Megosztás a következőn keresztül:

Felhasználó által vezérelt Windows Autopilot mód

A Windows Autopilot felhasználó által vezérelt módja lehetővé teszi új Windows-eszközök konfigurálását, hogy automatikusan átalakítsák őket a gyári állapotukból használatra kész állapotba. Ehhez a folyamathoz nincs szükség arra, hogy az informatikai személyzet megérintse az eszközt.

A folyamat egyszerű. Az eszközök közvetlenül a végfelhasználóhoz szállíthatók vagy terjeszthetők az alábbi utasítások szerint:

  1. Csomagolja ki az eszközt, csatlakoztassa, és kapcsolja be.
  2. Ha több nyelvet használ, válasszon nyelvet, területi beállítást és billentyűzetet.
  3. Csatlakoztassa vezeték nélküli vagy vezetékes hálózathoz internetkapcsolattal. Vezeték nélküli kapcsolat használata esetén először csatlakozzon a wi-fi hálózathoz.
  4. Adja meg a szervezeti fiókjához tartozó e-mail-címét és jelszavát.

A folyamat többi része automatizált. Az eszköz a következő lépéseket hajtja végre:

  1. Csatlakozzon a szervezethez.
  2. Regisztrálhat Microsoft Intune vagy egy másik MDM-szolgáltatásban.
  3. A konfigurálás a szervezet által meghatározott módon.

A kezdőélmény (OOBE) során letilthatja a többi kérdést. Az elérhető lehetőségekről további információt az Autopilot-profilok konfigurálása című témakörben talál.

Fontos

Ha Active Directory összevonási szolgáltatások (AD FS) (ADFS) használata esetén van egy ismert probléma, amely lehetővé teszi, hogy a végfelhasználó az eszközhöz rendelt fióktól eltérő fiókkal jelentkezzen be.

A Windows Autopilot felhasználóalapú módja támogatja a hibrid csatlakoztatott eszközök Microsoft Entra csatlakoztatását és Microsoft Entra. A két csatlakozási lehetőségről az alábbi cikkekben talál további információt:

A felhasználóalapú folyamat lépései a következők:

  1. Miután az eszköz csatlakozik egy hálózathoz, az eszköz letölt egy Windows Autopilot-profilt. A profil határozza meg az eszközhöz használt beállításokat. Definiálja például az OOBE során letiltott kéréseket.

  2. A Windows kritikus OOBE-frissítéseket keres. Ha elérhetők frissítések, azok automatikusan települnek. Ha szükséges, az eszköz újraindul.

  3. A rendszer Microsoft Entra hitelesítő adatokat kér a felhasználótól. Ez a testreszabott felhasználói felület megjeleníti a Microsoft Entra bérlő nevét, emblémát és bejelentkezési szöveget.

  4. Az eszköz a Windows Autopilot-profil beállításaitól függően csatlakozik Microsoft Entra ID vagy az Active Directoryhoz.

  5. Az eszköz regisztrál az Intune-ba vagy egy másik konfigurált MDM-szolgáltatásba. A szervezeti igényektől függően ez a regisztráció a következő esetekben történik:

    • A Microsoft Entra csatlakoztatási folyamat során az MDM automatikus regisztrációjának használatával.

    • Az Active Directory csatlakoztatási folyamata előtt.

  6. Ha konfigurálva van, megjelenik a regisztrációs állapotlap (ESP).

  7. Az eszközkonfigurációs feladatok befejezése után a felhasználó a korábban megadott hitelesítő adatokkal jelentkezik be a Windowsba. Ha az eszköz újraindul az eszköz ESP-folyamata során, a felhasználónak újra meg kell adnia hitelesítő adatait. Ezek az adatok az újraindítás után nem maradnak meg.

  8. A bejelentkezés után megjelenik a regisztrációs állapotlap a felhasználó által megcélzott konfigurációs feladatokhoz.

Ha a folyamat során bármilyen probléma merül fel, tekintse meg a Windows Autopilot hibaelhárítását ismertető cikket.

