Область применения:
В этой статье содержатся ответы на часто задаваемые вопросы о развертывании Windows с помощью Autopilot для изготовителей оборудования, партнеров, администраторов и конечных пользователей.
Нужно ли предоставлять идентификатор клиента в Центре партнеров при каждой отправке файла устройства? Необходимо ли разрешить бизнес-клиенту доступ к своим устройствам в Microsoft Store для бизнеса (MSfB)?
Нет. Указание идентификатора клиента — это одноразовая запись в Центре партнеров, которую можно повторно использовать с последующими отправками устройств.
После завершения отправки файла устройства в Центре партнеров клиент сможет просмотреть устройства, доступные для установки Windows Autopilot в MSfB. Изготовитель оборудования должен сообщить клиенту о доступе к MSfB. Выполняется разработка автоматической отправки из MSfB в клиент.
Как клиент разрешает OEM или партнеру по каналу регистрировать устройства Autopilot от имени клиента?
Прежде чем oem-партнер или партнер по каналу сможет зарегистрировать устройство для Autopilot для клиента, клиент должен сначала дать ему согласие. Процесс предоставления согласия начинается с того, что поставщик оборудования или партнер по каналу отправляет клиенту ссылку, которая направляет его на страницу согласия в MSfB. Дополнительные сведения см. в разделе Регистрация.
Применяются ли какие-либо ограничения, если бизнес-клиент, регистрирующий устройства в MSfB, хочет позже управлять этими устройствами через поставщика облачных решений (CSP) с помощью Центра партнеров?
Бизнес-клиент должен удалить устройства в MSfB, прежде чем поставщик служб CSP сможет передавать их в Центр партнеров и управлять ими.
Поддерживает ли Windows Autopilot удаление параметра для включения учетной записи локального администратора?
Нет. Windows Autopilot не поддерживает удаление учетной записи локального администратора. Тем не менее, он поддерживает ограничение пользователя, выполняющего Microsoft Entra присоединение к домену во время запуска (OOBE), стандартной учетной записью или учетной записью администратора по умолчанию.
Доступ к порталу Центра партнеров имеют только партнеры CSP. Если вы являетесь поставщиком служб CSP, вы можете создать учетную запись пользователя агента продаж, которая имеет доступ к устройствам для тестирования файла. Этот тест можно выполнить уже сегодня в Центре партнеров.
Дополнительные сведения см. в статье Создание учетных записей пользователей.
Это требование не применяется к изготовителям оборудования верхнего тома, так как они могут использовать API OEM Direct. Все остальные пользователи, которые решили использовать Центр партнеров Майкрософт (MPC) для регистрации устройств, должны стать CSP для доступа к MPC.
Для целей Windows Autopilot существует три разных типа поставщиков служб конфигурации, каждый из которых имеет разные уровни полномочий и доступа:
- Direct CSP: получает прямую авторизацию от клиента для регистрации устройств.
- Непрямой поставщик CSP. Получает неявное разрешение на регистрацию устройств через отношения, которые их партнер по CSP торговому посреднику имеет с клиентом. Косвенные поставщики CSP регистрируют устройства в Центре партнеров Майкрософт.
- Непрямый торговый посредник CSP. Получает от клиента прямую авторизацию для регистрации устройств. В то же время их косвенный партнер поставщика CSP также получает авторизацию, что означает, что непрямый поставщик или косвенный торговый посредник может регистрировать устройства для клиента. Однако косвенный торговый посредник CSP должен зарегистрировать устройства через пользовательский интерфейс Центра партнеров, отправив CSV-файл вручную. Косвенный поставщик CSP может регистрировать устройства с помощью API Центра партнеров.
Нет. Регионы продаж CSP зависят от расположения клиента Microsoft Entra. Партнер CSP может продавать клиентов или управлять ими только с клиентом, расположенным в том же регионе CSP. Регион CSP партнера основан на расположении клиента, который партнер CSP использует для выполнения транзакций. Если клиент клиента был создан в США, только партнер, имеющий регистрацию CSP в США, может установить отношения торгового посредника с этим клиентом.
