Wymagania dotyczące przygotowywania urządzeń z rozwiązaniem Windows Autopilot

• Dotyczy:

  ✅ Windows 11

Porada

Usługa RSS może służyć do powiadamiania o dodaniu lub zaktualizowaniu wymagań do tej strony. Na przykład następujący link RSS zawiera ten artykuł:

https://learn.microsoft.com/en-us/search/?terms=%22Software%2C%20Networking%2C%20Licensing%2C%20Configuration%2C%20and%20RBAC%20requirements%20for%20Windows%20Autopilot%20device%22

Ten przykład zawiera zmienną &locale=en-us . Zmienna locale jest wymagana, ale można ją zmienić w innych obsługiwanych ustawieniach regionalnych. Na przykład &locale=es-es.

Aby uzyskać więcej informacji na temat korzystania z usług RSS dla powiadomień, zobacz Jak korzystać z dokumentacji w dokumentacji Intune.

Lista wymagań dotyczących przygotowywania urządzeń z rozwiązaniem Windows Autopilot jest podzielona na pięć różnych kategorii:

• Oprogramowanie — wymagania dotyczące systemu operacyjnego.
• Sieć — wymagania dotyczące sieci.
• Licencjonowanie — wymagania licencyjne.
• Konfiguracja — konfiguracje wymagane w Tożsamość Microsoft Entra i Microsoft Intune.
• RBAC — uprawnienia RBAC wymagane dla administratora przygotowania urządzenia rozwiązania Windows Autopilot.

Wybierz odpowiednią kartę, aby wyświetlić odpowiednie wymagania:

Oprogramowanie

Wymagania programowe

Przygotowywanie urządzeń z rozwiązaniem Windows Autopilot zależy od określonych funkcji dostępnych w kliencie systemu Windows, Tożsamość Microsoft Entra i usłudze zarządzania urządzeniami przenośnymi (MDM), takiej jak Microsoft Intune. Aby korzystać z przygotowywania urządzeń rozwiązania Windows Autopilot i uzyskiwania dostępu do tych funkcji, należy spełnić pewne wymagania dotyczące oprogramowania.

System Windows 11

• Windows 11, wersja 23H2 z KB5035942 lub nowszym — nośnik instalacyjny systemu Windows z kwietnia 2024 r. lub nowszy KB5035942 uwzględniony.
• Windows 11, wersja 22H2 z KB5035942 lub nowszym — nośnik instalacyjny systemu Windows z kwietnia 2024 r. lub nowszy KB5035942 uwzględniony.

Ważna

• Sprawdź w programie OEM, czy urządzenia dostarczane z producenta OEM mają zainstalowaną minimalną wymaganą aktualizację.
• W przypadku instalowania systemu Windows z nośnika instalacyjnego sprawdź, czy na nośniku zainstalowano minimalną wymaganą aktualizację. Zaktualizowane nośniki instalacyjne systemu Windows z najnowszą już zainstalowaną aktualizacją zbiorczą są dostępne w Centrum usługi licencjonowania zbiorowego (VLSC).

Obsługiwane są następujące wersje:

• Windows 11 Pro.
• Windows 11 Pro Education.
• Windows 11 Pro for Workstations.
• Windows 11 Enterprise.
• Windows 11 Education.

Sieci

Wymagania dotyczące sieci

Przygotowywanie urządzeń z rozwiązaniem Windows Autopilot zależy od różnych usług internetowych. Aby przygotowanie urządzenia z rozwiązaniem Windows Autopilot działało prawidłowo, należy zapewnić dostęp do tych usług. W najprostszym przypadku można osiągnąć odpowiednie funkcje, zapewniając następujące warunki:

• Upewnij się, że rozpoznawanie nazw dns (Domain Name Services) dla internetowych nazw DNS.
• Zezwalaj na dostęp do wszystkich hostów za pośrednictwem portu 80 (HTTP), 443 (HTTPS) i 123 (UDP/NTP).

Dodatkowa konfiguracja może być wymagana do udzielenia dostępu do wymaganych usług w środowiskach, które:

• Masz bardziej restrykcyjny dostęp do Internetu.
• Wymagaj uwierzytelniania przed uzyskaniem dostępu do Internetu.

