  • Automatikusan egy OEM vagy partner által az eszköz megvásárlásakor.

  • Manuálisan, az eszközök manuális regisztrálása a Windows Autopilottal című cikkben leírtak szerint.

• Windows Autopilot-profil hozzárendelése az eszközhöz:

  • Ha Intune és Microsoft Entra dinamikus eszközcsoportokat használ, a hozzárendelés automatikusan elvégezhető.

  • Ha Intune és Microsoft Entra statikus eszközcsoportokat használ, manuálisan adja hozzá az eszközt az eszközcsoporthoz.

  • Ha más módszereket, például Microsoft Store Vállalatoknak vagy Partnerközpontot használ, manuálisan rendeljen hozzá egy Windows Autopilot-profilt az eszközhöz.

Tipp

Ha az eszköz kívánt végállapota megosztott kezelés, az eszközregisztráció konfigurálható a Intune a közös felügyelet engedélyezéséhez, ami a Windows Autopilot-folyamat során történik. Ez a viselkedés a számítási feladat szolgáltatóját a Konfigurációkezelő és a Intune között vezényelt módon irányítja. További információ: Regisztrálás a Windows Autopilottal.

Felhasználóalapú mód a hibrid csatlakozás Microsoft Entra

Fontos

A Microsoft az új eszközök natív felhőbeli üzembe helyezését javasolja Microsoft Entra csatlakozással. Az új eszközök telepítése nem ajánlott Microsoft Entra hibrid csatlakoztatású eszközökként, beleértve a Windows Autopilototot is. További információ: Microsoft Entra csatlakoztatott és Microsoft Entra hibrid csatlakozás a natív felhőbeli végpontokban: Melyik lehetőség a megfelelő a szervezet számára.

A Windows Autopilot megköveteli az eszközök Microsoft Entra csatlakoztatását. Helyi Active Directory környezet esetén az eszközök csatlakoztathatók a helyszíni tartományhoz. Az eszközök csatlakoztatásához konfigurálja a Windows Autopilot-eszközöket úgy, hogy az hibrid csatlakozást biztosítson Microsoft Entra ID.

Tipp

Amikor a Microsoft az ügyféleszközök üzembe helyezéséhez, felügyeletéhez és védelméhez Microsoft Intune és Microsoft Configuration Manager használó ügyfelekkel beszélget, gyakran kapunk kérdéseket az eszközök közös kezelésével és a hibrid csatlakoztatott eszközök Microsoft Entra kapcsolatban. Sok ügyfél összekeveri ezt a két témát. A közös felügyelet felügyeleti lehetőség, a Microsoft Entra ID pedig identitáskezelési lehetőség. További információ: A hibrid Microsoft Entra és a közös felügyeleti forgatókönyvek ismertetése. Ez a blogbejegyzés célja, hogy tisztázza Microsoft Entra hibrid csatlakozás és a közös felügyelet, hogyan működnek együtt, de nem ugyanaz a dolog.

A Konfigurációkezelő-ügyfél nem helyezhető üzembe egy új számítógép Windows Autopilot felhasználó által vezérelt módban történő kiépítésekor Microsoft Entra hibrid csatlakozáshoz. Ezt a korlátozást az eszköz identitásváltozása okozza a Microsoft Entra csatlakoztatási folyamat során. Telepítse a Konfigurációkezelő-ügyfelet a Windows Autopilot-folyamat után. Az ügyfél telepítésének alternatív lehetőségeiért lásd: Ügyféltelepítési módszerek az Konfigurációkezelő-ben.

A hibrid Microsoft Entra ID felhasználóalapú módjának követelményei

• Windows Autopilot-profil létrehozása felhasználóalapú módhoz.

  A Windows Autopilot-profilBan a Csatlakozás Microsoft Entra ID másként területen válassza Microsoft Entra hibrid csatlakoztatott lehetőséget.

• Intune használata esetén eszközcsoportra van szükség a Microsoft Entra ID. Rendelje hozzá a Windows Autopilot-profilt a csoporthoz.

• Ha Intune használ, hozzon létre és rendeljen hozzá egy Tartományhoz való csatlakozás profilt. A Tartományhoz való csatlakozás konfigurációs profilja helyi Active Directory tartományadatokat tartalmaz.

