Användardrivet läge för Windows Autopilot

• Gäller för:

  ✅ Windows 11, ✅ Windows 10

Med användardrivet läge i Windows Autopilot kan du konfigurera nya Windows-enheter så att de automatiskt omvandlas från fabrikstillståndet till ett läge som är redo att användas. Den här processen kräver inte att IT-personal rör enheten.

Processen är enkel. Enheter kan levereras eller distribueras direkt till slutanvändaren med följande instruktioner:

1. Packa upp enheten, anslut den och aktivera den.
2. Om det använder flera språk väljer du ett språk, nationella inställningar och tangentbord.
3. Anslut den till ett trådlöst eller kabelanslutet nätverk med Internetåtkomst. Om du använder trådlöst ansluter du först till wi-fi-nätverket.
4. Ange din e-postadress och ditt lösenord för ditt organisationskonto.

Resten av processen automatiseras. Enheten utför följande steg:

1. Gå med i organisationen.
2. Registrera i Microsoft Intune eller en annan MDM-tjänst.
3. Konfigureras enligt organisationens definition.

Du kan ignorera andra frågor under den färdiga upplevelsen (OOBE). Mer information om tillgängliga alternativ finns i Konfigurera Autopilot-profiler.

Viktigt

Om du använder Active Directory Federation Services (AD FS) (ADFS) finns det ett känt problem som kan göra det möjligt för slutanvändaren att logga in med ett annat konto än det som tilldelats enheten.

Användardrivet läge i Windows Autopilot stöder Microsoft Entra ansluta och Microsoft Entra hybridanslutna enheter. Mer information om dessa två kopplingsalternativ finns i följande artiklar:

• Vad är en enhetsidentitet?.
• Läs mer om molnbaserade slutpunkter.
• Microsoft Entra ansluten jämfört med Microsoft Entra hybrid som är ansluten till molnbaserade slutpunkter.
• Självstudie: Konfigurera en molnbaserad Windows-slutpunkt med Microsoft Intune.
• Anvisningar: Planera din Microsoft Entra delta i implementeringen.
• Ett ramverk för transformering av Windows-slutpunktshantering.
• Lyckades med windows Autopilot och Microsoft Entra hybridanslutning.

Stegen i den användardrivna processen är följande:

1. När enheten har anslutit till ett nätverk laddar enheten ned en Windows Autopilot-profil. Profilen definierar de inställningar som används för enheten. Definiera till exempel de prompter som undertrycks under OOBE.

2. Windows söker efter kritiska OOBE-uppdateringar. Om uppdateringar är tillgängliga installeras de automatiskt. Om det behövs startas enheten om.

3. Användaren uppmanas att ange Microsoft Entra autentiseringsuppgifter. Den här anpassade användarupplevelsen visar Microsoft Entra klientorganisationsnamn, logotyp och inloggningstext.

4. Enheten ansluter Microsoft Entra ID eller Active Directory, beroende på profilinställningarna för Windows Autopilot.

5. Enheten registreras i Intune eller en annan konfigurerad MDM-tjänst. Beroende på organisationens behov sker den här registreringen antingen:

   • Under Microsoft Entra anslutningsprocessen använder du automatisk MDM-registrering.

   • Före Active Directory-anslutningsprocessen.

6. Om det här är konfigurerat visas registreringsstatussidan (ESP).

7. När enhetskonfigurationsuppgifterna har slutförts loggas användaren in i Windows med de autentiseringsuppgifter som de tidigare angav. Om enheten startas om under enhetens ESP-process måste användaren ange sina autentiseringsuppgifter igen. Den här informationen bevaras inte efter omstart.

8. Efter inloggningen visas registreringsstatussidan för användarriktade konfigurationsuppgifter.

Om det finns några problem under den här processen kan du läsa Windows Autopilot-felsökning.

Mer information om tillgängliga kopplingsalternativ finns i följande avsnitt:

• Microsoft Entra anslutning är tillgänglig om enheter inte behöver ansluta till en lokal Active Directory domän.
• Microsoft Entra hybridanslutning är tillgängligt för enheter som behöver ansluta både Microsoft Entra ID och din lokal Active Directory domän.

Användardrivet läge för Microsoft Entra koppling

Följ dessa förberedelsesteg för att slutföra en användardriven distribution med Hjälp av Windows Autopilot:

1. Kontrollera att de användare som utför distributioner i användardrivet läge kan ansluta enheter till Microsoft Entra ID. Mer information finns i Konfigurera enhetsinställningar i Microsoft Entra-dokumentationen.

2. Skapa en Autopilot-profil för användardrivet läge med önskade inställningar.

   • I Intune väljs det här läget uttryckligen när du skapar profilen.

   • I Microsoft Store för företag och Partnercenter är användardrivet läge standardläget.

3. Om du använder Intune skapar du en enhetsgrupp i Microsoft Entra ID och tilldelar Autopilot-profilen till den gruppen.

