Rejestracja zbiorcza dla urządzeń z systemem Windows
Dotyczy
- Windows 10
- Windows 11
Dołącz nowe urządzenia z systemem Windows do usług Microsoft Entra ID i Intune. Aby zbiorczo rejestrować urządzenia dla dzierżawy usługi Microsoft Entra, należy utworzyć pakiet aprowizacji przy użyciu aplikacji Windows Configuration Designer (WCD). Zastosowanie pakietu aprowizacji do urządzeń należących do firmy powoduje dołączenie urządzeń do dzierżawy usługi Microsoft Entra i zarejestrowanie ich w celu zarządzania usługą Intune. Po zastosowaniu pakietu użytkownicy usługi Microsoft Entra mogą się zalogować.
Użytkownicy usługi Microsoft Entra są standardowymi użytkownikami na tych urządzeniach i otrzymują przypisane zasady usługi Intune i wymagane aplikacje. Urządzenia z systemem Windows zarejestrowane w usłudze Intune przy użyciu rejestracji zbiorczej systemu Windows mogą instalować dostępne aplikacje za pomocą aplikacji Portal firmy.
Role i uprawnienia
Aby utworzyć token rejestracji zbiorczej, musisz mieć obsługiwane przypisanie roli Microsoft Entra i nie może być ograniczony do jednostki administracyjnej w identyfikatorze Entra firmy Microsoft. Wbudowane role usługi Microsoft Entra z uprawnieniami do tworzenia tokenów rejestracji zbiorczej to:
- Administrator urządzeń w chmurze
- Intune Administrator
- Administrator haseł
Aby uzyskać więcej informacji na temat tych ról, zobacz Wbudowane role usługi Microsoft Entra.
Wymagania wstępne
- Na urządzeniach musi być uruchomiona aktualizacja systemu Windows 11 lub Windows 10 Creator (kompilacja 1709) lub nowsza.
- Włącz automatyczną rejestrację systemu Windows.
Ponadto upewnij się, że jednostka usługi microsoft.Azure.SyncFabric (AppID 00000014-0000-0000-c000-00000000000) jest obecna w dzierżawie usługi Microsoft Entra. W wierszu polecenia użyj Get-AzureADServicePrincipal
polecenia , aby sprawdzić jednostkę usługi. Bez jednostki usługi Projektant konfiguracji systemu Windows nie może pobrać tokenu rejestracji zbiorczej, co powoduje błąd.
Tworzenie pakietu aprowizacji
Zainstaluj program Windows Configuration Designer (WCD) ze Sklepu Microsoft.
Otwórz aplikację Projektant konfiguracji systemu Windows i wybierz pozycję Aprowizuj urządzenia klasyczne.
Zostanie otwarte okno Nowy projekt , w którym określ następujące informacje:
- Nazwa — nazwa projektu
- Folder projektu — zapisz lokalizację projektu
- Opis — opcjonalny opis projektu
Wprowadź unikatową nazwę urządzeń. Nazwy mogą zawierać numer seryjny (%SERIAL%) lub losowy zestaw znaków. Opcjonalnie możesz również wprowadzić klucz produktu, jeśli uaktualniasz wersję systemu Windows, konfigurujesz urządzenie do użytku współdzielonego i usuwasz wstępnie zainstalowane oprogramowanie.
Opcjonalnie można skonfigurować Wi-Fi urządzenia sieciowe nawiązują połączenie po pierwszym uruchomieniu. Jeśli urządzenia sieciowe nie są skonfigurowane, podczas pierwszego uruchomienia urządzenia wymagane jest połączenie sieci przewodowej.
Wybierz pozycję Zarejestruj w usłudze Azure AD, wprowadź datę wygaśnięcia tokenu zbiorczego , a następnie wybierz pozycję Pobierz token zbiorczy. Okres ważności tokenu wynosi 180 dni.
Uwaga
Po utworzeniu pakietu aprowizacji można go odwołać przed jego wygaśnięciem, usuwając skojarzone konto użytkownika package_{GUID} z identyfikatora Microsoft Entra.
Podaj poświadczenia usługi Microsoft Entra, aby uzyskać token zbiorczy.
Uwaga
- Konto używane do żądania tokenu zbiorczego musi zostać uwzględnione w zakresie użytkownika rozwiązania MDM w identyfikatorze Microsoft Entra. Jeśli usuniesz to konto z grupy powiązanej z zakresem użytkownika mdm, rejestracja zbiorcza przestanie działać.
