預先布建Microsoft Entra 混合式聯結：建立並指派預先布建的 Microsoft Entra 混合式聯結 Autopilot 配置檔

• 適用於:

  ✅ Windows 11, ✅ Windows 10

適用於預先布建部署的 Windows Autopilot Microsoft Entra 混合式聯結步驟：

• 步驟 1： 設定 Windows 自動 Intune 註冊
• 步驟 2： 安裝 Intune 連接器
• 步驟 3： 增加組織單位 (OU) 中的電腦帳戶限制
• 步驟 4： 將裝置註冊為 Autopilot 裝置
• 步驟 5： 建立裝置群組
• 步驟 6： 設定及指派 Autopilot 註冊狀態頁面 (ESP)

• 步驟 7：建立並指派Microsoft混合式聯結 Autopilot 配置檔

• 步驟 8： 設定及指派網域加入配置檔
• 步驟 9： 將 Autopilot 裝置指派給使用者 (選擇性)
• 步驟 10： 技術人員流程
• 步驟 11： 使用者流程

如需預先布建部署的 Windows Autopilot 概觀Microsoft Entra 混合式聯結工作流程，請參閱 Windows Autopilot 以進行預先布建的部署Microsoft Entra 混合式聯結概觀。

建立並指派預先布建的 Microsoft Entra hybrid Join Autopilot 配置檔

Autopilot 配置檔會指定如何在 Windows 安裝期間設定裝置，以及 OOBE) (全新體驗期間所顯示的內容。

Microsoft Entra join 與 Microsoft Entra 混合式聯結之間的差異在於，Microsoft Entra 混合式聯結案例會在 Autopilot 期間同時加入內部部署網域和 Microsoft Entra ID。 預先布建的 Microsoft Entra join 案例只會在 Autopilot 期間聯結 Microsoft Entra ID。

提示

對於 Configuration Manager 系統管理員而言，Autopilot 配置檔類似於透過檔案在工作順序期間發生的一 unattend.xml 些設定。 unattend.xml 檔案是在 [套用 Windows 設定 ] 和 [套用網络設定] 步驟期間 設定的 。 不過請注意，Autopilot 不會使用 unattend.xml 檔案。

若要建立預先布建的 Microsoft Entra hybrid Join Autopilot 配置檔，請遵循下列步驟：

1. 登入 Microsoft Intune 系統管理中心。

2. 在 [ 首頁] 畫面中，選取左側窗格中的 [ 裝置 ]。

3. 在 [ 裝置] 中 |概觀 畫面， 在 [依平臺] 底下，選取 [Windows]。

4. 在 Windows 中 |Windows 裝置 畫面的 [ 裝置上線] 底下，選取 [ 註冊]。

5. 在 Windows 中 |Windows 註冊 畫面，在 [Windows Autopilot] 底下，選取 [ 部署配置檔]。

6. 在 [Windows Autopilot 部署配置檔 ] 畫面中，選取 [ 建立配置檔 ] 下拉功能表，然後選取 [Windows 計算機]。

7. [ 建立配置檔 ] 畫面隨即開啟。 在 [ 基本] 頁面中：

   1. 在 [ 名稱] 旁，輸入 Autopilot 配置檔的名稱。

   2. 在 [ 描述] 旁，輸入描述。

   3. 選取 [下一步]。

      注意事項

      Microsoft建議將 [ 將所有目標裝置轉換為 Autopilot ] 選項設定為 [是]。 本教學課程著重於使用硬體哈希手動將裝置匯入為 Autopilot 裝置的新裝置。 不過，將 Autopilot 配置檔指派給包含現有裝置的裝置群組時，此選項會很有説明。 例如，在現有裝置案例中使用 Windows Autopilot 時，此選項很有説明。 使用現有裝置的 Windows Autopilot 時，現有的裝置可能需要在 Autopilot 部署完成後註冊為 Autopilot 裝置。 如需詳細資訊，請 參閱註冊 Windows Autopilot 的裝置。

8. 在 [ 全新體驗 (OOBE) 頁面中：

   • 針對 [部署模式]，選取 [用戶驅動]。

   • 針對 [加入Microsoft Entra ID 為]，請選 取 [Microsoft加入 Entra] 。 選取此選項之後，此選項下方的數個選項將會變更。

   • 針對 [略過 AD 連線能力檢查]，選取 [ 否]。 本教學課程的這一節假設正在執行 Autopilot 的裝置是內部部署內部用戶端，可直接連線到內部部署網域和域控制器。 如需需要 VPN 連線的內部部署/因特網案例，請參閱 內部部署/因特網案例和 VPN 連線。