För varje enhet som distribueras med hjälp av användardriven distribution krävs följande extra steg:

• Lägg till enheten i Windows Autopilot. Du kan göra det här steget på två sätt:

  • Automatiskt av en OEM-tillverkare eller partner när du köper enheten.

  • Manuellt enligt beskrivningen i Lägga till enheter i Windows Autopilot.

• Tilldela en Autopilot-profil till enheten:

  • Om du använder Intune och Microsoft Entra dynamiska enhetsgrupper kan den här tilldelningen utföras automatiskt.

  • Om du använder Intune och Microsoft Entra statiska enhetsgrupper lägger du manuellt till enheten i enhetsgruppen.

  • Om du använder andra metoder, till exempel Microsoft Store för företag eller Partnercenter, tilldelar du en Autopilot-profil manuellt till enheten.

Tips

Om enhetens avsedda sluttillstånd är samhantering kan du konfigurera enhetsregistrering i Intune för att aktivera samhantering, vilket sker under Autopilot-processen. Det här beteendet dirigerar arbetsbelastningsutfärdare på ett samordnat sätt mellan Configuration Manager och Intune. Mer information finns i Registrera med Autopilot.

Användardrivet läge för Microsoft Entra hybridanslutning

Viktigt

Microsoft rekommenderar att du distribuerar nya enheter som molnbaserade med hjälp av Microsoft Entra anslutning. Distribution av nya enheter som Microsoft Entra hybridanslutningsenheter rekommenderas inte, inklusive via Autopilot. Mer information finns i Microsoft Entra ansluten jämfört med Microsoft Entra hybridanslutning i molnbaserade slutpunkter: Vilket alternativ är rätt för din organisation.

Windows Autopilot kräver att enheterna är Microsoft Entra anslutna. Om du har en lokal Active Directory miljö kan du ansluta enheter till din lokala domän. Om du vill ansluta enheterna konfigurerar du Autopilot-enheter så att de är hybridanslutna till Microsoft Entra ID.

Tips

När Microsoft pratar med kunder som använder Microsoft Intune och Microsoft Configuration Manager för att distribuera, hantera och skydda sina klientenheter får vi ofta frågor om samhantering av enheter och Microsoft Entra hybridanslutningsenheter. Många kunder blandar ihop dessa två ämnen. Samhantering är ett hanteringsalternativ, medan Microsoft Entra ID är ett identitetsalternativ. Mer information finns i Förstå hybrid-Microsoft Entra- och samhanteringsscenarier. Det här blogginlägget syftar till att klargöra Microsoft Entra hybridanslutning och samhantering, hur de fungerar tillsammans, men inte är samma sak.

Du kan inte distribuera Configuration Manager-klienten när du etablerar en ny dator i användardrivet Windows Autopilot-läge för Microsoft Entra hybridanslutning. Den här begränsningen beror på enhetens identitetsändring under Microsoft Entra anslutningsprocessen. Distribuera Configuration Manager-klienten efter Autopilot-processen. Se Klientinstallationsmetoder i Configuration Manager för alternativa alternativ för att installera klienten.

Krav för användardrivet läge med hybrid Microsoft Entra ID

• Skapa en Windows Autopilot-profil för användardrivet läge.

  I Autopilot-profilen går du till Anslut till Microsoft Entra ID som och väljer Microsoft Entra hybridansluten.

• Om du använder Intune behöver du en enhetsgrupp i Microsoft Entra ID. Tilldela Windows Autopilot-profilen till gruppen.

• Om du använder Intune skapar och tilldelar du en domänanslutningsprofil. En konfigurationsprofil för domänanslutning innehåller lokal Active Directory domäninformation.

• Enheten måste ha åtkomst till Internet. Mer information finns i nätverkskraven.

• Installera Intune Connector för Active Directory.

  Obs!

  Intune Connector ansluter enheten till den lokala domänen. Användarna behöver inte behörighet att ansluta enheter till den lokala domänen. Det här beteendet förutsätter att du konfigurerar anslutningsappen för den här åtgärden för användarens räkning. Mer information finns i Öka gränsen för datorkonto i organisationsenheten.

• Om du använder en proxy aktiverar och konfigurerar du alternativet WPAD-proxyinställningar.

Utöver dessa grundläggande krav för användardriven Microsoft Entra hybridanslutning gäller följande extra krav för lokala enheter:

• Enheten har en version av Windows som stöds för närvarande.

• Enheten är ansluten till det interna nätverket och har åtkomst till en Active Directory-domänkontrollant.

  • Den måste matcha DNS-posterna för domänen och domänkontrollanterna.

  • Den måste kommunicera med domänkontrollanten för att autentisera användaren.

Användardrivet läge för Microsoft Entra hybridanslutning med VPN-stöd

Enheter som är anslutna till Active Directory kräver anslutning till en Active Directory-domänkontrollant för många aktiviteter. Dessa aktiviteter omfattar validering av användarens autentiseringsuppgifter när de loggar in och tillämpar grupprincipinställningar. Den användardrivna Autopilot-processen för Microsoft Entra hybridanslutna enheter verifierar att enheten kan kontakta en domänkontrollant genom att pinga domänkontrollanten.

