Udostępnij za pośrednictwem


Tryb oparty na użytkowniku rozwiązania Windows Autopilot

Tryb oparty na użytkowniku rozwiązania Windows Autopilot umożliwia skonfigurowanie nowego urządzenia z systemem Windows w celu automatycznego przekształcenia ich ze stanu fabryki na stan gotowy do użycia. Ten proces nie wymaga, aby pracownicy IT dotykali urządzenia.

Proces jest prosty. Urządzenia mogą być dostarczane lub dystrybuowane do użytkownika końcowego bezpośrednio z następującymi instrukcjami:

  1. Rozpakuj urządzenie, podłącz go i włącz.
  2. Jeśli używa wielu języków, wybierz język, ustawienia regionalne i klawiaturę.
  3. Połącz ją z siecią bezprzewodową lub przewodową z dostępem do Internetu. Jeśli używasz sieci bezprzewodowej, najpierw połącz się z siecią wi-fi.
  4. Określ konto adresu e-mail i hasło dla organizacji.

Pozostała część procesu jest zautomatyzowana. Urządzenie wykonuje następujące czynności:

  1. Dołącz do organizacji.
  2. Zarejestruj się w usłudze Microsoft Intune lub innej usłudze zarządzania urządzeniami przenośnymi (MDM).
  3. Konfigurowanie zgodnie z definicją organizacji.

Inne monity mogą być pomijane w środowisku out-of-box (OOBE). Aby uzyskać więcej informacji na temat dostępnych opcji, zobacz Konfigurowanie profilów rozwiązania Autopilot.

Ważna

Jeśli są używane usługi Active Directory Federation Services (ADFS), istnieje znany problem , który może umożliwić użytkownikowi końcowemu logowanie się przy użyciu innego konta niż przypisane do tego urządzenia.

Tryb oparty na użytkownikach rozwiązania Windows Autopilot obsługuje dołączanie do usługi Microsoft Entra i urządzenia przyłączone hybrydowo do usługi Microsoft Entra. Aby uzyskać więcej informacji na temat tych dwóch opcji sprzężenia, zobacz następujące artykuły:

Kroki procesu opartego na użytkownikach są następujące:

  1. Gdy urządzenie nawiąże połączenie z siecią, urządzenie pobierze profil rozwiązania Windows Autopilot. Profil definiuje ustawienia używane dla urządzenia. Na przykład zdefiniuj monity pominięte podczas OOBE.

  2. System Windows sprawdza krytyczne aktualizacje OOBE. Jeśli aktualizacje są dostępne, są one instalowane automatycznie. W razie potrzeby urządzenie zostanie ponownie uruchomione.

  3. Użytkownik otrzymuje monit o podanie poświadczeń usługi Microsoft Entra. W tym dostosowanym środowisku użytkownika jest wyświetlana nazwa dzierżawy, logo i tekst logowania w usłudze Microsoft Entra.

  4. Urządzenie dołącza do usługi Microsoft Entra ID lub Active Directory w zależności od ustawień profilu rozwiązania Windows Autopilot.

  5. Urządzenie jest rejestrowane w usłudze Intune lub innej skonfigurowanej usłudze MDM. W zależności od potrzeb organizacji ta rejestracja odbywa się następująco:

    • Podczas procesu dołączania do usługi Microsoft Entra przy użyciu automatycznej rejestracji mdm.

    • Przed procesem dołączania do usługi Active Directory.

  6. Jeśli zostanie skonfigurowana, zostanie wyświetlona strona ze stanem rejestracji (ESP).

  7. Po zakończeniu zadań konfiguracji urządzenia użytkownik jest zalogowany do systemu Windows przy użyciu podanych wcześniej poświadczeń. Jeśli urządzenie zostanie ponownie uruchomione podczas procesu esp urządzenia, użytkownik musi ponownie wprowadzić swoje poświadczenia. Te szczegóły nie są utrwalane po ponownym uruchomieniu.

  8. Po zalogowaniu zostanie wyświetlona strona stanu rejestracji dla zadań konfiguracji ukierunkowanych na użytkownika.

Jeśli podczas tego procesu zostaną znalezione jakiekolwiek problemy, zobacz Rozwiązywanie problemów z rozwiązaniem Windows Autopilot — omówienie.