   • 如 需Microsoft軟體授權條款，請選取 [隱藏 ] 略過 [EULA] 頁面。

   • 針對 [隱私權設定]，選取 [隱藏 ] 以略過隱私權設定。

   • 針對 [隱藏變更帳戶選項]，選取 [ 隱藏]。

   • 針對 [用戶帳戶類型]，選取使用者 (系統 管理員 或 標準 使用者) 所需的帳戶類型。 如果選擇 [系統管理員 ]，則會將使用者新增至本機系統管理群組。

   • 針對 [允許預先布建的部署]，選取 [ 是]。

   • 針對 [語言 (區域) ，選取 [ 操作系統預設值 ] 以使用所設定操作系統的默認語言。 如果需要另一種語言，請從下拉式清單中選取所需的語言。

   • 針對 [自動設定鍵盤]，選取 [ 是 ] 略過鍵盤選取頁面。

   • 針對Microsoft混合式聯結案例，[ 套用裝置名稱] 範本 會呈現灰色。 雖然不是那麼強固，但是可以在設定 和指派網域加入配置檔 步驟期間指定裝置名稱。

   注意事項

   已選取上述設定，以將裝置設定期間所需的用戶互動降至最低。 不過，某些隱藏的設定可以視需要顯示。 例如，某些區域可能需要一律顯示 隱私權設定 。

   注意事項

   如果語言/區域和鍵盤畫面設定為隱藏，如果 Autopilot 部署開始時沒有網路連線，則可能仍會顯示它們。 當部署開始時沒有網路連線時，尚未下載 Autopilot 配置檔，其中已定義隱藏這些畫面的設定。 建立網路連線后，就會下載 Autopilot 配置檔，而且任何其他畫面設定應該如預期般運作。

9. 在 [全新 體驗] ([OOBE ) ] 頁面中的選項依需要設定之後，請選取 [ 下一步]。

10. 在 [ 指派] 頁面中 ：

    1. 在 [ 包含的群組] 底下，選取 [ 新增群組]。

    注意事項

    請務必在 [ 包含的群組 ] 下新增正確的裝置群組，而不是在 [ 排除的群組] 下新增。 不小心在 [ 排除的群組 ] 下新增所需的裝置群組，可防止這些裝置群組中的裝置接收 Autopilot 配置檔。

    1. 在 [ 選取要包含的群組] 視窗中，選取應指派 Windows Autopilot 配置檔的群組。 這些裝置群組通常是在先前的建立裝置群組步驟中建立的 裝置群組 。 完成後，選取 [選取]。

    2. 在 [包含的群組群組>] 底下，確定已選取正確的群組，然後選取 [下一步]。

11. 在 [ 檢閱 + 建立] 頁面中，確認已正確設定所有設定，然後選取 [ 建立 ] 以建立 Autopilot 配置檔。

確認裝置已指派 Autopilot 配置檔給它

部署裝置之前，請確定已將 Autopilot 配置檔指派給裝置所屬的裝置群組。 在 Autopilot 配置檔指派給裝置群組之後，或在裝置新增至裝置群組之後，將 Autopilot 配置檔指派給裝置可能需要一些時間。 若要確認配置檔已指派給裝置，請遵循下列步驟：

1. 登入 Microsoft Intune 系統管理中心。

2. 在 [ 首頁] 畫面中，選取左側窗格中的 [ 裝置 ]。

3. 在 [ 裝置] 中 |概觀 畫面， 在 [依平臺] 底下，選取 [Windows]。

4. 在 Windows 中 |Windows 裝置 畫面的 [ 裝置上線] 底下，選取 [ 註冊]。

5. 在 Windows 中 |Windows 註冊 畫面，在 [Windows Autopilot] 底下，選取 [ 裝置]。

6. 在開啟的 Windows Autopilot 裝置 畫面中：

   1. 尋找需要檢查 Autopilot 部署配置檔指派狀態所需的裝置。

   2. 找到裝置之後，其目前的狀態會列在 [ 配置文件狀態] 數據 行底下。 狀態具有下列其中一個值：

      • 未指派：Autopilot 部署配置檔未指派給裝置。

      • 指派：將 Autopilot 部署配置檔指派給裝置。

      • 指派：Autopilot 部署配置檔會指派給裝置。

      • 修正擱置中：當裝置發生硬體變更時，當 Intune 嘗試註冊新硬體時，就會顯示此狀態。 選取 [ 修正暫止 狀態] 的連結時，會出現下列訊息：

        我們在此裝置上偵測到硬體變更。 我們正嘗試自動註冊新的硬體。 您現在不需要執行任何動作;下次簽入結果時，狀態將會更新。

        如果 Intune 能夠成功註冊新的硬體，Intune 會在裝置下次簽入 Intune 時更新配置文件狀態。 如需 修正擱置 狀態的詳細資訊，請參閱下列文章：

        • 為什麼在裝置上發生硬體變更之後，Windows Autopilot 配置檔不會套用？。
        • 傳回 Windows Autopilot 登入和部署體驗的重要功能。
        • Windows Autopilot 主機板更換案例指引

