Rozwiązanie Windows Autopilot na potrzeby wstępnie aprowizowanego wdrożenia

Rozwiązanie Windows Autopilot ułatwia organizacjom łatwe aprowizowanie nowych urządzeń przy użyciu wstępnie zainstalowanego obrazu I sterowników OEM. Ta funkcja umożliwia użytkownikom końcowym przygotowanie urządzeń do działania przy użyciu prostego procesu.

Diagram procesu OEM.

Rozwiązanie Windows Autopilot może również udostępniać usługę wstępnej aprowizacji , która ułatwia partnerom lub pracownikom IT wstępne aprowizowanie w pełni skonfigurowanego i gotowego do działania komputera z systemem Windows. Z perspektywy użytkownika końcowego środowisko oparte na użytkowniku rozwiązania Windows Autopilot nie ulega zmianie, ale uzyskanie pełnego stanu aprowizacji urządzenia jest szybsze.

W przypadku rozwiązania Windows Autopilot na potrzeby wstępnie aprowizowanego wdrożenia proces aprowizacji jest podzielony. Czasochłonne części są wykonywane przez informatyków, partnerów lub producenta OEM. Użytkownik końcowy po prostu wykonuje kilka niezbędnych ustawień i zasad, a następnie może zacząć korzystać ze swojego urządzenia.

Diagram procesu OEM z partnerem.

Wdrożenia wstępnie aprowizowane używają Microsoft Intune w obecnie obsługiwanych wersjach systemu Windows. Takie wdrożenia bazują na istniejących scenariuszach opartych na użytkownikach rozwiązania Windows Autopilot i obsługują scenariusze trybu opartego na użytkownikach zarówno dla urządzeń przyłączonych Microsoft Entra, jak i Microsoft Entra urządzeń przyłączonych hybrydowo.

Wymagania wstępne

Oprócz wymagań dotyczących rozwiązania Windows Autopilot rozwiązanie Windows Autopilot na potrzeby wstępnie aprowizowanego wdrożenia wymaga również:

  • Obecnie obsługiwana wersja systemu Windows.
  • Wersje Windows Pro, Enterprise lub Education.
  • Subskrypcja Intune.
  • Urządzenia fizyczne obsługujące moduł TPM (Trusted Platform Module) 2.0 i zaświadczanie urządzeń. Maszyny wirtualne nie są obsługiwane. Proces wstępnej aprowizacji korzysta z funkcji samodzielnego wdrażania rozwiązania Windows Autopilot, więc wymagany jest moduł TPM 2.0. Proces zaświadczania modułu TPM wymaga również dostępu do zestawu adresów URL HTTPS, które są unikatowe dla każdego dostawcy modułu TPM. Aby uzyskać więcej informacji, zobacz wpis dotyczący trybu samodzielnego wdrażania rozwiązania Autopilot i wstępnej aprowizacji rozwiązania Autopilot w obszarze Wymagania dotyczące sieci.
  • Łączność sieciowa. Korzystanie z łączności bezprzewodowej wymaga wybrania regionu, języka i klawiatury, zanim będzie można nawiązać połączenie i rozpocząć aprowizację.
  • Profil strony ze stanem rejestracji (ESP) musi być przeznaczony dla urządzenia.

Ważna

  • Ponieważ producent OEM lub dostawca wykonuje proces wstępnej aprowizacji, ten proces nie wymaga dostępu do infrastruktury domeny lokalnej użytkownika końcowego. Proces wstępnej aprowizacji różni się od typowego Microsoft Entra scenariusza przyłączonego hybrydowo, ponieważ ponowne uruchomienie urządzenia jest odroczone. Urządzenie jest ponownie zaimportowane przed rozpoczęciem oczekiwanej łączności z kontrolerem domeny, a sieć domeny jest kontaktowana, gdy urządzenie jest odładowywane lokalnie przez użytkownika końcowego.

  • Zobacz Znane problemy rozwiązania Windows Autopilot i Rozwiązywanie problemów z importowaniem i rejestrowaniem urządzeń rozwiązania Autopilot , aby zapoznać się ze znanymi problemami i ich rozwiązaniami.