Aby uzyskać więcej informacji na temat dostępnych opcji sprzężenia, zobacz następujące sekcje:

Tryb sterowany przez użytkownika dla dołączania do usługi Microsoft Entra

Aby ukończyć wdrożenie oparte na użytkownikach przy użyciu rozwiązania Windows Autopilot, wykonaj następujące kroki przygotowania:

  1. Upewnij się, że użytkownicy wykonujący wdrożenia w trybie opartym na użytkownikach mogą dołączać urządzenia do identyfikatora Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień urządzenia w dokumentacji usługi Microsoft Entra.

  2. Utwórz profil rozwiązania Autopilot dla trybu sterowanego przez użytkownika przy użyciu odpowiednich ustawień.

    • W usłudze Intune ten tryb jest jawnie wybierany podczas tworzenia profilu.

    • W Sklepie Microsoft dla Firm i Centrum partnerskim tryb sterowany przez użytkownika jest domyślny.

  3. Jeśli używasz usługi Intune, utwórz grupę urządzeń w identyfikatorze Microsoft Entra ID i przypisz profil rozwiązania Autopilot do tej grupy.

Dla każdego urządzenia wdrożonego przy użyciu wdrożenia opartego na użytkownikach potrzebne są następujące dodatkowe kroki:

  • Dodaj urządzenie do rozwiązania Windows Autopilot. Ten krok można wykonać na dwa sposoby:

  • Przypisz profil rozwiązania Autopilot do urządzenia:

    • W przypadku korzystania z dynamicznych grup urządzeń usługi Intune i Usługi Microsoft Entra to przypisanie można wykonać automatycznie.

    • Jeśli używasz grup urządzeń statycznych usługi Intune i Microsoft Entra, ręcznie dodaj urządzenie do grupy urządzeń.

    • Jeśli używasz innych metod, takich jak Sklep Microsoft dla Firm lub Centrum partnerskie, ręcznie przypisz profil rozwiązania Autopilot do urządzenia.

Porada

Jeśli zamierzonym stanem końcowym urządzenia jest współzarządzanie, rejestrację urządzenia można skonfigurować w usłudze Intune w celu włączenia współzarządzania, co ma miejsce podczas procesu rozwiązania Autopilot. Takie zachowanie kieruje urząd obciążenia w sposób zorganizowany między programem Configuration Manager i usługą Intune. Aby uzyskać więcej informacji, zobacz Jak zarejestrować się przy użyciu rozwiązania Autopilot.

Tryb sterowany przez użytkownika dla przyłączania hybrydowego do usługi Microsoft Entra

Ważna

Firma Microsoft zaleca wdrażanie nowych urządzeń jako natywnych dla chmury przy użyciu dołączania do usługi Microsoft Entra. Wdrażanie nowych urządzeń jako urządzeń przyłączania hybrydowego firmy Microsoft Entra nie jest zalecane, w tym za pośrednictwem rozwiązania Autopilot. Aby uzyskać więcej informacji, zobacz Microsoft Entra joined vs. Microsoft Entra hybrid joined in cloud-native endpoints: Which option is right for Your organization (Dołączono do platformy Microsoft Entra a przyłączono hybrydowo do rozwiązania Microsoft Entra w punktach końcowych natywnych dla chmury): Która opcja jest odpowiednia dla Twojej organizacji.

Rozwiązanie Windows Autopilot wymaga dołączenia urządzeń do usługi Microsoft Entra. W przypadku lokalnego środowiska usługi Active Directory urządzenia mogą być przyłączone do domeny lokalnej. Aby dołączyć do urządzeń, skonfiguruj urządzenia rozwiązania Autopilot tak, aby były przyłączone hybrydowo do identyfikatora Entra firmy Microsoft.

Porada

Gdy firma Microsoft rozmawia z klientami korzystającymi z usługi Microsoft Intune i programu Microsoft Configuration Manager w celu wdrażania i zabezpieczania urządzeń klienckich oraz zarządzania nimi, często otrzymujemy pytania dotyczące współzarządzania urządzeniami i urządzeniami przyłączonymi hybrydowo do usługi Microsoft Entra. Wielu klientów myli te dwa tematy. Współzarządzanie jest opcją zarządzania, podczas gdy identyfikator Entra firmy Microsoft jest opcją tożsamości. Aby uzyskać więcej informacji, zobacz Understanding hybrid Microsoft Entra and co-management scenarios (Omówienie hybrydowej platformy Microsoft Entra i scenariuszy współzarządzania). Ten wpis w blogu ma na celu wyjaśnienie przyłączania hybrydowego i współzarządzania w usłudze Microsoft Entra, sposobu ich współpracy, ale nie jest to samo.

