Windows Autopilot-apparaatvoorbereiding in de automatische modus voor Windows 365 (preview): een toegewezen apparaatgroep maken

Windows Autopilot-apparaatvoorbereiding in de automatische modus voor Windows 365 stappen:

• Stap 1: automatische Intune-inschrijving voor Windows instellen

• Stap 2: een toegewezen apparaatgroep maken

• Stap 3: Toepassingen en PowerShell-scripts toewijzen aan apparaatgroep
• Stap 4: Windows Autopilot-apparaatvoorbereidingsbeleid maken
• Stap 5: een inrichtingsbeleid voor cloud-pc's maken
• Stap 6: de implementatie bewaken

Zie Windows Autopilot-apparaatvoorbereiding in automatische modus voor een overzicht van de voorbereiding van Windows Autopilot-apparaten in de automatische modus voor Windows 365 werkstroom voor Windows 365 overzicht.

Opmerking

De apparaatgroep die in deze stap is gemaakt, is specifiek voor windows Autopilot-apparaatvoorbereiding. Microsoft raadt aan om een apparaatgroep te maken die specifiek is voor gebruik met Windows Autopilot-apparaatvoorbereiding in plaats van bestaande apparaatgroepen te hergebruiken die worden gebruikt in andere Windows Autopilot-scenario's.

Een toegewezen apparaatgroep maken

Apparaatgroepen zijn een verzameling apparaten of cloud-pc's die zijn ingedeeld in een Microsoft Entra groep. Normaal gesproken kunnen apparaatgroepen worden toegewezen of dynamisch:

• Toegewezen groepen : apparaten of cloud-pc's worden handmatig toegevoegd aan de groep en zijn statisch. Windows Autopilot-apparaatvoorbereiding maakt alleen gebruik van toegewezen groepen.
• Dynamische groepen : apparaten of cloud-pc's worden automatisch aan de groep toegevoegd op basis van regels. Windows Autopilot-apparaatvoorbereiding maakt geen gebruik van dynamische groepen.

Windows Autopilot-apparaatvoorbereiding maakt gebruik van een toegewezen apparaatgroep als onderdeel van het Windows Autopilot-apparaatvoorbereidingsbeleid. De apparaatgroep die is opgegeven in het windows Autopilot-apparaatvoorbereidingsbeleid moet een toegewezen apparaatgroep zijn. Tijdens de implementatie van windows Autopilot-apparaatvoorbereiding worden apparaten of cloud-pc's automatisch toegevoegd aan deze toegewezen apparaatgroep.

Belangrijk

De apparaatgroep die is opgegeven in het windows Autopilot-apparaatvoorbereidingsbeleid, moet een toegewezen beveiligingsapparaatgroep zijn.

Tip

Hoewel dezelfde toegewezen apparaatgroep kan worden gebruikt voor meerdere Windows Autopilot-apparaatvoorbereidingsbeleidsregels, raadt Microsoft aan een afzonderlijke toegewezen apparaatgroep te maken voor elk Windows Autopilot-apparaatvoorbereidingsbeleid. Bijvoorbeeld een andere toegewezen apparaatgroep voor een gebruikersgestuurd scenario versus een automatisch scenario. Als u een afzonderlijke toegewezen apparaatgroep maakt, kunt u het windows autopilot-apparaatvoorbereidingsbeleid en de apparaten of cloud-pc's die eraan zijn toegewezen eenvoudiger beheren.

Voer de volgende stappen uit om een toegewezen beveiligingsapparaatgroep te maken voor gebruik met Windows Autopilot-apparaatvoorbereiding:

1. Meld u aan bij het Microsoft Intune-beheercentrum.

2. Selecteer groepenin het linkerdeelvenster in het startscherm.

3. In groepen | Scherm Alle groepen , controleer of Alle groepen is geselecteerd en selecteer vervolgens Nieuwe groep.

4. In het scherm Nieuwe groep dat wordt geopend:

   1. Bij Groepstype selecteert u Beveiliging.

   2. Voer bij Groepsnaam een naam in voor de apparaatgroep, zoals Apparaatgroep windows Autopilot-apparaatvoorbereiding.

   3. Voer bij Groepsbeschrijving een beschrijving in voor de apparaatgroep.

   4. Selecteer Nee voor Microsoft Entra rollen kunnen worden toegewezen aan de groep.

   5. Bij Lidmaatschapstype selecteert u Toegewezen.

   6. Selecteer bij Eigenaren de koppeling Geen eigenaren geselecteerd .

   7. In het scherm Eigenaren toevoegen wordt het volgende geopend:

      1. Blader door de lijst met objecten en selecteer de service-principal Intune Provisioning Client met AppId van f1346770-5b25-470b-88bd-d5744ab7952c. U kunt ook de zoekbalk gebruiken om Intune-inrichtingsclient te zoeken en te selecteren.

         Opmerking

         • In sommige tenants heeft de service-principal mogelijk de naam Intune Autopilot ConfidentialClient in plaats van Intune Provisioning Client. Zolang de AppID van de service-principal f1346770-5b25-470b-88bd-d5744ab7952c is, is dit de juiste service-principal.

         • Als de Intune-inrichtingsclient of Intune Autopilot ConfidentialClient-service-principal met AppId f1346770-5b25-470b-88bd-d5744ab7952c niet beschikbaar is in de lijst met objecten of tijdens het zoeken, raadpleegt u De intune-inrichtingsclientservice-principal toevoegen.