Для Autopilot & Intune расположение конечного пользователя или устройства не имеет значения. Сотрудник, расположенный в Германии, может зарегистрировать устройство с помощью профиля Autopilot, созданного в клиенте США, и управлять им с помощью экземпляра службы Intune в США. Пользователь в Германии также выполняет проверку подлинности в экземпляре Microsoft Entra в США.
Если партнер хочет управлять клиентами по всему миру, он должен иметь глобальное присутствие. Им требуется несколько регистраций CSP в каждом регионе продаж CSP, где они ведут бизнес.
Невозможно создать учетные записи пользователей, которые имеют доступ ко всем клиентам CSP. Этот сценарий преобразуется в 18 учетных записей пользователей для агента администрирования CSP, который хочет управлять всеми клиентами по всему миру.
Таким образом, расположение пользователя и устройств не имеет значения. Расположение клиента имеет значение. Межграничная регистрация устройств не является проблемой. Проблема заключается в трансграничных продажах через CSP.
Нет. Центр партнеров не имеет доступа к профилям, созданным в Intune или Microsoft Store для бизнеса. Он имеет доступ только к профилям Autopilot, созданным через Центр партнеров.
Для включения развертывания Windows Autopilot на заводе не требуется никаких изменений.
Windows Autopilot может работать с любой версией средства OA3. Мы рекомендуем использовать поддерживаемую версию Windows для создания аппаратного хэша 4K (4K HH).
При размещении заказа клиенты должны указать, хотят ли они его с параметрами Windows Autopilot или без него?
Да. Если требуется Windows Autopilot, требуется поддерживаемая версия Windows. Клиент также должен получить CSV-файл или отправить файл от его имени.
Требуется ли изготовителю оборудования управлять пользовательскими файлами образов или собирать их от клиентов? Нужно ли отправлять какие-либо образы в корпорацию Майкрософт?
Нет. Изготовители оборудования просто отправляют отчет о сборке компьютера (CBR), как обычно, в корпорацию Майкрософт. Никакие образы не отправляются в корпорацию Майкрософт для включения Windows Autopilot. Windows Autopilot настраивает только OOBE и разрешает конфигурации политик.
Для регистрации в развертывании Windows Autopilot на устройствах должна быть установлена поддерживаемая версия канала общей доступности Windows. В противном случае обычно нет проблем. Дополнительные сведения см. в статье Windows Autopilot — известные проблемы.
Нет.
Ничего, если изготовитель оборудования не решит зарегистрировать устройство от имени клиента. В этом случае они должны отправить CSV-файл идентификатора устройства в Центр партнеров Майкрософт или использовать прямой API OEM.
Нет.
Нет.
Да. CSV-файл может содержать только 500 устройств для применения к одному профилю. Если к профилю необходимо применить более 500 устройств, их необходимо передать через несколько CSV-файлов.
Есть ли у корпорации Майкрософт какие-либо рекомендации о том, как изготовитель оборудования должен предоставлять CSV-файл своим клиентам?
Зашифруйте CSV-файл при его отправке бизнес-клиенту для самостоятельной регистрации устройств Windows Autopilot с помощью MPC, MSfB или Intune.
Каждый хэш оборудования, отправленный изготовителем оборудования, должен содержать следующие данные:
- SMBIOS UUID: универсальный уникальный идентификатор.
- MAC-адрес: сеть карта уникальный идентификатор.
- Уникальный серийный номер диска. Если используется средство активации windows OEM 3.0.
Так как Windows Autopilot основан на возможности уникальной идентификации устройств, претендующих на облачную конфигурацию, очень важно отправлять хэши оборудования, соответствующие изложенным требованиям.
При добавлении или удалении частей устройства эти поля необходимы для идентификации устройства при создании аппаратного хэша. Так как у нас нет уникального идентификатора для устройств Windows, эти поля являются лучшей логикой для идентификации устройства.