• Az eszköznek hozzá kell férnie az internethez. További információkért lásd a hálózati követelményeket.

• Telepítse az Active Directoryhoz készült Intune-összekötőt.

  Megjegyzés:

  Az Active Directoryhoz készült Intune-összekötő csatlakoztatja az eszközt a helyszíni tartományhoz. A felhasználóknak nincs szükségük engedélyekre az eszközök helyszíni tartományhoz való csatlakoztatásához. Ez a viselkedés feltételezi, hogy az összekötő ehhez a művelethez van konfigurálva a felhasználó nevében. További információ: A számítógépfiókok korlátjának növelése a szervezeti egységben (OU).

• Ha proxyt használ, engedélyezze és konfigurálja a webproxy automatikus felderítési protokoll (WPAD) proxybeállítását.

A felhasználóalapú Microsoft Entra hibrid csatlakoztatásra vonatkozó alapvető követelmények mellett a helyszíni eszközökre a következő további követelmények vonatkoznak:

• Az eszköz jelenleg a Windows egy támogatott verziójával rendelkezik.

• Az eszköz csatlakozik a belső hálózathoz, és hozzáféréssel rendelkezik egy Active Directory-tartományvezérlőhöz.

  • Fel kell oldania a tartomány és a tartományvezérlők DNS-rekordjait.

  • A felhasználó hitelesítéséhez kommunikálnia kell a tartományvezérlővel.

Felhasználóalapú mód a vpn-támogatással Microsoft Entra hibrid csatlakozáshoz

Az Active Directoryhoz csatlakoztatott eszközöknek számos tevékenységhez csatlakozniuk kell egy Active Directory-tartományvezérlőhöz. Ezek közé a tevékenységek közé tartozik a felhasználó hitelesítő adatainak ellenőrzése a bejelentkezéskor, valamint a csoportházirend-beállítások alkalmazása. A Windows Autopilot felhasználó által vezérelt folyamata Microsoft Entra hibrid csatlakoztatott eszközök esetében ellenőrzi, hogy az eszköz kapcsolatba tud-e lépni egy tartományvezérlővel a tartományvezérlő pingelésével.

A VPN-támogatás ezen forgatókönyvhöz való hozzáadásával a Microsoft Entra hibrid csatlakoztatási folyamat konfigurálható úgy, hogy kihagyja a kapcsolatellenőrzést. Ez a módosítás nem szünteti meg a tartományvezérlővel való kommunikáció szükségességét. Ehelyett a szervezet hálózatához való csatlakozás engedélyezéséhez Intune kézbesíti a szükséges VPN-konfigurációt, mielőtt a felhasználó megpróbál bejelentkezni a Windowsba.

A hibrid Microsoft Entra ID és VPN felhasználói üzemmódra vonatkozó követelmények

A Microsoft Entra hibrid csatlakozással rendelkező felhasználóvezérelt mód alapvető követelményei mellett a következő további követelmények vonatkoznak a VPN-támogatással rendelkező távoli forgatókönyvekre:

• A Windows jelenleg támogatott verziója.

• A Windows Autopilot Microsoft Entra hibrid csatlakozási profiljában engedélyezze a következő beállítást: Tartományi kapcsolat ellenőrzésének kihagyása.

• VPN-konfiguráció az alábbi lehetőségek egyikével:

  • Üzembe helyezhető Intune, és lehetővé teszi, hogy a felhasználó manuálisan hozzon létre VPN-kapcsolatot a Windows bejelentkezési képernyőjéről.

  • Szükség szerint automatikusan létrehoz egy VPN-kapcsolatot.

A szükséges VPN-konfiguráció a használt VPN-szoftvertől és hitelesítéstől függ. A nem Microsoft VPN-megoldások esetében ez a konfiguráció általában egy Win32-alkalmazás üzembe helyezését jelenti a Intune Management Extensions használatával. Ez az alkalmazás tartalmazza a VPN-ügyfélszoftvert és az összes konkrét kapcsolati információt. Ilyenek például a VPN-végpont gazdagépnevei. Az adott szolgáltatóra vonatkozó konfigurációs részletekért tekintse meg a VPN-szolgáltató dokumentációját.