Az elérhető csatlakozási lehetőségekről az alábbi szakaszokban talál további információt:

Felhasználó által vezérelt mód Microsoft Entra csatlakozáshoz

Ha felhasználóalapú üzembe helyezést szeretne végrehajtani a Windows Autopilot használatával, kövesse az alábbi előkészítési lépéseket:

  1. Győződjön meg arról, hogy a felhasználóalapú üzemmódú telepítéseket végző felhasználók csatlakoztathatnak eszközöket Microsoft Entra ID. További információ: Eszközbeállítások konfigurálása a Microsoft Entra dokumentációjában.

  2. Hozzon létre egy Autopilot-profilt a felhasználóalapú módhoz a kívánt beállításokkal.

    • Az Intune-ban ez a mód kifejezetten a profil létrehozásakor lesz kiválasztva.

    • A Microsoft Store Vállalatoknak és a Partnerközpontban a felhasználóalapú üzemmód az alapértelmezett.

  3. Ha az Intune-t használja, hozzon létre egy eszközcsoportot a Microsoft Entra ID, és rendelje hozzá az Autopilot-profilt.

A felhasználóalapú központi telepítéssel üzembe helyezett összes eszközhöz az alábbi további lépések szükségesek:

  • Adja hozzá az eszközt a Windows Autopilothoz. Ezt a lépést kétféleképpen teheti meg:

  • Autopilot-profil hozzárendelése az eszközhöz:

    • Ha intune-t használ, és dinamikus eszközcsoportokat Microsoft Entra, a hozzárendelés automatikusan elvégezhető.

    • Ha intune-t használ, és statikus eszközcsoportokat Microsoft Entra, manuálisan adja hozzá az eszközt az eszközcsoporthoz.

    • Ha más módszereket, például Microsoft Store Vállalatoknak vagy Partnerközpontot használ, manuálisan rendeljen hozzá egy Autopilot-profilt az eszközhöz.

Tipp

Ha az eszköz kívánt végpontja a közös felügyelet, konfigurálhatja az eszközregisztrációt az Intune-ban a közös felügyelet engedélyezéséhez, ami az Autopilot-folyamat során történik. Ez a viselkedés a számítási feladatok szolgáltatóját a Configuration Manager és az Intune között vezényelt módon irányítja. További információ: Regisztrálás az Autopilottal.

Felhasználóalapú mód a hibrid csatlakozás Microsoft Entra

Fontos

A Microsoft az új eszközök natív felhőbeli üzembe helyezését javasolja Microsoft Entra csatlakozással. Nem ajánlott új eszközöket üzembe helyezni Microsoft Entra hibrid csatlakoztatású eszközökként, beleértve az Autopilototot is. További információ: Microsoft Entra csatlakoztatott és Microsoft Entra hibrid csatlakozás a natív felhőbeli végpontokban: Melyik lehetőség a megfelelő a szervezet számára.

A Windows Autopilot megköveteli az eszközök Microsoft Entra csatlakoztatását. Ha helyi Active Directory környezettel rendelkezik, csatlakoztathat eszközöket a helyszíni tartományhoz. Az eszközök csatlakoztatásához konfigurálja az Autopilot-eszközöket úgy, hogy az Microsoft Entra ID hibriden csatlakozzanak.

Tipp

Amikor a Microsoft az ügyféleszközök üzembe helyezéséhez, felügyeletéhez és védelméhez Microsoft Intune és Microsoft Configuration Manager használó ügyfelekkel beszélget, gyakran kapunk kérdéseket az eszközök közös kezelésével és a hibrid csatlakoztatott eszközök Microsoft Entra kapcsolatban. Sok ügyfél összekeveri ezt a két témát. A közös felügyelet felügyeleti lehetőség, a Microsoft Entra ID pedig identitáskezelési lehetőség. További információ: A hibrid Microsoft Entra és a közös felügyeleti forgatókönyvek ismertetése. Ez a blogbejegyzés célja, hogy tisztázza Microsoft Entra hibrid csatlakozás és a közös felügyelet, hogyan működnek együtt, de nem ugyanaz a dolog.

A Configuration Manager-ügyfél nem telepíthető új számítógép Windows Autopilot felhasználó által vezérelt módban történő kiépítésekor a hibrid csatlakozás Microsoft Entra. Ezt a korlátozást az eszköz identitásváltozása okozza a Microsoft Entra csatlakoztatási folyamat során. Helyezze üzembe a Configuration Manager-ügyfelet az Autopilot-folyamat után. Az ügyfél telepítésének alternatív lehetőségeiért lásd: Ügyféltelepítési módszerek az Configuration Manager-ben.

