Tryb oparty na użytkowniku rozwiązania Windows Autopilot

• Dotyczy:

  ✅ Windows 11, ✅ Windows 10

Tryb oparty na użytkownikach rozwiązania Windows Autopilot umożliwia skonfigurowanie nowych urządzeń z systemem Windows w celu automatycznego przekształcania ich ze stanu fabryki w stan gotowy do użycia. Ten proces nie wymaga, aby pracownicy IT dotykali urządzenia.

Proces jest prosty. Urządzenia mogą być dostarczane lub dystrybuowane do użytkownika końcowego bezpośrednio z następującymi instrukcjami:

1. Rozpakuj urządzenie, podłącz go i włącz.
2. Jeśli używa wielu języków, wybierz język, ustawienia regionalne i klawiaturę.
3. Połącz ją z siecią bezprzewodową lub przewodową z dostępem do Internetu. Jeśli używasz sieci bezprzewodowej, najpierw połącz się z siecią wi-fi.
4. Określ swój adres e-mail i hasło dla konta organizacji.

Pozostała część procesu jest zautomatyzowana. Urządzenie wykonuje następujące czynności:

1. Dołącz do organizacji.
2. Zarejestruj się w Microsoft Intune lub innej usłudze MDM.
3. Konfigurowanie zgodnie z definicją organizacji.

Możesz pominąć wszelkie inne monity podczas środowiska OOBE (out-of-box experience). Aby uzyskać więcej informacji na temat dostępnych opcji, zobacz Konfigurowanie profilów rozwiązania Autopilot.

Ważna

Jeśli używasz Active Directory Federation Services (ADFS), istnieje znany problem, który może umożliwić użytkownikowi końcowemu logowanie się przy użyciu innego konta niż przypisane do tego urządzenia.

Tryb oparty na użytkownikach rozwiązania Windows Autopilot obsługuje dołączanie Microsoft Entra i Microsoft Entra urządzeń przyłączonych hybrydowo. Aby uzyskać więcej informacji na temat tych dwóch opcji sprzężenia, zobacz następujące artykuły:

• Co to jest tożsamość urządzenia?.
• Dowiedz się więcej o punktach końcowych natywnych dla chmury.
• Microsoft Entra przyłączone a Microsoft Entra przyłączone hybrydowo w punktach końcowych natywnych dla chmury.
• Samouczek: Konfigurowanie i konfigurowanie natywnego dla chmury punktu końcowego systemu Windows przy użyciu Microsoft Intune.
• Instrukcje: planowanie implementacji dołączania Microsoft Entra.
• Struktura transformacji zarządzania punktami końcowymi systemu Windows.
• Powodzenie dzięki zdalnej funkcji Windows Autopilot i przyłącza hybrydowego Microsoft Entra.

Kroki procesu opartego na użytkownikach są następujące:

1. Gdy urządzenie nawiąże połączenie z siecią, urządzenie pobierze profil rozwiązania Windows Autopilot. Profil definiuje ustawienia używane dla urządzenia. Na przykład zdefiniuj monity pominięte podczas OOBE.

2. System Windows sprawdza krytyczne aktualizacje OOBE. Jeśli aktualizacje są dostępne, są one instalowane automatycznie. W razie potrzeby urządzenie zostanie ponownie uruchomione.

3. Użytkownik jest monitowany o Microsoft Entra poświadczeń. To dostosowane środowisko użytkownika pokazuje Microsoft Entra nazwę dzierżawy, logo i tekst logowania.

4. Urządzenie łączy Tożsamość Microsoft Entra lub Active Directory w zależności od ustawień profilu rozwiązania Windows Autopilot.

5. Urządzenie jest rejestrowane w usłudze Intune lub innej skonfigurowanej usłudze MDM. W zależności od potrzeb organizacji ta rejestracja odbywa się następująco:

   • Podczas procesu dołączania Microsoft Entra przy użyciu automatycznej rejestracji mdm.

