Wymagania dotyczące sieci
Rozwiązanie Windows Autopilot zależy od różnych usług internetowych. Aby rozwiązanie Autopilot działało prawidłowo, należy zapewnić dostęp do tych usług. W najprostszym przypadku można osiągnąć odpowiednie funkcje, zapewniając następujące warunki:
- Upewnij się, że rozpoznawanie nazw dns (Domain Name Services) dla internetowych nazw DNS.
- Zezwalaj na dostęp do wszystkich hostów za pośrednictwem portu 80 (HTTP), 443 (HTTPS) i 123 (UDP/NTP).
Dodatkowa konfiguracja może być wymagana do udzielenia dostępu do wymaganych usług w środowiskach, które:
- Masz bardziej restrykcyjny dostęp do Internetu.
- Wymagaj uwierzytelniania przed uzyskaniem dostępu do Internetu.
Wymagania dotyczące usługi
Rozwiązanie Windows Autopilot korzysta z kilku różnych typów usług, które działają prawidłowo. Aby te usługi działały prawidłowo, należy wykonać pewne konfiguracje sieci. Te usługi i ich wymagane konfiguracje sieci są następujące:
Usługa wdrażania rozwiązania Windows Autopilot
Po nawiązaniu połączenia sieciowego każde urządzenie z systemem Windows skontaktuje się z usługą wdrażania rozwiązania Windows Autopilot. Używane są następujące adresy URL:
https://ztd.dds.microsoft.com
https://cs.dds.microsoft.com
https://login.live.com
Aktywacja systemu Windows
Rozwiązanie Windows Autopilot wymaga usług aktywacji systemu Windows. Aby uzyskać więcej informacji na temat adresów URL, które muszą być dostępne dla usług aktywacji, zobacz Aktywacja systemu Windows lub walidacja kończy się niepowodzeniem z kodem błędu 0x8004FE33.
Microsoft Entra ID
Identyfikator entra firmy Microsoft weryfikuje poświadczenia użytkownika. Ponadto urządzenie jest przyłączone lub zarejestrowane w usłudze Microsoft Entra ID podczas pracy z rozwiązaniem Windows Autopilot. Aby uzyskać więcej informacji, zobacz Office 365 IP Address and URL Web service (Adres IP usługi Office 365 i adres URL usługi sieci Web).
Microsoft Intune
Po uwierzytelnieniu identyfikator Entra firmy Microsoft wyzwala rejestrację urządzenia w usłudze zarządzania urządzeniami przenośnymi (MDM) usługi Intune. Aby uzyskać więcej informacji na temat wymagań usługi Intune dotyczących komunikacji sieciowej, zobacz następujące artykuły:
Automatyczna kolekcja diagnostyki urządzeń rozwiązania Autopilot
Aby diagnostyka mogła pomyślnie przekazać dane z klienta, upewnij się, że adres URL lgmsapeweu.blob.core.windows.net
nie jest zablokowany w sieci. Diagnostyka jest dostępna przez 28 dni przed ich usunięciem.
Aby uzyskać więcej informacji, zobacz Zbieranie diagnostyki z urządzenia z systemem Windows.
Windows Update
Podczas procesu oOBE (out-of-box experience) i po konfiguracji systemu operacyjnego Windows usługa Windows Update pobiera wymagane aktualizacje. Jeśli występują problemy z nawiązywaniem połączenia z usługą Windows Update, zobacz Rozwiązywanie problemów z usługą Windows Update.
Jeśli usługa Windows Update jest niedostępna, proces rozwiązania Autopilot nadal trwa, ale aktualizacje krytyczne nie są dostępne.
Optymalizacja dostarczania
Rozwiązanie Autopilot kontaktuje się z usługą optymalizacji dostarczania podczas pobierania aplikacji i aktualizacji. Ten kontakt ustanawia współużytkowanie równorzędne zawartości, dzięki czemu tylko kilka urządzeń musi pobrać ją z Internetu.
- Aktualizacje systemu Windows.
- Aplikacje i aktualizacje aplikacji w sklepie Microsoft Store.
- Aktualizacje pakietu Office.
- Aplikacje Win32 usługi Intune.
Jeśli usługa optymalizacji dostarczania jest niedostępna, proces rozwiązania Autopilot nadal będzie kontynuowany, a optymalizacja dostarczania zostanie pobrana z chmury bez komunikacji równorzędnej.
Synchronizacja protokołu NTP (Network Time Protocol)
Po uruchomieniu urządzenia z systemem Windows rozmawia z serwerem czasu sieciowego, aby upewnić się, że czas na urządzeniu jest poprawny. Upewnij się, że port UDP 123 do time.windows.com
jest dostępny.
Usługi nazw domen (DNS)
Aby rozpoznać nazwy internetowe dla wszystkich usług, urządzenie komunikuje się z serwerem DNS, zwykle dostarczanym za pośrednictwem protokołu DHCP. Ten serwer DNS musi być w stanie rozpoznać nazwy internetowe.
