Voorbereidingsvereisten voor Windows Autopilot-apparaten

• Van toepassing op:

  ✅ Windows 11

Tip

RSS kan worden gebruikt om te melden wanneer vereisten aan deze pagina worden toegevoegd of bijgewerkt. De volgende RSS-koppeling bevat bijvoorbeeld dit artikel:

https://learn.microsoft.com/en-us/search/?terms=%22Software%2C%20Networking%2C%20Licensing%2C%20Configuration%2C%20and%20RBAC%20requirements%20for%20Windows%20Autopilot%20device%22

Dit voorbeeld bevat de &locale=en-us variabele. De locale variabele is vereist, maar kan een andere ondersteunde landinstelling worden gewijzigd. Bijvoorbeeld &locale=es-es.

Zie De documenten gebruiken in de documentatie voor Intune voor meer informatie over het gebruik van RSS voor meldingen.

De lijst met vereisten voor windows Autopilot-apparaatvoorbereiding is ingedeeld in vijf verschillende categorieën:

• Software : vereisten voor het besturingssysteem.
• Netwerken : netwerkvereisten.
• Licentieverlening : licentievereisten.
• Configuratie: configuraties die vereist zijn in Microsoft Entra ID en Microsoft Intune.
• RBAC : RBAC-machtigingen die vereist zijn voor een Windows Autopilot-apparaatvoorbereidingsbeheerder.

Selecteer het juiste tabblad om de relevante vereisten te bekijken:

Software

Softwarevereisten

De voorbereiding van Windows Autopilot-apparaten is afhankelijk van specifieke functies die beschikbaar zijn in de Windows-client, Microsoft Entra ID en een MDM-service (Mobile Device Management), zoals Microsoft Intune. Als u Windows Autopilot-apparaatvoorbereiding en toegang tot deze functies wilt gebruiken, moet aan bepaalde softwarevereisten worden voldaan.

Windows 11

• Windows 11 versie 23H2 met KB5035942 of hoger: Windows-installatiemedia van april 2024 of hoger KB5035942 opgenomen.
• Windows 11 versie 22H2 met KB5035942 of hoger: Windows-installatiemedia van april 2024 of hoger KB5035942 opgenomen.

Belangrijk

• Controleer bij OEM's of op apparaten die zijn verzonden van de OEM de minimaal vereiste update is geïnstalleerd.
• Als u Windows installeert vanaf installatiemedia, controleert u of de minimaal vereiste update op de media is geïnstalleerd. Bijgewerkte Windows-installatiemedia met de meest recente cumulatieve update die al is geïnstalleerd, is beschikbaar in het Volume Licensing Service Center (VLSC).

De volgende edities worden ondersteund:

• Windows 11 Pro.
• Windows 11 Pro Education.
• Windows 11 Pro for Workstations.
• Windows 11 Enterprise.
• Windows 11 Education.

Netwerken

Netwerkvereisten

De voorbereiding van Windows Autopilot-apparaten is afhankelijk van verschillende internetservices. Toegang tot deze services moet worden verleend om windows Autopilot-apparaatvoorbereiding goed te laten werken. In het eenvoudigste geval kan het inschakelen van de juiste functionaliteit worden bereikt door te zorgen voor de volgende voorwaarden:

• Zorg voor DNS-naamomzetting (Domain Name Services) voor DNS-namen op internet.
• Sta toegang tot alle hosts toe via poort 80 (HTTP), 443 (HTTPS) en 123 (UDP/NTP).

Aanvullende configuratie is mogelijk vereist om toegang te verlenen tot vereiste services in omgevingen die:

• Beperktere internettoegang hebben.
• Verificatie vereisen voordat toegang tot internet kan worden verkregen.

Opmerking

Verificatie op basis van smartcards en certificaten wordt niet ondersteund tijdens de out-of-box experience (OOBE). Zie Smartcards en verificatie op basis van certificaten voor meer informatie.

Servicevereisten

Windows Autopilot-apparaatvoorbereiding is afhankelijk van verschillende soorten services om goed te werken. Om deze services goed te laten werken, moeten bepaalde netwerkconfiguraties mogelijk worden uitgevoerd. Deze services en de vereiste netwerkconfiguraties zijn als volgt:

Implementatieservice voor Windows Autopilot-apparaatvoorbereiding

Nadat een netwerkverbinding tot stand is gebracht, neemt elk Windows-apparaat contact op met de windows Autopilot-implementatieservice voor apparaatvoorbereiding. De volgende URL's worden gebruikt:

• https://ztd.dds.microsoft.com
• https://cs.dds.microsoft.com
• https://login.live.com

Windows-activering

Windows Autopilot-apparaatvoorbereiding vereist Windows-activeringsservices. Zie Windows-activering of validatie mislukt met foutcode 0x8004FE33 voor meer informatie over de URL's die toegankelijk moeten zijn voor de activeringsservices.

