Condividi tramite


Registrazione in blocco per dispositivi Windows

Si applica a

  • Windows 10
  • Windows 11

Aggiungere nuovi dispositivi Windows a Microsoft Entra ID e Intune. Per registrare in blocco i dispositivi per il tenant di Microsoft Entra, creare un pacchetto di provisioning con l'app Progettazione configurazione di Windows. L'applicazione del pacchetto di provisioning ai dispositivi di proprietà dell'azienda aggiunge i dispositivi al tenant di Microsoft Entra e li registra per la gestione di Intune. Dopo aver applicato il pacchetto, è pronto per l'accesso degli utenti di Microsoft Entra.

Gli utenti di Microsoft Entra sono utenti standard in questi dispositivi e ricevono i criteri di Intune assegnati e le app necessarie. I dispositivi Windows registrati in Intune con la registrazione in blocco di Windows possono usare l'app Portale aziendale per installare le app disponibili.

Ruoli e autorizzazioni

Per creare un token di registrazione bulk, è necessario disporre di un'assegnazione di ruolo Microsoft Entra supportata e non deve essere limitato a un'unità amministrativa nell'ID Microsoft Entra. I ruoli predefiniti di Microsoft Entra con l'autorizzazione per creare token di registrazione in blocco sono:

  • Amministratore del dispositivo cloud
  • Amministratore di Intune
  • Amministratore password

Per altre informazioni su questi ruoli, vedere Ruoli predefiniti di Microsoft Entra.

Prerequisiti

Assicurarsi inoltre che l'entità servizio per Microsoft.Azure.SyncFabric (AppID 000000014-0000-0000-c000-000000000000000) sia presente nel tenant di Microsoft Entra. In una riga di comando usare il Get-AzureADServicePrincipal comando per verificare la presenza dell'entità servizio. Senza l'entità servizio, Progettazione configurazione di Windows non è in grado di recuperare il token di registrazione bulk, generando un errore.

Creare un pacchetto di provisioning

  1. Installare Progettazione configurazione Windows (WCD) da Microsoft Store.

  2. Aprire l'app Progettazione configurazione di Windows e selezionare Provisioning di dispositivi desktop. Screenshot della selezione del provisioning dei dispositivi desktop nell'app Progettazione configurazione di Windows

  3. Verrà visualizzata una finestra Nuovo progetto in cui si specificano le informazioni seguenti:

    • Nome : nome per il progetto
    • Cartella del progetto - Percorso di salvataggio per il progetto
    • Descrizione : descrizione facoltativa del progetto Screenshot della specifica di nome, cartella del progetto e descrizione nell'app Progettazione configurazione di Windows
  4. Immettere un nome univoco per i dispositivi. I nomi possono includere un numero di serie (%SERIAL%) o un set casuale di caratteri. Facoltativamente, è anche possibile immettere un codice Product Key se si sta aggiornando l'edizione di Windows, configurare il dispositivo per l'uso condiviso e rimuovere il software preinstallato.

    Screenshot della specifica di nome e codice Product Key nell'app Progettazione configurazione di Windows

  5. Facoltativamente, è possibile configurare il Wi-Fi dispositivi di rete a cui si connettono al primo avvio. Se i dispositivi di rete non sono configurati, è necessaria una connessione di rete cablata quando il dispositivo viene avviato per la prima volta. Screenshot dell'abilitazione di Wi-Fi incluse le opzioni SSID di rete e Tipo di rete nell'app Progettazione configurazione di Windows

  6. Selezionare Registra in Azure AD, immettere una data di scadenza del token bulk e quindi selezionare Recupera token bulk. Il periodo di validità del token è di 180 giorni.

    Nota

    Dopo aver creato un pacchetto di provisioning, è possibile revocarlo prima della scadenza rimuovendo l'account utente package_{GUID} associato dall'ID Microsoft Entra.