A hibrid Microsoft Entra ID felhasználóalapú módjának követelményei

  • Windows Autopilot-profil létrehozása felhasználóalapú módhoz.

    Az Autopilot-profil Csatlakozás másként Microsoft Entra ID csoportjában válassza Microsoft Entra hibrid illesztés lehetőséget.

  • Ha az Intune-t használja, szüksége lesz egy eszközcsoportra Microsoft Entra ID. Rendelje hozzá a Windows Autopilot-profilt a csoporthoz.

  • Ha az Intune-t használja, hozzon létre és rendeljen hozzá egy Tartományhoz való csatlakozás profilt. A Tartományhoz való csatlakozás konfigurációs profilja helyi Active Directory tartományadatokat tartalmaz.

  • Az eszköznek hozzá kell férnie az internethez. További információkért lásd a hálózati követelményeket.

  • Telepítse az Active Directoryhoz készült Intune-összekötőt.

    Megjegyzés:

    Az Intune-összekötő csatlakoztatja az eszközt a helyszíni tartományhoz. A felhasználóknak nincs szükségük engedélyekre az eszközök helyszíni tartományhoz való csatlakoztatásához. Ez a viselkedés feltételezi, hogy a felhasználó nevében konfigurálja az összekötőt ehhez a művelethez. További információ: A számítógépfiókok korlátjának növelése a szervezeti egységben.

  • Ha proxyt használ, engedélyezze és konfigurálja a WPAD proxybeállításokat.

A felhasználóalapú Microsoft Entra hibrid csatlakoztatásra vonatkozó alapvető követelmények mellett a helyszíni eszközökre a következő további követelmények vonatkoznak:

  • Az eszköz jelenleg a Windows egy támogatott verziójával rendelkezik.

  • Az eszköz csatlakozik a belső hálózathoz, és hozzáféréssel rendelkezik egy Active Directory-tartományvezérlőhöz.

    • Fel kell oldania a tartomány és a tartományvezérlők DNS-rekordjait.

    • A felhasználó hitelesítéséhez kommunikálnia kell a tartományvezérlővel.

Felhasználóalapú mód a vpn-támogatással Microsoft Entra hibrid csatlakozáshoz

Az Active Directoryhoz csatlakoztatott eszközöknek számos tevékenységhez csatlakozniuk kell egy Active Directory-tartományvezérlőhöz. Ezek közé a tevékenységek közé tartozik a felhasználó hitelesítő adatainak ellenőrzése a bejelentkezéskor, valamint a csoportházirend-beállítások alkalmazása. Az Autopilot felhasználó által vezérelt folyamata Microsoft Entra hibrid csatlakoztatott eszközök esetében ellenőrzi, hogy az eszköz kapcsolatba tud-e lépni egy tartományvezérlővel a tartományvezérlő pingelésével.

Ehhez a forgatókönyvhöz a VPN-támogatás hozzáadásával konfigurálhatja a Microsoft Entra hibrid csatlakoztatási folyamatot a kapcsolat ellenőrzésének kihagyására. Ez a módosítás nem szünteti meg a tartományvezérlővel való kommunikáció szükségességét. Ehelyett a szervezet hálózatához való csatlakozás engedélyezéséhez az Intune kézbesíti a szükséges VPN-konfigurációt, mielőtt a felhasználó megpróbál bejelentkezni a Windowsba.

A hibrid Microsoft Entra ID és VPN felhasználói üzemmódra vonatkozó követelmények

A Microsoft Entra hibrid csatlakozással rendelkező felhasználóvezérelt mód alapvető követelményei mellett a következő további követelmények vonatkoznak a VPN-támogatással rendelkező távoli forgatókönyvekre:

  • A Windows jelenleg támogatott verziója.

  • Az Autopilot Microsoft Entra hibrid csatlakozási profiljában engedélyezze a következő beállítást: Tartományi kapcsolat ellenőrzésének kihagyása.

