Gebruikersgestuurde Windows Autopilot-modus

• Van toepassing op:

  ✅ Windows 11, ✅ Windows 10

Met de gebruikersgestuurde Windows Autopilot-modus kan een nieuw Windows-apparaat worden geconfigureerd om deze automatisch te transformeren van de fabrieksstatus naar een gebruiksklare status. Voor dit proces hoeft IT-personeel het apparaat niet aan te raken.

Het proces is eenvoudig. Apparaten kunnen rechtstreeks naar de eindgebruiker worden verzonden of gedistribueerd met de volgende instructies:

1. Verwijder het postvak van het apparaat, sluit het aan en schakel het in.
2. Als er meerdere talen worden gebruikt, selecteert u een taal, landinstelling en toetsenbord.
3. Maak verbinding met een draadloos of bekabeld netwerk met internettoegang. Als u draadloos gebruikt, maakt u eerst verbinding met het wi-fi-netwerk.
4. Geef een e-mailadresaccount en wachtwoord voor de organisatie op.

De rest van het proces wordt geautomatiseerd. Het apparaat voert de volgende stappen uit:

1. Word lid van de organisatie.
2. Inschrijven bij Microsoft Intune of een andere MDM-service (Mobile Device Management).
3. Configureer deze zoals gedefinieerd door de organisatie.

Andere prompts kunnen worden onderdrukt tijdens de out-of-box experience (OOBE). Zie Autopilot-profielen configureren voor meer informatie over de beschikbare opties.

Belangrijk

Als Active Directory Federation Services (ADFS) wordt gebruikt, is er een bekend probleem waardoor de eindgebruiker zich kan aanmelden met een ander account dan het account dat is toegewezen aan dat apparaat.

De gebruikersgestuurde Windows Autopilot-modus ondersteunt Microsoft Entra Join- en Microsoft Entra-hybride gekoppelde apparaten. Zie de volgende artikelen voor meer informatie over deze twee joinopties:

• Wat is een apparaat-id?
• Meer informatie over cloudeigen eindpunten.
• Microsoft Entra is gekoppeld aan hybride Microsoft Entra-eindpunten in cloudeigen eindpunten.
• Zelfstudie: Een cloudeigen Windows-eindpunt instellen en configureren met Microsoft Intune.
• Procedure: Uw Microsoft Entra Join-implementatie plannen.
• Een framework voor transformatie van Windows-eindpuntbeheer.
• Succes met externe Windows Autopilot en Microsoft Entra Hybrid Join.

De stappen van het gebruikersgestuurde proces zijn als volgt:

1. Nadat het apparaat verbinding heeft gemaakt met een netwerk, downloadt het apparaat een Windows Autopilot-profiel. Het profiel definieert de instellingen die voor het apparaat worden gebruikt. Definieer bijvoorbeeld de prompts die tijdens OOBE worden onderdrukt.

2. Windows controleert op essentiële OOBE-updates. Als er updates beschikbaar zijn, worden deze automatisch geïnstalleerd. Indien nodig wordt het apparaat opnieuw opgestart.

3. De gebruiker wordt gevraagd om Microsoft Entra-referenties. Deze aangepaste gebruikerservaring toont de naam, het logo en de aanmeldingstekst van de Microsoft Entra-tenant.

4. Het apparaat wordt gekoppeld aan Microsoft Entra ID of Active Directory, afhankelijk van de Windows Autopilot-profielinstellingen.

5. Het apparaat wordt ingeschreven bij Intune of een andere geconfigureerde MDM-service. Afhankelijk van de behoeften van de organisatie vindt deze inschrijving plaats:

   • Tijdens het Microsoft Entra-deelnameproces, met behulp van automatische inschrijving via MDM.

   • Vóór het active directory-joinproces.

6. Als deze is geconfigureerd, wordt de pagina met de status van de inschrijving (ESP) weergegeven.

7. Nadat de apparaatconfiguratietaken zijn voltooid, wordt de gebruiker aangemeld bij Windows met de referenties die ze eerder hebben opgegeven. Als het apparaat opnieuw wordt opgestart tijdens het ESP-proces van het apparaat, moet de gebruiker zijn referenties opnieuw invoeren. Deze details blijven niet behouden na het opnieuw opstarten.

8. Na het aanmelden wordt de pagina registratiestatus weergegeven voor configuratietaken die op de gebruiker zijn gericht.

