Megosztás a következőn keresztül:

Felhasználó által vezérelt Windows Autopilot mód

A Windows Autopilot felhasználóalapú üzemmódja lehetővé teszi, hogy egy új Windows-eszköz úgy legyen konfigurálva, hogy automatikusan átalakítsa őket a gyári állapotukból használatra kész állapotba. Ehhez a folyamathoz nincs szükség arra, hogy az informatikai személyzet megérintse az eszközt.

A folyamat egyszerű. Az eszközök közvetlenül a végfelhasználóhoz szállíthatók vagy terjeszthetők az alábbi utasítások szerint:

  1. Csomagolja ki az eszközt, csatlakoztassa, és kapcsolja be.
  2. Ha több nyelvet használ, válasszon nyelvet, területi beállítást és billentyűzetet.
  3. Csatlakoztassa vezeték nélküli vagy vezetékes hálózathoz internetkapcsolattal. Vezeték nélküli kapcsolat használata esetén először csatlakozzon a wi-fi hálózathoz.
  4. Adjon meg egy e-mail-címet és egy jelszót a szervezet számára.

A folyamat többi része automatizált. Az eszköz a következő lépéseket hajtja végre:

  1. Csatlakozzon a szervezethez.
  2. Regisztrálhat a Microsoft Intune-ban vagy más mobileszköz-kezelési (MDM-) szolgáltatásban.
  3. A konfigurálás a szervezet által meghatározott módon.

A kezdőélmény (OOBE) során más kérések is mellőzhetők. Az elérhető lehetőségekről további információt az Autopilot-profilok konfigurálása című témakörben talál.

Fontos

Az Active Directory összevonási szolgáltatások (ADFS) használata esetén van egy ismert probléma , amely lehetővé teszi, hogy a végfelhasználó az eszközhöz rendelt fióktól eltérő fiókkal jelentkezzen be.

A Windows Autopilot felhasználóalapú módja támogatja a Microsoft Entra-csatlakozást és a Microsoft Entra hibrid csatlakoztatott eszközöket. A két csatlakozási lehetőségről az alábbi cikkekben talál további információt:

A felhasználóalapú folyamat lépései a következők:

  1. Miután az eszköz csatlakozik egy hálózathoz, az eszköz letölt egy Windows Autopilot-profilt. A profil határozza meg az eszközhöz használt beállításokat. Definiálja például az OOBE során letiltott kéréseket.

  2. A Windows kritikus OOBE-frissítéseket keres. Ha elérhetők frissítések, azok automatikusan települnek. Ha szükséges, az eszköz újraindul.

  3. A rendszer kéri a felhasználótól a Microsoft Entra hitelesítő adatait. Ez a testreszabott felhasználói felület a Microsoft Entra-bérlő nevét, emblémáját és bejelentkezési szövegét jeleníti meg.

  4. Az eszköz a Windows Autopilot-profil beállításaitól függően csatlakozik a Microsoft Entra-azonosítóhoz vagy az Active Directoryhoz.

  5. Az eszköz regisztrál az Intune-ba vagy egy másik konfigurált MDM-szolgáltatásba. A szervezeti igényektől függően a regisztráció a következő esetekben történik:

    • A Microsoft Entra csatlakoztatási folyamata során használja az MDM automatikus regisztrációját.

    • Az Active Directory csatlakoztatási folyamata előtt.

  6. Ha konfigurálva van, megjelenik a regisztrációs állapotlap (ESP).

  7. Az eszközkonfigurációs feladatok befejezése után a felhasználó a korábban megadott hitelesítő adatokkal jelentkezik be a Windowsba. Ha az eszköz újraindul az eszköz ESP-folyamata során, a felhasználónak újra meg kell adnia hitelesítő adatait. Ezek az adatok az újraindítás után nem maradnak meg.

  8. A bejelentkezés után megjelenik a regisztrációs állapotlap a felhasználó által megcélzott konfigurációs feladatokhoz.

Ha a folyamat során bármilyen probléma merül fel, tekintse meg a Windows Autopilot hibaelhárítását ismertető cikket.

