Windows Autopilot-netwerkvereisten

Artikel
12/09/2023
Van toepassing op:

✅ Windows 11, ✅ Windows 10, ✅ Windows Holographic

Windows Autopilot is afhankelijk van verschillende internetservices. Voor een goede werking van Autopilot moet toegang tot deze services worden geboden. In het eenvoudigste geval kan het inschakelen van de juiste functionaliteit worden bereikt door te zorgen voor de volgende voorwaarden:

Zorg voor DNS-naamomzetting (Domain Name Services) voor DNS-namen op internet.
Sta toegang tot alle hosts toe via poort 80 (HTTP), 443 (HTTPS) en 123 (UDP/NTP).

Aanvullende configuratie is mogelijk vereist om toegang te verlenen tot vereiste services in omgevingen die:

Beperktere internettoegang hebben.
Verificatie vereisen voordat toegang tot internet kan worden verkregen.

Opmerking

Verificatie op basis van smartcards en certificaten wordt niet ondersteund tijdens OOBE. Zie Smartcards en verificatie op basis van certificaten voor meer informatie.

Servicevereisten

Raadpleeg deze details voor meer informatie over elk van deze services en hun specifieke vereisten.

Windows Autopilot Deployment Service

Nadat een netwerkverbinding tot stand is gebracht, neemt elk Windows-apparaat contact op met de Windows Autopilot Deployment Service. De volgende URL's worden gebruikt:

https://ztd.dds.microsoft.com
https://cs.dds.microsoft.com
https://login.live.com

Windows-activering

Windows Autopilot vereist Windows-activeringsservices. Zie Windows-activering of validatie mislukt met foutcode 0x8004FE33 voor meer informatie over de URL's die toegankelijk moeten zijn voor de activeringsservices.

Microsoft Entra ID

Microsoft Entra-id valideert gebruikersreferenties en het apparaat kan ook worden toegevoegd aan Microsoft Entra-id. Zie URL's en IP-adressen voor Office 365 voor meer informatie.

Microsoft Intune

Zodra Microsoft Entra-id is geverifieerd, wordt de inschrijving van het apparaat bij de Intune MDM-service (Mobile Device Management) geactiveerd. Zie de volgende artikelen voor meer informatie over de netwerkcommunicatievereisten van Intune:

Autopilot automatische apparaat diagnostische verzameling

Als u de diagnostische gegevens wilt uploaden vanaf de client, moet u ervoor zorgen dat de URL lgmsapeweu.blob.core.windows.net niet wordt geblokkeerd op het netwerk. Diagnostische gegevens zijn 28 dagen beschikbaar voordat ze worden verwijderd.

Zie Diagnostische gegevens van een Windows-apparaat verzamelen voor meer informatie.

Windows Update

Tijdens het OOBE-proces en na de configuratie van het Windows-besturingssysteem haalt de Windows Update de benodigde updates op. Als er problemen zijn met het maken van verbinding met Windows Update, raadpleegt u Windows Update probleemoplossing.

Als Windows Update niet toegankelijk is, gaat het Autopilot-proces nog steeds door, maar zijn er geen essentiële updates beschikbaar.

Delivery Optimization

Autopilot neemt contact op met de Delivery Optimization-service wanneer de apps en updates worden gedownload. Deze contactpersoon zorgt ervoor dat inhoud via peer-to-peer wordt gedeeld, zodat slechts een paar apparaten deze van internet hoeven te downloaden.

Windows Updates.
Microsoft Store-apps en app-updates.
Office Updates.
Intune Win32-apps.

Als de Delivery Optimization-service niet toegankelijk is, gaat het Autopilot-proces nog steeds verder met Delivery Optimization-downloads vanuit de cloud zonder peer-to-peer.

NTP-synchronisatie (Network Time Protocol)

Wanneer een Windows-apparaat opstart, wordt er met een netwerktijdserver gesproken om ervoor te zorgen dat de tijd op het apparaat juist is. Zorg ervoor dat UDP-poort 123 to time.windows.com toegankelijk is.

Domain Name Services (DNS)

Om DNS-namen voor alle services om te lossen, communiceert het apparaat met een DNS-server, meestal geleverd via DHCP. Deze DNS-server moet internetnamen kunnen omzetten.

Diagnostische gegevens

Het verzamelen van diagnostische gegevens is standaard ingeschakeld. Zie Diagnostische gegevens van het bedrijf beheren om Windows Analytics en gerelateerde diagnostische functies uit te schakelen.