Microsoft Entra ID

Microsoft Entra ID valideert gebruikersreferenties. Bovendien wordt het apparaat gekoppeld aan Microsoft Entra ID tijdens de voorbereiding van het Windows Autopilot-apparaat. Zie URL's en IP-adressen voor Office 365 voor meer informatie.

Microsoft Intune

Zodra de verificatie is uitgevoerd, activeert Microsoft Entra ID de inschrijving van het apparaat bij de MDM-service (Mobile Device Management) van Intune. Zie de volgende artikelen voor meer informatie over de vereisten voor netwerkcommunicatie van Intune:

• Intune netwerkconfiguratievereisten en bandbreedte.
• Netwerkeindpunten voor Microsoft Intune.

Automatische verzameling apparaatvoorbereiding van Windows Autopilot-apparaatvoorbereiding

Als u de diagnostische gegevens wilt uploaden vanaf de client, moet u ervoor zorgen dat de URL lgmsapeweu.blob.core.windows.net niet wordt geblokkeerd op het netwerk. Diagnostische gegevens zijn 28 dagen beschikbaar voordat ze worden verwijderd.

Zie Diagnostische gegevens van een Windows-apparaat verzamelen voor meer informatie.

Windows Update

Tijdens het out-of-box experience-proces (OOBE) en na de configuratie van het Windows-besturingssysteem haalt de Windows Update-service de benodigde updates op. Als er problemen zijn met het maken van verbinding met Windows Update, raadpleegt u Windows Update problemen oplossen.

Als Windows Update niet toegankelijk is, gaat het voorbereidingsproces van het Windows Autopilot-apparaat nog steeds door, maar zijn er geen essentiële updates beschikbaar.

Delivery Optimization

Windows Autopilot-apparaatvoorbereiding neemt contact op met de Delivery Optimization-service bij het downloaden van de toepassingen en updates. Deze contactpersoon zorgt ervoor dat inhoud via peer-to-peer wordt gedeeld, zodat slechts een paar apparaten deze van internet hoeven te downloaden.

• Windows Updates.
• Microsoft Store-toepassingen en toepassingsupdates.
• Office Updates.
• Intune Win32-toepassingen.

Als de Delivery Optimization-service niet toegankelijk is, gaat het Autopilot-proces nog steeds verder met Delivery Optimization-downloads vanuit de cloud zonder peer-to-peer.

NTP-synchronisatie (Network Time Protocol)

Wanneer een Windows-apparaat opstart, wordt er met een netwerktijdserver gesproken om ervoor te zorgen dat de tijd op het apparaat juist is. Zorg ervoor dat UDP-poort 123 to time.windows.com toegankelijk is.

Domain Name Services (DNS)

Om internetnamen voor alle services op te lossen, communiceert het apparaat met een DNS-server, meestal via DHCP. Deze DNS-server moet internetnamen kunnen omzetten.

Diagnostische gegevens

Het verzamelen van diagnostische gegevens is standaard ingeschakeld. Zie Diagnostische gegevens van ondernemingen beheren voor meer informatie.

Als het apparaat geen diagnostische gegevens kan verzenden, gaat het voorbereidingsproces van het Windows Autopilot-apparaat nog steeds door. Services die afhankelijk zijn van diagnostische gegevens werken echter niet.

Statusindicator van netwerkverbinding (NCSI)

Windows moet kunnen zien dat het apparaat toegang heeft tot internet. Zie Network Connection Status Indicator (NCSI) voor meer informatie.

*.msftconnecttest.com moet kunnen worden omgezet via DNS en toegankelijk zijn via HTTP.

Windows Notification Services (WNS)

Deze service wordt gebruikt om Windows in staat te stellen meldingen van toepassingen en services te ontvangen. Zie Microsoft Store voor meer informatie.

Als de WNS-services niet beschikbaar zijn, gaat het voorbereidingsproces van het Windows Autopilot-apparaat nog steeds door zonder meldingen.

