Bulkinschrijving voor Windows-apparaten

  • Artikel

Van toepassing op

  • Windows 10
  • Windows 11

Nieuwe Windows-apparaten toevoegen aan Microsoft Entra ID en Intune. Als u apparaten bulksgewijs wilt inschrijven voor uw Microsoft Entra tenant, maakt u een inrichtingspakket met de WCD-app (Windows Configuration Designer). Als u het inrichtingspakket toepast op apparaten in bedrijfseigendom, worden de apparaten toegevoegd aan uw Microsoft Entra tenant en worden ze ingeschreven voor Intune beheer. Zodra het pakket is toegepast, kunnen uw Microsoft Entra gebruikers zich aanmelden.

Microsoft Entra gebruikers zijn standaardgebruikers op deze apparaten en ontvangen toegewezen Intune beleid en vereiste apps. Windows-apparaten die zijn ingeschreven bij Intune met behulp van windows-bulkinschrijving, kunnen de Bedrijfsportal-app gebruiken om beschikbare apps te installeren.

Rollen en machtigingen

Als u een token voor bulkregistratie wilt maken, moet u een ondersteunde Microsoft Entra roltoewijzing hebben en moet u niet zijn gericht op een beheereenheid in Microsoft Entra ID. De ondersteunde rollen zijn:

  • Hoofdbeheerder
  • Cloudapparaatbeheerder
  • Intune beheerder
  • Wachtwoordbeheerder

U kunt deze rollen toewijzen in Intune voor tenantinstellingen voor onderwijs > of in het Microsoft Intune-beheercentrum >Gebruikers. Zie Beheerdersmachtigingen verlenen in Microsoft Intune beheercentrum voor meer informatie.

Voorwaarden

  • Op apparaten moet Windows 11 of Windows 10 Creator-update (build 1709) of hoger worden uitgevoerd.
  • Automatische inschrijving van Windows inschakelen.

Zorg er bovendien voor dat de service-principal voor Microsoft.Azure.SyncFabric (AppID 00000014-0000-0000-c000-0000000000) aanwezig is in uw Microsoft Entra tenant. Gebruik in een opdrachtregel de Get-AzureADServicePrincipal opdracht om te controleren op de service-principal. Zonder de service-principal kan Windows Configuration Designer het token voor bulkinschrijving niet ophalen, wat resulteert in een fout.

Een inrichtingspakket maken

  1. Installeer Windows Configuration Designer (WCD) vanuit de Microsoft Store.

  2. Open de app Windows Configuration Designer en selecteer Bureaubladapparaten inrichten. Schermopname van het selecteren van Bureaubladapparaten inrichten in de windows-Designer-app

  3. Er wordt een nieuw projectvenster geopend waarin u de volgende gegevens opgeeft:

    • Naam : een naam voor uw project
    • Projectmap - Locatie voor het project opslaan
    • Beschrijving: een optionele beschrijving van het project Schermopname van het opgeven van naam, projectmap en beschrijving in de Windows Configuration Designer-app

  4. Voer een unieke naam in voor uw apparaten. Namen kunnen een serienummer (%SERIAL%) of een willekeurige reeks tekens bevatten. Optioneel kunt u ook een productcode invoeren als u de editie van Windows upgradet, het apparaat configureert voor gedeeld gebruik en vooraf geïnstalleerde software verwijdert.

    Schermopname van het opgeven van de naam en productcode in de Windows Configuration Designer-app

  5. Optioneel kunt u de Wi-Fi netwerkapparaten verbinding maken wanneer ze voor het eerst worden gestart. Als de netwerkapparaten niet zijn geconfigureerd, is een bekabelde netwerkverbinding vereist wanneer het apparaat voor het eerst wordt gestart. Schermopname van het inschakelen van Wi-Fi inclusief opties voor netwerk-SSID en netwerktype in de Windows Configuration Designer-app

  6. Selecteer Inschrijven bij Azure AD, voer een vervaldatum voor bulktoken in en selecteer vervolgens Bulktoken ophalen. De geldigheidsperiode van het token is 180 dagen.

    Opmerking

    Zodra een inrichtingspakket is gemaakt, kan het worden ingetrokken voordat het verloopt door het gekoppelde package_{GUID}-gebruikersaccount uit Microsoft Entra ID te verwijderen.

