Felhasználó által vezérelt Windows Autopilot mód
A Windows Autopilot felhasználóalapú üzemmódja lehetővé teszi, hogy egy új Windows-eszköz úgy legyen konfigurálva, hogy automatikusan átalakítsa őket a gyári állapotukból használatra kész állapotba. Ehhez a folyamathoz nincs szükség arra, hogy az informatikai személyzet megérintse az eszközt.
A folyamat egyszerű. Az eszközök közvetlenül a végfelhasználóhoz szállíthatók vagy terjeszthetők az alábbi utasítások szerint:
- Csomagolja ki az eszközt, csatlakoztassa, és kapcsolja be.
- Ha több nyelvet használ, válasszon nyelvet, területi beállítást és billentyűzetet.
- Csatlakoztassa vezeték nélküli vagy vezetékes hálózathoz internetkapcsolattal. Vezeték nélküli kapcsolat használata esetén először csatlakozzon a wi-fi hálózathoz.
- Adjon meg egy e-mail-címet és egy jelszót a szervezet számára.
A folyamat többi része automatizált. Az eszköz a következő lépéseket hajtja végre:
- Csatlakozzon a szervezethez.
- Regisztrálhat a Microsoft Intune-ban vagy más mobileszköz-kezelési (MDM-) szolgáltatásban.
- A konfigurálás a szervezet által meghatározott módon.
A kezdőélmény (OOBE) során más kérések is mellőzhetők. Az elérhető lehetőségekről további információt az Autopilot-profilok konfigurálása című témakörben talál.
Fontos
Az Active Directory összevonási szolgáltatások (ADFS) használata esetén van egy ismert probléma , amely lehetővé teszi, hogy a végfelhasználó az eszközhöz rendelt fióktól eltérő fiókkal jelentkezzen be.
A Windows Autopilot felhasználóalapú módja támogatja a Microsoft Entra-csatlakozást és a Microsoft Entra hibrid csatlakoztatott eszközöket. A két csatlakozási lehetőségről az alábbi cikkekben talál további információt:
- Mi az az eszközidentitás?.
- További információ a natív felhőbeli végpontokról.
- A Microsoft Entra-hoz csatlakoztatott és a Hibrid Microsoft Entra csatlakozik a felhőbeli natív végpontokon.
- Oktatóanyag: Natív felhőbeli Windows-végpont beállítása és konfigurálása a Microsoft Intune-nal.
- Útmutató: A Microsoft Entra-hoz való csatlakozás implementálásának megtervezése.
- Keretrendszer a Windows végpontkezelési átalakításához.
- Sikeres a távoli Windows Autopilot és a Microsoft Entra hibrid csatlakoztatása.
A felhasználóalapú folyamat lépései a következők:
Miután az eszköz csatlakozik egy hálózathoz, az eszköz letölt egy Windows Autopilot-profilt. A profil határozza meg az eszközhöz használt beállításokat. Definiálja például az OOBE során letiltott kéréseket.
A Windows kritikus OOBE-frissítéseket keres. Ha elérhetők frissítések, azok automatikusan települnek. Ha szükséges, az eszköz újraindul.
A rendszer kéri a felhasználótól a Microsoft Entra hitelesítő adatait. Ez a testreszabott felhasználói felület a Microsoft Entra-bérlő nevét, emblémáját és bejelentkezési szövegét jeleníti meg.
Az eszköz a Windows Autopilot-profil beállításaitól függően csatlakozik a Microsoft Entra-azonosítóhoz vagy az Active Directoryhoz.
Az eszköz regisztrál az Intune-ba vagy egy másik konfigurált MDM-szolgáltatásba. A szervezeti igényektől függően a regisztráció a következő esetekben történik:
A Microsoft Entra csatlakoztatási folyamata során használja az MDM automatikus regisztrációját.
Az Active Directory csatlakoztatási folyamata előtt.
Ha konfigurálva van, megjelenik a regisztrációs állapotlap (ESP).
Az eszközkonfigurációs feladatok befejezése után a felhasználó a korábban megadott hitelesítő adatokkal jelentkezik be a Windowsba. Ha az eszköz újraindul az eszköz ESP-folyamata során, a felhasználónak újra meg kell adnia hitelesítő adatait. Ezek az adatok az újraindítás után nem maradnak meg.
A bejelentkezés után megjelenik a regisztrációs állapotlap a felhasználó által megcélzott konfigurációs feladatokhoz.
Ha a folyamat során bármilyen probléma merül fel, tekintse meg a Windows Autopilot hibaelhárításával kapcsolatos áttekintést.