   • Przed procesem dołączania do usługi Active Directory.

6. Jeśli zostanie skonfigurowana, zostanie wyświetlona strona ze stanem rejestracji (ESP).

7. Po zakończeniu zadań konfiguracji urządzenia użytkownik jest zalogowany do systemu Windows przy użyciu podanych wcześniej poświadczeń. Jeśli urządzenie zostanie ponownie uruchomione podczas procesu esp urządzenia, użytkownik musi ponownie wprowadzić swoje poświadczenia. Te szczegóły nie są utrwalane po ponownym uruchomieniu.

8. Po zalogowaniu zostanie wyświetlona strona stanu rejestracji dla zadań konfiguracji ukierunkowanych na użytkownika.

Jeśli podczas tego procesu zostaną znalezione jakiekolwiek problemy, zobacz Rozwiązywanie problemów z rozwiązaniem Windows Autopilot.

Aby uzyskać więcej informacji na temat dostępnych opcji sprzężenia, zobacz następujące sekcje:

• Microsoft Entra dołączenie jest dostępne, jeśli urządzenia nie muszą dołączać do domeny lokalna usługa Active Directory.
• Microsoft Entra dołączenie hybrydowe jest dostępne dla urządzeń, które muszą dołączyć zarówno do Tożsamość Microsoft Entra, jak i do domeny lokalna usługa Active Directory.

Tryb sterowany przez użytkownika dla sprzężenia Microsoft Entra

Aby ukończyć wdrożenie oparte na użytkownikach przy użyciu rozwiązania Windows Autopilot, wykonaj następujące kroki przygotowania:

1. Upewnij się, że użytkownicy wykonujący wdrożenia w trybie opartym na użytkownikach mogą dołączać urządzenia do Tożsamość Microsoft Entra. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień urządzenia w dokumentacji Microsoft Entra.

2. Utwórz profil rozwiązania Autopilot dla trybu sterowanego przez użytkownika przy użyciu odpowiednich ustawień.

   • W usłudze Intune ten tryb jest jawnie wybierany podczas tworzenia profilu.

   • W Microsoft Store dla Firm i Centrum partnerskim tryb sterowany przez użytkownika jest domyślny.

3. Jeśli używasz usługi Intune, utwórz grupę urządzeń w Tożsamość Microsoft Entra i przypisz profil rozwiązania Autopilot do tej grupy.

Dla każdego urządzenia wdrożonego przy użyciu wdrożenia opartego na użytkownikach potrzebne są następujące dodatkowe kroki:

• Dodaj urządzenie do rozwiązania Windows Autopilot. Ten krok można wykonać na dwa sposoby:

  • Automatycznie przez producenta OEM lub partnera podczas zakupu urządzenia.

  • Ręcznie, zgodnie z opisem w temacie Dodawanie urządzeń do rozwiązania Windows Autopilot.

• Przypisz profil rozwiązania Autopilot do urządzenia:

  • Jeśli używasz usługi Intune i Microsoft Entra dynamicznych grup urządzeń, to przypisanie można wykonać automatycznie.

  • Jeśli używasz usługi Intune i Microsoft Entra statycznych grup urządzeń, ręcznie dodaj urządzenie do grupy urządzeń.

  • Jeśli używasz innych metod, takich jak Microsoft Store dla Firm lub Centrum partnerskie, ręcznie przypisz profil rozwiązania Autopilot do urządzenia.

Porada

Jeśli zamierzonym stanem końcowym urządzenia jest współzarządzanie, można skonfigurować rejestrację urządzeń w usłudze Intune w celu włączenia współzarządzania, co ma miejsce podczas procesu rozwiązania Autopilot. Takie zachowanie kieruje urząd obciążenia w sposób zorganizowany między programem Configuration Manager i usługą Intune. Aby uzyskać więcej informacji, zobacz Jak zarejestrować się przy użyciu rozwiązania Autopilot.