Uwaga

Uwierzytelnianie oparte na kartach inteligentnych i certyfikatach nie jest obsługiwane w środowisku oOBE( out-of-box experience). Aby uzyskać więcej informacji, zobacz Karty inteligentne i uwierzytelnianie oparte na certyfikatach.

Wymagania dotyczące usługi

Przygotowanie urządzenia z rozwiązaniem Windows Autopilot zależy od kilku różnych typów usług, które działają prawidłowo. Aby te usługi działały prawidłowo, może być konieczne wykonanie niektórych konfiguracji sieci. Te usługi i ich wymagane konfiguracje sieci są następujące:

Usługa wdrażania przygotowywania urządzeń z rozwiązaniem Windows Autopilot

Po nawiązaniu połączenia sieciowego każde urządzenie z systemem Windows skontaktuje się z usługą wdrażania przygotowywania urządzeń rozwiązania Windows Autopilot. Używane są następujące adresy URL:

• https://ztd.dds.microsoft.com
• https://cs.dds.microsoft.com
• https://login.live.com

Aktywacja systemu Windows

Przygotowywanie urządzenia z rozwiązaniem Windows Autopilot wymaga usług aktywacji systemu Windows. Aby uzyskać więcej informacji na temat adresów URL, które muszą być dostępne dla usług aktywacji, zobacz Aktywacja systemu Windows lub walidacja kończy się niepowodzeniem z kodem błędu 0x8004FE33.

Microsoft Entra ID

Tożsamość Microsoft Entra weryfikuje poświadczenia użytkownika. Ponadto urządzenie jest przyłączone do Tożsamość Microsoft Entra podczas przygotowywania urządzenia rozwiązania Windows Autopilot. Aby uzyskać więcej informacji, zobacz Office 365 adres IP i adres URL usługi sieci Web.

Microsoft Intune

Po uwierzytelnieniu Tożsamość Microsoft Entra wyzwala rejestrację urządzenia w usłudze zarządzania urządzeniami przenośnymi (MDM) Intune. Aby uzyskać więcej informacji na temat wymagań dotyczących komunikacji sieciowej Intune, zobacz następujące artykuły:

• Przepustowość i wymagania dotyczące konfiguracji sieci usługi Intune.
• Punkty końcowe sieci dla Microsoft Intune.

Automatyczne przygotowywanie urządzenia z rozwiązaniem Windows Autopilot — zbieranie diagnostyki urządzeń

Aby diagnostyka mogła pomyślnie przekazać dane z klienta, upewnij się, że adres URL lgmsapeweu.blob.core.windows.net nie jest zablokowany w sieci. Diagnostyka jest dostępna przez 28 dni przed ich usunięciem.

Aby uzyskać więcej informacji, zobacz Zbieranie diagnostyki z urządzenia z systemem Windows.

Windows Update

Podczas procesu oOBE (out-of-box experience) i po konfiguracji systemu operacyjnego Windows usługa Windows Update pobiera wymagane aktualizacje. Jeśli występują problemy z nawiązywaniem połączenia z Windows Update, zobacz rozwiązywanie problemów z Windows Update.

Jeśli Windows Update jest niedostępna, proces przygotowywania urządzenia rozwiązania Windows Autopilot nadal trwa, ale aktualizacje krytyczne nie są dostępne.

Optymalizacja dostarczania

Przygotowanie urządzenia rozwiązania Windows Autopilot kontaktuje się z usługą optymalizacji dostarczania podczas pobierania aplikacji i aktualizacji. Ten kontakt ustanawia współużytkowanie równorzędne zawartości, dzięki czemu tylko kilka urządzeń musi pobrać ją z Internetu.

• Windows Aktualizacje.
• Aplikacje i aktualizacje aplikacji w sklepie Microsoft Store.
• Office Aktualizacje.
• Intune aplikacji Win32.