Az elérhető csatlakozási lehetőségekről az alábbi szakaszokban talál további információt:
- A Microsoft Entra-csatlakozás akkor érhető el, ha az eszközöknek nem kell helyszíni Active Directory-tartományhoz csatlakozniuk.
- A Microsoft Entra hibrid csatlakoztatása olyan eszközökhöz érhető el, amelyeknek a Microsoft Entra-azonosítóhoz és a helyszíni Active Directory-tartományhoz is csatlakozniuk kell.
Ha felhasználóalapú üzembe helyezést szeretne végrehajtani a Windows Autopilot használatával, kövesse az alábbi előkészítési lépéseket:
Győződjön meg arról, hogy a felhasználóalapú üzemmódú telepítéseket végző felhasználók csatlakoztathatják az eszközöket a Microsoft Entra-azonosítóhoz. További információ: Eszközbeállítások konfigurálása a Microsoft Entra dokumentációjában.
Hozzon létre egy Autopilot-profilt a felhasználóalapú módhoz a kívánt beállításokkal.
Az Intune-ban ez a mód explicit módon van kiválasztva egy profil létrehozásakor.
A Microsoft Store Vállalatoknak és Partnerközpontban a felhasználóalapú üzemmód az alapértelmezett.
Intune használata esetén hozzon létre egy eszközcsoportot a Microsoft Entra-azonosítóban, és rendelje hozzá az Autopilot-profilt.
A felhasználóalapú központi telepítéssel üzembe helyezett összes eszközhöz az alábbi további lépések szükségesek:
Adja hozzá az eszközt a Windows Autopilothoz. Ez a lépés kétféleképpen végezhető el:
Automatikusan egy OEM vagy partner által az eszköz megvásárlásakor.
Manuálisan, az Eszközök hozzáadása a Windows Autopilothoz című témakörben leírtak szerint.
Autopilot-profil hozzárendelése az eszközhöz:
Az Intune és a Microsoft Entra dinamikus eszközcsoportok használata esetén ez a hozzárendelés automatikusan elvégezhető.
Ha Intune- és Microsoft Entra-alapú statikus eszközcsoportokat használ, manuálisan adja hozzá az eszközt az eszközcsoporthoz.
Ha más módszereket használ, például a Vállalati Microsoft Áruházat vagy a Partnerközpontot, manuálisan rendeljen hozzá egy Autopilot-profilt az eszközhöz.
Tipp.
Ha az eszköz kívánt végpontja megosztott kezelés, az eszközregisztráció konfigurálható az Intune-ban a megosztott kezelés engedélyezéséhez, ami az Autopilot-folyamat során történik. Ez a viselkedés a számításifeladat-szolgáltatót a Configuration Manager és az Intune között vezényelt módon irányítja. További információ: Regisztrálás az Autopilottal.
Fontos
A Microsoft azt javasolja, hogy telepítsen új eszközöket natív felhőbeliként a Microsoft Entra join használatával. Az új eszközök Microsoft Entra hibrid csatlakoztatási eszközként való üzembe helyezése nem ajánlott, beleértve az Autopiloton keresztüli telepítést is. További információ: A Microsoft Entra-hoz csatlakoztatott és a Microsoft Entra hibrid csatlakoztatása a felhőbeli natív végpontokban: Melyik lehetőség a megfelelő a szervezet számára.
A Windows Autopilot megköveteli az eszközök Microsoft Entra-hoz való csatlakoztatását. Helyszíni Active Directory-környezet esetén az eszközök csatlakoztathatók a helyszíni tartományhoz. Az eszközök csatlakoztatásához konfigurálja az Autopilot-eszközöket úgy, hogy hibrid csatlakozást végezzenek a Microsoft Entra ID azonosítójához.
Tipp.
Amikor a Microsoft a Microsoft Intune-t és a Microsoft Configuration Managert használó ügyfelekkel beszél az ügyféleszközök üzembe helyezéséhez, kezeléséhez és védelméhez, gyakran kapunk kérdéseket az eszközök közös kezelésével és a Microsoft Entra hibrid csatlakoztatott eszközeivel kapcsolatban. Sok ügyfél összekeveri ezt a két témát. A közös felügyelet felügyeleti lehetőség, míg a Microsoft Entra ID egy identitásbeállítás. További információ: A hibrid Microsoft Entra és a társfelügyeleti forgatókönyvek ismertetése. Ez a blogbejegyzés célja, hogy tisztázza a Microsoft Entra hibrid csatlakozását és közös felügyeletét, hogy hogyan működnek együtt, de nem azonosak.