Tryb sterowany przez użytkownika dla sprzężenia hybrydowego Microsoft Entra

Ważna

Firma Microsoft zaleca wdrażanie nowych urządzeń jako natywnych dla chmury przy użyciu Microsoft Entra join. Wdrażanie nowych urządzeń jako urządzeń Microsoft Entra przyłączania hybrydowego nie jest zalecane, w tym za pośrednictwem rozwiązania Autopilot. Aby uzyskać więcej informacji, zobacz Microsoft Entra sprzężone a Microsoft Entra przyłączone hybrydowo w punktach końcowych natywnych dla chmury: Która opcja jest odpowiednia dla Twojej organizacji.

Rozwiązanie Windows Autopilot wymaga, aby urządzenia były Microsoft Entra przyłączone. Jeśli masz środowisko lokalna usługa Active Directory, możesz dołączyć urządzenia do domeny lokalnej. Aby dołączyć do urządzeń, skonfiguruj urządzenia rozwiązania Autopilot, aby były przyłączone hybrydowo do Tożsamość Microsoft Entra.

Porada

Gdy firma Microsoft rozmawia z klientami, którzy używają Microsoft Intune i Microsoft Configuration Manager do wdrażania urządzeń klienckich, zarządzania nimi i zabezpieczania ich, często otrzymujemy pytania dotyczące współzarządzania urządzeniami i Microsoft Entra urządzeń przyłączonych hybrydowo. Wielu klientów myli te dwa tematy. Współzarządzanie jest opcją zarządzania, podczas gdy Tożsamość Microsoft Entra jest opcją tożsamości. Aby uzyskać więcej informacji, zobacz Understanding hybrid Microsoft Entra and co-management scenarios (Omówienie scenariuszy Microsoft Entra hybrydowych i współzarządzania). Ten wpis w blogu ma na celu wyjaśnienie, Microsoft Entra przyłączanie hybrydowe i współzarządzanie, jak współpracują ze sobą, ale nie są tym samym.

Nie można wdrożyć klienta Configuration Manager podczas aprowizowania nowego komputera w trybie opartym na użytkowniku rozwiązania Windows Autopilot na potrzeby Microsoft Entra sprzężenia hybrydowego. To ograniczenie jest spowodowane zmianą tożsamości urządzenia podczas procesu łączenia Microsoft Entra. Wdróż klienta Configuration Manager po procesie rozwiązania Autopilot. Zobacz Metody instalacji klienta w Configuration Manager, aby uzyskać alternatywne opcje instalowania klienta.

Wymagania dotyczące trybu opartego na użytkownikach z Tożsamość Microsoft Entra hybrydowego

• Utwórz profil rozwiązania Windows Autopilot dla trybu opartego na użytkownikach.

  W profilu rozwiązania Autopilot w obszarze Dołącz do Tożsamość Microsoft Entra jako wybierz pozycję Microsoft Entra przyłączone hybrydowo.

• Jeśli używasz usługi Intune, potrzebujesz grupy urządzeń w Tożsamość Microsoft Entra. Przypisz profil rozwiązania Windows Autopilot do grupy.

• Jeśli używasz usługi Intune, utwórz i przypisz profil przyłączania do domeny. Profil konfiguracji przyłączania do domeny zawiera informacje o domenie lokalna usługa Active Directory.

• Urządzenie musi mieć dostęp do Internetu. Aby uzyskać więcej informacji, zobacz wymagania dotyczące sieci.

• Zainstaluj łącznik usługi Intune dla usługi Active Directory.

  Uwaga

  Łącznik usługi Intune dołącza urządzenie do domeny lokalnej. Użytkownicy nie potrzebują uprawnień do dołączania urządzeń do domeny lokalnej. To zachowanie zakłada skonfigurowanie łącznika dla tej akcji w imieniu użytkownika. Aby uzyskać więcej informacji, zobacz artykuł Zwiększanie limitu konta komputera w jednostce organizacyjnej.