Przygotowanie

Urządzenia przeznaczone do wstępnej aprowizacji są rejestrowane dla rozwiązania Autopilot za pośrednictwem normalnego procesu rejestracji.

Aby przygotować się do wypróbowania rozwiązania Windows Autopilot na potrzeby wstępnie aprowizowanego wdrożenia, upewnij się, że można najpierw pomyślnie użyć istniejących scenariuszy opartych na użytkownikach rozwiązania Windows Autopilot:

  • Sprzężanie Microsoft Entra sterowane przez użytkownika. Upewnij się, że można wdrażać urządzenia przy użyciu rozwiązania Windows Autopilot i dołączać je do dzierżawy Tożsamość Microsoft Entra.

  • Sprzężenia hybrydowe oparte na użytkownikach Microsoft Entra. Aby włączyć funkcje Microsoft Entra sprzężenia hybrydowego, upewnij się, że możesz:

    • Wdrażanie urządzeń przy użyciu rozwiązania Windows Autopilot.
    • Dołącz urządzenia do domeny lokalna usługa Active Directory.
    • Zarejestruj urządzenia przy użyciu Tożsamość Microsoft Entra.

    Ważna

    Firma Microsoft zaleca wdrażanie nowych urządzeń jako natywnych dla chmury przy użyciu Microsoft Entra join. Wdrażanie nowych urządzeń jako urządzeń Microsoft Entra przyłączania hybrydowego nie jest zalecane, w tym za pośrednictwem rozwiązania Autopilot. Aby uzyskać więcej informacji, zobacz Microsoft Entra sprzężone a Microsoft Entra przyłączone hybrydowo w punktach końcowych natywnych dla chmury: Która opcja jest odpowiednia dla Twojej organizacji.

Jeśli nie można ukończyć tych scenariuszy, rozwiązanie Windows Autopilot dla wstępnie aprowizowanego wdrożenia również nie powiedzie się, ponieważ jest oparte na tych scenariuszach.

Przed rozpoczęciem procesu wstępnej aprowizacji w obiekcie usługi aprowizacji należy skonfigurować inne ustawienie profilu rozwiązania Autopilot przy użyciu konta Intune. Szczegółowy samouczek dotyczący konfigurowania profilu rozwiązania Autopilot na potrzeby wstępnej aprowizacji jest dostępny w następujących artykułach:

Proces wstępnej aprowizacji stosuje wszystkie zasady przeznaczone dla urządzeń z Intune. Te zasady obejmują certyfikaty, szablony zabezpieczeń, ustawienia, aplikacje i inne — wszystko, co jest przeznaczone dla urządzenia. Ponadto wszystkie aplikacje Win32 lub LOB są instalowane, jeśli spełniają następujące warunki:

  • Skonfigurowano do instalacji w kontekście urządzenia.
  • Przypisane do urządzenia lub do użytkownika wstępnie przypisanego do urządzenia rozwiązania Autopilot.

Ważna

Pamiętaj, aby nie kierować aplikacji Win32 i LOB do tego samego urządzenia. Aby uzyskać więcej informacji, zobacz Dodawanie aplikacji biznesowej systemu Windows do Microsoft Intune.

Uwaga

Wybierz tryb językowy określony przez użytkownika w profilach rozwiązania Autopilot, aby zapewnić łatwy dostęp do trybu wstępnej aprowizacji. Faza technik wstępnej aprowizacji instaluje wszystkie aplikacje przeznaczone dla urządzeń i wszystkie aplikacje kontekstowe urządzenia przeznaczone dla użytkownika, które są przeznaczone dla przypisanego użytkownika. Jeśli nie ma przypisanego użytkownika, instaluje on tylko aplikacje przeznaczone dla urządzenia. Inne zasady ukierunkowane na użytkownika nie są stosowane, dopóki użytkownik nie zaloguje się do urządzenia. Aby zweryfikować te zachowania, należy utworzyć odpowiednie aplikacje i zasady przeznaczone dla urządzeń i użytkowników.