Jeśli usługa optymalizacji dostarczania jest niedostępna, proces rozwiązania Autopilot nadal będzie kontynuowany, a optymalizacja dostarczania zostanie pobrana z chmury bez komunikacji równorzędnej.

Synchronizacja protokołu NTP (Network Time Protocol)

Po uruchomieniu urządzenia z systemem Windows rozmawia z serwerem czasu sieciowego, aby upewnić się, że czas na urządzeniu jest poprawny. Upewnij się, że port UDP 123 do time.windows.com jest dostępny.

Usługi nazw domen (DNS)

Aby rozpoznać nazwy internetowe dla wszystkich usług, urządzenie komunikuje się z serwerem DNS, zwykle dostarczanym za pośrednictwem protokołu DHCP. Ten serwer DNS musi być w stanie rozpoznać nazwy internetowe.

Dane diagnostyczne

Zbieranie danych diagnostycznych jest domyślnie włączone. Aby uzyskać więcej informacji, zobacz Zarządzanie danymi diagnostycznymi przedsiębiorstwa.

Jeśli urządzenie nie może wysłać danych diagnostycznych, proces przygotowywania urządzenia rozwiązania Windows Autopilot nadal trwa. Jednak usługi zależne od danych diagnostycznych nie działają.

Wskaźnik stanu połączenia sieciowego (NCSI)

System Windows musi mieć możliwość poinformowania, że urządzenie może uzyskiwać dostęp do Internetu. Aby uzyskać więcej informacji, zobacz Wskaźnik stanu połączenia sieciowego (NCSI).

*.msftconnecttest.com musi być rozpoznawalna za pośrednictwem systemu DNS i dostępna za pośrednictwem protokołu HTTP.

Usługi powiadomień systemu Windows (WNS)

Ta usługa służy do umożliwienia systemowi Windows otrzymywania powiadomień z aplikacji i usług. Aby uzyskać więcej informacji, zobacz Microsoft Store.

Jeśli usługi WNS nie są dostępne, proces przygotowywania urządzenia z rozwiązaniem Windows Autopilot nadal będzie kontynuowany bez powiadomień.

Microsoft Store

Aplikacje w sklepie Microsoft Store można wypchnąć do urządzenia, wyzwalając je za pośrednictwem Intune lub innej usługi MDM. Aktualizacje aplikacji i dodatkowe aplikacje mogą być również potrzebne, gdy użytkownik po raz pierwszy się zaloguje. Aby uzyskać więcej informacji, zobacz Update to Intune integration with the Microsoft Store on Windows and FAQ: Supporting Microsoft Store experiences on managed devices (Aktualizowanie w celu Intune integracji ze Sklepem Microsoft w systemie Windows i często zadawane pytania: obsługa środowisk sklepu Microsoft Store na zarządzanych urządzeniach).

Jeśli sklep Microsoft Store nie jest dostępny, proces rozwiązania Autopilot nadal będzie kontynuowany bez aplikacji ze Sklepu Microsoft.

Microsoft 365

W ramach konfiguracji urządzenia Intune może być wymagana instalacja aplikacji platformy Microsoft 365 dla przedsiębiorstw. Aby uzyskać listę zawierającą wszystkie usługi pakietu Office, nazwy DNS, adresy IP, w tym Tożsamość Microsoft Entra i inne usługi, które mogą pokrywać się z wcześniej wymienionymi usługami, zobacz Office 365 adresy URL i zakresy adresów IP.

Listy odwołania certyfikatów (CRL)

Niektóre z tych usług muszą również sprawdzać listy odwołania certyfikatów (CRL) pod kątem certyfikatów używanych w usługach. Aby uzyskać pełną listę, zobacz Office 365 adresów URL i zakresów adresów IP oraz Office 365 łańcuchów certyfikatów.

Ustawienia serwera proxy

Wdrażanie ustawień serwera proxy na potrzeby przygotowywania urządzenia z rozwiązaniem Windows Autopilot powinno być skonfigurowane na samym serwerze proxy. Implementowanie ustawień serwera proxy za pośrednictwem zasad Intune nie jest w pełni obsługiwane, ponieważ może powodować problemy i nieoczekiwane zachowanie w przypadku wdrożeń dostępu uprzywilejowanego.