В чем разница между хэшом оборудования OA3, аппаратным хэшом 4K и хэшом оборудования Windows Autopilot?
Нет. Они разные имена для одной и той же вещи. Выходные данные средства OA3 называются хэшем OA3 размером 4 КБ и используются для сценария развертывания Windows Autopilot.
Примечание
Если используется более ранняя неподдерживаемая версия средства OA3 для Windows, создается хэш другого размера. Этот хэш нельзя использовать для развертывания Windows Autopilot.
Если требуется заменить оборудование, например диск или сетевой карта, делает ли это недействительным хэш оборудования?
Да. При замене частей может потребоваться создать новый хэш оборудования. Это зависит от заменяемых частей и характеристик деталей.
Например, если заменить доверенный платформенный модуль или системную плату, это новое устройство, и вы должны получить новый хэш оборудования. Если заменить один сетевой карта, это, вероятно, не новое устройство, и устройство работает со старым аппаратным хэшом.
Как правило, после любых изменений оборудования предположим, что старый хэш оборудования недопустим и получает новый хэш оборудования. Этот процесс рекомендуется использовать в любое время замены частей.
Замена системной платы для область для Autopilot. Любое исправленное или обслуживаемое устройство, которое изменяет возможность идентификации устройства для Windows Autopilot, должно пройти обычный процесс запуска. Он должен вручную выбрать правильные параметры или применить пользовательский образ.
Чтобы повторно использовать то же устройство для Windows Autopilot после замены материнской платы, используйте следующий процесс:
- Отмените регистрацию устройства в Autopilot.
- Замените системную плату.
- Создайте новый хэш оборудования 4K.
- Зарегистрируйте устройство с помощью нового хэша оборудования 4K или идентификатора устройства.
Примечание
Изготовитель оборудования не может использовать прямой API OEM для повторной регистрации устройства, которое принимает только кортеж или PKID. В этом случае изготовитель оборудования может отправить клиенту новый хэш оборудования 4K с помощью CSV-файла и позволить клиенту повторно зарегистрировать устройство с помощью MSfB или Intune.
Он должен быть уникальным, как указано в требованиях к оборудованию Windows.
Каковы требования к таблице SMBIOS для удовлетворения требований к хэшу оборудования Windows Autopilot?
Он должен соответствовать всем требованиям к оборудованию Windows. Дополнительные сведения см. в разделе Спецификации и политики программы совместимости оборудования Windows.
Нет. Как минимум, следующие поля SMBIOS должны иметь уникальные значения:
-
ProductKeyID
. -
SmbiosSystemManufacturer
. -
SmbiosSystemProductName
. -
SmbiosSystemSerialNumber
. -
SmbiosSkuNumber
. -
SmbiosSystemFamily
. -
MacAddress
. -
SmbiosUuid
. -
DiskSerialNumber
. -
TPM
. -
EkPub
.
Какой интерфейс позволяет получить MAC-адрес и серийный номер диска? Как средство OA получает эту информацию?
Метод получения этих сведений зависит от сценария, но в целом:
Серийный номер диска поступает из
IOCTL_STORAGE_QUERY_PROPERTY
.StorageDeviceProperty/PropertyStandardQuery
MAC-адрес сети получен из
IOCTL_NDIS_QUERY_GLOBAL_STATS
OID_802_3_PERMANENT_ADDRESS
.
Если устройство имеет несколько сетевых карт или дисков, как средство OA3 выбирает MAC-адрес и серийный номер диска?
Используются все доступные значения, хотя могут быть определенные правила использования. Серийный номер системного диска важнее, чем другие доступные диски. Сетевые интерфейсы, которые являются съемными, не следует использовать при обнаружении, так как они являются съемными. Локальная сеть и WLAN не должны иметь значения, так как они используются.
Устройство получило конфигурацию Autopilot, но еще не применило ее, когда страница выбора пропускается и сразу же переходит на страницу входа.