Scenariuszy

Rozwiązanie Windows Autopilot dla wstępnie aprowizowanego wdrożenia obsługuje dwa różne scenariusze:

Każdy z tych scenariuszy składa się z dwóch części: przepływu technika i przepływu użytkownika. Na wysokim poziomie te części są takie same dla sprzężenia Microsoft Entra i Microsoft Entra sprzężenia hybrydowego. Różnice są widoczne przede wszystkim przez użytkownika końcowego w krokach uwierzytelniania.

Przepływ technika

Gdy klient lub dział IT Administracja dotyczy wszystkich aplikacji i ustawień dla swoich urządzeń za pośrednictwem Intune, technik wstępnej aprowizacji może rozpocząć proces wstępnej aprowizacji. Technik może być członkiem personelu IT, partnera usług lub producenta OEM — każda organizacja może zdecydować, kto powinien wykonywać te działania. Niezależnie od scenariusza proces wykonywany przez technika jest taki sam:

  • Uruchom urządzenie.

  • Na pierwszym ekranie oOBE (out-of-box experience), który może być wyborem języka, ekranem wyboru ustawień regionalnych lub stroną logowania Microsoft Entra, nie wybieraj przycisku Dalej. Zamiast tego naciśnij pięć razy klawisz systemu Windows, aby wyświetlić inne okno dialogowe opcji. Na tym ekranie wybierz opcję aprowizacji rozwiązania Windows Autopilot , a następnie wybierz pozycję Kontynuuj.

  • Na ekranie Konfiguracja rozwiązania Windows Autopilot są wyświetlane następujące informacje o urządzeniu:

    • Profil rozwiązania Autopilot przypisany do urządzenia.

    • Nazwa organizacji urządzenia.

    • Użytkownik przypisany do urządzenia (jeśli istnieje).

    • Kod QR zawierający unikatowy identyfikator urządzenia. Możesz użyć tego kodu, aby wyszukać urządzenie w Intune, co warto zrobić, aby wprowadzić zmiany konfiguracji. Na przykład przypisz użytkownika lub dodaj urządzenie do grup potrzebnych do określania wartości docelowej aplikacji lub zasad.

      Uwaga

      Kody QR można skanować przy użyciu aplikacji towarzyszącej. Aplikacja konfiguruje również urządzenie, aby określić, do kogo należy. Zespół rozwiązania Autopilot utworzył przykład open source aplikacji towarzyszącej, która integruje się z Intune przy użyciu interfejs Graph API. Jest ona dostępna w usłudze GitHub.

  • Zweryfikuj wyświetlane informacje. Jeśli są potrzebne jakiekolwiek zmiany, wprowadź zmiany, a następnie wybierz pozycję Odśwież , aby ponownie załadować zaktualizowane szczegóły profilu rozwiązania Autopilot.

  • Wybierz pozycję Aprowizuj , aby rozpocząć proces aprowizacji.

Jeśli proces wstępnej aprowizacji zakończy się pomyślnie:

  • Zostanie wyświetlony ekran stanu powodzenia z informacjami o urządzeniu, w tym tymi samymi szczegółami przedstawionymi wcześniej. Na przykład profil rozwiązania Autopilot, nazwa organizacji, przypisany użytkownik i kod QR. Podano również czas, jaki upłynął dla kroków wstępnej aprowizacji.

  • Wybierz pozycję Ponowne rejestrowanie , aby zamknąć urządzenie. W tym momencie urządzenie może zostać wysłane do użytkownika końcowego.

Uwaga

Przepływ technika dziedziczy zachowanie z trybu samodzielnego wdrażania. Self-Deploying Tryb używa strony stanu rejestracji do przechowywania urządzenia w stanie aprowizacji. Urządzenie będące w stanie aprowizacji uniemożliwia użytkownikowi przejście do pulpitu po rejestracji, ale przed zakończeniem stosowania oprogramowania i konfiguracji. W związku z tym, jeśli strona stanu rejestracji jest wyłączona, przycisk ponownej rejestracji może być wyświetlany przed zakończeniem stosowania oprogramowania i konfiguracji. To zachowanie może umożliwić przejście do przepływu użytkownika przed zakończeniem aprowizacji przepływu technika. Ekran powodzenia sprawdza, czy rejestracja zakończyła się pomyślnie, a nie, że przepływ technika jest koniecznie ukończony.