Microsoft Store

Toepassingen in de Microsoft Store kunnen naar het apparaat worden gepusht door ze te activeren via Intune of een andere MDM-service. App-updates en aanvullende toepassingen zijn mogelijk ook nodig wanneer de gebruiker zich voor het eerst aanmeldt. Zie Voor meer informatie Update to Intune integration with the Microsoft Store on Windows en FAQ: Supporting Microsoft Store experiences on managed devices (Engelstalig) voor meer informatie.

Als de Microsoft Store niet toegankelijk is, gaat het Autopilot-proces nog steeds door zonder Microsoft Store-toepassingen.

Microsoft 365

Als onderdeel van de Intune-apparaatconfiguratie kan installatie van Microsoft 365-toepassingen voor ondernemingen vereist zijn. Zie Office 365 URL's en IP-adresbereiken voor een lijst met alle Office-services, DNS-namen, IP-adressen, inclusief Microsoft Entra ID en andere services die kunnen overlappen met de eerder vermelde services.

Certificaatintrekkingslijsten (CRL's)

Sommige van deze services moeten ook certificaatintrekkingslijsten (CRL's) controleren op certificaten die in de services worden gebruikt. Zie URL's en IP-adresbereiken Office 365 enOffice 365 certificaatketens voor een volledige lijst.

Proxy-instellingen

Het implementeren van proxy-instellingen voor windows Autopilot-apparaatvoorbereiding moet worden geconfigureerd op de proxyserver zelf. Het implementeren van proxy-instellingen via Intune-beleid wordt niet volledig ondersteund, omdat dit problemen en onverwacht gedrag kan veroorzaken met implementaties van bevoegde toegang.

Licenties

Licentievereisten

De voorbereiding van Windows Autopilot-apparaten is afhankelijk van specifieke mogelijkheden die beschikbaar zijn in de Windows-client en Microsoft Entra ID. Hiervoor is ook een MDM-service (Mobile Device Management) vereist, zoals Microsoft Intune. Deze mogelijkheden kunnen worden verkregen via verschillende edities en abonnementsprogramma's.

Om de benodigde Microsoft Entra ID- en MDM-functionaliteit te bieden, waaronder automatische MDM-inschrijving en huisstijlfuncties, is een van de volgende abonnementen vereist:

• Microsoft 365 Business Premium abonnement.
• Microsoft 365 F1- of F3-abonnement.
• Microsoft 365 Academic A1-, A3- of A5-abonnement.
• Microsoft 365 Enterprise E3- of E5-abonnement, dat alle Windows-client-, Microsoft 365- en EMS-functies (Microsoft Entra ID en Intune) bevat.
• Enterprise Mobility + Security E3- of E5-abonnement, dat alle benodigde Microsoft Entra ID- en Intune-functies bevat.
• Intune for Education-abonnement, dat alle benodigde Microsoft Entra ID- en Intune functies bevat.
• Microsoft Entra ID P1 of P2 en Microsoft Intune abonnement of een alternatieve MDM-service.

Opmerking

Wanneer een Microsoft 365-abonnement wordt gebruikt, moeten er nog steeds licenties worden toegewezen aan gebruikers, zodat ze het apparaat kunnen inschrijven bij Intune. Zie Licenties toewijzen aan gebruikers zodat ze apparaten kunnen inschrijven in Intune voor meer informatie.

Daarnaast worden ook het volgende aanbevolen, maar niet vereist:

• Microsoft 365-apps voor ondernemingen: Microsoft 365-toepassingen voor ondernemingen kunnen eenvoudig worden geïmplementeerd via Intune of een andere MDM-service.
• Activering van Windows-abonnementen : automatisch apparaten van Windows Pro naar Windows Enterprise-editie instellen.

Configuratie

Configuratievereisten

Voordat windows Autopilot-apparaatvoorbereiding kan worden gebruikt, zijn enkele configuratietaken vereist ter ondersteuning van de algemene Autopilot-scenario's.

• Configureer Microsoft Entra automatische inschrijving. Zie Automatische Intune-inschrijving voor Windows instellen en Automatische inschrijving van Windows inschakelen voor meer informatie over Microsoft Intune. Als u een andere MDM-service (Mobile Device Management) gebruikt, neemt u contact op met de leverancier voor de specifieke URL's of configuratie die nodig is voor deze services.