Als er tijdens dit proces problemen worden gevonden, raadpleegt u Probleemoplossing voor Windows Autopilot.

Zie de volgende secties voor meer informatie over de beschikbare joinopties:

• Microsoft Entra join is beschikbaar als apparaten niet hoeven te worden toegevoegd aan een on-premises Active Directory-domein.
• Microsoft Entra Hybrid Join is beschikbaar voor apparaten die lid moeten worden van zowel Microsoft Entra ID als het on-premises Active Directory-domein.

Gebruikersgestuurde modus voor Microsoft Entra Join

Volg deze voorbereidingsstappen om een gebruikersgestuurde implementatie met Windows Autopilot te voltooien:

1. Zorg ervoor dat de gebruikers die gebruikersgestuurde modusimplementaties uitvoeren, apparaten kunnen koppelen aan Microsoft Entra ID. Zie Apparaatinstellingen configureren in de Microsoft Entra-documentatie voor meer informatie.

2. Maak een Autopilot-profiel voor de gebruikersgestuurde modus met de gewenste instellingen.

   • In Intune wordt deze modus expliciet gekozen wanneer een profiel wordt gemaakt.

   • In Microsoft Store voor Bedrijven en partnercentrum is de gebruikersgestuurde modus de standaardmodus.

3. Als u Intune gebruikt, maakt u een apparaatgroep in Microsoft Entra ID en wijst u het Autopilot-profiel toe aan die groep.

Voor elk apparaat dat wordt geïmplementeerd met behulp van een gebruikersgestuurde implementatie, zijn deze extra stappen nodig:

• Voeg het apparaat toe aan Windows Autopilot. Deze stap kan op twee manieren worden uitgevoerd:

  • Automatisch door een OEM of partner wanneer het apparaat wordt gekocht.

  • Handmatig zoals beschreven in Apparaten toevoegen aan Windows Autopilot.

• Wijs een Autopilot-profiel toe aan het apparaat:

  • Als u dynamische apparaatgroepen van Intune en Microsoft Entra gebruikt, kan deze toewijzing automatisch worden uitgevoerd.

  • Als u statische apparaatgroepen van Intune en Microsoft Entra gebruikt, voegt u het apparaat handmatig toe aan de apparaatgroep.

  • Als u andere methoden gebruikt, zoals Microsoft Store voor Bedrijven of Partnercentrum, wijst u handmatig een Autopilot-profiel toe aan het apparaat.

Tip

Als de beoogde eindstatus van het apparaat co-beheer is, kan apparaatinschrijving in Intune worden geconfigureerd om co-beheer mogelijk te maken. Dit gebeurt tijdens het Autopilot-proces. Dit gedrag leidt de workloadinstantie op een ingedeelde manier tussen Configuration Manager en Intune. Zie Inschrijven met Autopilot voor meer informatie.

Gebruikersgestuurde modus voor Microsoft Entra Hybrid Join

Belangrijk

Microsoft raadt aan om nieuwe apparaten te implementeren als cloudeigen met behulp van Microsoft Entra Join. Het wordt afgeraden om nieuwe apparaten te implementeren als Hybride Join-apparaten van Microsoft Entra, ook niet via Autopilot. Zie Voor meer informatie , Microsoft Entra toegevoegd vs. Microsoft Entra hybrid joined in cloud-native eindpunten: welke optie is geschikt voor uw organisatie.

Windows Autopilot vereist dat apparaten lid zijn van Microsoft Entra. Voor een on-premises Active Directory-omgeving kunnen apparaten worden toegevoegd aan het on-premises domein. Als u de apparaten wilt toevoegen, configureert u Autopilot-apparaten om hybride gekoppeld te zijn aan Microsoft Entra ID.

Tip

Terwijl Microsoft praat met klanten die Microsoft Intune en Microsoft Configuration Manager gebruiken om hun clientapparaten te implementeren, te beheren en te beveiligen, krijgen we vaak vragen over co-beheer van apparaten en aan Hybride Microsoft Entra gekoppelde apparaten. Veel klanten verwarren deze twee onderwerpen. Co-beheer is een beheeroptie, terwijl Microsoft Entra ID een identiteitsoptie is. Zie Scenario's voor hybride Microsoft Entra en co-beheer voor meer informatie. In dit blogbericht wordt uitgelegd hoe microsoft Entra hybrid join and co-management werkt, maar niet hetzelfde is.