Licencjonowanie:

Wymagania dotyczące licencjonowania

Przygotowanie urządzenia z rozwiązaniem Windows Autopilot zależy od określonych możliwości dostępnych w klientach systemu Windows i Tożsamość Microsoft Entra. Wymaga to również usługi zarządzania urządzeniami przenośnymi (MDM), takiej jak Microsoft Intune. Te możliwości można uzyskać za pośrednictwem różnych wersji i programów subskrypcji.

Aby zapewnić wymagane funkcje Tożsamość Microsoft Entra i MDM, w tym automatyczne rejestrowanie mdm i funkcje znakowania firmowego, wymagana jest jedna z następujących subskrypcji:

• Microsoft 365 Business Premium subskrypcji.
• subskrypcja Microsoft 365 F1 lub F3.
• Subskrypcja platformy Microsoft 365 Academic A1, A3 lub A5.
• Microsoft 365 Enterprise subskrypcję E3 lub E5 obejmującą wszystkie funkcje klienta systemu Windows, platformy Microsoft 365 i pakietu EMS (Tożsamość Microsoft Entra i Intune).
• subskrypcja Enterprise Mobility + Security E3 lub E5, która obejmuje wszystkie wymagane funkcje Tożsamość Microsoft Entra i Intune.
• Intune dla subskrypcji education, która obejmuje wszystkie potrzebne funkcje Tożsamość Microsoft Entra i Intune.
• Tożsamość Microsoft Entra subskrypcji P1 lub P2 i Microsoft Intune lub alternatywnej usługi MDM.

Uwaga

W przypadku korzystania z subskrypcji platformy Microsoft 365 licencje nadal muszą być przypisane do użytkowników, aby mogli zarejestrować urządzenie w Intune. Aby uzyskać więcej informacji, zobacz przypisywanie licencji do użytkowników, aby mogli rejestrować urządzenia w Intune.

Ponadto zalecane są również następujące elementy, ale nie są wymagane:

• Aplikacje Microsoft 365 dla przedsiębiorstw — aplikacje platformy Microsoft 365 dla przedsiębiorstw można łatwo wdrażać za pośrednictwem Intune lub innej usługi MDM.
• Aktywacja subskrypcji systemu Windows — automatycznie wsuń urządzenia z systemu Windows Pro do wersji Windows Enterprise.

Konfiguracja

Wymagania dotyczące konfiguracji

Przed rozpoczęciem przygotowywania urządzenia z rozwiązaniem Windows Autopilot do obsługi typowych scenariuszy rozwiązania Autopilot wymagane są niektóre zadania konfiguracyjne.

• Konfigurowanie Microsoft Entra automatycznej rejestracji. Aby uzyskać Microsoft Intune, zobacz Konfigurowanie automatycznej rejestracji Intune systemu Windows i Włączanie automatycznej rejestracji systemu Windows, aby uzyskać szczegółowe informacje. Jeśli używasz innej usługi zarządzania urządzeniami przenośnymi (MDM), skontaktuj się z dostawcą w celu uzyskania określonych adresów URL lub konfiguracji wymaganych dla tych usług.

• Pierwszy użytkownik, który się loguje, musi mieć uprawnienia Microsoft Entra sprzężenia. Aby uzyskać więcej informacji, zobacz Zezwalaj użytkownikom na dołączanie urządzeń do Tożsamość Microsoft Entra.

Poniższe konfiguracje są opcjonalne, ale zalecane. Nie są one wymagane:

• Automatycznie przejdź z systemu Windows Pro do systemu Windows Enterprise. Aby uzyskać więcej informacji, zobacz Aktywacja subskrypcji systemu Windows.

Nie ma żadnych dodatkowych wymagań sprzętowych do korzystania z rozwiązania Autopilot poza wymaganiami sprzętowymi dotyczącymi uruchamiania systemu Windows. Więcej informacji można znaleźć w następujących artykułach:

• Znajdź Windows 11 specyfikacje, funkcje i wymagania dotyczące komputera.
• Minimalne wymagania sprzętowe systemu Windows.
• wymagania Windows 11.

