Rozwiązanie Windows Autopilot na potrzeby wstępnie aprowizowanego wdrożenia
Rozwiązanie Windows Autopilot ułatwia organizacjom łatwe aprowizowanie nowych urządzeń przy użyciu wstępnie zainstalowanego obrazu I sterowników OEM. Ta funkcja umożliwia użytkownikom końcowym przygotowanie urządzeń do działania przy użyciu prostego procesu.
Rozwiązanie Windows Autopilot może również udostępniać usługę wstępnej aprowizacji , która ułatwia partnerom lub pracownikom IT wstępne aprowizowanie w pełni skonfigurowanego i gotowego do działania komputera z systemem Windows. Z perspektywy użytkownika końcowego środowisko oparte na użytkowniku rozwiązania Windows Autopilot nie ulega zmianie, ale uzyskanie pełnego stanu aprowizacji urządzenia jest szybsze.
W przypadku rozwiązania Windows Autopilot na potrzeby wstępnie aprowizowanego wdrożenia proces aprowizacji jest podzielony. Czasochłonne części są wykonywane przez informatyków, partnerów lub producenta OEM. Użytkownik końcowy po prostu wykonuje kilka niezbędnych ustawień i zasad, a następnie może zacząć korzystać ze swojego urządzenia.
Wdrożenia wstępnie aprowizowane używają Microsoft Intune w obecnie obsługiwanych wersjach systemu Windows. Takie wdrożenia bazują na istniejących scenariuszach opartych na użytkownikach rozwiązania Windows Autopilot i obsługują scenariusze trybu opartego na użytkownikach zarówno dla urządzeń przyłączonych Microsoft Entra, jak i Microsoft Entra urządzeń przyłączonych hybrydowo.
Wymagania
Ważna
Urządzenie nie może automatycznie ponownie zarejestrować się za pośrednictwem rozwiązania Windows Autopilot po początkowym wdrożeniu z trybem wstępnej aprowizacji. Zamiast tego usuń rekord urządzenia w centrum administracyjnym Microsoft Intune. W centrum administracyjnym Microsoft Intune wybierz pozycję Urządzenia>Wszystkie urządzenia> wybierz urządzenia do usunięcia.> Aby uzyskać więcej informacji, zobacz Aktualizacje do środowiska logowania i wdrażania rozwiązania Windows Autopilot.
Oprócz wymagań dotyczących rozwiązania Windows Autopilot rozwiązanie Windows Autopilot na potrzeby wstępnie aprowizowanego wdrożenia wymaga również:
- Obecnie obsługiwana wersja systemu Windows.
- Wersje Windows Pro, Enterprise lub Education.
- Subskrypcja Intune.
- Urządzenia fizyczne obsługujące moduł TPM (Trusted Platform Module) 2.0 i zaświadczanie urządzeń. Maszyny wirtualne nie są obsługiwane. Proces wstępnej aprowizacji korzysta z funkcji samodzielnego wdrażania rozwiązania Windows Autopilot, więc wymagany jest moduł TPM 2.0. Proces zaświadczania modułu TPM wymaga również dostępu do zestawu adresów URL HTTPS, które są unikatowe dla każdego dostawcy modułu TPM. Aby uzyskać więcej informacji, zobacz wpis dotyczący trybu samodzielnego wdrażania rozwiązania Autopilot i wstępnej aprowizacji rozwiązania Autopilot w obszarze Wymagania dotyczące sieci.
- Łączność sieciowa. Korzystanie z łączności bezprzewodowej wymaga wybrania regionu, języka i klawiatury przed nawiązaniem połączenia i rozpoczęciem aprowizacji.
- Profil strony ze stanem rejestracji (ESP) musi być przeznaczony dla urządzenia.