De Configuration Manager-client kan niet worden geïmplementeerd tijdens het inrichten van een nieuwe computer in de gebruikersgestuurde Windows Autopilot-modus voor Microsoft Entra Hybrid Join. Deze beperking wordt veroorzaakt door de identiteitswijziging van het apparaat tijdens het Microsoft Entra-joinproces. Implementeer de Configuration Manager-client na het Autopilot-proces. Zie Clientinstallatiemethoden in Configuration Manager voor alternatieve opties voor het installeren van de client.

Vereisten voor de gebruikersgestuurde modus met hybride Microsoft Entra ID

• Maak een Windows Autopilot-profiel voor de gebruikersmodus.

  Selecteer in het Autopilot-profiel onder Deelnemen aan Microsoft Entra ID als de optie Hybride gekoppeld aan Microsoft Entra.

• Als u Intune gebruikt, hebt u een apparaatgroep nodig in Microsoft Entra ID. Wijs het Windows Autopilot-profiel toe aan de groep.

• Als u Intune gebruikt, maakt en wijst u een domeindeelnameprofiel toe. Een configuratieprofiel voor domeindeelname bevat on-premises Active Directory-domeingegevens.

• Het apparaat moet toegang hebben tot internet. Zie de netwerkvereisten voor meer informatie.

• Installeer de Intune-connector voor Active Directory.

  Opmerking

  De Intune-connector voegt het apparaat toe aan het on-premises domein. Gebruikers hebben geen machtigingen nodig om apparaten toe te voegen aan het on-premises domein. Bij dit gedrag wordt ervan uitgegaan dat de connector is geconfigureerd voor deze actie namens de gebruiker. Zie De limiet voor het computeraccount verhogen in de organisatie-eenheid voor meer informatie.

• Als u een proxy gebruikt, schakelt u de optie WPAD-proxyinstellingen (Web Proxy Auto-Discovery Protocol) in en configureert u deze.

Naast deze kernvereisten voor gebruikersgestuurde Microsoft Entra Hybrid Join, zijn de volgende extra vereisten van toepassing op on-premises apparaten:

• Het apparaat heeft momenteel een ondersteunde versie van Windows.

• Het apparaat is verbonden met het interne netwerk en heeft toegang tot een Active Directory-domeincontroller.

  • De DNS-records voor het domein en de domeincontrollers moeten worden omgezet.

  • Deze moet communiceren met de domeincontroller om de gebruiker te verifiëren.

Gebruikersgestuurde modus voor hybride deelname van Microsoft Entra met VPN-ondersteuning

Voor apparaten die zijn gekoppeld aan Active Directory, is voor veel activiteiten verbinding met een Active Directory-domeincontroller vereist. Deze activiteiten omvatten het valideren van de referenties van de gebruiker bij het aanmelden en het toepassen van groepsbeleidsinstellingen. Het door de gebruiker gestuurde Autopilot-proces voor hybride gekoppelde Microsoft Entra-apparaten valideert dat het apparaat contact kan maken met een domeincontroller door die domeincontroller te pingen.

Met de toevoeging van VPN-ondersteuning voor dit scenario kan het hybride joinproces van Microsoft Entra worden geconfigureerd om de connectiviteitscontrole over te slaan. Met deze wijziging hoeft u niet te communiceren met een domeincontroller. Om verbinding met het netwerk van de organisatie toe te staan, levert Intune in plaats daarvan de benodigde VPN-configuratie voordat de gebruiker zich probeert aan te melden bij Windows.

Vereisten voor de gebruikersgestuurde modus met hybride Microsoft Entra ID en VPN

Naast de kernvereisten voor de gebruikersgestuurde modus met Microsoft Entra Hybrid Join, zijn de volgende extra vereisten van toepassing op een extern scenario met VPN-ondersteuning:

• Een momenteel ondersteunde versie van Windows.

• Schakel in het Hybride join-profiel van Microsoft Entra voor Autopilot de volgende optie in: Domeinverbindingscontrole overslaan.

• Een VPN-configuratie met een van de volgende opties:

  • Kan worden geïmplementeerd met Intune en stelt de gebruiker in staat handmatig een VPN-verbinding tot stand te brengen vanuit het Windows-aanmeldingsscherm.

  • Automatisch een VPN-verbinding tot stand gebracht als dat nodig is.