  7. Geef uw Microsoft Entra referenties op om een bulktoken op te halen. Schermopname van het aanmelden bij de Windows Configuration Designer-app

    Opmerking

    Het account dat wordt gebruikt om het bulktoken aan te vragen, moet worden opgenomen in het MDM-gebruikersbereik dat is opgegeven in Microsoft Entra ID. Als dit account wordt verwijderd uit een groep die is gekoppeld aan het MDM-gebruikersbereik, werkt bulksgewijs inschrijven niet meer.

  8. Selecteer op de pagina Aangemeld blijven bij al uw apps de optie Nee, alleen aanmelden bij deze app. Als u het selectievakje ingeschakeld houdt en op OK drukt, wordt het apparaat dat u gebruikt beheerd door uw organisatie. Als u niet van plan bent om uw apparaat te beheren, selecteert u Nee, meld u alleen aan bij deze app.

  9. Klik op Volgende wanneer bulktoken is opgehaald.

  10. U kunt desgewenst toepassingen toevoegen en certificaten toevoegen. Deze apps en certificaten worden ingericht op het apparaat.

  11. Optioneel kunt u uw inrichtingspakket met een wachtwoord beveiligen. Klik op Maken. Schermopname van pakketbeveiliging in de Windows Configuration Designer-app

Apparaten inrichten

  1. Open het inrichtingspakket op de locatie die is opgegeven in de map Project die is opgegeven in de app.

  2. Kies hoe u het inrichtingspakket wilt toepassen op het apparaat. Een inrichtingspakket kan op een van de volgende manieren worden toegepast op een apparaat:

    • Plaats het inrichtingspakket op een USB-station, plaats het USB-station in het apparaat dat u bulksgewijs wilt inschrijven en pas het toe tijdens de eerste installatie
    • Plaats het inrichtingspakket in een netwerkmap en pas het toe na de eerste installatie

    Zie Een inrichtingspakket toepassen voor stapsgewijze instructies voor het toepassen van een inrichtingspakket.

  3. Nadat u het pakket hebt toegepast, wordt het apparaat binnen één minuut automatisch opnieuw opgestart. Schermopname van de projectmap, met de naam en beschrijving in de Windows Configuration Designer-app

  4. Wanneer het apparaat opnieuw wordt opgestart, maakt het verbinding met de Microsoft Entra ID en wordt het ingeschreven bij Microsoft Intune.

Problemen met windows-bulkinschrijving oplossen

Inrichtingsproblemen

Inrichting is bedoeld voor gebruik op nieuwe Windows-apparaten. Bij inrichtingsfouten moet het apparaat mogelijk worden gewist of moet het apparaat worden hersteld vanuit een opstartinstallatiekopie. In deze voorbeelden worden enkele redenen voor inrichtingsfouten beschreven:

  • Een inrichtingspakket dat probeert deel te nemen aan een Active Directory-domein of Microsoft Entra tenant die geen lokaal account maakt, kan het apparaat onbereikbaar maken als het proces voor domeindeelname mislukt vanwege een gebrek aan netwerkverbinding.
  • Scripts die door het inrichtingspakket worden uitgevoerd, worden uitgevoerd in de systeemcontext. De scripts kunnen willekeurige wijzigingen aanbrengen in het bestandssysteem en de configuraties van het apparaat. Een kwaadaardig of slecht script kan het apparaat in een status plaatsen die alleen kan worden hersteld door het apparaat opnieuw te gebruiken of te wissen.

U kunt controleren of de instellingen in uw pakket zijn geslaagd of mislukt in de inrichtingsdiagnose-provider Beheer aanmelden in Logboeken.

Opmerking

Bulkinschrijving wordt beschouwd als een gebruikersloze inschrijvingsmethode en daarom is alleen de standaardinschrijvingsbeperking in Intune van toepassing tijdens de inschrijving. Zorg ervoor dat windows-platform is toegestaan in de standaardbeperking, anders mislukt de inschrijving. Als u de mogelijkheden naast andere Windows-inschrijvingsmethoden wilt controleren, raadpleegt u Intune mogelijkheden voor inschrijvingsmethodes voor Windows-apparaten.

Bulksgewijs inschrijven met Wi-Fi

Wanneer u geen open netwerk gebruikt, moet u certificaten op apparaatniveau gebruiken om verbindingen te initiëren. Bulksgewijs ingeschreven apparaten kunnen geen gebruik maken van op gebruikers gerichte certificaten voor netwerktoegang.

Voorwaardelijke toegang

Voorwaardelijke toegang is beschikbaar voor apparaten die zijn ingeschreven via bulkinschrijving met Windows 11 of Windows 10 versie 1803 en hoger.