• Jeśli używasz serwera proxy, włącz i skonfiguruj opcję ustawienia serwera proxy WPAD.

Oprócz tych podstawowych wymagań dotyczących sprzężenia hybrydowego opartego na użytkownikach Microsoft Entra, następujące dodatkowe wymagania mają zastosowanie do urządzeń lokalnych:

• Urządzenie ma obecnie obsługiwaną wersję systemu Windows.

• Urządzenie jest połączone z siecią wewnętrzną i ma dostęp do kontrolera domeny usługi Active Directory.

  • Musi rozpoznać rekordy DNS dla domeny i kontrolerów domeny.

  • Musi komunikować się z kontrolerem domeny, aby uwierzytelnić użytkownika.

Tryb sterowany przez użytkownika dla Microsoft Entra sprzężenia hybrydowego z obsługą sieci VPN

Urządzenia przyłączone do usługi Active Directory wymagają łączności z kontrolerem domeny usługi Active Directory w przypadku wielu działań. Działania te obejmują sprawdzanie poprawności poświadczeń użytkownika podczas logowania i stosowanie ustawień zasad grupy. Proces oparty na użytkownikach rozwiązania Autopilot dla Microsoft Entra urządzeń przyłączonych hybrydowo sprawdza, czy urządzenie może skontaktować się z kontrolerem domeny, wysyłając polecenie ping do tego kontrolera domeny.

Dzięki dodaniu obsługi sieci VPN w tym scenariuszu można skonfigurować proces dołączania hybrydowego Microsoft Entra, aby pominąć sprawdzanie łączności. Ta zmiana nie eliminuje konieczności komunikacji z kontrolerem domeny. Zamiast tego, aby zezwolić na połączenie z siecią organizacji, usługa Intune dostarcza wymaganą konfigurację sieci VPN, zanim użytkownik spróbuje zalogować się do systemu Windows.

Wymagania dotyczące trybu opartego na użytkownikach z Tożsamość Microsoft Entra hybrydowymi i siecią VPN

Oprócz podstawowych wymagań dotyczących trybu opartego na użytkownikach z Microsoft Entra sprzężenia hybrydowego, następujące dodatkowe wymagania mają zastosowanie do scenariusza zdalnego z obsługą sieci VPN:

• Obecnie obsługiwana wersja systemu Windows.

• W Microsoft Entra profilu przyłączania hybrydowego dla rozwiązania Autopilot włącz następującą opcję: Pomiń sprawdzanie łączności z domeną.

• Konfiguracja sieci VPN z jedną z następujących opcji:

  • Można wdrożyć za pomocą usługi Intune i umożliwić użytkownikowi ręczne nawiązanie połączenia sieci VPN z poziomu ekranu logowania systemu Windows.

  • Automatycznie ustanawia połączenie sieci VPN zgodnie z potrzebami.

Wymagana konfiguracja sieci VPN zależy od używanego oprogramowania sieci VPN i uwierzytelniania. W przypadku rozwiązań sieci VPN innych firm ta konfiguracja zwykle obejmuje wdrożenie aplikacji Win32 za pośrednictwem rozszerzeń zarządzania usługi Intune. Ta aplikacja będzie zawierać oprogramowanie klienckie sieci VPN i wszelkie określone informacje o połączeniu. Na przykład nazwy hostów punktu końcowego sieci VPN. Aby uzyskać szczegółowe informacje o konfiguracji specyficzne dla tego dostawcy, zobacz dokumentację dostawcy sieci VPN.

Uwaga

Wymagania dotyczące sieci VPN nie są specyficzne dla rozwiązania Autopilot. Jeśli na przykład konfiguracja sieci VPN zostanie zaimplementowana w celu włączenia zdalnego resetowania haseł, ta sama konfiguracja może być używana z rozwiązaniem Windows Autopilot. Ta konfiguracja umożliwi użytkownikowi logowanie się do systemu Windows przy użyciu nowego hasła, gdy nie ma go w sieci organizacji. Po zalogowaniu się użytkownika i zapisaniu ich poświadczeń w pamięci podręcznej kolejne próby logowania nie wymagają łączności, ponieważ system Windows używa poświadczeń buforowanych.