Az elérhető csatlakozási lehetőségekről az alábbi szakaszokban talál további információt:

Felhasználóalapú mód a Microsoft Entra-csatlakozáshoz

Ha felhasználóalapú üzembe helyezést szeretne végrehajtani a Windows Autopilot használatával, kövesse az alábbi előkészítési lépéseket:

  1. Győződjön meg arról, hogy a felhasználóalapú üzemmódú telepítéseket végző felhasználók csatlakoztathatják az eszközöket a Microsoft Entra-azonosítóhoz. További információ: Eszközbeállítások konfigurálása a Microsoft Entra dokumentációjában.

  2. Hozzon létre egy Autopilot-profilt a felhasználóalapú módhoz a kívánt beállításokkal.

    • Az Intune-ban ez a mód explicit módon van kiválasztva egy profil létrehozásakor.

    • A Microsoft Store Vállalatoknak és Partnerközpontban a felhasználóalapú üzemmód az alapértelmezett.

  3. Intune használata esetén hozzon létre egy eszközcsoportot a Microsoft Entra-azonosítóban, és rendelje hozzá az Autopilot-profilt.

A felhasználóalapú központi telepítéssel üzembe helyezett összes eszközhöz az alábbi további lépések szükségesek:

  • Adja hozzá az eszközt a Windows Autopilothoz. Ez a lépés kétféleképpen végezhető el:

  • Autopilot-profil hozzárendelése az eszközhöz:

    • Az Intune és a Microsoft Entra dinamikus eszközcsoportok használata esetén ez a hozzárendelés automatikusan elvégezhető.

    • Ha Intune- és Microsoft Entra-alapú statikus eszközcsoportokat használ, manuálisan adja hozzá az eszközt az eszközcsoporthoz.

    • Ha más módszereket használ, például a Vállalati Microsoft Áruházat vagy a Partnerközpontot, manuálisan rendeljen hozzá egy Autopilot-profilt az eszközhöz.

Tipp

Ha az eszköz kívánt végpontja megosztott kezelés, az eszközregisztráció konfigurálható az Intune-ban a megosztott kezelés engedélyezéséhez, ami az Autopilot-folyamat során történik. Ez a viselkedés a számításifeladat-szolgáltatót a Configuration Manager és az Intune között vezényelt módon irányítja. További információ: Regisztrálás az Autopilottal.

Felhasználóalapú mód a Microsoft Entra hibrid csatlakoztatásához

Fontos

A Microsoft azt javasolja, hogy telepítsen új eszközöket natív felhőbeliként a Microsoft Entra join használatával. Az új eszközök Microsoft Entra hibrid csatlakoztatási eszközként való üzembe helyezése nem ajánlott, beleértve az Autopiloton keresztüli telepítést is. További információ: A Microsoft Entra-hoz csatlakoztatott és a Microsoft Entra hibrid csatlakoztatása a felhőbeli natív végpontokban: Melyik lehetőség a megfelelő a szervezet számára.

A Windows Autopilot megköveteli az eszközök Microsoft Entra-hoz való csatlakoztatását. Helyszíni Active Directory-környezet esetén az eszközök csatlakoztathatók a helyszíni tartományhoz. Az eszközök csatlakoztatásához konfigurálja az Autopilot-eszközöket úgy, hogy hibrid csatlakozást végezzenek a Microsoft Entra ID azonosítójához.

Tipp

Amikor a Microsoft a Microsoft Intune-t és a Microsoft Configuration Managert használó ügyfelekkel beszél az ügyféleszközök üzembe helyezéséhez, kezeléséhez és védelméhez, gyakran kapunk kérdéseket az eszközök közös kezelésével és a Microsoft Entra hibrid csatlakoztatott eszközeivel kapcsolatban. Sok ügyfél összekeveri ezt a két témát. A közös felügyelet felügyeleti lehetőség, míg a Microsoft Entra ID egy identitásbeállítás. További információ: A hibrid Microsoft Entra és a társfelügyeleti forgatókönyvek ismertetése. Ez a blogbejegyzés célja, hogy tisztázza a Microsoft Entra hibrid csatlakozását és közös felügyeletét, hogy hogyan működnek együtt, de nem azonosak.