De specifieke VPN-configuratie die is vereist, is afhankelijk van de VPN-software en verificatie die worden gebruikt. Voor vpn-oplossingen die niet van Microsoft zijn, omvat deze configuratie doorgaans het implementeren van een Win32-app via Intune-beheerextensies. Deze app bevat de VPN-clientsoftware en eventuele specifieke verbindingsgegevens. Bijvoorbeeld namen van VPN-eindpunthosts. Zie de documentatie van de VPN-provider voor configuratiedetails die specifiek zijn voor die provider.

Opmerking

De VPN-vereisten zijn niet specifiek voor Autopilot. Als bijvoorbeeld een VPN-configuratie is geïmplementeerd om wachtwoordherstel op afstand mogelijk te maken, kan dezelfde configuratie worden gebruikt met Windows Autopilot. Met deze configuratie kan een gebruiker zich aanmelden bij Windows met een nieuw wachtwoord wanneer deze zich niet op het netwerk van de organisatie bevindt. Zodra de gebruiker zich aanmeldt en de referenties in de cache zijn opgeslagen, hoeven volgende aanmeldingspogingen geen verbinding meer te maken omdat Windows gebruikmaakt van de referenties in de cache.

Als voor de VPN-software certificaatverificatie is vereist, gebruikt u Intune om ook het vereiste apparaatcertificaat te implementeren. Deze implementatie kan worden uitgevoerd met behulp van de intune-mogelijkheden voor certificaatinschrijving, gericht op de certificaatprofielen op het apparaat.

Sommige configuraties worden niet ondersteund omdat ze pas worden toegepast als de gebruiker zich aanmeldt bij Windows:

• Gebruikerscertificaten
• NIET-Microsoft UWP VPN-invoegtoepassingen uit de Windows Store

Validering

Voordat u een Hybride Koppeling van Microsoft Entra met vpn probeert, is het belangrijk om te controleren of de gebruikersgestuurde modus voor het hybride joinproces van Microsoft Entra werkt op het interne netwerk. Deze test vereenvoudigt het oplossen van problemen door ervoor te zorgen dat het kernproces werkt voordat de VPN-configuratie wordt toegevoegd.

Controleer vervolgens of Intune kan worden gebruikt om de VPN-configuratie en de bijbehorende vereisten te implementeren. Test deze onderdelen met een bestaand apparaat dat al is gekoppeld aan Microsoft Entra hybrid. Sommige VPN-clients maken bijvoorbeeld een VPN-verbinding per machine als onderdeel van het installatieproces. Valideer de configuratie met behulp van de volgende stappen:

1. Controleer of er ten minste één VPN-verbinding per machine is gemaakt.

   Get-VpnConnection -AllUserConnection
   

2. Probeer de VPN-verbinding handmatig te starten.

   RASDIAL.EXE "ConnectionName"
   

3. Meld u af bij Windows. Controleer of het pictogram vpn-verbinding wordt weergegeven op de aanmeldingspagina van Windows.

4. Verplaats het apparaat van het interne netwerk en probeer de verbinding tot stand te brengen met behulp van het pictogram op de aanmeldingspagina van Windows. Meld u aan bij een account dat geen referenties in de cache heeft.

Voor VPN-configuraties die automatisch verbinding maken, kunnen de validatiestappen afwijken.

Opmerking

Voor dit scenario kan een always-on VPN worden gebruikt. Zie Always-on VPN implementeren voor meer informatie.

Volgende stappen

• Implementeer Hybride gekoppelde Microsoft Entra-apparaten met Intune en Windows Autopilot.
• Inschrijven met Autopilot.
• Probeer Autopilot Hybrid Join via VPN uit in uw Azure-lab.

Verwante onderwerpen

• Wat is een apparaat-id?
• Meer informatie over cloudeigen eindpunten.
• Microsoft Entra is gekoppeld aan hybride Microsoft Entra-eindpunten in cloudeigen eindpunten.
• Zelfstudie: Een cloudeigen Windows-eindpunt instellen en configureren met Microsoft Intune.
• Procedure: Uw Microsoft Entra Join-implementatie plannen.
• Een framework voor transformatie van Windows-eindpuntbeheer.
• Meer informatie over scenario's voor hybride Azure AD en co-beheer.
• Succes met externe Windows Autopilot en hybride Azure Active Directory-deelname.