Jeśli oprogramowanie sieci VPN wymaga uwierzytelniania certyfikatu, użyj usługi Intune, aby również wdrożyć wymagany certyfikat urządzenia. To wdrożenie można wykonać przy użyciu funkcji rejestracji certyfikatów usługi Intune, które są przeznaczone dla profilów certyfikatów na urządzeniu.

Niektóre konfiguracje nie są obsługiwane, ponieważ nie są stosowane, dopóki użytkownik nie zaloguje się do systemu Windows:

• Certyfikaty użytkowników
• Wtyczki sieci VPN innych niż Microsoft UWP ze Sklepu Windows

Sprawdzania poprawności

Przed podjęciem próby dołączenia hybrydowego Microsoft Entra przy użyciu sieci VPN należy upewnić się, że tryb oparty na użytkownikach dla Microsoft Entra procesu dołączania hybrydowego działa w sieci wewnętrznej. Ten test upraszcza rozwiązywanie problemów, upewniając się, że podstawowy proces działa przed dodaniem konfiguracji sieci VPN.

Następnie upewnij się, że możesz użyć usługi Intune do wdrożenia konfiguracji sieci VPN i jej wymagań. Przetestuj te składniki przy użyciu istniejącego urządzenia, które jest już Microsoft Entra przyłączone hybrydowo. Na przykład niektórzy klienci sieci VPN tworzą połączenie sieci VPN na maszynę w ramach procesu instalacji. Zweryfikuj konfigurację, wykonując następujące kroki:

1. Sprawdź, czy utworzono co najmniej jedno połączenie sieci VPN na maszynę.

   Get-VpnConnection -AllUserConnection
   

2. Spróbuj ręcznie uruchomić połączenie sieci VPN.

   RASDIAL.EXE "ConnectionName"
   

3. Wyloguj się z systemu Windows. Sprawdź, czy na stronie logowania systemu Windows jest widoczna ikona "Połączenie sieci VPN".

4. Przenieś urządzenie z sieci wewnętrznej i spróbuj nawiązać połączenie przy użyciu ikony na stronie logowania systemu Windows. Zaloguj się do konta, które nie ma buforowanych poświadczeń.

W przypadku konfiguracji sieci VPN, które automatycznie nawiązują połączenie, kroki weryfikacji mogą być inne.

Uwaga

W tym scenariuszu można użyć zawsze włączonej sieci VPN. Aby uzyskać więcej informacji, zobacz Wdrażanie zawsze włączonej sieci VPN.

Następne kroki

• Wdrażanie Microsoft Entra urządzeń przyłączonych hybrydowo przy użyciu usługi Intune i rozwiązania Windows Autopilot
• Jak zarejestrować się za pomocą rozwiązania Autopilot
• Wypróbuj przyłączanie hybrydowe rozwiązania Autopilot za pośrednictwem sieci VPN w laboratorium platformy Azure

Artykuły pokrewne

• Co to jest tożsamość urządzenia?.
• Dowiedz się więcej o punktach końcowych natywnych dla chmury.
• Microsoft Entra przyłączone a Microsoft Entra przyłączone hybrydowo w punktach końcowych natywnych dla chmury.
• Samouczek: Konfigurowanie i konfigurowanie natywnego dla chmury punktu końcowego systemu Windows przy użyciu Microsoft Intune.
• Instrukcje: planowanie implementacji dołączania Microsoft Entra.
• Struktura transformacji zarządzania punktami końcowymi systemu Windows.
• Omówienie scenariuszy Azure AD hybrydowych i współzarządzania.
• Powodzenie dzięki zdalnej funkcji Windows Autopilot i hybrydowej funkcji dołączania do usługi Azure Active Directory.