Подготовка устройства Windows Autopilot в автоматическом режиме для Windows 365 (предварительная версия): создание назначенной группы устройств

Подготовка устройства Windows Autopilot в автоматическом режиме для выполнения Windows 365 шагов:

• Шаг 1. Настройка автоматической регистрации windows Intune

• Шаг 2. Создание назначенной группы устройств

• Шаг 3 . Назначение приложений и сценариев PowerShell группе устройств
• Шаг 4 . Создание политики подготовки устройств Windows Autopilot
• Шаг 5 . Создание политики подготовки облачных компьютеров
• Шаг 6. Мониторинг развертывания

Общие сведения о подготовке устройства Windows Autopilot в автоматическом режиме для Windows 365 рабочего процесса см. в статье Подготовка устройства Windows Autopilot в автоматическом режиме для Windows 365 обзор.

Примечание.

Группа устройств, созданная на этом шаге, связана с подготовкой устройства Windows Autopilot. Корпорация Майкрософт рекомендует создать группу устройств специально для использования с подготовкой устройств Windows Autopilot вместо повторного использования существующих групп устройств, используемых в других сценариях Windows Autopilot.

Создание назначенной группы устройств

Группы устройств — это коллекция устройств или облачных компьютеров, упорядоченных в группу Microsoft Entra. Обычно группы устройств могут быть назначены или динамически:

• Назначенные группы . Устройства или облачные компьютеры добавляются в группу вручную и являются статическими. Для подготовки устройств Windows Autopilot используются только назначенные группы.
• Динамические группы . Устройства или облачные компьютеры автоматически добавляются в группу на основе правил. Для подготовки устройства Windows Autopilot не используются динамические группы.

Для подготовки устройств Windows Autopilot используется назначенная группа устройств в рамках политики подготовки устройств Windows Autopilot. Группа устройств, указанная в политике подготовки устройств Windows Autopilot, должна быть назначенной группой устройств. Затем процесс подготовки устройств Windows Autopilot автоматически добавляет устройства или облачные компьютеры в эту назначенную группу устройств во время развертывания подготовки устройств Windows Autopilot.

Важно!

Группа устройств, указанная в политике подготовки устройств Windows Autopilot, должна быть назначенной группой устройств безопасности.

Совет

Хотя одну назначенную группу устройств можно использовать для нескольких политик подготовки устройств Windows Autopilot, корпорация Майкрософт рекомендует создать отдельную назначенную группу устройств для каждой политики подготовки устройств Windows Autopilot. Например, другая назначенная группа устройств для управляемого пользователем сценария и автоматического сценария. Создание отдельной назначенной группы устройств упрощает управление политиками подготовки устройств Windows Autopilot и назначенными им устройствами или облачными компьютерами.

Чтобы создать назначенную группу устройств безопасности для использования с подготовкой устройства Windows Autopilot, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Intune.

2. На начальном экране выберите Группы в области слева.

3. В группах | На экране Все группы убедитесь, что выбраны все группы , а затем выберите Создать группу.

4. На открываемом экране New Group (Новая группа ) выполните следующие действия:

   1. В поле Тип группы выберите Безопасность.

   2. В поле Имя группы введите имя группы устройств, например группа устройств подготовки устройств Windows Autopilot.

   3. В поле Описание группы введите описание группы устройств.

   4. Чтобы Microsoft Entra роли можно назначить группе, выберите Нет.

   5. В поле Тип членства выберите Назначено.

   6. В поле Владельцы выберите ссылку Нет выбранных владельцев .

   7. На открываемом экране Добавление владельцев :

      1. Прокрутите список объектов и выберите субъект-службу Intune Клиент подготовки с идентификатором AppId f1346770-5b25-470b-88bd-d57444ab7952c. Кроме того, используйте панель поиска, чтобы найти и выбрать клиент подготовки Intune.

         Примечание.

         • В некоторых клиентах субъект-служба может иметь имя Intune Autopilot ConfidentialClient вместо клиента подготовки Intune. Если appID субъекта-службы имеет значение f1346770-5b25-470b-88bd-d5744ab7952c, это правильный субъект-служба.

         • Если Intune клиент подготовки или Intune субъект-служба Autopilot ConfidentialClient с идентификатором AppId f1346770-5b25-470b-88bd-d57444ab7952c недоступен ни в списке объектов, ни при поиске, см. статью Добавление субъекта-службы Intune подготовки клиента.

