Windows Autopilot зависит от различных интернет-служб. Для правильной работы Autopilot должен быть предоставлен доступ к этим службам. В простейшем случае обеспечить правильную функциональность можно с помощью следующих условий:
- Убедитесь, что доменные имена служб (DNS) разрешают dns-имена в Интернете.
- Разрешите доступ ко всем узлам через порты 80 (HTTP), 443 (HTTPS) и 123 (UDP/NTP).
Для предоставления доступа к требуемым службам в средах может потребоваться дополнительная настройка, которая:
- Более строгий доступ в Интернет.
- Перед получением доступа к Интернету требуется проверка подлинности.
Для правильной работы Windows Autopilot использует несколько различных типов служб. Для правильной работы этих служб необходимо выполнить определенные конфигурации сети. Ниже перечислены эти службы и необходимые конфигурации сети.
Служба Windows Autopilot Deployment
После установки сетевого подключения каждое устройство Windows свяжется со службой Windows Autopilot Deployment. Используются следующие URL-адреса:
https://ztd.dds.microsoft.com
https://cs.dds.microsoft.com
https://login.live.com
Для Windows Autopilot требуются службы активации Windows. Дополнительные сведения о URL-адресах, которые должны быть доступны для служб активации, см. в статье Сбой активации или проверки Windows с кодом ошибки 0x8004FE33.
Microsoft Entra ID проверяет учетные данные пользователя. Кроме того, устройство присоединяется или регистрируется для Microsoft Entra ID во время Windows Autopilot. Дополнительные сведения см. в статье Веб-служба IP-адресов и URL-адресов в Office 365.
После проверки подлинности Microsoft Entra ID активирует регистрацию устройства в службе управления мобильными устройствами Intune (MDM). Дополнительные сведения о требованиях Intune к сетевой связи см. в следующих статьях:
Сбор диагностика автоматических устройств Autopilot
Чтобы диагностика могли успешно отправляться из клиента, убедитесь, что URL-адрес lgmsapeweu.blob.core.windows.net
не заблокирован в сети. Диагностика доступна в течение 28 дней, прежде чем они будут удалены.
Дополнительные сведения см. в статье Сбор диагностика с устройства Windows.
Во время процесса запуска (OOBE) и после настройки ОС Windows служба клиентский компонент Центра обновления Windows извлекает необходимые обновления. Если при подключении к клиентский компонент Центра обновления Windows возникают проблемы, см. статью Об устранении неполадок клиентский компонент Центра обновления Windows.
Если клиентский компонент Центра обновления Windows недоступна, процесс Autopilot по-прежнему продолжается, но критически важные обновления недоступны.
Autopilot связывается со службой оптимизации доставки при скачивании приложений и обновлений. Этот контакт устанавливает одноранговый общий доступ к содержимому, чтобы только нескольким устройствам было необходимо скачать его из Интернета.
- Windows Обновления.
- Приложения и обновления приложений Microsoft Store.
- Office Обновления.
- Intune приложений Win32.
Если служба оптимизации доставки недоступна, процесс Autopilot по-прежнему продолжается с загрузкой оптимизации доставки из облака без однорангового подключения.
Синхронизация протокола NTP
Когда устройство Windows запускается, оно взаимодействует с сервером сетевого времени, чтобы убедиться, что время на устройстве правильно. Убедитесь, что UDP-порт 123 to time.windows.com
доступен.
Службы доменных имен (DNS)
Чтобы разрешить интернет-имена для всех служб, устройство взаимодействует с DNS-сервером, который обычно предоставляется через DHCP. Этот DNS-сервер должен иметь возможность разрешать имена в Интернете.
Сбор диагностических данных включен по умолчанию. Дополнительные сведения см. в разделе Управление диагностическими данными предприятия.
Если устройство не может отправить диагностические данные, процесс Autopilot по-прежнему продолжается. Однако службы, зависящие от диагностических данных, не работают.
Индикатор состояния сетевого подключения (NCSI)
Windows должна быть в состоянии сообщить, что устройство может получить доступ к Интернету. Дополнительные сведения см. в разделе Индикатор состояния сетевого подключения (NCSI).
*.msftconnecttest.com
должен быть разрешаемым через DNS и доступен по протоколу HTTP.
Службы уведомлений Windows (WNS)
Эта служба используется для предоставления Windows возможности получать уведомления от приложений и служб. Дополнительные сведения см. в разделе Microsoft Store.
Если службы WNS недоступны, процесс Autopilot по-прежнему продолжается без уведомлений.
Приложения в Microsoft Store можно отправить на устройство, активировав их через Intune или другую службу MDM. При первом входе пользователя могут потребоваться обновления приложений и дополнительные приложения. Дополнительные сведения см. в статьях Обновление до Intune интеграции с Microsoft Store в Windows и Вопросы и ответы: Поддержка возможностей Microsoft Store на управляемых устройствах.
Если Microsoft Store недоступен, процесс Autopilot по-прежнему продолжается без приложений Microsoft Store.
В рамках Intune конфигурации устройства может потребоваться установка приложений Microsoft 365 для предприятий. Список, включающий все службы Office, DNS-имена, IP-адреса, включая Microsoft Entra ID и другие службы, которые могут перекрываться с перечисленными выше службами, см. в разделе Office 365 URL-адреса и диапазоны IP-адресов.
Списки отзыва сертификатов (CRL)
Некоторые из этих служб также должны проверка списки отзыва сертификатов (CRL) для сертификатов, используемых в службах. Полный список см. в разделе OFFICE 365 URL-адреса и диапазоны IP-адресов, а также цепочки сертификатов Office 365.
Microsoft Entra гибридное соединение
Устройство можно Microsoft Entra гибридное присоединение. Компьютер должен находиться во внутренней сети, чтобы Microsoft Entra гибридное соединение работало. Дополнительные сведения см. в статье Режим Windows Autopilot, управляемый пользователем.
Режим саморазвертывания Autopilot и предварительная подготовка Autopilot
Для процесса аттестации доверенного платформенного модуля требуется доступ к набору URL-адресов HTTPS, которые являются уникальными для каждого поставщика доверенного платформенного модуля. Обеспечьте доступ к этому шаблону URL-адреса: *.microsoftaik.azure.net
.
Устройства доверенного платформенного по встроенному ПО, предоставляемые только Intel, AMD или Qualcomm, не включают все необходимые сертификаты во время загрузки и должны иметь возможность получить их от производителя при первом использовании. Устройства с дискретными микросхемами доверенного платформенного модуля поставляются с предустановленными сертификатами. К этим устройствам относятся устройства любого другого производителя. Дополнительные сведения см. в разделе Рекомендации доверенного платформенного модуля.
Для каждого поставщика доверенного платформенного модуля встроенного ПО убедитесь, что соответствующий URL-адрес доступен, чтобы сертификаты можно было успешно запрашивать. Например:
- Intel:
https://ekop.intel.com/ekcertservice
- Qualcomm:
https://ekcert.spserv.microsoft.com/EKCertificate/GetEKCertificate/v1
- AMD:
https://ftpm.amd.com/pki/aia
Развертывание параметров прокси-сервера для Windows Autopilot должно быть настроено на самом прокси-сервере. Реализация параметров прокси-сервера с помощью политики Intune не полностью поддерживается, так как это может привести к проблемам и непредвиденному поведению при развертывании с привилегированным доступом.