Ważna
Ponieważ producent OEM lub dostawca wykonuje proces wstępnej aprowizacji, ten proces nie wymaga dostępu do infrastruktury domeny lokalnej użytkownika końcowego. Proces wstępnej aprowizacji różni się od typowego Microsoft Entra scenariusza przyłączonego hybrydowo, ponieważ ponowne uruchomienie urządzenia jest odroczone. Urządzenie jest ponownie zaimportowane przed rozpoczęciem oczekiwanej łączności z kontrolerem domeny. Zamiast tego kontakt z siecią domeny jest nawiązywany, gdy urządzenie jest rozpakowywany lokalnie przez użytkownika końcowego.
Zobacz Znane problemy rozwiązania Windows Autopilot i Rozwiązywanie problemów z importowaniem i rejestrowaniem urządzeń z rozwiązaniem Windows Autopilot , aby zapoznać się ze znanymi problemami i ich rozwiązaniami.
Przygotowanie
Urządzenia przeznaczone do wstępnej aprowizacji są rejestrowane dla rozwiązania Autopilot za pośrednictwem normalnego procesu rejestracji.
Aby przygotować się do wypróbowania rozwiązania Windows Autopilot na potrzeby wstępnie aprowizowanego wdrożenia, upewnij się, że można pomyślnie używać istniejących scenariuszy opartych na użytkownikach rozwiązania Windows Autopilot:
Sprzężanie Microsoft Entra sterowane przez użytkownika. Upewnij się, że urządzenia można wdrażać przy użyciu rozwiązania Windows Autopilot i dołączać je do dzierżawy Tożsamość Microsoft Entra.
Sprzężenia hybrydowe oparte na użytkownikach Microsoft Entra. Aby włączyć funkcje Microsoft Entra sprzężenia hybrydowego, upewnij się, że można wykonać następujące akcje:
- Wdrażanie urządzeń przy użyciu rozwiązania Windows Autopilot.
- Dołącz urządzenia do domeny lokalna usługa Active Directory.
- Zarejestruj urządzenia przy użyciu Tożsamość Microsoft Entra.
Ważna
Firma Microsoft zaleca wdrażanie nowych urządzeń jako natywnych dla chmury przy użyciu Microsoft Entra join. Wdrażanie nowych urządzeń jako urządzeń Microsoft Entra przyłączania hybrydowego nie jest zalecane, w tym za pośrednictwem rozwiązania Autopilot. Aby uzyskać więcej informacji, zobacz Microsoft Entra sprzężone a Microsoft Entra przyłączone hybrydowo w punktach końcowych natywnych dla chmury: Która opcja jest odpowiednia dla Twojej organizacji.
Jeśli nie można ukończyć tych scenariuszy, rozwiązanie Windows Autopilot dla wstępnie aprowizowanego wdrożenia również nie powiedzie się, ponieważ jest oparte na tych scenariuszach.
Przed rozpoczęciem procesu wstępnej aprowizacji w obiekcie usługi aprowizacji należy skonfigurować inne ustawienie profilu rozwiązania Autopilot. Szczegółowy samouczek dotyczący konfigurowania profilu rozwiązania Autopilot na potrzeby wstępnej aprowizacji jest dostępny w następujących artykułach:
- Samouczek krok po kroku dotyczący rozwiązania Windows Autopilot dla wstępnie aprowizowanego wdrożenia Microsoft Entra dołączania do Intune
- Samouczek krok po kroku dotyczący rozwiązania Windows Autopilot dla wstępnie aprowizowanego wdrożenia Microsoft Entra dołączenia hybrydowego w Intune
Proces wstępnej aprowizacji stosuje wszystkie zasady przeznaczone dla urządzeń z Intune. Te zasady obejmują certyfikaty, szablony zabezpieczeń, ustawienia, aplikacje i inne — wszystko, co jest przeznaczone dla urządzenia. Ponadto wszystkie aplikacje Win32 lub biznesowe (LOB) są instalowane, jeśli spełniają następujące warunki:
- Skonfigurowano do instalacji w kontekście urządzenia.
- Przypisane do urządzenia lub do użytkownika wstępnie przypisanego do urządzenia rozwiązania Autopilot.