  7. Specificare le credenziali di Microsoft Entra per ottenere un token bulk. Screenshot dell'accesso all'app Progettazione configurazione di Windows

    Nota

    • L'account usato per richiedere il token bulk deve essere incluso nell'ambito utente MDM in Microsoft Entra ID.The account you use to request the bulk token must be included in the MDM user scope in Microsoft Entra ID. Se si rimuove questo account da un gruppo associato all'ambito utente MDM, la registrazione in blocco smetterà di funzionare.
    • Il recupero di token in blocco non funziona per gli account utente federati abilitati per le implementazioni in fasi.
  8. Nella pagina Resta connesso a tutte le app selezionare No, accedi solo a questa app. Se si mantiene selezionata la casella di controllo e si preme OK, il dispositivo in uso verrà gestito dall'organizzazione. Se non si intende gestire il dispositivo, assicurarsi di selezionare No, accedere solo a questa app.

  9. Fare clic su Avanti quando il token bulk viene recuperato correttamente.

  10. Facoltativamente, è possibile aggiungere applicazioni e aggiungere certificati. Il provisioning di queste app e certificati viene eseguito nel dispositivo.

  11. Facoltativamente, è possibile proteggere il pacchetto di provisioning tramite password. Fare clic su Crea. Screenshot della protezione dei pacchetti nell'app Progettazione configurazione di Windows

Effettuare il provisioning dei dispositivi

  1. Accedere al pacchetto di provisioning nel percorso specificato nella cartella Project specificata nell'app.

  2. Scegliere come applicare il pacchetto di provisioning al dispositivo. Un pacchetto di provisioning può essere applicato a un dispositivo in uno dei modi seguenti:

    • Inserire il pacchetto di provisioning in un'unità USB, inserire l'unità USB nel dispositivo che si vuole registrare in blocco e applicarlo durante la configurazione iniziale
    • Inserire il pacchetto di provisioning in una cartella di rete e applicarlo dopo l'installazione iniziale

    Per istruzioni dettagliate sull'applicazione di un pacchetto di provisioning, vedere Applicare un pacchetto di provisioning.

  3. Dopo aver applicato il pacchetto, il dispositivo verrà riavviato automaticamente tra un minuto. Screenshot della cartella del progetto, specificando il nome e la descrizione nell'app Progettazione configurazione di Windows

  4. Al riavvio del dispositivo, si connette all'ID Microsoft Entra e si registra in Microsoft Intune.

Risoluzione dei problemi relativi alla registrazione in blocco di Windows

Problemi di provisioning

Il provisioning deve essere usato nei nuovi dispositivi Windows. Gli errori di provisioning potrebbero richiedere una cancellazione del dispositivo o del ripristino del dispositivo da un'immagine di avvio. Questi esempi descrivono alcuni motivi per gli errori di provisioning:

  • Un pacchetto di provisioning che tenta di aggiungere un dominio di Active Directory o un tenant di Microsoft Entra che non crea un account locale potrebbe rendere il dispositivo irraggiungibile se il processo di aggiunta al dominio non riesce a causa della mancanza di connettività di rete.
  • Gli script eseguiti dal pacchetto di provisioning vengono eseguiti nel contesto di sistema. Gli script sono in grado di apportare modifiche arbitrarie al file system e alle configurazioni del dispositivo. Uno script dannoso o non valido potrebbe mettere il dispositivo in uno stato che può essere recuperato solo tramite la reimmagazione o la cancellazione del dispositivo.

È possibile verificare l'esito positivo/negativo delle impostazioni nel pacchetto nel log di amministrazione di Provisioning-Diagnostics-Provider nel Visualizzatore eventi.

Nota

La registrazione in blocco è considerata un metodo di registrazione senza utente e, per questo motivo, solo la restrizione di registrazione "Predefinita" in Intune verrà applicata durante la registrazione. Verificare che la piattaforma Windows sia consentita nella restrizione predefinita. In caso contrario, la registrazione avrà esito negativo. Per controllare le funzionalità insieme ad altri metodi di registrazione di Windows, vedere Funzionalità dei metodi di registrazione di Intune per i dispositivi Windows.

Registrazione in blocco con Wi-Fi

Quando non si usa una rete aperta, è necessario usare i certificati a livello di dispositivo per avviare le connessioni. I dispositivi registrati in blocco non possono essere usati per i certificati di destinazione utente per l'accesso alla rete.

Accesso condizionale

L'accesso condizionale è disponibile per i dispositivi registrati tramite la registrazione in blocco che esegue Windows 11 o Windows 10 versione 1803 e successive.