  • VPN-konfiguráció az alábbi lehetőségek egyikével:

    • Az Intune-nal üzembe helyezhető, és lehetővé teszi, hogy a felhasználó manuálisan hozzon létre VPN-kapcsolatot a Windows bejelentkezési képernyőjéről.

    • Szükség szerint automatikusan létrehoz egy VPN-kapcsolatot.

A szükséges VPN-konfiguráció a használt VPN-szoftvertől és hitelesítéstől függ. Külső VPN-megoldások esetében ez a konfiguráció általában egy Win32-alkalmazás Intune Management Extensionsen keresztüli üzembe helyezését jelenti. Ez az alkalmazás tartalmazza a VPN-ügyfélszoftvert és az összes konkrét kapcsolati információt. Ilyenek például a VPN-végpont gazdagépnevei. Az adott szolgáltatóra vonatkozó konfigurációs részletekért tekintse meg a VPN-szolgáltató dokumentációját.

Megjegyzés:

A VPN-követelmények nem az Autopilotra vonatkoznak. Ha például vpn-konfiguráció van implementálva a távoli jelszó-visszaállítás engedélyezéséhez, ugyanez a konfiguráció használható a Windows Autopilottal is. Ezzel a konfigurációval a felhasználók új jelszóval jelentkezhetnek be a Windowsba, ha nem a szervezet hálózatán. Miután a felhasználó bejelentkezett, és a hitelesítő adatai gyorsítótárazva lettek, a későbbi bejelentkezési kísérletekhez nincs szükség kapcsolatra, mivel a Windows a gyorsítótárazott hitelesítő adatokat használja.

Ha a VPN-szoftver tanúsítványhitelesítést igényel, az Intune-ból is üzembe helyezheti a szükséges eszköztanúsítványt. Ez az üzembe helyezés az Intune tanúsítványregisztrációs képességeivel végezhető el, és a tanúsítványprofilokat az eszközre célozza.

Egyes konfigurációk nem támogatottak, mert nem lesznek alkalmazva, amíg a felhasználó be nem jelentkezik a Windowsba:

  • Felhasználói tanúsítványok
  • Nem Microsoft UWP VPN-beépülő modulok a Windows Áruházból

Érvényesítés

Mielőtt megpróbálna Microsoft Entra hibrid csatlakozást VPN használatával, fontos ellenőrizni, hogy a Microsoft Entra hibrid csatlakozási folyamat felhasználó által vezérelt módja működik-e a belső hálózaton. Ez a teszt leegyszerűsíti a hibaelhárítást azáltal, hogy a VPN-konfiguráció hozzáadása előtt meggyőződik arról, hogy az alapvető folyamat működik.

Ezután győződjön meg arról, hogy az Intune-ból üzembe helyezheti a VPN-konfigurációt és annak követelményeit. Tesztelje ezeket az összetevőket egy olyan meglévő eszközzel, amely már Microsoft Entra hibrid csatlakoztatott. Egyes VPN-ügyfelek például gépenkénti VPN-kapcsolatot hoznak létre a telepítési folyamat részeként. Ellenőrizze a konfigurációt az alábbi lépésekkel:

  1. Ellenőrizze, hogy gépenként legalább egy VPN-kapcsolat létrejött-e.

    Get-VpnConnection -AllUserConnection

  2. Próbálja meg manuálisan elindítani a VPN-kapcsolatot.

    RASDIAL.EXE "ConnectionName"

  3. Jelentkezzen ki a Windowsból. Ellenőrizze, hogy látható-e a "VPN-kapcsolat" ikon a Windows bejelentkezési oldalán.

  4. Helyezze át az eszközt a belső hálózatról, és próbálja meg létrehozni a kapcsolatot a Windows bejelentkezési oldalán található ikonnal. Jelentkezzen be egy olyan fiókba, amely nem rendelkezik gyorsítótárazott hitelesítő adatokkal.

Az automatikusan csatlakozó VPN-konfigurációk esetében az érvényesítési lépések eltérőek lehetnek.

Megjegyzés:

Ehhez a forgatókönyvhöz használhat egy mindig elérhető VPN-t. További információ: Mindig bekapcsolt VPN üzembe helyezése.

Következő lépések