      2. Zodra De Intune-inrichtingsclient is geselecteerd als eigenaar, selecteert u Selecteren.

   8. Selecteer Maken om het maken van de toegewezen apparaatgroep te voltooien.

   Belangrijk

   Apparaten worden automatisch toegevoegd aan deze apparaatgroep tijdens de implementatie van de windows Autopilot-apparaatvoorbereiding. Het handmatig toevoegen van apparaten als leden van de apparaatgroep die in deze stap is gemaakt, is niet nodig, maar dit heeft geen invloed op het voorbereidingsproces van het Windows Autopilot-apparaat.

De service-principal van de Intune-inrichtingsclient toevoegen

Als de intune-inrichtingsclientservice-principal met AppId f1346770-5b25-470b-88bd-d5744ab7952c niet beschikbaar is wanneer u de eigenaar van de apparaatgroep selecteert, volgt u deze stappen om de service-principal toe te voegen:

1. Op een apparaat waarop Microsoft Intune of Microsoft Entra-id normaal gesproken wordt beheerd, opent u een opdrachtprompt met verhoogde bevoegdheid Windows PowerShell.

2. In het Windows PowerShell opdrachtpromptvenster:

   1. Installeer de module Microsoft.Graph.Authentication door de volgende opdracht in te voeren:

      Install-Module Microsoft.Graph.Authentication
      

      Als u hierom wordt gevraagd:

      • Ga akkoord met de installatie van NuGet door Y of Ja in te voeren of de knop Ja te selecteren.
      • Ga akkoord met installeren vanuit de niet-vertrouwde PSGallery-opslagplaats door Y of Ja in te voeren of de knop Ja te selecteren.

      Zie Microsoft.Graph.Authentication en Set-PSRepository -InstallationPolicy voor meer informatie.

   2. Installeer de module Microsoft.Graph.Applications door de volgende opdracht in te voeren:

      Install-Module Microsoft.Graph.Applications
      

      Als u hierom wordt gevraagd, gaat u akkoord met installeren vanuit de niet-vertrouwde PSGallery-opslagplaats door Y of Ja in te voeren of de knop Ja te selecteren.

      Zie Microsoft.Graph.Applications en Set-PSRepository -InstallationPolicy voor meer informatie.

   3. Zodra de modules Microsoft.Graph.Authentication en Microsoft.Graph.Applications zijn geïnstalleerd, maakt u verbinding met Microsoft Entra-id door de volgende opdracht in te voeren:

      Connect-MgGraph -Scopes "Application.ReadWrite.All"
      

      Zie Connect-MgGraph voor meer informatie.

   4. Als Microsoft Entra-id nog niet is geverifieerd, wordt het venster Aanmelden bij uw account weergegeven. Voer de referenties in van een Microsoft Entra-id-beheerder die machtigingen heeft om service-principals toe te voegen.

   5. Als het venster Aangevraagde machtigingen wordt weergegeven, schakelt u het selectievakje Toestemming namens uw organisatie in en selecteert u vervolgens de knop Accepteren .

   6. Zodra Microsoft Entra id is geverifieerd en de juiste machtigingen zijn verleend, voegt u de service-principal van de Intune-inrichtingsclient toe door de volgende opdracht in te voeren:

      New-MgServicePrincipal -AppID f1346770-5b25-470b-88bd-d5744ab7952c
      

      Zie New-MgServicePrincipal -BodyParameter voor meer informatie.

      Opmerking

      • Het volgende foutbericht wordt weergegeven als de service-principal van de Intune-inrichtingsclient al bestaat in de tenant:

        New-MgServicePrincipal : The service principal cannot be created, updated, or restored because the service principal name
        f1346770-5b25-470b-88bd-d5744ab7952c is already in use.
        Status: 409 (Conflict)
        ErrorCode: Request_MultipleObjectsWithSameKeyValue
        

      • Het volgende foutbericht wordt weergegeven als aan een van de volgende voorwaarden wordt voldaan:

        • Het account dat wordt gebruikt om u aan te melden met de Connect-MgGraph opdracht, heeft geen machtigingen om een service-principal toe te voegen aan de tenant.
        • Het -Scopes "Application.ReadWrite.All" argument wordt niet toegevoegd aan de Connect-MgGraph opdracht.
        • Het venster Aangevraagde machtigingen wordt niet geaccepteerd.
        • Het selectievakje Toestemming namens uw organisatie is niet ingeschakeld in het venster Machtigingen aangevraagd .

        New-MgServicePrincipal : Insufficient privileges to complete the operation.
        Status: 403 (Forbidden)
        ErrorCode: Authorization_RequestDenied
        

Volgende stap: Toepassingen en PowerShell-scripts toewijzen aan apparaatgroep

Stap 3: Toepassingen en PowerShell-scripts toewijzen aan apparaatgroep

Verwante onderwerpen

Zie de volgende artikelen voor meer informatie over het maken van groepen in Intune:

• Apparaatgroepen maken.
• Groepen toevoegen om gebruikers en apparaten te organiseren.
• Beheer Microsoft Entra groepen en groepslidmaatschap.
• Dynamische lidmaatschapsregels voor groepen in Microsoft Entra-id.