Ważna
Pamiętaj, aby nie kierować aplikacji Win32 i LOB do tego samego urządzenia. Jeśli aplikacje Win32 i LOB muszą być kierowane do urządzenia, rozważ użycie przygotowania urządzenia rozwiązania Windows Autopilot. Aby uzyskać więcej informacji, zobacz Dodawanie aplikacji biznesowej systemu Windows do Microsoft Intune.
Uwaga
Aby zapewnić łatwy dostęp do trybu wstępnej aprowizacji, wybierz tryb języka jako użytkownik określony w profilach rozwiązania Autopilot. Faza technik wstępnej aprowizacji instaluje wszystkie aplikacje przeznaczone dla urządzeń i wszystkie aplikacje kontekstowe urządzenia przeznaczone dla użytkownika, które są przeznaczone dla przypisanego użytkownika. Jeśli nie ma przypisanego użytkownika, instaluje on tylko aplikacje przeznaczone dla urządzenia. Inne zasady ukierunkowane na użytkownika nie są stosowane, dopóki użytkownik nie zaloguje się do urządzenia. Aby zweryfikować te zachowania, należy utworzyć odpowiednie aplikacje i zasady przeznaczone dla urządzeń i użytkowników.
Scenariuszy
Rozwiązanie Windows Autopilot dla wstępnie aprowizowanego wdrożenia obsługuje dwa różne scenariusze:
Wdrożenia oparte na użytkownikach z Microsoft Entra sprzężenia. Urządzenie jest przyłączone do dzierżawy Microsoft Entra.
Wdrożenia oparte na użytkownikach z Microsoft Entra sprzężenia hybrydowego. Urządzenie jest przyłączone do domeny lokalna usługa Active Directory i oddzielnie zarejestrowane w Tożsamość Microsoft Entra.
Ważna
Firma Microsoft zaleca wdrażanie nowych urządzeń jako natywnych dla chmury przy użyciu Microsoft Entra join. Wdrażanie nowych urządzeń jako urządzeń Microsoft Entra przyłączania hybrydowego nie jest zalecane, w tym za pośrednictwem rozwiązania Autopilot. Aby uzyskać więcej informacji, zobacz Microsoft Entra sprzężone a Microsoft Entra przyłączone hybrydowo w punktach końcowych natywnych dla chmury: Która opcja jest odpowiednia dla Twojej organizacji.
Każdy z tych scenariuszy składa się z dwóch części: przepływu technika i przepływu użytkownika. Na wysokim poziomie te części są takie same dla sprzężenia Microsoft Entra i Microsoft Entra sprzężenia hybrydowego. Różnice są widoczne przede wszystkim przez użytkownika końcowego w krokach uwierzytelniania.
Przepływ technika
Gdy klient lub dział IT Administracja dotyczy wszystkich aplikacji i ustawień dla swoich urządzeń za pośrednictwem Intune, technik wstępnej aprowizacji może rozpocząć proces wstępnej aprowizacji. Technik może być członkiem personelu IT, partnera usług lub producenta OEM — każda organizacja może zdecydować, kto powinien wykonywać te działania. Niezależnie od scenariusza proces wykonywany przez technika jest taki sam:
Uruchom urządzenie.
Na pierwszym ekranie oOBE (out-of-box experience), który może być wyborem języka, ekranem wyboru ustawień regionalnych lub stroną logowania Microsoft Entra, nie wybieraj przycisku Dalej. Zamiast tego naciśnij pięć razy systemu Windows, aby wyświetlić inne okno dialogowe opcji. Na tym ekranie wybierz opcję aprowizowania rozwiązania Windows Autopilot , a następnie wybierz pozycję Kontynuuj.
Na ekranie Konfiguracja rozwiązania Windows Autopilot są wyświetlane następujące informacje o urządzeniu:
Profil rozwiązania Autopilot przypisany do urządzenia.
Nazwa organizacji urządzenia.