      2. После того как Intune клиент подготовки будет выбран в качестве владельца, нажмите кнопку Выбрать.

   8. Нажмите кнопку Создать , чтобы завершить создание назначенной группы устройств.

   Важно!

   Устройства автоматически добавляются в эту группу устройств во время развертывания подготовки устройств Windows Autopilot. Вручную добавлять устройства в качестве членов группы устройств, созданной на этом шаге, не требуется, но это не влияет на процесс подготовки устройств Windows Autopilot.

Добавление субъекта-службы клиента подготовки Intune

Если Intune субъект-служба "Подготовка клиента" с AppId f1346770-5b25-470b-88bd-d5744ab7952c недоступен при выборе владельца группы устройств, выполните следующие действия, чтобы добавить субъект-службу:

1. На устройстве, где обычно администрируются Microsoft Intune или Microsoft Entra ID, откройте командную строку с повышенными Windows PowerShell.

2. В окне командной строки Windows PowerShell выполните следующие действия:

   1. Установите модуль Microsoft.Graph.Authentication , введя следующую команду:

      Install-Module Microsoft.Graph.Authentication
      

      Если появится запрос на это, выполните приведенные далее действия.

      • Примите решение установить NuGet , введя Y или Да или нажав кнопку Да .
      • Подтвердите установку из недоверенного репозитория PSGallery , введя Y или Да или нажав кнопку Да .

      Дополнительные сведения см. в разделах Microsoft.Graph.Authentication и Set-PSRepository -InstallationPolicy.

   2. Установите модуль Microsoft.Graph.Applications , введя следующую команду:

      Install-Module Microsoft.Graph.Applications
      

      При появлении запроса на установку из недоверенного репозитория PSGallery введите Y или Да или нажмите кнопку Да .

      Дополнительные сведения см. в разделах Microsoft.Graph.Applications и Set-PSRepository -InstallationPolicy.

   3. После установки модулей Microsoft.Graph.Authentication и Microsoft.Graph.Applications подключитесь к Microsoft Entra ID, введя следующую команду:

      Connect-MgGraph -Scopes "Application.ReadWrite.All"
      

      Дополнительные сведения см. в разделе Connect-MgGraph.

   4. Если еще не прошел проверку подлинности в Microsoft Entra ID, откроется окно Вход в учетную запись. Введите учетные данные администратора Microsoft Entra ID, имеющего разрешения на добавление субъектов-служб.

   5. Если появится окно Запрошенные разрешения , установите флажок Согласие от имени организации , а затем нажмите кнопку Принять .

   6. После проверки подлинности для Microsoft Entra ID и предоставления необходимых разрешений добавьте субъект-службу Intune Provisioning Client, введя следующую команду:

      New-MgServicePrincipal -AppID f1346770-5b25-470b-88bd-d5744ab7952c
      

      Дополнительные сведения см. в разделе New-MgServicePrincipal -BodyParameter.

      Примечание.

      • Если субъект-служба клиента подготовки Intune уже существует в клиенте, отображается следующее сообщение об ошибке:

        New-MgServicePrincipal : The service principal cannot be created, updated, or restored because the service principal name
        f1346770-5b25-470b-88bd-d5744ab7952c is already in use.
        Status: 409 (Conflict)
        ErrorCode: Request_MultipleObjectsWithSameKeyValue
        

      • Если выполняется одно из следующих условий, отображается следующее сообщение об ошибке:

        • Учетная запись, используемая для входа с помощью Connect-MgGraph команды , не имеет разрешений на добавление субъекта-службы в клиент.
        • Аргумент -Scopes "Application.ReadWrite.All" не добавляется в Connect-MgGraph команду .
        • Окно запрошенных разрешений не принимается.
        • Флажок Согласие от имени вашей организации не установлен в окне Запрашиваемые разрешения .

        New-MgServicePrincipal : Insufficient privileges to complete the operation.
        Status: 403 (Forbidden)
        ErrorCode: Authorization_RequestDenied
        

Следующий шаг. Назначение приложений и сценариев PowerShell группе устройств

Шаг 3. Назначение приложений и сценариев PowerShell группе устройств

Связанные материалы

Дополнительные сведения о создании групп в Intune см. в следующих статьях:

• Создание групп устройств.
• Добавление групп для организации пользователей и устройств.
• Управление группами Microsoft Entra и членством в группах.
• Правила динамического членства для групп в Microsoft Entra ID.