Rejestracja zbiorcza dla urządzeń z systemem Windows

  • Artykuł

Dotyczy

  • Windows 10
  • Windows 11

Dołącz nowe urządzenia z systemem Windows do Tożsamość Microsoft Entra i Intune. Aby zbiorczo rejestrować urządzenia dla dzierżawy Microsoft Entra, należy utworzyć pakiet aprowizacji przy użyciu aplikacji Windows Configuration Projektant (WCD). Zastosowanie pakietu aprowizacji do urządzeń należących do firmy powoduje dołączenie urządzeń do dzierżawy Microsoft Entra i zarejestrowanie ich w celu zarządzania Intune. Po zastosowaniu pakietu możesz się zalogować Microsoft Entra użytkowników.

Microsoft Entra użytkownicy są standardowymi użytkownikami na tych urządzeniach i otrzymują przypisane zasady Intune i wymagane aplikacje. Urządzenia z systemem Windows zarejestrowane w Intune przy użyciu rejestracji zbiorczej systemu Windows mogą używać aplikacji Portal firmy do instalowania dostępnych aplikacji.

Role i uprawnienia

Aby utworzyć token rejestracji zbiorczej, musisz mieć obsługiwane przypisanie roli Microsoft Entra i nie może być ograniczony do jednostki administracyjnej w Tożsamość Microsoft Entra. Obsługiwane role to:

  • Administrator globalny
  • Administrator urządzeń w chmurze
  • administrator Intune
  • Administrator haseł

Te role można przypisać w Intune ustawień dzierżawy edukacji > lub w centrum > administracyjnym Microsoft Intune Użytkownicy. Aby uzyskać więcej informacji, zobacz Udzielanie uprawnień administratora w centrum administracyjnym Microsoft Intune.

Wymagania wstępne

Ponadto upewnij się, że jednostka usługi microsoft.Azure.SyncFabric (AppID 00000014-0000-0000-c000-00000000000) jest obecna w dzierżawie Microsoft Entra. W wierszu polecenia użyj Get-AzureADServicePrincipal polecenia , aby sprawdzić jednostkę usługi. Bez jednostki usługi Projektant konfiguracji systemu Windows nie może pobrać tokenu rejestracji zbiorczej, co powoduje błąd.

Tworzenie pakietu aprowizacji

  1. Zainstaluj program Windows Configuration Projektant (WCD) ze Sklepu Microsoft.

  2. Otwórz aplikację Windows Configuration Projektant i wybierz pozycję Aprowizuj urządzenia klasyczne. Zrzut ekranu przedstawiający wybieranie pozycji Aprowizowanie urządzeń klasycznych w aplikacji Projektant konfiguracji systemu Windows

  3. Zostanie otwarte okno Nowy projekt , w którym określ następujące informacje:

    • Nazwa — nazwa projektu
    • Folder projektu — zapisz lokalizację projektu
    • Opis — opcjonalny opis projektu Zrzut ekranu przedstawiający określanie nazwy, folderu projektu i opisu w aplikacji Projektant konfiguracji systemu Windows

  4. Wprowadź unikatową nazwę urządzeń. Nazwy mogą zawierać numer seryjny (%SERIAL%) lub losowy zestaw znaków. Opcjonalnie możesz również wprowadzić klucz produktu, jeśli uaktualniasz wersję systemu Windows, konfigurujesz urządzenie do użytku współdzielonego i usuwasz wstępnie zainstalowane oprogramowanie.

    Zrzut ekranu przedstawiający określanie nazwy i klucza produktu w aplikacji Projektant konfiguracji systemu Windows

  5. Opcjonalnie można skonfigurować Wi-Fi urządzenia sieciowe nawiązują połączenie po pierwszym uruchomieniu. Jeśli urządzenia sieciowe nie są skonfigurowane, podczas pierwszego uruchomienia urządzenia wymagane jest połączenie sieci przewodowej. Zrzut ekranu przedstawiający włączanie Wi-Fi, w tym opcji SSID sieci i typu sieć w aplikacji Projektant konfiguracji systemu Windows

  6. Wybierz pozycję Zarejestruj w Azure AD, wprowadź datę wygaśnięcia tokenu zbiorczego, a następnie wybierz pozycję Pobierz token zbiorczy. Okres ważności tokenu wynosi 180 dni.

    Uwaga

    Po utworzeniu pakietu aprowizacji można go odwołać przed jego wygaśnięciem, usuwając skojarzone konto użytkownika package_{GUID} z Tożsamość Microsoft Entra.

  7. Podaj poświadczenia Microsoft Entra, aby uzyskać token zbiorczy. Zrzut ekranu przedstawiający logowanie do aplikacji Projektant konfiguracji systemu Windows

    Uwaga

    Konto używane do żądania tokenu zbiorczego musi zostać uwzględnione w zakresie użytkownika mdm określonym w Tożsamość Microsoft Entra. Jeśli to konto zostanie usunięte z grupy powiązanej z zakresem użytkownika mdm, rejestracja zbiorcza przestanie działać.