Użytkownik przypisany do urządzenia (jeśli istnieje).
Kod QR zawierający unikatowy identyfikator urządzenia. Ten kod może służyć do wyszukiwania urządzenia w Intune, co może być konieczne do wprowadzenia zmian w konfiguracji. Na przykład przypisz użytkownika lub dodaj urządzenie do grup potrzebnych do określania wartości docelowej aplikacji lub zasad.
Uwaga
Kody QR można skanować przy użyciu aplikacji towarzyszącej. Aplikacja konfiguruje również urządzenie, aby określić, do kogo należy. Zespół rozwiązania Autopilot utworzył przykład open source aplikacji towarzyszącej, która integruje się z Intune przy użyciu interfejs Graph API. Jest ona dostępna w usłudze GitHub.
Zweryfikuj wyświetlane informacje. Jeśli są potrzebne jakiekolwiek zmiany, wprowadź zmiany, a następnie wybierz pozycję Odśwież , aby ponownie załadować zaktualizowane szczegóły profilu rozwiązania Autopilot.
Wybierz pozycję Aprowizuj , aby rozpocząć proces aprowizacji.
Jeśli proces wstępnej aprowizacji zakończy się pomyślnie:
Zostanie wyświetlony ekran stanu powodzenia z informacjami o urządzeniu, w tym tymi samymi szczegółami przedstawionymi wcześniej. Na przykład profil rozwiązania Autopilot, nazwa organizacji, przypisany użytkownik i kod QR. Podano również czas, jaki upłynął dla kroków wstępnej aprowizacji.
Wybierz pozycję Ponowne rejestrowanie , aby zamknąć urządzenie. W tym momencie urządzenie może zostać wysłane do użytkownika końcowego.
Uwaga
Przepływ technika dziedziczy zachowanie z trybu samodzielnego wdrażania. Self-Deploying Tryb używa strony stanu rejestracji do przechowywania urządzenia w stanie aprowizacji. Urządzenie będące w stanie aprowizacji uniemożliwia użytkownikowi przejście do pulpitu po rejestracji, ale przed zakończeniem stosowania oprogramowania i konfiguracji. W związku z tym, jeśli strona stanu rejestracji jest wyłączona, przycisk ponownej rejestracji może być wyświetlany przed zakończeniem stosowania oprogramowania i konfiguracji. To zachowanie może umożliwić przejście do przepływu użytkownika przed zakończeniem aprowizacji przepływu technika. Ekran powodzenia sprawdza, czy rejestracja zakończyła się pomyślnie, a nie, że przepływ technika jest koniecznie ukończony.
Jeśli proces wstępnej aprowizacji zakończy się niepowodzeniem:
- Zostanie wyświetlony ekran stanu błędu z informacjami o urządzeniu, w tym tymi samymi szczegółami przedstawionymi wcześniej. Na przykład profil rozwiązania Autopilot, nazwa organizacji, przypisany użytkownik i kod QR. Podano również czas, jaki upłynął dla kroków wstępnej aprowizacji.
- Dzienniki diagnostyczne można zbierać z urządzenia, a następnie można je zresetować w celu ponownego uruchomienia procesu.
Przepływ użytkownika
Ważna
Aby upewnić się, że tokeny są prawidłowo odświeżane między przepływem Technik i Przepływ użytkownika, poczekaj co najmniej 90 minut po uruchomieniu przepływu Technik przed uruchomieniem przepływu Użytkownik. Ten scenariusz ma głównie wpływ na scenariusze laboratoryjne i testowe, gdy przepływ użytkownika jest uruchamiany w ciągu 90 minut po zakończeniu przepływu Technik.
Przepływ Użytkownik powinien zostać uruchomiony w ciągu sześciu miesięcy od zakończenia przepływu Technik. Oczekiwanie dłużej niż sześć miesięcy może spowodować, że certyfikaty używane przez aparat zarządzania Intune (IME) przestaną być prawidłowe, co prowadzi do błędów, takich jak:
Error code: [Win32App][DetectionActionHandler] Detection for policy with id: <policy_id> resulted in action status: Failed and detection state: NotComputed.