Microsoft Entra администраторы всегда являются локальными администраторами, даже если windows Autopilot настроен на отключение этой конфигурации.
Чтобы устранить неполадки, запустите licensingdiag.exe
и отправьте .cab
файл (cab) в AutopilotHelp@microsoft.com
. По возможности также соберите ETL из средства записи производительности Windows (WPR).
Часто в таких случаях пользователи не входят в нужный клиент Microsoft Entra или создают локальные учетные записи пользователей.
Полный список вариантов поддержки см. в разделе Поддержка Windows Autopilot.
Если я вноду изменения в существующий профиль Autopilot, вступают ли изменения в силу на устройствах, которым назначен этот профиль и которые уже развернуты?
Нет. Профили Windows Autopilot не являются резидентами на устройстве. Они скачиваются во время запуска запуска, и параметры определяются в момент применения. Затем профиль удаляется на устройстве. Если устройство переимыслено или сброшено, новые параметры профиля вступают в силу при следующем переходе устройства через OOBE.
Что делать, если устройство не зарегистрировано или если я не настрою Windows Autopilot до того, как пользователь попытается выполнить самостоятельное развертывание?
Если устройство не зарегистрировано, оно не получает интерфейс Windows Autopilot, и конечный пользователь проходит обычный OOBE. Конфигурации Windows Autopilot не будут применяться до тех пор, пока пользователь снова не запустит OOBE после регистрации. Если устройство запускается до создания профиля управления мобильными устройствами (MDM), оно проходит через стандартный интерфейс OOBE. Затем необходимо вручную зарегистрировать это устройство в MDM. При следующем сбросе устройства оно будет проходить через интерфейс windows Autopilot OOBE.
Чтобы получить настраиваемый интерфейс входа, настройте фирменную символику клиента в портал Azure.
Что произойдет, если устройство зарегистрировано в Microsoft Entra ID но не назначен профиль Windows Autopilot?
Так как устройству не назначен профиль Windows Autopilot, пользователь видит OOBE по умолчанию.
Лучший способ сбора журналов производительности Windows Autopilot — собрать трассировку WPR во время запуска. XML-файл (расширение WPRP) для этой трассировки можно предоставить по запросу.
Нет. Любой MDM работает с Autopilot, но другие могут не иметь тот же полный набор функций Windows Autopilot, что и Intune. Лучше всего использовать Intune.
Да. Intune поддерживает приложения Win32 с помощью оболочек MSI и MSIX.
Совместное управление позволяет одновременно управлять поддерживаемыми в настоящее время версиями Windows с помощью Microsoft Configuration Manager и Microsoft Intune. Это дает возможность развивать Configuration Manager с использованием облака, добавляя новые функции. С помощью совместного управления можно использовать технологическое решение, оптимально подходящее для вашей организации.
Если устройство с Windows имеет клиент Configuration Manager и зарегистрировано для Intune, вы получаете преимущества обеих служб. Вы определяете, для каких рабочих нагрузок при необходимости управление переводится в Intune из Configuration Manager. Configuration Manager продолжает управлять всеми остальными рабочими нагрузками, включая те, которые не переведены в Intune, а также всеми остальными функциями Configuration Manager, не поддерживаемыми совместным управлением.
Дополнительные сведения см. в следующих статьях:
Нет. Он не является обязательным, но его можно использовать вместе с Autopilot в следующих сценариях:
В режиме саморазвертывания требуется только включение устройства пользователем. Он полезен для сценариев, когда учетная запись стандартного пользователя не требуется. Например, общие устройства или устройства киоска.
Дополнительные сведения см. в статье Режим саморазвертывания Windows Autopilot.
Важно!
Корпорация Майкрософт рекомендует развертывать новые устройства как облачные с помощью Microsoft Entra присоединения. Развертывание новых устройств как Microsoft Entra устройств гибридного соединения не рекомендуется, в том числе с помощью Autopilot. Дополнительные сведения см. в разделе Microsoft Entra присоединение и Microsoft Entra гибридное присоединение в облачных конечных точках: какой вариант подходит для вашей организации.
