Windows Autopilot is afhankelijk van verschillende internetservices. Voor een goede werking van Autopilot moet toegang tot deze services worden geboden. In het eenvoudigste geval kan het inschakelen van de juiste functionaliteit worden bereikt door te zorgen voor de volgende voorwaarden:
- Zorg voor DNS-naamomzetting (Domain Name Services) voor DNS-namen op internet.
- Sta toegang tot alle hosts toe via poort 80 (HTTP), 443 (HTTPS) en 123 (UDP/NTP).
Aanvullende configuratie is mogelijk vereist om toegang te verlenen tot vereiste services in omgevingen die:
- Beperktere internettoegang hebben.
- Verificatie vereisen voordat toegang tot internet kan worden verkregen.
Windows Autopilot is afhankelijk van verschillende soorten services om goed te functioneren. Voor een goede werking van deze services moeten bepaalde netwerkconfiguraties worden uitgevoerd. Deze services en de vereiste netwerkconfiguraties zijn als volgt:
Windows Autopilot Deployment Service
Nadat een netwerkverbinding tot stand is gebracht, neemt elk Windows-apparaat contact op met de Windows Autopilot Deployment Service. De volgende URL's worden gebruikt:
https://ztd.dds.microsoft.com
https://cs.dds.microsoft.com
https://login.live.com
Windows Autopilot vereist Windows-activeringsservices. Zie Windows-activering of validatie mislukt met foutcode 0x8004FE33 voor meer informatie over de URL's die toegankelijk moeten zijn voor de activeringsservices.
Microsoft Entra ID valideert gebruikersreferenties. Daarnaast wordt het apparaat toegevoegd aan of geregistreerd bij Microsoft Entra ID tijdens Windows Autopilot. Zie URL's en IP-adressen voor Office 365 voor meer informatie.
Zodra de verificatie is uitgevoerd, activeert Microsoft Entra ID de inschrijving van het apparaat bij de MDM-service (Mobile Device Management) van Intune. Zie de volgende artikelen voor meer informatie over de vereisten voor netwerkcommunicatie van Intune:
Autopilot automatische apparaat diagnostische verzameling
Als u de diagnostische gegevens wilt uploaden vanaf de client, moet u ervoor zorgen dat de URL lgmsapeweu.blob.core.windows.net
niet wordt geblokkeerd op het netwerk. Diagnostische gegevens zijn 28 dagen beschikbaar voordat ze worden verwijderd.
Zie Diagnostische gegevens van een Windows-apparaat verzamelen voor meer informatie.
Tijdens het out-of-box experience-proces (OOBE) en na de configuratie van het Windows-besturingssysteem haalt de Windows Update-service de benodigde updates op. Als er problemen zijn met het maken van verbinding met Windows Update, raadpleegt u Windows Update problemen oplossen.
Als Windows Update niet toegankelijk is, gaat het Autopilot-proces nog steeds door, maar zijn er geen essentiële updates beschikbaar.
Autopilot neemt contact op met de Delivery Optimization-service wanneer de toepassingen en updates worden gedownload. Deze contactpersoon zorgt ervoor dat inhoud via peer-to-peer wordt gedeeld, zodat slechts een paar apparaten deze van internet hoeven te downloaden.
- Windows Updates.
- Microsoft Store-toepassingen en toepassingsupdates.
- Office Updates.
- Intune Win32-toepassingen.
Als de Delivery Optimization-service niet toegankelijk is, gaat het Autopilot-proces nog steeds verder met Delivery Optimization-downloads vanuit de cloud zonder peer-to-peer.
NTP-synchronisatie (Network Time Protocol)
Wanneer een Windows-apparaat opstart, wordt er met een netwerktijdserver gesproken om ervoor te zorgen dat de tijd op het apparaat juist is. Zorg ervoor dat UDP-poort 123 to time.windows.com
toegankelijk is.
Domain Name Services (DNS)
Om internetnamen voor alle services op te lossen, communiceert het apparaat met een DNS-server, meestal via DHCP. Deze DNS-server moet internetnamen kunnen omzetten.