Med tillägg av VPN-stöd för det här scenariot kan du konfigurera Microsoft Entra hybridanslutningsprocess för att hoppa över anslutningskontrollen. Den här ändringen eliminerar inte behovet av att kommunicera med en domänkontrollant. För att tillåta anslutning till organisationens nätverk levererar Intune i stället den VPN-konfiguration som krävs innan användaren försöker logga in i Windows.

Krav för användardrivet läge med hybrid Microsoft Entra ID och VPN

Utöver de grundläggande kraven för användardrivet läge med Microsoft Entra hybridanslutning gäller följande extra krav för ett fjärrscenario med VPN-stöd:

• En version av Windows som stöds för närvarande.

• I Microsoft Entra hybridanslutningsprofil för Autopilot aktiverar du följande alternativ: Hoppa över domänanslutningskontroll.

• En VPN-konfiguration med något av följande alternativ:

  • Kan distribueras med Intune och låter användaren manuellt upprätta en VPN-anslutning från Windows-inloggningsskärmen.

  • Upprättar automatiskt en VPN-anslutning efter behov.

Den specifika VPN-konfiguration som krävs beror på vilken VPN-programvara och autentisering som används. För VPN-lösningar från tredje part omfattar den här konfigurationen vanligtvis distribution av en Win32-app via Intune-hanteringstillägg. Den här appen skulle innehålla VPN-klientprogramvaran och all specifik anslutningsinformation. Till exempel namn på VPN-slutpunktsvärdar. Konfigurationsinformation som är specifik för providern finns i VPN-providerns dokumentation.

Obs!

VPN-kraven är inte specifika för Autopilot. Om en VPN-konfiguration till exempel implementeras för att aktivera fjärråterställning av lösenord kan samma konfiguration användas med Windows Autopilot. Den här konfigurationen skulle göra det möjligt för en användare att logga in på Windows med ett nytt lösenord när det inte finns i organisationens nätverk. När användaren loggar in och deras autentiseringsuppgifter cachelagras behöver efterföljande inloggningsförsök inte anslutning eftersom Windows använder de cachelagrade autentiseringsuppgifterna.

Om VPN-programvaran kräver certifikatautentisering använder du Intune för att även distribuera det enhetscertifikat som krävs. Den här distributionen kan göras med hjälp av intune-certifikatregistreringsfunktionerna som riktar sig mot certifikatprofilerna till enheten.

Vissa konfigurationer stöds inte eftersom de inte tillämpas förrän användaren loggar in i Windows:

• Användarcertifikat
• UWP VPN-plugin-program som inte kommer från Microsoft från Windows Store

Validering

Innan du försöker Microsoft Entra hybridanslutning med VPN är det viktigt att bekräfta att ett användardrivet läge för Microsoft Entra hybridanslutningsprocess fungerar i ditt interna nätverk. Det här testet förenklar felsökningen genom att se till att kärnprocessen fungerar innan du lägger till VPN-konfigurationen.

Bekräfta sedan att du kan använda Intune för att distribuera VPN-konfigurationen och dess krav. Testa dessa komponenter med en befintlig enhet som redan är Microsoft Entra hybridansluten. Vissa VPN-klienter skapar till exempel en VPN-anslutning per dator som en del av installationsprocessen. Verifiera konfigurationen med hjälp av följande steg:

1. Kontrollera att minst en VPN-anslutning per dator har skapats.

   Get-VpnConnection -AllUserConnection
   

2. Försök att starta VPN-anslutningen manuellt.

   RASDIAL.EXE "ConnectionName"
   

3. Logga ut från Windows. Kontrollera att du kan se ikonen "VPN-anslutning" på inloggningssidan för Windows.

4. Flytta enheten från det interna nätverket och försök att upprätta anslutningen med hjälp av ikonen på Inloggningssidan för Windows. Logga in på ett konto som inte har cachelagrade autentiseringsuppgifter.

För VPN-konfigurationer som ansluter automatiskt kan verifieringsstegen vara olika.

Obs!

Du kan använda en VPN som alltid är på för det här scenariot. Mer information finns i Distribuera always-on VPN.

Nästa steg

• Distribuera Microsoft Entra hybrid-anslutna enheter med Intune och Windows Autopilot
• Registrera med Autopilot
• Prova Autopilot-hybridanslutning via VPN i ditt Azure-labb

Relaterade artiklar

• Vad är en enhetsidentitet?.
• Läs mer om molnbaserade slutpunkter.
• Microsoft Entra ansluten jämfört med Microsoft Entra hybrid som är ansluten till molnbaserade slutpunkter.
• Självstudie: Konfigurera en molnbaserad Windows-slutpunkt med Microsoft Intune.
• Anvisningar: Planera din Microsoft Entra delta i implementeringen.
• Ett ramverk för transformering av Windows-slutpunktshantering.
• Förstå hybridscenarier för Azure AD och samhantering.
• Lyckades med windows Autopilot-fjärranslutning och Azure Active Directory-hybridanslutning.