Требования к сети Windows Autopilot

Область применения:

• Windows 11
• Windows 10
• Windows Holographic версии 2004 или выше

Windows Autopilot зависит от различных интернет-служб. Для правильной работы Autopilot должен быть предоставлен доступ к этим службам. В простейшем случае обеспечить правильную функциональность можно с помощью следующих условий:

• Убедитесь, что доменные имена служб (DNS) разрешают dns-имена в Интернете.
• Разрешите доступ ко всем узлам через порты 80 (HTTP), 443 (HTTPS) и 123 (UDP/NTP).

Для предоставления доступа к требуемым службам в средах может потребоваться дополнительная настройка, которая:

• Более строгий доступ в Интернет.
• Перед получением доступа к Интернету требуется проверка подлинности.

Примечание.

Проверка подлинности на основе смарт-карт и сертификатов не поддерживается во время запуска запуска. Дополнительные сведения см. в статье Смарт-карты и проверка подлинности на основе сертификатов.

Требования к службе

Дополнительные сведения о каждой из этих служб и их конкретных требованиях см. в этой статье.

Служба Windows Autopilot Deployment

После установки сетевого подключения каждое устройство Windows свяжется со службой Windows Autopilot Deployment. В Windows 10 версии 1903 и более поздних используются следующие URL-адреса:

• https://ztd.dds.microsoft.com
• https://cs.dds.microsoft.com
• https://login.live.com

Активация Windows

Для Windows Autopilot требуются службы активации Windows. Дополнительные сведения о URL-адресах, которые должны быть доступны для служб активации, см. в статье Сбой активации или проверки Windows с кодом ошибки 0x8004FE33.

Azure Active Directory (Azure AD)

Учетные данные пользователя проверяются Azure AD, и устройство также может быть присоединено к Azure AD. Дополнительные сведения см. в статье Веб-служба IP-адресов и URL-адресов в Office 365.

Microsoft Intune

После проверки подлинности Azure AD активирует регистрацию устройства в службе управления мобильными устройствами (MDM) Intune. Дополнительные сведения о требованиях Intune к сетевой связи см. в следующих статьях:

• Требования к конфигурации сети Intune и ее пропускная способность
• Конечные точки сети для Microsoft Intune

Автоматический сбор диагностики устройств Autopilot

Для успешной отправки диагностики из клиента убедитесь, что URL-адрес lgmsapeweu.blob.core.windows.net не заблокирован в сети. Диагностика доступна в течение 28 дней, прежде чем они будут удалены.

Дополнительные сведения см. в статье Сбор диагностики с устройства Windows.

Центр обновления Windows

Во время процесса запуска и после настройки ОС Windows служба клиентский компонент Центра обновления Windows извлекает необходимые обновления. Если при подключении к клиентский компонент Центра обновления Windows возникают проблемы, см. статью Устранение неполадок клиентский компонент Центра обновления Windows.

Если клиентский компонент Центра обновления Windows недоступна, процесс Autopilot по-прежнему будет продолжаться, но критические обновления не будут доступны.

Оптимизация доставки

Autopilot связывается со службой оптимизации доставки при скачивании приложений и обновлений. Этот контакт устанавливает одноранговый общий доступ к содержимому, чтобы только нескольким устройствам было необходимо скачать его из Интернета.

• Windows Обновления
• Приложения и обновления приложений Microsoft Store
• Обновления Office
• приложения Intune Win32

Если служба оптимизации доставки недоступна, процесс Autopilot по-прежнему будет продолжаться с загрузкой оптимизации доставки из облака без однорангового подключения.

Синхронизация протокола NTP

При запуске устройства с Windows оно обращается к серверу NTP, чтобы убедиться, что время на устройстве правильное. Убедитесь, что UDP-порт 123 to time.windows.com доступен.

Службы доменных имен (DNS)

Чтобы разрешить DNS-имена для всех служб, устройство взаимодействует с DNS-сервером, который обычно предоставляется через DHCP. Этот DNS-сервер должен иметь возможность разрешать имена в Интернете.