Zgodność w Tożsamość Microsoft Entra jest resetowana podczas przepływu Użytkownik. Urządzenia mogą być wyświetlane jako zgodne w Tożsamość Microsoft Entra po zakończeniu przepływu Technik, ale po uruchomieniu przepływu Użytkownika są wyświetlane jako niezgodne. Poczekaj wystarczająco dużo czasu po zakończeniu przepływu użytkownika, aby zachować zgodność, aby ponownie przeprowadzić ewaluację i aktualizację.
Jeśli proces wstępnej aprowizacji zakończył się pomyślnie, a urządzenie zostało ponownie zaalokowane, należy dostarczyć je użytkownikowi końcowemu. Użytkownik końcowy wykonuje normalny proces oparty na użytkowniku rozwiązania Windows Autopilot, wykonując następujące kroki:
Włącz urządzenie.
Wybierz odpowiedni język, ustawienia regionalne i układ klawiatury.
Połącz się z siecią (jeśli używasz sieci Wi-Fi). Dostęp do Internetu jest zawsze wymagany. Jeśli używasz Microsoft Entra przyłączania hybrydowego, musi istnieć również łączność z kontrolerem domeny.
Jeśli używasz Microsoft Entra join, na ekranie logowania markowego wprowadź poświadczenia Microsoft Entra użytkownika.
Jeśli używasz Microsoft Entra przyłączania hybrydowego, urządzenie zostanie ponownie uruchomione; po ponownym uruchomieniu wprowadź poświadczenia usługi Active Directory użytkownika.
Uwaga
W pewnych okolicznościach podczas Microsoft Entra scenariusza dołączania hybrydowego mogą być również monitowane Microsoft Entra poświadczenia. Jeśli na przykład usługa ADFS nie jest używana.
Więcej zasad i aplikacji jest dostarczanych do urządzenia, zgodnie ze stroną ze stanem rejestracji (ESP). Po zakończeniu użytkownik może uzyskać dostęp do pulpitu.
Środowisko ESP urządzenia jest uruchamiane ponownie podczas przepływu użytkownika, aby zarówno urządzenie, jak i esp użytkownika były uruchamiane po zalogowaniu się użytkownika. To zachowanie umożliwia esp zainstalować inne zasady, które są przypisane do urządzenia po zakończeniu fazy techników.
Uwaga
Jeśli asystent Sign-In konta Microsoft (wlidsvc) jest wyłączony podczas przepływu techników, opcja logowania Microsoft Entra może nie być wyświetlana. Zamiast tego użytkownicy są proszeni o zaakceptowanie umowy EULA i utworzenie konta lokalnego, co może nie być pożądanym zachowaniem.
Wdrażanie urządzenia
Aby uzyskać więcej informacji na temat uruchamiania wdrożenia na urządzeniu podczas korzystania z rozwiązania Windows Autopilot do wstępnej aprowizacji, zobacz kroki przepływu techników i użytkowników rozwiązania Windows Autopilot na potrzeby wstępnie aprowizowanych samouczków dotyczących wdrażania:
Zawartość pokrewna
- Wstępne aprowizowanie wideo.
- Co to jest tożsamość urządzenia?.
- Dowiedz się więcej o punktach końcowych natywnych dla chmury.
- Samouczek: Konfigurowanie i konfigurowanie natywnego dla chmury punktu końcowego systemu Windows przy użyciu Microsoft Intune.
- Instrukcje: planowanie implementacji dołączania Microsoft Entra.
- Struktura transformacji zarządzania punktami końcowymi systemu Windows.
- Omówienie scenariuszy Azure AD hybrydowych i współzarządzania.
- Powodzenie dzięki zdalnej funkcji Windows Autopilot i hybrydowej funkcji dołączania do usługi Azure Active Directory.