      • 需要注意：如果在裝置上發生硬體變更之後，Intune 無法註冊新的硬體，裝置就無法接收 Autopilot 配置檔，直到裝置重設並重新註冊裝置為止。 如需此狀態以及如何取消註冊/重新註冊裝置的詳細資訊，請參閱下列文章：

        • 為什麼在裝置上發生硬體變更之後，Windows Autopilot 配置檔不會套用？。
        • 傳回 Windows Autopilot 登入和部署體驗的重要功能。
        • Windows Autopilot 主機板更換案例指引
        • 取消註冊裝置

      在裝置上啟動 Autopilot 部署程式之前，請確定在 [Windows Autopilot 裝置 ] 頁面中：

      • 裝置的 配置檔狀態 為 [已指派]。
      • 在裝置的屬性中， 指派的日期 具有值。
      • 在裝置的屬性中， 指派的配置檔 會顯示預期的 Autopilot 配置檔。

注意事項

Intune 會定期檢查指派裝置群組中的新裝置，然後開始將配置檔指派給這些裝置的程式。 由於 Autopilot 配置檔指派程式涉及數個不同的因素，因此指派的估計時間可能會因案例而異。 這些因素可能包括Microsoft群組、成員資格規則、裝置哈希、Intune 和 Autopilot 服務，以及因特網連線。 指派時間會根據特定案例中涉及的所有因素和變數而有所不同。

內部部署/因特網案例和 VPN 連線能力

適用於預先布建Microsoft Entra 混合式聯結的 Windows Autopilot 支援無法直接連線到 Active Directory 和域控制器的外部部署/因特網案例。 不過，外部部署/因特網案例並不會消除在加入網域期間連線到 Active Directory 和域控制器的需求。 在非部署/因特網案例中，可以在 Autopilot 程式期間透過 VPN 連線建立對 Active Directory 和域控制器的連線。

對於需要 VPN 連線的內部部署/因特網案例，Autopilot 配置檔中唯一的變更是略過 AD 連線檢查設定。 在 [ 建立並指派預先布建的 Microsoft Entra hybrid join Autopilot 配置檔 ] 區段中，[ 略過 AD 連線能力] 檢查 設定應設定為 [ 是 ]，而不是 [ 否]。 將此選項設定為 [是 ] 可防止部署失敗，因為在建立 VPN 連線之前，不會直接連線到 Active Directory 和域控制器。

除了在 Autopilot 配置檔中將 [略過 AD 連線能力檢查 ] 設定變更為 [ 是 ] 之外，VPN 支援也依賴下列必要條件：

• 您可以使用 Intune 部署和安裝 VPN 解決方案。
• VPN 解決方案必須支援下列其中一個選項：
  • 讓使用者從 Windows 登入畫面手動建立 VPN 連線。
  • 視需要自動建立 VPN 連線。

在 Autopilot 程式期間，必須透過 Intune 安裝和設定 VPN 解決方案。 如果 VPN 解決方案需要，設定必須包含部署任何必要的裝置憑證。 在裝置上安裝並設定 VPN 解決方案之後，使用者就可以自動或手動建立 VPN 連線，此時可能會發生網域加入。 如需有關 Autopilot 期間 VPN 解決方案的詳細資訊和支援，請參閱個別的 VPN 廠商。

注意事項

不支援某些 VPN 組態，因為在使用者登入 Windows 之前，不會起始連線。 不支援的 VPN 設定包括：

• 使用用戶憑證的 VPN 解決方案
• 來自 Windows 市集的非Microsoft UWP VPN 外掛程式

下一個步驟：設定和指派網域加入配置檔

步驟 8：設定及指派網域加入配置檔

相關內容

如需設定 Autopilot 設定檔的詳細資訊，請參閱下列文章：

• 設定 Autopilot 設定檔。

• 使用 VPN 支援Microsoft Entra 混合式聯結的用戶驅動模式。
• VPN。