Microsoft Entra устройства с гибридным присоединением подключаются к домену локальная служба Active Directory и Microsoft Entra ID.
Дополнительные сведения см. в статье Общие сведения об управлении устройствами в Microsoft Entra ID.
Сброс Windows Autopilot удаляет пользовательские приложения и параметры с устройства, но сохраняет Microsoft Entra присоединение к домену и регистрацию MDM. Эта функция полезна при переносе устройства от одного пользователя к другому.
Дополнительные сведения см. в статье Сброс Windows Autopilot.
В интерфейс OOBE можно добавить следующие настройки:
- Персонализированное приветственное сообщение.
- Персонализируйте указание имени пользователя.
- Логотип вашей организации.
Autopilot для существующих устройств предлагает путь обновления до поддерживаемых в настоящее время версий Windows для существующего устройства Windows.
Дополнительные сведения см. в статье Autopilot для существующих устройств.
Какие производители поддерживают предварительное заполнение имени пользователя и автоматическую повторную регистрацию устройств предварительной подготовки?
В настоящее время для этого изменения доступны следующие производители: Dell, Dynabook, HP, Lenovo и Microsoft Surface. Мы работаем над добавлением других производителей и обновим этот список после их подключения. Дополнительные сведения см. в статье Возврат основных функциональных возможностей для входа и развертывания Windows Autopilot.
Да. Если устройство по-прежнему зарегистрировано для Autopilot и работает под управлением поддерживаемой версии Windows, оно получает интерфейс Autopilot.
Да. Если устройство работает под управлением поддерживаемой версии Windows, вы можете собирать отпечатки пальцев устройства для регистрации. В предыдущих выпусках не планируется использовать эту функцию. Их нельзя собирать на устройствах с неподдерживаемых версий Windows.
- Surface Hub и другие номера SKU, не охваченные требованиями к программному обеспечению , не поддерживаются Windows Autopilot.
- HoloLens 1 не поддерживает Windows Autopilot.
- HoloLens 2 поддерживает режим саморазвертывания Windows Autopilot с Microsoft Intune и поддерживаемой в настоящее время версией Windows Holographic. Сторонние поставщики MDM не поддерживаются.
Дополнительные сведения о HoloLens 2 см. в статье Windows Autopilot для HoloLens 2.
Да. Дополнительные сведения см. в статье Руководство по сценариям замены системной платы Windows Autopilot.
Что означает сообщение об ошибке "Этот пользователь не авторизован на регистрацию, код ошибки 801c0003"?
Существуют ограничения на количество устройств, которые пользователь Microsoft Entra может зарегистрировать в Microsoft Entra ID, а также количество устройств, которые поддерживаются для каждого пользователя в Intune. Эти ограничения настраиваются, но не бесконечны. При повторном использовании устройств или откате к предыдущим моментальным снимкам виртуальных машин эта ошибка возникает часто.
По умолчанию Windows Autopilot не применяет профиль, пока пользователь не войдет в соответствующий клиент для настроенного профиля с помощью Microsoft Entra процесса входа. Например, регистрирует устройство, badguys.com
принадлежающее contoso.com
. В худшем случае пользователь направляется на вход в badguys.com
. Когда пользователь вводит свой адрес электронной почты и пароль, данные для входа перенаправляются через Microsoft Entra ID на соответствующую проверку подлинности Microsoft Entra, и пользователю предлагается войти в contoso.com
. Так как contoso.com
не совпадает с badguys.com
клиентом, вредоносный профиль не применяется, и пользователь видит обычный OOBE.
Данные Windows Autopilot хранятся в Пределах Европейского союза (ЕС). Он не хранится в национальном облаке, даже если клиент Microsoft Entra зарегистрирован в национальном облаке. Это хранилище применяется ко всем данным Windows Autopilot, независимо от того, какой портал используется для развертывания Autopilot.
