Udostępnij za pośrednictwem

Rejestracja zbiorcza dla urządzeń z systemem Windows

  • Artykuł

Dotyczy

  • Windows 10
  • Windows 11

Dołącz nowe urządzenia z systemem Windows do usług Microsoft Entra ID i Intune. Aby zbiorczo rejestrować urządzenia dla dzierżawy usługi Microsoft Entra, należy utworzyć pakiet aprowizacji przy użyciu aplikacji Windows Configuration Designer (WCD). Zastosowanie pakietu aprowizacji do urządzeń należących do firmy powoduje dołączenie urządzeń do dzierżawy usługi Microsoft Entra i zarejestrowanie ich w celu zarządzania usługą Intune. Po zastosowaniu pakietu użytkownicy usługi Microsoft Entra mogą się zalogować.

Użytkownicy usługi Microsoft Entra są standardowymi użytkownikami na tych urządzeniach i otrzymują przypisane zasady usługi Intune i wymagane aplikacje. Urządzenia z systemem Windows zarejestrowane w usłudze Intune przy użyciu rejestracji zbiorczej systemu Windows mogą instalować dostępne aplikacje za pomocą aplikacji Portal firmy.

Role i uprawnienia

Aby utworzyć token rejestracji zbiorczej, musisz mieć obsługiwane przypisanie roli Microsoft Entra i nie może być ograniczony do jednostki administracyjnej w identyfikatorze Entra firmy Microsoft. Wbudowane role usługi Microsoft Entra z uprawnieniami do tworzenia tokenów rejestracji zbiorczej to:

  • Administrator urządzeń w chmurze
  • Intune Administrator
  • Administrator haseł

Aby uzyskać więcej informacji na temat tych ról, zobacz Wbudowane role usługi Microsoft Entra.

Wymagania wstępne

Ponadto upewnij się, że jednostka usługi microsoft.Azure.SyncFabric (AppID 00000014-0000-0000-c000-00000000000) jest obecna w dzierżawie usługi Microsoft Entra. W wierszu polecenia użyj Get-AzureADServicePrincipal polecenia , aby sprawdzić jednostkę usługi. Bez jednostki usługi Projektant konfiguracji systemu Windows nie może pobrać tokenu rejestracji zbiorczej, co powoduje błąd.

Tworzenie pakietu aprowizacji

  1. Zainstaluj program Windows Configuration Designer (WCD) ze Sklepu Microsoft.

  2. Otwórz aplikację Projektant konfiguracji systemu Windows i wybierz pozycję Aprowizuj urządzenia klasyczne. Zrzut ekranu przedstawiający wybieranie pozycji Aprowizowanie urządzeń klasycznych w aplikacji Projektant konfiguracji systemu Windows

  3. Zostanie otwarte okno Nowy projekt , w którym określ następujące informacje:

    • Nazwa — nazwa projektu
    • Folder projektu — zapisz lokalizację projektu
    • Opis — opcjonalny opis projektu Zrzut ekranu przedstawiający określanie nazwy, folderu projektu i opisu w aplikacji Projektant konfiguracji systemu Windows

  4. Wprowadź unikatową nazwę urządzeń. Nazwy mogą zawierać numer seryjny (%SERIAL%) lub losowy zestaw znaków. Opcjonalnie możesz również wprowadzić klucz produktu, jeśli uaktualniasz wersję systemu Windows, konfigurujesz urządzenie do użytku współdzielonego i usuwasz wstępnie zainstalowane oprogramowanie.

    Zrzut ekranu przedstawiający określanie nazwy i klucza produktu w aplikacji Projektant konfiguracji systemu Windows

  5. Opcjonalnie można skonfigurować Wi-Fi urządzenia sieciowe nawiązują połączenie po pierwszym uruchomieniu. Jeśli urządzenia sieciowe nie są skonfigurowane, podczas pierwszego uruchomienia urządzenia wymagane jest połączenie sieci przewodowej. Zrzut ekranu przedstawiający włączanie Wi-Fi, w tym opcji Identyfikator SSID sieci i Typ sieci w aplikacji Projektant konfiguracji systemu Windows

  6. Wybierz pozycję Zarejestruj w usłudze Azure AD, wprowadź datę wygaśnięcia tokenu zbiorczego , a następnie wybierz pozycję Pobierz token zbiorczy. Okres ważności tokenu wynosi 180 dni.

    Uwaga

    Po utworzeniu pakietu aprowizacji można go odwołać przed jego wygaśnięciem, usuwając skojarzone konto użytkownika package_{GUID} z identyfikatora Microsoft Entra.

  7. Podaj poświadczenia usługi Microsoft Entra, aby uzyskać token zbiorczy. Zrzut ekranu przedstawiający logowanie do aplikacji Projektant konfiguracji systemu Windows

    Uwaga

    • Konto używane do żądania tokenu zbiorczego musi zostać uwzględnione w zakresie użytkownika rozwiązania MDM w identyfikatorze Microsoft Entra. Jeśli usuniesz to konto z grupy powiązanej z zakresem użytkownika mdm, rejestracja zbiorcza przestanie działać.
    • Zbiorcze pobieranie tokenów nie działa w przypadku federacyjnych kont użytkowników włączonych dla wdrożeń etapowych.