  8. Na stronie Pozostań zalogowany we wszystkich aplikacjach wybierz pozycję Nie, zaloguj się tylko do tej aplikacji. Jeśli zaznaczysz pole wyboru i naciśnij przycisk OK, używane urządzenie stanie się zarządzane przez organizację. Jeśli nie zamierzasz zarządzać urządzeniem, upewnij się, że wybrano pozycję Nie, zaloguj się tylko do tej aplikacji.

  9. Kliknij przycisk Dalej po pomyślnym pobraniu tokenu zbiorczego .

  10. Opcjonalnie możesz dodać aplikacje i dodać certyfikaty. Te aplikacje i certyfikaty są aprowizowane na urządzeniu.

  11. Opcjonalnie możesz chronić pakiet aprowizacji hasłem. Kliknij pozycję Utwórz. Zrzut ekranu przedstawiający ochronę pakietów w aplikacji Windows Configuration Projektant

Aprowizowanie urządzeń

  1. Uzyskaj dostęp do pakietu aprowizacji w lokalizacji określonej w folderze Project określonym w aplikacji.

  2. Wybierz sposób stosowania pakietu aprowizacji do urządzenia. Pakiet aprowizacji można zastosować do urządzenia na jeden z następujących sposobów:

    • Umieść pakiet aprowizacji na dysku USB, włóż dysk USB do urządzenia, które chcesz zarejestrować zbiorczo, i zastosuj go podczas początkowej konfiguracji
    • Umieść pakiet aprowizacji w folderze sieciowym i zastosuj go po początkowej konfiguracji

    Aby uzyskać instrukcje krok po kroku dotyczące stosowania pakietu aprowizacji, zobacz Apply a provisioning package (Stosowanie pakietu aprowizacji).

  3. Po zastosowaniu pakietu urządzenie zostanie automatycznie ponownie uruchomione w ciągu jednej minuty. Zrzut ekranu folderu projektu, określanie nazwy i opisu w aplikacji Projektant konfiguracji systemu Windows

  4. Po ponownym uruchomieniu urządzenia nawiązuje połączenie z Tożsamość Microsoft Entra i rejestruje się w Microsoft Intune.

Rozwiązywanie problemów z rejestracją zbiorczą systemu Windows

Problemy z aprowizowaniem

Aprowizowanie ma być używane na nowych urządzeniach z systemem Windows. Błędy aprowizacji mogą wymagać czyszczenia urządzenia lub odzyskiwania urządzenia z obrazu rozruchowego. W tych przykładach opisano niektóre przyczyny błędów aprowizacji:

  • Pakiet aprowizacji, który próbuje dołączyć do domeny usługi Active Directory lub dzierżawy Microsoft Entra, która nie tworzy konta lokalnego, może sprawić, że urządzenie będzie nieosiągalne, jeśli proces przyłączania do domeny zakończy się niepowodzeniem z powodu braku łączności sieciowej.
  • Skrypty uruchamiane przez pakiet aprowizacji są uruchamiane w kontekście systemu. Skrypty mogą wprowadzać dowolne zmiany w systemie plików urządzenia i konfiguracjach. Złośliwy lub zły skrypt może umieścić urządzenie w stanie, który można odzyskać tylko przez ponowne obrazowanie lub wyczyszczenie urządzenia.

Powodzenie/niepowodzenie ustawień w pakiecie można sprawdzić w dzienniku Administracja Provisioning-Diagnostics-Provider w Podgląd zdarzeń.

Uwaga

Rejestracja zbiorcza jest uznawana za metodę rejestracji bez użytkownika i z tego powodu tylko "Domyślne" ograniczenie rejestracji w Intune miałoby zastosowanie podczas rejestracji. Upewnij się, że platforma systemu Windows jest dozwolona w domyślnym ograniczeniu, w przeciwnym razie rejestracja zakończy się niepowodzeniem. Aby sprawdzić możliwości wraz z innymi metodami rejestracji systemu Windows, zobacz Intune możliwości metod rejestracji dla urządzeń z systemem Windows.

Rejestracja zbiorcza za pomocą Wi-Fi

Jeśli nie używasz otwartej sieci, do inicjowania połączeń należy użyć certyfikatów na poziomie urządzenia . Urządzenia zarejestrowane zbiorczo nie mogą używać do certyfikatów przeznaczonych dla użytkowników na potrzeby dostępu do sieci.

Dostęp warunkowy

Dostęp warunkowy jest dostępny dla urządzeń zarejestrowanych za pośrednictwem rejestracji zbiorczej z systemem Windows 11 lub Windows 10 w wersji 1803 lub nowszej.