Dane diagnostyczne
Zbieranie danych diagnostycznych jest domyślnie włączone. Aby uzyskać więcej informacji, zobacz Zarządzanie danymi diagnostycznymi przedsiębiorstwa.
Jeśli urządzenie nie może wysłać danych diagnostycznych, proces rozwiązania Autopilot nadal będzie kontynuowany. Jednak usługi zależne od danych diagnostycznych nie działają.
Wskaźnik stanu połączenia sieciowego (NCSI)
System Windows musi mieć możliwość poinformowania, że urządzenie może uzyskiwać dostęp do Internetu. Aby uzyskać więcej informacji, zobacz Wskaźnik stanu połączenia sieciowego (NCSI).
*.msftconnecttest.com
musi być rozpoznawalna za pośrednictwem systemu DNS i dostępna za pośrednictwem protokołu HTTP.
Usługi powiadomień systemu Windows (WNS)
Ta usługa służy do umożliwienia systemowi Windows otrzymywania powiadomień z aplikacji i usług. Aby uzyskać więcej informacji, zobacz Microsoft Store.
Jeśli usługi WNS nie są dostępne, proces rozwiązania Autopilot nadal będzie kontynuowany bez powiadomień.
Microsoft Store
Aplikacje w sklepie Microsoft Store można wypchnąć do urządzenia, wyzwalając je za pośrednictwem usługi Intune lub innej usługi MDM. Aktualizacje aplikacji i dodatkowe aplikacje mogą być również potrzebne, gdy użytkownik po raz pierwszy się zaloguje. Aby uzyskać więcej informacji, zobacz Update to Intune integration with the Microsoft Store on Windows and FAQ: Supporting Microsoft Store experiences on managed devices (Aktualizowanie do integracji usługi Intune ze Sklepem Microsoft w systemie Windows i często zadawane pytania: obsługa środowisk sklepu Microsoft Store na zarządzanych urządzeniach).
Jeśli sklep Microsoft Store nie jest dostępny, proces rozwiązania Autopilot nadal będzie kontynuowany bez aplikacji ze Sklepu Microsoft.
Microsoft 365
W ramach konfiguracji urządzenia usługi Intune może być wymagana instalacja aplikacji platformy Microsoft 365 dla przedsiębiorstw. Aby uzyskać listę zawierającą wszystkie usługi pakietu Office, nazwy DNS, adresy IP, w tym identyfikator Entra firmy Microsoft i inne usługi, które mogą pokrywać się z wcześniej wymienionymi usługami, zobacz Adresy URL usługi Office 365 i zakresy adresów IP.
Listy odwołania certyfikatów (CRL)
Niektóre z tych usług muszą również sprawdzać listy odwołania certyfikatów (CRL) pod kątem certyfikatów używanych w usługach. Aby uzyskać pełną listę, zobacz Adresy URL i zakresy adresów IP usługi Office 365 oraz Łańcuchy certyfikatówusługi Office 365.
Przyłączanie hybrydowe do usługi Microsoft Entra
Urządzenie może być przyłączone hybrydowo do usługi Microsoft Entra. Komputer powinien znajdować się w sieci wewnętrznej, aby przyłączanie hybrydowe microsoft Entra działało. Aby uzyskać więcej informacji, zobacz Tryb oparty na użytkowniku rozwiązania Windows Autopilot.
Tryb samodzielnego wdrażania rozwiązania Autopilot i wstępna aprowizowanie rozwiązania Autopilot
Proces zaświadczania modułu TPM wymaga dostępu do zestawu adresów URL HTTPS, które są unikatowe dla każdego dostawcy modułu TPM. Upewnij się, że masz dostęp do tego wzorca adresu URL: *.microsoftaik.azure.net
.
Urządzenia TPM oprogramowania układowego, które są dostarczane tylko przez intel, AMD lub Qualcomm, nie zawierają wszystkich wymaganych certyfikatów w czasie rozruchu i muszą być w stanie pobrać je od producenta przy pierwszym użyciu. Urządzenia z dyskretnymi mikroukładami modułu TPM są wyposażone w wstępnie zainstalowane certyfikaty. Urządzenia te obejmują urządzenia innych producentów. Aby uzyskać więcej informacji, zobacz Zalecenia dotyczące modułu TPM.
Dla każdego dostawcy modułu TPM oprogramowania układowego upewnij się, że odpowiedni adres URL jest dostępny, aby można było pomyślnie zażądać certyfikatów. Przykład:
- Intel:
https://ekop.intel.com/ekcertservice
- Qualcomm:
https://ekcert.spserv.microsoft.com/EKCertificate/GetEKCertificate/v1
- AMD:
https://ftpm.amd.com/pki/aia
Ustawienia serwera proxy
Wdrażanie ustawień serwera proxy dla rozwiązania Windows Autopilot powinno być skonfigurowane na samym serwerze proxy. Implementowanie ustawień serwera proxy za pośrednictwem zasad usługi Intune nie jest w pełni obsługiwane, ponieważ może powodować problemy i nieoczekiwane zachowanie w przypadku wdrożeń dostępu uprzywilejowanego.