A Configuration Manager-ügyfél nem helyezhető üzembe egy új számítógép Windows Autopilot felhasználóalapú módban történő kiépítésekor a Microsoft Entra hibrid csatlakoztatásához. Ezt a korlátozást az eszköz identitásváltozása okozza a Microsoft Entra csatlakoztatási folyamata során. Helyezze üzembe a Configuration Manager-ügyfelet az Autopilot-folyamat után. Az ügyfél telepítésének alternatív lehetőségeiért lásd: Ügyféltelepítési módszerek a Configuration Managerben .

A hibrid Microsoft Entra-azonosítóval rendelkező felhasználóalapú mód követelményei

  • Windows Autopilot-profil létrehozása felhasználóalapú módhoz.

    Az Autopilot-profilBan a Csatlakozás a Microsoft Entra-azonosítóhoz mint területen válassza a Microsoft Entra hibrid csatlakozáshoz lehetőséget.

  • Az Intune használata esetén eszközcsoportra van szükség a Microsoft Entra-azonosítóban. Rendelje hozzá a Windows Autopilot-profilt a csoporthoz.

  • Intune használata esetén hozzon létre és rendeljen hozzá egy Tartományhoz való csatlakozás profilt. A Tartományhoz való csatlakozás konfigurációs profilja helyszíni Active Directory-tartományadatokat tartalmaz.

  • Az eszköznek hozzá kell férnie az internethez. További információkért lásd a hálózati követelményeket.

  • Telepítse az Active Directoryhoz készült Intune-összekötőt.

    Megjegyzés:

    Az Intune-összekötő csatlakoztatja az eszközt a helyszíni tartományhoz. A felhasználóknak nincs szükségük engedélyekre az eszközök helyszíni tartományhoz való csatlakoztatásához. Ez a viselkedés feltételezi, hogy az összekötő ehhez a művelethez van konfigurálva a felhasználó nevében. További információ: A számítógépfiókok korlátjának növelése a szervezeti egységben.

  • Ha proxyt használ, engedélyezze és konfigurálja a webproxy automatikus felderítési protokoll (WPAD) proxybeállítását.

A felhasználóalapú Microsoft Entra hibrid csatlakoztatásra vonatkozó alapvető követelmények mellett a következő további követelmények vonatkoznak a helyszíni eszközökre:

  • Az eszköz jelenleg a Windows egy támogatott verziójával rendelkezik.

  • Az eszköz csatlakozik a belső hálózathoz, és hozzáféréssel rendelkezik egy Active Directory-tartományvezérlőhöz.

    • Fel kell oldania a tartomány és a tartományvezérlők DNS-rekordjait.

    • A felhasználó hitelesítéséhez kommunikálnia kell a tartományvezérlővel.

Felhasználóalapú mód a Microsoft Entra hibrid csatlakoztatásához VPN-támogatással

Az Active Directoryhoz csatlakoztatott eszközöknek számos tevékenységhez csatlakozniuk kell egy Active Directory-tartományvezérlőhöz. Ezek közé a tevékenységek közé tartozik a felhasználó hitelesítő adatainak ellenőrzése a bejelentkezéskor, valamint a csoportházirend-beállítások alkalmazása. A Microsoft Entra hibrid csatlakoztatott eszközök Autopilot felhasználóalapú folyamata ellenőrzi, hogy az eszköz kapcsolatba tud-e lépni egy tartományvezérlővel a tartományvezérlő pingelésével.

A VPN-támogatás ezen forgatókönyvhöz való hozzáadásával a Microsoft Entra hibrid csatlakozási folyamata konfigurálható úgy, hogy kihagyja a kapcsolatellenőrzést. Ez a módosítás nem szünteti meg a tartományvezérlővel való kommunikáció szükségességét. Ehelyett a szervezet hálózatához való csatlakozás engedélyezéséhez az Intune kézbesíti a szükséges VPN-konfigurációt, mielőtt a felhasználó megpróbál bejelentkezni a Windowsba.

A hibrid Microsoft Entra ID és VPN felhasználói üzemmódra vonatkozó követelmények

A Felhasználóalapú mód és a Microsoft Entra hibrid csatlakoztatásának alapvető követelményei mellett a következő további követelmények vonatkoznak a VPN-támogatással rendelkező távoli forgatókönyvekre:

  • A Windows jelenleg támogatott verziója.

  • Az Autopilothoz készült Microsoft Entra hibrid csatlakozási profilban engedélyezze a következő beállítást: Tartományi kapcsolat ellenőrzésének kihagyása.