Nie można wdrożyć klienta programu Configuration Manager podczas aprowizowania nowego komputera w trybie opartym na użytkowniku rozwiązania Windows Autopilot dla przyłączania hybrydowego do usługi Microsoft Entra. To ograniczenie jest spowodowane zmianą tożsamości urządzenia podczas procesu dołączania do usługi Microsoft Entra. Wdróż klienta programu Configuration Manager po procesie rozwiązania Autopilot. Zobacz Metody instalacji klienta w programie Configuration Manager , aby uzyskać alternatywne opcje instalowania klienta.

Wymagania dotyczące trybu opartego na użytkownikach z hybrydowym identyfikatorem Entra firmy Microsoft

  • Utwórz profil rozwiązania Windows Autopilot dla trybu opartego na użytkownikach.

    W profilu rozwiązania Autopilot w obszarze Dołącz do identyfikatora Entra firmy Microsoft jako wybierz pozycję Przyłączone hybrydowo do usługi Microsoft Entra.

  • W przypadku korzystania z usługi Intune grupa urządzeń jest potrzebna w identyfikatorze Entra firmy Microsoft. Przypisz profil rozwiązania Windows Autopilot do grupy.

  • Jeśli używasz usługi Intune, utwórz i przypisz profil przyłączania do domeny. Profil konfiguracji Przyłączanie do domeny zawiera informacje o lokalnej domenie usługi Active Directory.

  • Urządzenie musi mieć dostęp do Internetu. Aby uzyskać więcej informacji, zobacz wymagania dotyczące sieci.

  • Zainstaluj łącznik usługi Intune dla usługi Active Directory.

    Uwaga

    Łącznik usługi Intune dołącza urządzenie do domeny lokalnej. Użytkownicy nie potrzebują uprawnień do dołączania urządzeń do domeny lokalnej. To zachowanie zakłada, że łącznik jest skonfigurowany dla tej akcji w imieniu użytkownika. Aby uzyskać więcej informacji, zobacz artykuł Zwiększanie limitu konta komputera w jednostce organizacyjnej.

  • W przypadku korzystania z serwera proxy włącz i skonfiguruj opcję ustawień serwera proxy serwera proxy serwera proxy (WPAD) serwera proxy sieci Web.

Oprócz tych podstawowych wymagań dotyczących przyłączania hybrydowego firmy Microsoft Entra opartego na użytkownikach, następujące dodatkowe wymagania mają zastosowanie do urządzeń lokalnych:

  • Urządzenie ma obecnie obsługiwaną wersję systemu Windows.

  • Urządzenie jest połączone z siecią wewnętrzną i ma dostęp do kontrolera domeny usługi Active Directory.

    • Musi rozpoznać rekordy DNS dla domeny i kontrolerów domeny.

    • Musi komunikować się z kontrolerem domeny, aby uwierzytelnić użytkownika.

Tryb sterowany przez użytkownika dla przyłączania hybrydowego do usługi Microsoft Entra z obsługą sieci VPN

Urządzenia przyłączone do usługi Active Directory wymagają łączności z kontrolerem domeny usługi Active Directory w przypadku wielu działań. Działania te obejmują sprawdzanie poprawności poświadczeń użytkownika podczas logowania i stosowanie ustawień zasad grupy. Proces oparty na użytkowniku rozwiązania Autopilot dla urządzeń przyłączonych hybrydowo do usługi Microsoft Entra sprawdza, czy urządzenie może skontaktować się z kontrolerem domeny, wysyłając polecenie ping do tego kontrolera domeny.

Dzięki dodaniu obsługi sieci VPN w tym scenariuszu można skonfigurować proces dołączania hybrydowego w usłudze Microsoft Entra, aby pominąć sprawdzanie łączności. Ta zmiana nie eliminuje konieczności komunikacji z kontrolerem domeny. Zamiast tego, aby zezwolić na połączenie z siecią organizacji, usługa Intune dostarcza wymaganą konfigurację sieci VPN, zanim użytkownik spróbuje zalogować się do systemu Windows.

Wymagania dotyczące trybu opartego na użytkownikach z hybrydowym identyfikatorem Entra firmy Microsoft i siecią VPN

Oprócz podstawowych wymagań dotyczących trybu opartego na użytkownikach z przyłącza hybrydowego microsoft Entra, następujące dodatkowe wymagania mają zastosowanie do scenariusza zdalnego z obsługą sieci VPN:

  • Obecnie obsługiwana wersja systemu Windows.

