Registrazione in blocco per dispositivi Windows
Si applica a
- Windows 10
- Windows 11
Aggiungere nuovi dispositivi Windows a Microsoft Entra ID e Intune. Per registrare in blocco i dispositivi per il tenant Microsoft Entra, creare un pacchetto di provisioning con l'app Windows Configuration Designer (WCD). L'applicazione del pacchetto di provisioning ai dispositivi di proprietà dell'azienda aggiunge i dispositivi al tenant Microsoft Entra e li registra per la gestione Intune. Dopo l'applicazione, il pacchetto è pronto per l'accesso degli utenti Microsoft Entra.
Microsoft Entra utenti sono utenti standard in questi dispositivi e ricevono i criteri di Intune assegnati e le app necessarie. I dispositivi Windows registrati in Intune con la registrazione in blocco di Windows possono usare l'app Portale aziendale per installare le app disponibili.
Ruoli e autorizzazioni
Per creare un token di registrazione bulk, è necessario disporre di un'assegnazione di ruolo Microsoft Entra supportata e non deve essere limitato a un'unità amministrativa in Microsoft Entra ID. I ruoli supportati sono:
- Amministratore globale
- Amministratore del dispositivo cloud
- Amministratore Intune
- Amministratore password
È possibile assegnare questi ruoli in Intune per le impostazioni del tenant education > o nell'interfaccia di amministrazione > Microsoft Intune Utenti. Per altre informazioni, vedere Concedere autorizzazioni di amministratore nell'interfaccia di amministrazione Microsoft Intune.
Prerequisiti
- I dispositivi devono eseguire Windows 11 o Windows 10 Creator Update (build 1709) o versione successiva.
- Abilitare la registrazione automatica di Windows.
Assicurarsi inoltre che l'entità servizio per Microsoft.Azure.SyncFabric (AppID 0000000014-0000-0000-c000-000000000000000) sia presente nel tenant Microsoft Entra. In una riga di comando usare il Get-AzureADServicePrincipal comando per verificare la presenza dell'entità servizio. Senza l'entità servizio, La configurazione di Windows Designer non è in grado di recuperare il token di registrazione bulk, generando un errore.
Creare un pacchetto di provisioning
Installare Windows Configuration Designer (WCD) da Microsoft Store.
Aprire l'app Designer configurazione di Windows e selezionare Provisioning dei dispositivi desktop.
Verrà visualizzata una finestra Nuovo progetto in cui si specificano le informazioni seguenti:
- Nome : nome per il progetto
- Cartella del progetto - Percorso di salvataggio per il progetto
- Descrizione: descrizione facoltativa del progetto
Immettere un nome univoco per i dispositivi. I nomi possono includere un numero di serie (%SERIAL%) o un set casuale di caratteri. Facoltativamente, è anche possibile immettere un codice Product Key se si sta aggiornando l'edizione di Windows, configurare il dispositivo per l'uso condiviso e rimuovere il software preinstallato.
Facoltativamente, è possibile configurare il Wi-Fi dispositivi di rete a cui si connettono al primo avvio. Se i dispositivi di rete non sono configurati, è necessaria una connessione di rete cablata quando il dispositivo viene avviato per la prima volta.
Selezionare Registra in Azure AD, immettere una data di scadenza del token bulk e quindi selezionare Recupera token bulk. Il periodo di validità del token è di 180 giorni.
Nota
Dopo aver creato un pacchetto di provisioning, è possibile revocarlo prima della scadenza rimuovendo l'account utente package_{GUID} associato da Microsoft Entra ID.
Specificare le credenziali di Microsoft Entra per ottenere un token bulk.
Nota
L'account usato per richiedere il token bulk deve essere incluso nell'ambito utente MDM specificato in Microsoft Entra ID. Se questo account viene rimosso da un gruppo associato all'ambito utente MDM, la registrazione in blocco smetterà di funzionare.
Nella pagina Resta connesso a tutte le app selezionare No, accedi solo a questa app. Se si mantiene selezionata la casella di controllo e si preme OK, il dispositivo in uso verrà gestito dall'organizzazione. Se non si intende gestire il dispositivo, assicurarsi di selezionare No, accedere solo a questa app.
Fare clic su Avanti quando il token bulk viene recuperato correttamente.
Facoltativamente, è possibile aggiungere applicazioni e aggiungere certificati. Il provisioning di queste app e certificati viene eseguito nel dispositivo.
Facoltativamente, è possibile proteggere il pacchetto di provisioning tramite password. Fare clic su Crea.
Effettuare il provisioning dei dispositivi
Accedere al pacchetto di provisioning nel percorso specificato nella cartella Project specificata nell'app.
Scegliere come applicare il pacchetto di provisioning al dispositivo. Un pacchetto di provisioning può essere applicato a un dispositivo in uno dei modi seguenti:
- Inserire il pacchetto di provisioning in un'unità USB, inserire l'unità USB nel dispositivo che si vuole registrare in blocco e applicarlo durante la configurazione iniziale
- Inserire il pacchetto di provisioning in una cartella di rete e applicarlo dopo l'installazione iniziale
Per istruzioni dettagliate sull'applicazione di un pacchetto di provisioning, vedere Applicare un pacchetto di provisioning.
Dopo aver applicato il pacchetto, il dispositivo verrà riavviato automaticamente tra un minuto.
Al riavvio del dispositivo, si connette al Microsoft Entra ID e si registra in Microsoft Intune.
Risoluzione dei problemi relativi alla registrazione in blocco di Windows
Problemi di provisioning
Il provisioning deve essere usato nei nuovi dispositivi Windows. Gli errori di provisioning potrebbero richiedere una cancellazione del dispositivo o del ripristino del dispositivo da un'immagine di avvio. Questi esempi descrivono alcuni motivi per gli errori di provisioning:
- Un pacchetto di provisioning che tenta di aggiungere un dominio di Active Directory o Microsoft Entra tenant che non crea un account locale potrebbe rendere il dispositivo irraggiungibile se il processo di aggiunta al dominio ha esito negativo a causa della mancanza di connettività di rete.
- Gli script eseguiti dal pacchetto di provisioning vengono eseguiti nel contesto di sistema. Gli script sono in grado di apportare modifiche arbitrarie al file system e alle configurazioni del dispositivo. Uno script dannoso o non valido potrebbe mettere il dispositivo in uno stato che può essere recuperato solo tramite la reimmagazione o la cancellazione del dispositivo.
È possibile verificare l'esito positivo o negativo delle impostazioni nel pacchetto nella Visualizzatore eventi Provisioning-Diagnostics-Provider Amministrazione.
Nota
La registrazione in blocco è considerata un metodo di registrazione senza utente e, per questo motivo, solo la restrizione di registrazione "Predefinita" in Intune verrà applicata durante la registrazione. Verificare che la piattaforma Windows sia consentita nella restrizione predefinita. In caso contrario, la registrazione avrà esito negativo. Per controllare le funzionalità insieme ad altri metodi di registrazione di Windows, vedere Funzionalità dei metodi di registrazione Intune per i dispositivi Windows.
Registrazione in blocco con Wi-Fi
Quando non si usa una rete aperta, è necessario usare i certificati a livello di dispositivo per avviare le connessioni. I dispositivi registrati in blocco non possono essere usati per i certificati di destinazione utente per l'accesso alla rete.
Accesso condizionale
L'accesso condizionale è disponibile per i dispositivi registrati tramite la registrazione in blocco in esecuzione Windows 11 o Windows 10 versione 1803 e successive.
Commenti e suggerimenti
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere: https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per