- Zbiorcze pobieranie tokenów nie działa w przypadku federacyjnych kont użytkowników włączonych dla wdrożeń etapowych.
Na stronie Pozostań zalogowany we wszystkich aplikacjach wybierz pozycję Nie, zaloguj się tylko do tej aplikacji. Jeśli zaznaczysz pole wyboru i naciśnij przycisk OK, używane urządzenie stanie się zarządzane przez organizację. Jeśli nie zamierzasz zarządzać urządzeniem, upewnij się, że wybrano pozycję Nie, zaloguj się tylko do tej aplikacji.
Kliknij przycisk Dalej po pomyślnym pobraniu tokenu zbiorczego .
Opcjonalnie możesz dodać aplikacje i dodać certyfikaty. Te aplikacje i certyfikaty są aprowizowane na urządzeniu.
Opcjonalnie możesz chronić pakiet aprowizacji hasłem. Kliknij pozycję Utwórz.
Aprowizowanie urządzeń
Uzyskaj dostęp do pakietu aprowizacji w lokalizacji określonej w folderze Project określonym w aplikacji.
Wybierz sposób stosowania pakietu aprowizacji do urządzenia. Pakiet aprowizacji można zastosować do urządzenia na jeden z następujących sposobów:
- Umieść pakiet aprowizacji na dysku USB, włóż dysk USB do urządzenia, które chcesz zarejestrować zbiorczo, i zastosuj go podczas początkowej konfiguracji
- Umieść pakiet aprowizacji w folderze sieciowym i zastosuj go po początkowej konfiguracji
Aby uzyskać instrukcje krok po kroku dotyczące stosowania pakietu aprowizacji, zobacz Apply a provisioning package (Stosowanie pakietu aprowizacji).
Po zastosowaniu pakietu urządzenie zostanie automatycznie ponownie uruchomione w ciągu jednej minuty.
Po ponownym uruchomieniu urządzenia nawiązuje połączenie z identyfikatorem Entra firmy Microsoft i rejestruje się w usłudze Microsoft Intune.
Rozwiązywanie problemów z rejestracją zbiorczą systemu Windows
Problemy z aprowizowaniem
Aprowizowanie ma być używane na nowych urządzeniach z systemem Windows. Błędy aprowizacji mogą wymagać czyszczenia urządzenia lub odzyskiwania urządzenia z obrazu rozruchowego. W tych przykładach opisano niektóre przyczyny błędów aprowizacji:
- Pakiet aprowizacji, który próbuje dołączyć do domeny usługi Active Directory lub dzierżawy usługi Microsoft Entra, która nie tworzy konta lokalnego, może sprawić, że urządzenie stanie się nieosiągalne, jeśli proces dołączania do domeny zakończy się niepowodzeniem z powodu braku łączności sieciowej.
- Skrypty uruchamiane przez pakiet aprowizacji są uruchamiane w kontekście systemu. Skrypty mogą wprowadzać dowolne zmiany w systemie plików urządzenia i konfiguracjach. Złośliwy lub zły skrypt może umieścić urządzenie w stanie, który można odzyskać tylko przez ponowne obrazowanie lub wyczyszczenie urządzenia.
Powodzenie/niepowodzenie ustawień w pakiecie można sprawdzić w dzienniku administratora usługi Provisioning-Diagnostics-Provider w Podglądzie zdarzeń.
Uwaga
Rejestracja zbiorcza jest uznawana za metodę rejestracji bez użytkownika i z tego powodu tylko domyślne ograniczenie rejestracji w usłudze Intune miałoby zastosowanie podczas rejestracji. Upewnij się, że platforma systemu Windows jest dozwolona w domyślnym ograniczeniu, w przeciwnym razie rejestracja zakończy się niepowodzeniem. Aby sprawdzić możliwości wraz z innymi metodami rejestracji systemu Windows, zobacz Możliwości metod rejestracji w usłudze Intune dla urządzeń z systemem Windows.
Rejestracja zbiorcza za pomocą Wi-Fi
Jeśli nie używasz otwartej sieci, do inicjowania połączeń należy użyć certyfikatów na poziomie urządzenia . Urządzenia zarejestrowane zbiorczo nie mogą używać do certyfikatów przeznaczonych dla użytkowników na potrzeby dostępu do sieci.
Dostęp warunkowy
Dostęp warunkowy jest dostępny dla urządzeń zarejestrowanych za pośrednictwem rejestracji zbiorczej z systemem Windows 11 lub Windows 10 w wersji 1803 lub nowszej.