  • VPN-konfiguráció az alábbi lehetőségek egyikével:

    • Az Intune-nal üzembe helyezhető, és lehetővé teszi, hogy a felhasználó manuálisan hozzon létre VPN-kapcsolatot a Windows bejelentkezési képernyőjéről.

    • Szükség szerint automatikusan létrehoz egy VPN-kapcsolatot.

A szükséges VPN-konfiguráció a használt VPN-szoftvertől és hitelesítéstől függ. A nem Microsoft VPN-megoldások esetében ez a konfiguráció általában egy Win32-alkalmazás intune-beli felügyeleti bővítményeken keresztüli üzembe helyezését jelenti. Ez az alkalmazás tartalmazza a VPN-ügyfélszoftvert és az összes konkrét kapcsolati információt. Ilyenek például a VPN-végpont gazdagépnevei. Az adott szolgáltatóra vonatkozó konfigurációs részletekért tekintse meg a VPN-szolgáltató dokumentációját.

Megjegyzés:

A VPN-követelmények nem az Autopilotra vonatkoznak. Ha például vpn-konfiguráció van implementálva a távoli jelszó-visszaállítás engedélyezéséhez, ugyanez a konfiguráció használható a Windows Autopilottal is. Ezzel a konfigurációval a felhasználók új jelszóval jelentkezhetnek be a Windowsba, ha nem a szervezet hálózatán. Miután a felhasználó bejelentkezett, és a hitelesítő adatai gyorsítótárazva lettek, a későbbi bejelentkezési kísérletekhez nincs szükség kapcsolatra, mivel a Windows a gyorsítótárazott hitelesítő adatokat használja.

Ha a VPN-szoftver tanúsítványhitelesítést igényel, az Intune-ból is üzembe helyezheti a szükséges eszköztanúsítványt. Ez az üzembe helyezés az Intune tanúsítványregisztrációs képességeivel végezhető el, és a tanúsítványprofilokat az eszközre célozza.

Egyes konfigurációk nem támogatottak, mert nem lesznek alkalmazva, amíg a felhasználó be nem jelentkezik a Windowsba:

  • Felhasználói tanúsítványok
  • Nem Microsoft UWP VPN-beépülő modulok a Windows Áruházból

Érvényesítés

Mielőtt hibrid Microsoft Entra-csatlakozást kísérel meg VPN használatával, fontos ellenőrizni, hogy a Microsoft Entra hibrid csatlakozási folyamat felhasználó által vezérelt módja működik-e a belső hálózaton. Ez a teszt leegyszerűsíti a hibaelhárítást azáltal, hogy a VPN-konfiguráció hozzáadása előtt meggyőződik arról, hogy az alapvető folyamat működik.

Ezután ellenőrizze, hogy az Intune használható-e a VPN-konfiguráció és annak követelményei üzembe helyezéséhez. Tesztelje ezeket az összetevőket egy olyan meglévő eszközzel, amely már a Microsoft Entra hibrid csatlakoztatottja. Egyes VPN-ügyfelek például gépenkénti VPN-kapcsolatot hoznak létre a telepítési folyamat részeként. Ellenőrizze a konfigurációt az alábbi lépésekkel:

  1. Ellenőrizze, hogy gépenként legalább egy VPN-kapcsolat létrejött-e.

    Get-VpnConnection -AllUserConnection

  2. Próbálja meg manuálisan elindítani a VPN-kapcsolatot.

    RASDIAL.EXE "ConnectionName"

  3. Jelentkezzen ki a Windowsból. Ellenőrizze, hogy megjelenik-e a VPN-kapcsolat ikon a Windows bejelentkezési oldalán.

  4. Helyezze át az eszközt a belső hálózatról, és próbálja meg létrehozni a kapcsolatot a Windows bejelentkezési oldalán található ikonnal. Jelentkezzen be egy olyan fiókba, amely nem rendelkezik gyorsítótárazott hitelesítő adatokkal.

Az automatikusan csatlakozó VPN-konfigurációk esetében az érvényesítési lépések eltérőek lehetnek.

Megjegyzés:

Ehhez a forgatókönyvhöz mindig elérhető VPN használható. További információ: Mindig bekapcsolt VPN üzembe helyezése.

Következő lépések

Kapcsolódó tartalom