Данные диагностики

Начиная с Windows 10 версии 1903 сбор диагностических данных будет включен по умолчанию. Сведения об отключении Windows Analytics и связанных возможностей диагностики см. в статье Управление корпоративными диагностическими данными.

Если устройство не может отправить диагностические данные, процесс Autopilot по-прежнему продолжается. Однако службы, зависящие от диагностических данных, такие как Аналитика компьютеров, не будут работать.

Индикатор состояния сетевого подключения (NCSI)

Windows должна быть в состоянии сообщить, что устройство может получить доступ к Интернету. Дополнительные сведения см. в разделе Индикатор состояния сетевого подключения (NCSI).

*.msftconnecttest.com должен быть разрешаемым через DNS и доступен по протоколу HTTP.

Службы уведомлений Windows (WNS)

Эта служба позволяет Windows получать уведомления от приложений и служб. Дополнительные сведения см. в разделе Microsoft Store.

Если службы WNS недоступны, процесс Autopilot продолжится без уведомлений.

Microsoft Store, Microsoft Store для бизнеса & для образовательных учреждений

Приложения в Microsoft Store можно отправлять на устройство, активируемые с помощью Intune (MDM). Обновления приложений и дополнительные приложения также могут потребоваться при первом входе пользователя. Дополнительные сведения см. в разделе Предварительные требования для Microsoft Store для бизнеса и образования. (Он также включает в себя Azure AD и Windows Notification Services.

Если Microsoft Store недоступен, процесс Autopilot по-прежнему будет продолжаться без приложений Microsoft Store.

Microsoft 365

В рамках Intune конфигурации устройства может потребоваться установка Приложения Microsoft 365 для предприятий. Дополнительные сведения см. в статье URL-адреса и диапазоны IP-адресов Office 365. В этой статье содержатся все службы Office, DNS-имена, IP-адреса. Он также включает в себя Azure AD и другие службы, которые могут перекрываться с перечисленными выше службами.

Списки отзыва сертификатов (CRL)

Некоторым из этих служб также потребуется проверить списки отзыва сертификатов (CRL) для сертификатов, используемых в службах. Полный список см. в разделе OFFICE 365 URL-адреса и диапазоны IP-адресов, а также цепочки сертификатов Office 365.

Гибридное присоединение к Azure AD

Устройство может быть гибридным Azure AD присоединено. Компьютер должен находиться во внутренней сети, чтобы гибридное Azure AD присоединения к работе. Дополнительные сведения см. в статье Режим Windows Autopilot, управляемый пользователем.

Режим саморазвертывания Autopilot и предварительная подготовка Autopilot

Для процесса аттестации доверенного платформенного модуля требуется доступ к набору URL-адресов HTTPS, которые являются уникальными для каждого поставщика доверенного платформенного модуля. Обеспечьте доступ к этому шаблону URL-адреса: *.microsoftaik.azure.net.

Устройства доверенного платформенного по встроенному ПО, предоставляемые только Intel, AMD или Qualcomm, не включают все необходимые сертификаты во время загрузки и должны иметь возможность получить их от производителя при первом использовании. Устройства с дискретными микросхемами доверенного платформенного модуля поставляются с предварительно установленными сертификатами. К этим устройствам относятся устройства любого другого производителя. Дополнительные сведения см. в разделе Рекомендации доверенного платформенного модуля.

Для каждого поставщика доверенного платформенного модуля встроенного ПО убедитесь, что соответствующий URL-адрес доступен, чтобы сертификаты можно было успешно запрашивать. Например:

• Intel: https://ekop.intel.com/ekcertservice
• Qualcomm: https://ekcert.spserv.microsoft.com/EKCertificate/GetEKCertificate/v1
• AMD: https://ftpm.amd.com/pki/aia

Параметры прокси-сервера

Развертывание параметров прокси-сервера для Windows Autopilot должно быть настроено на самом прокси-сервере. Реализация параметров прокси-сервера с помощью политики Intune не полностью поддерживается, так как это может привести к проблемам и непредвиденному поведению при развертывании привилегированного доступа.

Дальнейшие действия

Требования к лицензированию Windows Autopilot