Данные клиента не хранятся, а только бизнес-данные, которые позволяют корпорации Майкрософт предоставлять услуги. По этой причине это подходит для хранения данных в США. Клиенты могут прекратить подписку на службу в любое время. В этом случае корпорация Майкрософт удаляет бизнес-данные. Autopilot в настоящее время не поддерживается ни в одном национальном облаке.
Существует шесть способов регистрации устройства в зависимости от того, кто выполняет процесс:
- Прямой API OEM, который доступен только для объектов TVOs.
- MPC использует API MPC, который доступен только для CSP.
- MPC использует отправку CSV-файла вручную в пользовательский интерфейс, который доступен только для поставщиков служб CSP.
- MSfB с помощью отправки CSV-файла.
- Intune с помощью отправки CSV-файла.
- Microsoft 365 бизнес премиум портал с помощью отправки CSV-файла.
Существует четыре способа создания и назначения профиля Windows Autopilot:
- Через MPC, который доступен только для поставщиков служб конфигурации.
- Через MSfB.
- Через Intune или другую службу MDM.
- Microsoft 365 бизнес премиум портал.
Корпорация Майкрософт рекомендует создавать и назначать профили с помощью Intune.
- Неправильные или отсутствующие хэш-записи оборудования могут привести к неудачным попыткам регистрации.
- Скрытые специальные символы в CSV-файлах. Чтобы избежать этой проблемы, после создания CSV-файла откройте его в Блокноте, чтобы найти скрытые символы, конечные пробелы или другие повреждения.
Autopilot поддерживает только клиентов, использующих глобальную службу Azure. Глобальная служба Azure не включает следующие три сущности:
- Azure для Германии.
- Azure для Китая 21Vianet.
- Azure для государственных организаций.
Если вы используете глобальную среду Azure, ограничения по регионам отсутствуют. Например, Contoso использует глобальную службу Azure, но имеет сотрудников, работающих в Китае. Сотрудники Contoso, работающие в Китае, по-прежнему могут использовать Autopilot для развертывания устройств. Если Contoso использует Azure 21Vianet для Китая, сотрудники Contoso не могут использовать Autopilot.
Хотя Autopilot доступен в глобальных клиентах, пользователи в Китае могут столкнуться с плохим подключением и высокой задержкой при развертывании из-за проблем, связанных с поставщиком услуг Интернета. Если при развертывании в регионе возникают такие проблемы, обратитесь за поддержкой к локальному поставщику услуг Интернета.
Почему подготовка и аттестация доверенного платформенного модуля занимает больше времени во время первой загрузки на устройстве?
Подготовка доверенного платформенного модуля включает создание и обработку надежных криптографических ключей. В зависимости от характеристик оборудования доверенного платформенного модуля, используемого на устройстве, первая загрузка может занять больше минуты.
Почему приложения не устанавливаются после завершения esp на управляемом устройстве Intune при использовании автолога с режимом саморазделения Windows Autopilot?
Если используется автоматический журнал с режимом саморазвертывания Windows Autopilot, он использует локальную учетную запись KioskUser0. По умолчанию пользователь ESP не обрабатывается для локальных учетных записей, включая KioskUser0, и маркер устройства не выдается до тех пор, пока пользователь ESP не будет обработан. При использовании автолога, чтобы приложения можно было установить после завершения ESP, пропустите пользователя ESP с помощью пользовательского OMA-URI SkipUserStatusPage. Дополнительные сведения см. в следующих статьях:
При использовании Windows Autopilot для предварительно подготовленного развертывания устройство отображается как соответствующее в Microsoft Entra ID после завершения технического процесса. Однако после запуска потока пользователя устройство изменяется на несоответствующее в Microsoft Entra ID. Почему в Microsoft Entra ID он изменился с соответствия на несоответствующий?
Соответствие устройств в Microsoft Entra ID сбрасывается во время потока пользователя. После завершения потока пользователя соответствие требованиям будет переоценены и обновлено. Это ожидаемое поведение.