• De eerste gebruiker die zich aanmeldt, moet Microsoft Entra toegangsmachtigingen hebben. Zie Gebruikers toestaan apparaten te koppelen aan Microsoft Entra ID voor meer informatie.

De volgende configuraties zijn optioneel, maar worden aanbevolen. Ze zijn niet vereist:

• Stap automatisch op van Windows Pro naar Windows Enterprise. Zie Activering van Windows-abonnementen voor meer informatie.

Er zijn geen aanvullende hardwarevereisten voor het gebruik van Autopilot, afgezien van de hardwarevereisten voor het uitvoeren van Windows. Zie voor meer informatie:

• Vind Windows 11 specificaties, functies en computervereisten.
• Minimale hardwarevereisten voor Windows.
• Windows 11 vereisten.

RBAC

Vereiste RBAC-machtigingen

De volgende RBAC-machtigingen (op rollen gebaseerd toegangsbeheer) zijn vereist voor een rol in Intune voor een gebruiker om windows Autopilot-apparaatvoorbereiding te beheren:

• Apparaatconfiguraties

  • Lezen
  • Verwijderen
  •               Toewijzen                            
  • Maken
  • Update

• Inschrijvingsprogramma's

  • Toewijzing van apparaatlidmaatschap van inschrijvingstijd

• Beheerde apps

  • Lezen

• Mobiele apps

  • Lezen

• Organisatie

  • Lezen

Een aangepaste rol maken met deze machtigingen voor gebruik met Windows Autopilot-apparaatvoorbereiding:

1. Meld u aan bij het Microsoft Intune-beheercentrum.

2. Selecteer tenantbeheerin het linkerdeelvenster in het startscherm.

3. In de tenantbeheerder | Scherm Tenantstatusselecteert u Rollen.

4. In de Endpoint Manager-rollen | Scherm Alle rollen , zorg ervoor dat Alle rollen is geselecteerd onder Beheren.

5. Selecteer de vervolgkeuzelijst Maken en selecteer vervolgens Intune rol. Het scherm Aangepaste rol toevoegen wordt geopend.

6. In het scherm Aangepaste rol toevoegen :

   1. Op de pagina Basisbeginselen :

      1. Naam : voer een naam in voor de aangepaste rol, zoals Windows Autopilot-apparaatvoorbereidingsbeheerder.

      2. Beschrijving : voer een beschrijving in voor de aangepaste rol.

   2. Selecteer Volgende.

   3. Blader op de pagina Machtigingen onder Selecteer een categorie hieronder om instellingen te configureren door de lijst om de volgende instellingen te vinden. Zodra de instelling is gevonden, vouwt u deze uit en gaat u naar de volgende machtigingen:

      • Apparaatconfiguraties

        • Lezen: Ja
        • Verwijderen: Ja
        • Toewijzen: Ja
        • Maken: Ja
        • Update: Ja

        Rapporten weergeven kan worden gelaten op de standaardwaarde Nee.

      • Inschrijvingsprogramma's

        • Toewijzing van apparaatlidmaatschap van inschrijvingstijd: Ja

        Alle andere machtigingen kunnen op de standaardwaarde Nee worden gelaten.

      • Beheerde apps

        • Lezen: Ja

        Alle andere machtigingen kunnen op de standaardwaarde Nee worden gelaten.

      • Mobiele apps

        • Lezen: Ja

        Alle andere machtigingen kunnen op de standaardwaarde Nee worden gelaten.

      • Organisatie

        • Lezen: Ja

        Alle andere machtigingen kunnen op de standaardwaarde Nee worden gelaten.

   4. Zodra alle machtigingen correct zijn ingesteld, selecteert u Volgende.

   5. Selecteer volgende op de pagina Bereiktags.

      Opmerking

      Bereiktags zijn optioneel. Als er een aangepaste bereiktag moet worden opgegeven, doet u dit op deze pagina. Zie Op rollen gebaseerd toegangsbeheer en bereiktags gebruiken voor gedistribueerde IT voor meer informatie over bereiktags.

   6. Controleer op de pagina Controleren en maken of alle machtigingen juist zijn en selecteer vervolgens Maken.

7. De nieuwe aangepaste rol windows Autopilot-apparaatvoorbereiding kan nu worden toegewezen aan gebruikers die windows Autopilot-apparaatvoorbereiding beheren.

Zie Op rollen gebaseerd toegangsbeheer (RBAC) met Microsoft Intune voor meer informatie.