Als het apparaat geen diagnostische gegevens kan verzenden, wordt het Autopilot-proces nog steeds voortgezet. Services die afhankelijk zijn van diagnostische gegevens, zoals Desktop Analytics, werken echter niet.

Statusindicator van netwerkverbinding (NCSI)

Windows moet kunnen zien dat het apparaat toegang heeft tot internet. Zie Network Connection Status Indicator (NCSI) voor meer informatie.

*.msftconnecttest.com moet kunnen worden omgezet via DNS en toegankelijk zijn via HTTP.

Windows Notification Services (WNS)

Deze service wordt gebruikt om Windows in staat te stellen meldingen van apps en services te ontvangen. Zie Microsoft Store voor meer informatie.

Als de WNS-services niet beschikbaar zijn, gaat het Autopilot-proces nog steeds door zonder meldingen.

Microsoft Store, Microsoft Store voor Bedrijven & Education

Apps in de Microsoft Store kunnen naar het apparaat worden gepusht door ze te activeren via Intune (MDM). App-updates en extra apps kunnen ook nodig zijn wanneer de gebruiker zich voor het eerst aanmeldt. Zie Vereisten voor Microsoft Store voor Bedrijven en onderwijs voor meer informatie. (Het bevat ook Microsoft Entra-id en Windows Notification Services).

Als de Microsoft Store niet toegankelijk is, gaat het Autopilot-proces nog steeds door zonder Microsoft Store-apps.

Microsoft 365

Als onderdeel van de intune-apparaatconfiguratie is mogelijk installatie van Microsoft 365-apps voor ondernemingen vereist. Zie URL's en IP-adresbereiken voor Office 365 voor meer informatie. Dit artikel bevat alle Office-services, DNS-namen en IP-adressen. Het bevat ook Microsoft Entra-id en andere services die kunnen overlappen met de eerder vermelde services.

Certificaatintrekkingslijsten (CRL's)

Sommige van deze services moeten ook certificaatintrekkingslijsten (CRL's) controleren op certificaten die in de services worden gebruikt. Zie URL's en IP-adresbereiken Office 365 en Office 365 certificaatketens voor een volledige lijst.

hybride koppeling Microsoft Entra

Belangrijk

Microsoft raadt aan om nieuwe apparaten te implementeren als cloudeigen met behulp van Microsoft Entra join. Het implementeren van nieuwe apparaten als Microsoft Entra hybride join-apparaten wordt afgeraden, ook niet via Autopilot. Zie Microsoft Entra gekoppeld versus Microsoft Entra hybride gekoppeld in cloudeigen eindpunten: welke optie is geschikt voor uw organisatie voor meer informatie.

Het apparaat kan worden Microsoft Entra hybride gekoppeld. De computer moet zich in het interne netwerk bevinden om Microsoft Entra hybrid join te laten werken. Zie De gebruikersgestuurde modus van Windows Autopilot voor meer informatie.

Autopilot zelf-implementerende modus en Pre-inrichting van Autopilot

Het TPM-attestationproces vereist toegang tot een set HTTPS-URL's, die uniek zijn voor elke TPM-provider. Zorg voor toegang tot dit URL-patroon: *.microsoftaik.azure.net.

Firmware-TPM-apparaten, die alleen worden geleverd door Intel, AMD of Qualcomm, bevatten niet alle benodigde certificaten tijdens het opstarten en moeten deze bij het eerste gebruik van de fabrikant kunnen ophalen. Apparaten met discrete TPM-chips worden geleverd met deze certificaten vooraf geïnstalleerd. Deze apparaten bevatten apparaten van een andere fabrikant. Zie TPM-aanbevelingen voor meer informatie.

Zorg ervoor dat voor elke FIRMWARE TPM-provider de juiste URL toegankelijk is, zodat certificaten kunnen worden aangevraagd. Bijvoorbeeld:

Intel: https://ekop.intel.com/ekcertservice
Qualcomm: https://ekcert.spserv.microsoft.com/EKCertificate/GetEKCertificate/v1
AMD: https://ftpm.amd.com/pki/aia

Proxy-instellingen

Het implementeren van proxy-instellingen voor Windows Autopilot moet worden geconfigureerd op de proxyserver zelf. Het implementeren van proxy-instellingen via Intune-beleid wordt niet volledig ondersteund, omdat dit problemen en onverwacht gedrag kan veroorzaken bij implementaties van bevoegde toegang.

Volgende stappen

Licentievereisten voor Windows Autopilot.