Kontrola dostępu oparta na rolach

Wymagane uprawnienia RBAC

Następujące uprawnienia kontroli dostępu opartej na rolach (RBAC) są wymagane w roli w Intune, aby użytkownik administrował przygotowaniem urządzenia rozwiązania Windows Autopilot:

• Konfiguracje urządzeń

  • Odczyt
  • Usuń
  • Przypisz
  • Tworzenie
  • Aktualizacja

• Programy rejestracji

  • Przypisanie członkostwa w urządzeniu w czasie rejestracji

• Aplikacje zarządzane

  • Odczyt

• Aplikacje dla urządzeń przenośnych

  • Odczyt

• Organizacja

  • Odczyt

Aby utworzyć rolę niestandardową z tymi uprawnieniami do użycia z przygotowaniem urządzenia rozwiązania Windows Autopilot:

1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.

2. Na ekranie głównym wybierz pozycję Administracja dzierżawą w okienku po lewej stronie.

3. Administrator dzierżawy | Ekran stanu dzierżawy wybierz pozycję Role.

4. W rolach programu Endpoint Manager | Na ekranie wszystkie role upewnij się, że wybrano pozycję Wszystkie role w obszarze Zarządzanie.

5. Wybierz menu rozwijane Utwórz, a następnie wybierz pozycję Intune roli. Zostanie otwarty ekran Dodawanie roli niestandardowej .

6. Na ekranie Dodawanie roli niestandardowej :

   1. Na stronie Podstawy :

      1. Nazwa — wprowadź nazwę roli niestandardowej, takiej jak administrator przygotowania urządzenia rozwiązania Windows Autopilot.

      2. Opis — wprowadź opis roli niestandardowej.

   2. Wybierz pozycję Dalej.

   3. Na stronie Uprawnienia w obszarze Wybierz kategorię poniżej, aby skonfigurować ustawienia. Przewiń listę, aby znaleźć następujące ustawienia. Po zlokalizowaniu ustawienia rozwiń je, a następnie zmień na następujące uprawnienia:

      • Konfiguracje urządzeń

        • Przeczytaj: Tak
        • Usuń: Tak
        • Przypisz: Tak
        • Utwórz: Tak
        • Aktualizacja: Tak

        Wyświetl raporty można pozostawić w domyślnej pozycji Nie.

      • Programy rejestracji

        • Przypisanie członkostwa w urządzeniu w czasie rejestracji: Tak

        Wszystkie inne uprawnienia można pozostawić domyślnie w polu Nie.

      • Aplikacje zarządzane

        • Przeczytaj: Tak

        Wszystkie inne uprawnienia można pozostawić domyślnie w polu Nie.

      • Aplikacje dla urządzeń przenośnych

        • Przeczytaj: Tak

        Wszystkie inne uprawnienia można pozostawić domyślnie w polu Nie.

      • Organizacja

        • Przeczytaj: Tak

        Wszystkie inne uprawnienia można pozostawić domyślnie w polu Nie.

   4. Po poprawnym ustawieniu wszystkich uprawnień wybierz pozycję Dalej.

   5. Na stronie Tagi zakresu wybierz pozycję Dalej.

      Uwaga

      Tagi zakresu są opcjonalne. Jeśli należy określić niestandardowy tag zakresu, zrób to na tej stronie. Aby uzyskać więcej informacji na temat tagów zakresu, zobacz Używanie kontroli dostępu opartej na rolach i tagów zakresu dla rozproszonego it.

   6. Na stronie Przeglądanie i tworzenie sprawdź, czy wszystkie uprawnienia są poprawne, a następnie wybierz pozycję Utwórz.

7. Nową niestandardową rolę przygotowania urządzenia z rozwiązaniem Windows Autopilot można teraz przypisać do użytkowników, którzy zarządzają przygotowywaniem urządzeń z rozwiązaniem Windows Autopilot.

Aby uzyskać więcej informacji, zobacz Kontrola dostępu oparta na rolach (RBAC) z Microsoft Intune.