A Configuration Manager-ügyfél nem helyezhető üzembe egy új számítógép Windows Autopilot felhasználóalapú módban történő kiépítésekor a Microsoft Entra hibrid csatlakoztatásához. Ezt a korlátozást az eszköz identitásváltozása okozza a Microsoft Entra csatlakoztatási folyamata során. Helyezze üzembe a Configuration Manager-ügyfelet az Autopilot-folyamat után. Az ügyfél telepítésének alternatív lehetőségeiért lásd: Ügyféltelepítési módszerek a Configuration Managerben .
Windows Autopilot-profil létrehozása felhasználóalapú módhoz.
Az Autopilot-profilBan a Csatlakozás a Microsoft Entra-azonosítóhoz mint területen válassza a Microsoft Entra hibrid csatlakozáshoz lehetőséget.
Az Intune használata esetén eszközcsoportra van szükség a Microsoft Entra-azonosítóban. Rendelje hozzá a Windows Autopilot-profilt a csoporthoz.
Intune használata esetén hozzon létre és rendeljen hozzá egy Tartományhoz való csatlakozás profilt. A Tartományhoz való csatlakozás konfigurációs profilja helyszíni Active Directory-tartományadatokat tartalmaz.
Az eszköznek hozzá kell férnie az internethez. További információkért lásd a hálózati követelményeket.
Telepítse az Active Directoryhoz készült Intune-összekötőt.
Megjegyzés
Az Intune-összekötő csatlakoztatja az eszközt a helyszíni tartományhoz. A felhasználóknak nincs szükségük engedélyekre az eszközök helyszíni tartományhoz való csatlakoztatásához. Ez a viselkedés feltételezi, hogy az összekötő ehhez a művelethez van konfigurálva a felhasználó nevében. További információ: A számítógépfiókok korlátjának növelése a szervezeti egységben.
Ha proxyt használ, engedélyezze és konfigurálja a webproxy automatikus felderítési protokoll (WPAD) proxybeállítását.
A felhasználóalapú Microsoft Entra hibrid csatlakoztatásra vonatkozó alapvető követelmények mellett a következő további követelmények vonatkoznak a helyszíni eszközökre:
Az eszköz jelenleg a Windows egy támogatott verziójával rendelkezik.
Az eszköz csatlakozik a belső hálózathoz, és hozzáféréssel rendelkezik egy Active Directory-tartományvezérlőhöz.
Fel kell oldania a tartomány és a tartományvezérlők DNS-rekordjait.
A felhasználó hitelesítéséhez kommunikálnia kell a tartományvezérlővel.
Az Active Directoryhoz csatlakoztatott eszközöknek számos tevékenységhez csatlakozniuk kell egy Active Directory-tartományvezérlőhöz. Ezek közé a tevékenységek közé tartozik a felhasználó hitelesítő adatainak ellenőrzése a bejelentkezéskor, valamint a csoportházirend-beállítások alkalmazása. A Microsoft Entra hibrid csatlakoztatott eszközök Autopilot felhasználóalapú folyamata ellenőrzi, hogy az eszköz kapcsolatba tud-e lépni egy tartományvezérlővel a tartományvezérlő pingelésével.
A VPN-támogatás ezen forgatókönyvhöz való hozzáadásával a Microsoft Entra hibrid csatlakozási folyamata konfigurálható úgy, hogy kihagyja a kapcsolatellenőrzést. Ez a módosítás nem szünteti meg a tartományvezérlővel való kommunikáció szükségességét. Ehelyett a szervezet hálózatához való csatlakozás engedélyezéséhez az Intune kézbesíti a szükséges VPN-konfigurációt, mielőtt a felhasználó megpróbál bejelentkezni a Windowsba.
A Felhasználóalapú mód és a Microsoft Entra hibrid csatlakoztatásának alapvető követelményei mellett a következő további követelmények vonatkoznak a VPN-támogatással rendelkező távoli forgatókönyvekre:
A Windows jelenleg támogatott verziója.
Az Autopilothoz készült Microsoft Entra hibrid csatlakozási profilban engedélyezze a következő beállítást: Tartományi kapcsolat ellenőrzésének kihagyása.
VPN-konfiguráció az alábbi lehetőségek egyikével:
Az Intune-nal üzembe helyezhető, és lehetővé teszi, hogy a felhasználó manuálisan hozzon létre VPN-kapcsolatot a Windows bejelentkezési képernyőjéről.
Szükség szerint automatikusan létrehoz egy VPN-kapcsolatot.