Het verzamelen van diagnostische gegevens is standaard ingeschakeld. Zie Diagnostische gegevens van ondernemingen beheren voor meer informatie.
Als het apparaat geen diagnostische gegevens kan verzenden, wordt het Autopilot-proces nog steeds voortgezet. Services die afhankelijk zijn van diagnostische gegevens werken echter niet.
Statusindicator van netwerkverbinding (NCSI)
Windows moet kunnen zien dat het apparaat toegang heeft tot internet. Zie Network Connection Status Indicator (NCSI) voor meer informatie.
*.msftconnecttest.com
moet kunnen worden omgezet via DNS en toegankelijk zijn via HTTP.
Windows Notification Services (WNS)
Deze service wordt gebruikt om Windows in staat te stellen meldingen van toepassingen en services te ontvangen. Zie Microsoft Store voor meer informatie.
Als de WNS-services niet beschikbaar zijn, gaat het Autopilot-proces nog steeds door zonder meldingen.
Toepassingen in de Microsoft Store kunnen naar het apparaat worden gepusht door ze te activeren via Intune of een andere MDM-service. App-updates en aanvullende toepassingen zijn mogelijk ook nodig wanneer de gebruiker zich voor het eerst aanmeldt. Zie Voor meer informatie Update to Intune integration with the Microsoft Store on Windows en FAQ: Supporting Microsoft Store experiences on managed devices (Engelstalig) voor meer informatie.
Als de Microsoft Store niet toegankelijk is, gaat het Autopilot-proces nog steeds door zonder Microsoft Store-apps.
Als onderdeel van de Intune-apparaatconfiguratie kan installatie van Microsoft 365-toepassingen voor ondernemingen vereist zijn. Zie Office 365 URL's en IP-adresbereiken voor een lijst met alle Office-services, DNS-namen, IP-adressen, inclusief Microsoft Entra ID en andere services die kunnen overlappen met de eerder vermelde services.
Certificaatintrekkingslijsten (CRL's)
Sommige van deze services moeten ook certificaatintrekkingslijsten (CRL's) controleren op certificaten die in de services worden gebruikt. Zie URL's en IP-adresbereiken Office 365 enOffice 365 certificaatketens voor een volledige lijst.
hybride koppeling Microsoft Entra
Het apparaat kan worden Microsoft Entra hybride gekoppeld. De computer moet zich in het interne netwerk bevinden om Microsoft Entra hybrid join te laten werken. Zie De gebruikersgestuurde modus van Windows Autopilot voor meer informatie.
Autopilot zelf-implementerende modus en Pre-inrichting van Autopilot
Het TPM-attestationproces vereist toegang tot een set HTTPS-URL's, die uniek zijn voor elke TPM-provider. Zorg voor toegang tot dit URL-patroon: *.microsoftaik.azure.net
.
Firmware-TPM-apparaten, die alleen worden geleverd door Intel, AMD of Qualcomm, bevatten niet alle benodigde certificaten tijdens het opstarten en moeten deze bij het eerste gebruik van de fabrikant kunnen ophalen. Apparaten met discrete TPM-chips worden geleverd met deze certificaten vooraf geïnstalleerd. Deze apparaten bevatten apparaten van een andere fabrikant. Zie TPM-aanbevelingen voor meer informatie.
Zorg ervoor dat voor elke FIRMWARE TPM-provider de juiste URL toegankelijk is, zodat certificaten kunnen worden aangevraagd. Bijvoorbeeld:
- Intel:
https://ekop.intel.com/ekcertservice
- Qualcomm:
https://ekcert.spserv.microsoft.com/EKCertificate/GetEKCertificate/v1
- AMD:
https://ftpm.amd.com/pki/aia
Het implementeren van proxy-instellingen voor Windows Autopilot moet worden geconfigureerd op de proxyserver zelf. Het implementeren van proxy-instellingen via Intune-beleid wordt niet volledig ondersteund, omdat dit problemen en onverwacht gedrag kan veroorzaken met implementaties van bevoegde toegang.