Jeśli proces wstępnej aprowizacji zakończy się niepowodzeniem:

  • Zostanie wyświetlony ekran stanu błędu z informacjami o urządzeniu, w tym tymi samymi szczegółami przedstawionymi wcześniej. Na przykład profil rozwiązania Autopilot, nazwa organizacji, przypisany użytkownik i kod QR. Podano również czas, jaki upłynął dla kroków wstępnej aprowizacji.
  • Dzienniki diagnostyczne można zbierać z urządzenia, a następnie można je zresetować w celu ponownego uruchomienia procesu.

Przepływ użytkownika

Ważna

  • Aby upewnić się, że tokeny są prawidłowo odświeżane między przepływem Technik i Przepływ użytkownika, poczekaj co najmniej 90 minut po uruchomieniu przepływu Technik przed uruchomieniem przepływu Użytkownik. Ten scenariusz ma głównie wpływ na scenariusze laboratoryjne i testowe, gdy przepływ użytkownika jest uruchamiany w ciągu 90 minut po zakończeniu przepływu Technik.

  • Zgodność w Tożsamość Microsoft Entra jest resetowana podczas przepływu Użytkownik. Urządzenia mogą być wyświetlane jako zgodne w Tożsamość Microsoft Entra po zakończeniu przepływu Technik, ale po uruchomieniu przepływu Użytkownika są wyświetlane jako niezgodne. Poczekaj wystarczająco dużo czasu po zakończeniu przepływu użytkownika, aby zachować zgodność, aby ponownie przeprowadzić ewaluację i aktualizację.

Jeśli proces wstępnej aprowizacji zakończył się pomyślnie, a urządzenie zostało ponownie zaalokowane, możesz dostarczyć je użytkownikowi końcowemu. Użytkownik końcowy wykonuje normalny proces oparty na użytkowniku rozwiązania Windows Autopilot, wykonując następujące kroki:

  • Włącz urządzenie.

  • Wybierz odpowiedni język, ustawienia regionalne i układ klawiatury.

  • Połącz się z siecią (jeśli używasz sieci Wi-Fi). Dostęp do Internetu jest zawsze wymagany. Jeśli używasz Microsoft Entra przyłączania hybrydowego, musi istnieć również łączność z kontrolerem domeny.

  • Jeśli używasz Microsoft Entra join, na ekranie logowania markowego wprowadź poświadczenia Microsoft Entra użytkownika.

  • Jeśli używasz Microsoft Entra przyłączania hybrydowego, urządzenie zostanie ponownie uruchomione; po ponownym uruchomieniu wprowadź poświadczenia usługi Active Directory użytkownika.

    Uwaga

    W pewnych okolicznościach podczas Microsoft Entra scenariusza dołączania hybrydowego można również wyświetlić monit o podanie poświadczeń Microsoft Entra. Jeśli na przykład usługa ADFS nie jest używana.

  • Więcej zasad i aplikacji jest dostarczanych do urządzenia, zgodnie ze stroną ze stanem rejestracji (ESP). Po zakończeniu użytkownik może uzyskać dostęp do pulpitu.

Środowisko ESP urządzenia jest uruchamiane ponownie podczas przepływu użytkownika, aby zarówno urządzenie, jak i esp użytkownika były uruchamiane po zalogowaniu się użytkownika. To zachowanie umożliwia esp zainstalować inne zasady, które są przypisane do urządzenia po zakończeniu fazy techników.

Uwaga

Jeśli asystent Sign-In konta Microsoft (wlidsvc) jest wyłączony podczas przepływu techników, opcja logowania Microsoft Entra może nie być wyświetlana. Zamiast tego użytkownicy są proszeni o zaakceptowanie umowy EULA i utworzenie konta lokalnego, co może nie być pożądanym zachowaniem.