Megjegyzés:

A VPN-követelmények nem a Windows Autopilotra vonatkoznak. Ha például vpn-konfiguráció van implementálva a távoli jelszó-visszaállítás engedélyezéséhez, ugyanez a konfiguráció használható a Windows Autopilottal is. Ezzel a konfigurációval a felhasználók új jelszóval jelentkezhetnek be a Windowsba, ha nem a szervezet hálózatán. Miután a felhasználó bejelentkezett, és a hitelesítő adatai gyorsítótárazva lettek, a későbbi bejelentkezési kísérletekhez nincs szükség kapcsolatra, mivel a Windows a gyorsítótárazott hitelesítő adatokat használja.

Ha a VPN-szoftver tanúsítványhitelesítést igényel, a Intune használatával telepítse a szükséges eszköztanúsítványt is. Ez az üzembe helyezés a Intune tanúsítványregisztrációs képességekkel végezhető el, és a tanúsítványprofilokat az eszközre célozza.

Egyes konfigurációk nem támogatottak, mert nem lesznek alkalmazva, amíg a felhasználó be nem jelentkezik a Windowsba:

• Felhasználói tanúsítványok
• Nem Microsoft UWP VPN-beépülő modulok a Windows Áruházból

Érvényesítés

Mielőtt VPN-sel próbálna Microsoft Entra hibrid csatlakozást, fontos ellenőrizni, hogy a Microsoft Entra hibrid csatlakozási folyamat felhasználó által vezérelt módja működik-e a belső hálózaton. Ez a teszt leegyszerűsíti a hibaelhárítást azáltal, hogy a VPN-konfiguráció hozzáadása előtt meggyőződik arról, hogy az alapvető folyamat működik.

Ezután ellenőrizze, Intune használható-e a VPN-konfiguráció és annak követelményei üzembe helyezéséhez. Tesztelje ezeket az összetevőket egy olyan meglévő eszközzel, amely már Microsoft Entra hibrid csatlakoztatott. Egyes VPN-ügyfelek például gépenkénti VPN-kapcsolatot hoznak létre a telepítési folyamat részeként. Ellenőrizze a konfigurációt az alábbi lépésekkel:

1. Ellenőrizze, hogy gépenként legalább egy VPN-kapcsolat létrejött-e.

   Get-VpnConnection -AllUserConnection
   

2. Próbálja meg manuálisan elindítani a VPN-kapcsolatot.

   RASDIAL.EXE "ConnectionName"
   

3. Jelentkezzen ki a Windowsból. Ellenőrizze, hogy megjelenik-e a VPN-kapcsolat ikon a Windows bejelentkezési oldalán.

4. Helyezze át az eszközt a belső hálózatról, és próbálja meg létrehozni a kapcsolatot a Windows bejelentkezési oldalán található ikonnal. Jelentkezzen be egy olyan fiókba, amely nem rendelkezik gyorsítótárazott hitelesítő adatokkal.

Az automatikusan csatlakozó VPN-konfigurációk esetében az érvényesítési lépések eltérőek lehetnek.

Megjegyzés:

Ehhez a forgatókönyvhöz mindig elérhető VPN használható. További információ: Mindig bekapcsolt VPN üzembe helyezése.

Következő lépések

• Hibrid csatlakoztatott eszközök üzembe helyezése Microsoft Entra Intune és a Windows Autopilot használatával.
• Regisztráció a Windows Autopilottal.
• Próbálja ki a Windows Autopilot hibrid csatlakozást VPN-en keresztül a Azure laborban.

Kapcsolódó tartalom

• Mi az az eszközidentitás?.
• További információ a natív felhőbeli végpontokról.
• Microsoft Entra csatlakoztatott és Microsoft Entra hibrid csatlakozás a natív felhőbeli végpontokon.
• Oktatóanyag: Natív felhőbeli Windows-végpont beállítása és konfigurálása Microsoft Intune.
• Útmutató: Tervezze meg Microsoft Entra csatlakozás implementálását.
• Keretrendszer a Windows végpontkezelési átalakításához.
• A hibrid Azure AD és a közös felügyeleti forgatókönyvek ismertetése.
• Sikeres a távoli Windows Autopilot és a hibrid Azure Active Directory-csatlakozás.