  8. Na stronie Pozostań zalogowany we wszystkich aplikacjach wybierz pozycję Nie, zaloguj się tylko do tej aplikacji. Jeśli zaznaczysz pole wyboru i naciśnij przycisk OK, używane urządzenie stanie się zarządzane przez organizację. Jeśli nie zamierzasz zarządzać urządzeniem, upewnij się, że wybrano pozycję Nie, zaloguj się tylko do tej aplikacji.

  9. Kliknij przycisk Dalej po pomyślnym pobraniu tokenu zbiorczego .

  10. Opcjonalnie możesz dodać aplikacje i dodać certyfikaty. Te aplikacje i certyfikaty są aprowizowane na urządzeniu.

  11. Opcjonalnie możesz chronić pakiet aprowizacji hasłem. Kliknij pozycję Utwórz. Zrzut ekranu przedstawiający ochronę pakietów w aplikacji Projektant konfiguracji systemu Windows

Aprowizowanie urządzeń

  1. Uzyskaj dostęp do pakietu aprowizacji w lokalizacji określonej w folderze Project określonym w aplikacji.

  2. Wybierz sposób stosowania pakietu aprowizacji do urządzenia. Pakiet aprowizacji można zastosować do urządzenia na jeden z następujących sposobów:

    • Umieść pakiet aprowizacji na dysku USB, włóż dysk USB do urządzenia, które chcesz zarejestrować zbiorczo, i zastosuj go podczas początkowej konfiguracji
    • Umieść pakiet aprowizacji w folderze sieciowym i zastosuj go po początkowej konfiguracji

    Aby uzyskać instrukcje krok po kroku dotyczące stosowania pakietu aprowizacji, zobacz Apply a provisioning package (Stosowanie pakietu aprowizacji).

  3. Po zastosowaniu pakietu urządzenie zostanie automatycznie ponownie uruchomione w ciągu jednej minuty. Zrzut ekranu folderu projektu, określanie nazwy i opisu w aplikacji Projektant konfiguracji systemu Windows

  4. Po ponownym uruchomieniu urządzenia nawiązuje połączenie z identyfikatorem Entra firmy Microsoft i rejestruje się w usłudze Microsoft Intune.

Rozwiązywanie problemów z rejestracją zbiorczą systemu Windows

Problemy z aprowizowaniem

Aprowizowanie ma być używane na nowych urządzeniach z systemem Windows. Błędy aprowizacji mogą wymagać czyszczenia urządzenia lub odzyskiwania urządzenia z obrazu rozruchowego. W tych przykładach opisano niektóre przyczyny błędów aprowizacji:

  • Pakiet aprowizacji, który próbuje dołączyć do domeny usługi Active Directory lub dzierżawy usługi Microsoft Entra, która nie tworzy konta lokalnego, może sprawić, że urządzenie stanie się nieosiągalne, jeśli proces dołączania do domeny zakończy się niepowodzeniem z powodu braku łączności sieciowej.
  • Skrypty uruchamiane przez pakiet aprowizacji są uruchamiane w kontekście systemu. Skrypty mogą wprowadzać dowolne zmiany w systemie plików urządzenia i konfiguracjach. Złośliwy lub zły skrypt może umieścić urządzenie w stanie, który można odzyskać tylko przez ponowne obrazowanie lub wyczyszczenie urządzenia.

Powodzenie/niepowodzenie ustawień w pakiecie można sprawdzić w dzienniku administratora usługi Provisioning-Diagnostics-Provider w Podglądzie zdarzeń.

Uwaga

Rejestracja zbiorcza jest uznawana za metodę rejestracji bez użytkownika i z tego powodu tylko domyślne ograniczenie rejestracji w usłudze Intune miałoby zastosowanie podczas rejestracji. Upewnij się, że platforma systemu Windows jest dozwolona w domyślnym ograniczeniu, w przeciwnym razie rejestracja zakończy się niepowodzeniem. Aby sprawdzić możliwości wraz z innymi metodami rejestracji systemu Windows, zobacz Możliwości metod rejestracji w usłudze Intune dla urządzeń z systemem Windows.

Rejestracja zbiorcza za pomocą Wi-Fi

Jeśli nie używasz otwartej sieci, do inicjowania połączeń należy użyć certyfikatów na poziomie urządzenia . Urządzenia zarejestrowane zbiorczo nie mogą używać do certyfikatów przeznaczonych dla użytkowników na potrzeby dostępu do sieci.

Dostęp warunkowy

Dostęp warunkowy jest dostępny dla urządzeń zarejestrowanych za pośrednictwem rejestracji zbiorczej z systemem Windows 11 lub Windows 10 w wersji 1803 lub nowszej.