  • W profilu przyłączania hybrydowego Microsoft Entra dla rozwiązania Autopilot włącz następującą opcję: Pomiń sprawdzanie łączności z domeną.

  • Konfiguracja sieci VPN z jedną z następujących opcji:

    • Można wdrożyć za pomocą usługi Intune i umożliwić użytkownikowi ręczne nawiązanie połączenia sieci VPN z poziomu ekranu logowania systemu Windows.

    • Automatycznie ustanawia połączenie sieci VPN zgodnie z potrzebami.

Wymagana konfiguracja sieci VPN zależy od używanego oprogramowania sieci VPN i uwierzytelniania. W przypadku rozwiązań sieci VPN innych niż Microsoft ta konfiguracja zwykle obejmuje wdrożenie aplikacji Win32 za pośrednictwem rozszerzeń zarządzania usługi Intune. Ta aplikacja będzie zawierać oprogramowanie klienckie sieci VPN i wszelkie określone informacje o połączeniu. Na przykład nazwy hostów punktu końcowego sieci VPN. Aby uzyskać szczegółowe informacje o konfiguracji specyficzne dla tego dostawcy, zobacz dokumentację dostawcy sieci VPN.

Uwaga

Wymagania dotyczące sieci VPN nie są specyficzne dla rozwiązania Autopilot. Jeśli na przykład konfiguracja sieci VPN zostanie zaimplementowana w celu włączenia zdalnego resetowania haseł, ta sama konfiguracja może być używana z rozwiązaniem Windows Autopilot. Ta konfiguracja umożliwi użytkownikowi logowanie się do systemu Windows przy użyciu nowego hasła, gdy nie ma go w sieci organizacji. Po zalogowaniu się użytkownika i zapisaniu ich poświadczeń w pamięci podręcznej kolejne próby logowania nie wymagają łączności, ponieważ system Windows używa poświadczeń buforowanych.

Jeśli oprogramowanie sieci VPN wymaga uwierzytelniania certyfikatu, użyj usługi Intune, aby również wdrożyć wymagany certyfikat urządzenia. To wdrożenie można wykonać przy użyciu funkcji rejestracji certyfikatów usługi Intune, które są przeznaczone dla profilów certyfikatów na urządzeniu.

Niektóre konfiguracje nie są obsługiwane, ponieważ nie są stosowane, dopóki użytkownik nie zaloguje się do systemu Windows:

  • Certyfikaty użytkowników
  • Wtyczki sieci VPN innych niż Microsoft UWP ze Sklepu Windows

Walidacja

Przed podjęciem próby dołączenia hybrydowego do usługi Microsoft Entra przy użyciu sieci VPN należy upewnić się, że tryb oparty na użytkownikach dla procesu dołączania hybrydowego do usługi Microsoft Entra działa w sieci wewnętrznej. Ten test upraszcza rozwiązywanie problemów, upewniając się, że podstawowy proces działa przed dodaniem konfiguracji sieci VPN.

Następnie upewnij się, że usługa Intune może służyć do wdrażania konfiguracji sieci VPN i jej wymagań. Przetestuj te składniki przy użyciu istniejącego urządzenia, które jest już przyłączone hybrydowo do usługi Microsoft Entra. Na przykład niektórzy klienci sieci VPN tworzą połączenie sieci VPN na maszynę w ramach procesu instalacji. Zweryfikuj konfigurację, wykonując następujące kroki:

  1. Sprawdź, czy utworzono co najmniej jedno połączenie sieci VPN na maszynę.

    Get-VpnConnection -AllUserConnection
    
  2. Spróbuj ręcznie uruchomić połączenie sieci VPN.

    RASDIAL.EXE "ConnectionName"
    
  3. Wyloguj się z systemu Windows. Sprawdź, czy ikona połączenia sieci VPN jest wyświetlana na stronie logowania systemu Windows.

  4. Przenieś urządzenie z sieci wewnętrznej i spróbuj nawiązać połączenie przy użyciu ikony na stronie logowania systemu Windows. Zaloguj się do konta, które nie ma buforowanych poświadczeń.

W przypadku konfiguracji sieci VPN, które automatycznie nawiązują połączenie, kroki weryfikacji mogą być inne.

Uwaga

W tym scenariuszu można użyć zawsze włączonej sieci VPN. Aby uzyskać więcej informacji, zobacz Wdrażanie zawsze włączonej sieci VPN.

Następne kroki