A szükséges VPN-konfiguráció a használt VPN-szoftvertől és hitelesítéstől függ. A nem Microsoft VPN-megoldások esetében ez a konfiguráció általában egy Win32-alkalmazás intune-beli felügyeleti bővítményeken keresztüli üzembe helyezését jelenti. Ez az alkalmazás tartalmazza a VPN-ügyfélszoftvert és az összes konkrét kapcsolati információt. Ilyenek például a VPN-végpont gazdagépnevei. Az adott szolgáltatóra vonatkozó konfigurációs részletekért tekintse meg a VPN-szolgáltató dokumentációját.
Megjegyzés
A VPN-követelmények nem az Autopilotra vonatkoznak. Ha például vpn-konfiguráció van implementálva a távoli jelszó-visszaállítás engedélyezéséhez, ugyanez a konfiguráció használható a Windows Autopilottal is. Ezzel a konfigurációval a felhasználók új jelszóval jelentkezhetnek be a Windowsba, ha nem a szervezet hálózatán. Miután a felhasználó bejelentkezett, és a hitelesítő adatai gyorsítótárazva lettek, a későbbi bejelentkezési kísérletekhez nincs szükség kapcsolatra, mivel a Windows a gyorsítótárazott hitelesítő adatokat használja.
Ha a VPN-szoftver tanúsítványhitelesítést igényel, az Intune-ból is üzembe helyezheti a szükséges eszköztanúsítványt. Ez az üzembe helyezés az Intune tanúsítványregisztrációs képességeivel végezhető el, és a tanúsítványprofilokat az eszközre célozza.
Egyes konfigurációk nem támogatottak, mert nem lesznek alkalmazva, amíg a felhasználó be nem jelentkezik a Windowsba:
- Felhasználói tanúsítványok
- Nem Microsoft UWP VPN-beépülő modulok a Windows Áruházból
Mielőtt hibrid Microsoft Entra-csatlakozást kísérel meg VPN használatával, fontos ellenőrizni, hogy a Microsoft Entra hibrid csatlakozási folyamat felhasználó által vezérelt módja működik-e a belső hálózaton. Ez a teszt leegyszerűsíti a hibaelhárítást azáltal, hogy a VPN-konfiguráció hozzáadása előtt meggyőződik arról, hogy az alapvető folyamat működik.
Ezután ellenőrizze, hogy az Intune használható-e a VPN-konfiguráció és annak követelményei üzembe helyezéséhez. Tesztelje ezeket az összetevőket egy olyan meglévő eszközzel, amely már a Microsoft Entra hibrid csatlakoztatottja. Egyes VPN-ügyfelek például gépenkénti VPN-kapcsolatot hoznak létre a telepítési folyamat részeként. Ellenőrizze a konfigurációt az alábbi lépésekkel:
Ellenőrizze, hogy gépenként legalább egy VPN-kapcsolat létrejött-e.
Get-VpnConnection -AllUserConnection
Próbálja meg manuálisan elindítani a VPN-kapcsolatot.
RASDIAL.EXE "ConnectionName"
Jelentkezzen ki a Windowsból. Ellenőrizze, hogy megjelenik-e a VPN-kapcsolat ikon a Windows bejelentkezési oldalán.
Helyezze át az eszközt a belső hálózatról, és próbálja meg létrehozni a kapcsolatot a Windows bejelentkezési oldalán található ikonnal. Jelentkezzen be egy olyan fiókba, amely nem rendelkezik gyorsítótárazott hitelesítő adatokkal.
Az automatikusan csatlakozó VPN-konfigurációk esetében az érvényesítési lépések eltérőek lehetnek.
Megjegyzés
Ehhez a forgatókönyvhöz mindig elérhető VPN használható. További információ: Mindig bekapcsolt VPN üzembe helyezése.
- Hibrid Microsoft Entra csatlakoztatott eszközök üzembe helyezése az Intune és a Windows Autopilot használatával.
- Regisztrálás az Autopilottal.
- Próbálja ki az Autopilot hibrid csatlakozást VPN-en keresztül az Azure-tesztkörnyezetben.
- Mi az az eszközidentitás?.
- További információ a natív felhőbeli végpontokról.
- A Microsoft Entra-hoz csatlakoztatott és a Hibrid Microsoft Entra csatlakozik a felhőbeli natív végpontokon.
- Oktatóanyag: Natív felhőbeli Windows-végpont beállítása és konfigurálása a Microsoft Intune-nal.
- Útmutató: A Microsoft Entra-hoz való csatlakozás implementálásának megtervezése.
- Keretrendszer a Windows végpontkezelési átalakításához.
- A hibrid Azure AD és a közös felügyeleti forgatókönyvek ismertetése.
- Sikeres a távoli Windows Autopilot és a hibrid Azure Active Directory-csatlakozás.