Windows Autopilot 用户驱动模式
Windows Autopilot 用户驱动模式允许将新的 Windows 设备配置为自动将其从出厂状态转换为随时可用的状态。 此过程不需要 IT 人员触摸设备。
此过程很简单。 可按照以下说明直接向最终用户寄送或分发设备:
- 拆开设备的包装,插上电源,然后将其打开。
- 如果它使用多种语言,请选择语言、区域设置和键盘。
- 将其连接到具有 Internet 访问权限的无线或有线网络。 如果使用无线,请先连接到 WI-Fi 网络。
- 指定组织的电子邮件地址帐户和密码。
该过程的其余部分是自动化的。 设备执行以下步骤:
- 加入组织。
- 注册 Microsoft Intune 或其他移动设备管理 (MDM) 服务。
- 按照组织的规定获得配置。
在现 (OOBE) 体验期间,可以禁止显示其他提示。 有关可用选项的详细信息,请参阅 配置 Autopilot 配置文件。
重要
如果使用 Active Directory 联合身份验证服务 (ADFS) ,则存在一个 已知问题 ,可让最终用户使用与分配给该设备的帐户不同的帐户登录。
Windows Autopilot 用户驱动模式支持Microsoft Entra 联接和Microsoft Entra 混合联接设备。 有关这两个联接选项的详细信息,请参阅以下文章:
- 什么是设备标识?。
- 详细了解云原生终结点。
- Microsoft已加入 Entra 与在云原生终结点中加入Microsoft Entra 混合联接。
- 教程:使用 Microsoft Intune 设置和配置云原生 Windows 终结点。
- 如何:规划Microsoft Entra 联接实现。
- 用于 Windows 终结点管理转换的框架。
- 成功与远程 Windows Autopilot 和 Microsoft Entra 混合联接。
用户驱动过程的步骤如下所示:
设备连接到网络后,设备将下载 Windows Autopilot 配置文件。 配置文件定义用于设备的设置。 例如,定义 OOBE 期间禁止显示的提示。
Windows 会检查关键 OOBE 更新。 如果有可用的更新,则会自动安装它们。 如有必要,设备将重新启动。
系统会提示用户输入Microsoft Entra 凭据。 此自定义用户体验显示 entra 租户名称、徽标和登录文本Microsoft。
设备Microsoft Entra ID 或 Active Directory 联接,具体取决于 Windows Autopilot 配置文件设置。
设备注册到 Intune 或其他配置的 MDM 服务。 根据组织需求,将进行此注册:
在Microsoft Entra 加入过程中,使用 MDM 自动注册。
在 Azure Active Directory 联接过程之前。
如果已配置,则会 (ESP) 显示 注册状态页 。
设备配置任务完成后,用户将使用之前提供的凭据登录到 Windows。 如果设备在设备 ESP 过程中重启,用户必须重新输入其凭据。 重新启动后,这些详细信息不会保留。
登录后,将显示用户目标配置任务的注册状态页。
如果在此过程中发现任何问题,请参阅 Windows Autopilot 概述疑难解答。
有关可用联接选项的详细信息,请参阅以下部分:
- Microsoft如果设备不需要加入本地 Active Directory 域,则 Entra 联接可用。
- Microsoft Entra 混合联接 适用于需要同时加入 entra ID 和本地 Active Directory 域Microsoft设备。
若要使用 Windows Autopilot 完成用户驱动的部署,请按照以下准备步骤操作:
确保执行用户驱动模式部署的用户可以将设备加入到Microsoft Entra ID。 有关详细信息,请参阅 Microsoft Entra 文档中的配置 设备设置 。
使用所需设置为用户驱动模式创建 Autopilot 配置文件。
在 Intune 中,此模式是在创建配置文件时显式选择的。
在适用于企业和合作伙伴中心的 Microsoft Store 中,默认为用户驱动模式。
如果使用 Intune,请在 Microsoft Entra ID 中创建设备组,并将 Autopilot 配置文件分配给该组。
对于使用用户驱动部署部署的每个设备,需要执行以下额外步骤:
将设备添加到 Windows Autopilot。 可以通过两种方式完成此步骤:
购买设备时由 OEM 或合作伙伴自动执行。
按照 将设备添加到 Windows Autopilot 中所述手动操作。
将 Autopilot 配置文件分配给设备:
如果使用 Intune 和 Microsoft Entra 动态设备组,则可以自动完成此分配。
如果使用 Intune 和 Microsoft Entra 静态设备组,请手动将设备添加到设备组。
如果使用其他方法(如 Microsoft Store for Business 或合作伙伴中心),请手动将 Autopilot 配置文件分配给设备。
提示
如果设备的预期最终状态是共同管理,则可以在 Intune 中配置设备注册以启用共同管理,这在 Autopilot 过程中发生。 此行为以协调的方式在配置管理器和 Intune 之间指导工作负载权限。 有关详细信息,请参阅 如何注册 Autopilot。
重要
Microsoft建议使用 Microsoft Entra join 将新设备部署为云原生设备。 不建议将新设备部署为 Microsoft Entra 混合联接设备,包括通过 Autopilot 部署。 有关详细信息,请参阅 云原生终结点中Microsoft Entra joined vs. Microsoft Entra 混合联接:哪个选项适合你的组织。
Windows Autopilot 要求将设备Microsoft Entra 联接。 对于本地 Active Directory 环境,可将设备加入本地域。 若要加入设备,请将要混合加入的 Autopilot 设备 配置为Microsoft Entra ID。
提示
Microsoft与使用 Microsoft Intune 和 Microsoft Configuration Manager 来部署、管理和保护其客户端设备的客户交谈时,我们经常遇到有关共同管理设备和Microsoft Entra 混合联接设备的问题。 许多客户混淆了这两个主题。 共同管理是一种管理选项,而Microsoft Entra ID 是标识选项。 有关详细信息,请参阅 了解混合Microsoft Entra 和共同管理方案。 此博客文章旨在阐明Microsoft Entra 混合联接和共同管理,它们如何协同工作,但并非同一回事。
在 Windows Autopilot 用户驱动模式下预配新计算机以Microsoft Entra 混合联接时,无法部署 Configuration Manager 客户端。 此限制是由于在Microsoft Entra 加入过程中设备的标识更改。 在 Autopilot 进程之后部署 Configuration Manager 客户端。 有关 安装客户端的 替代选项,请参阅 Configuration Manager 中的客户端安装方法。
为用户驱动模式创建 Windows Autopilot 配置文件。
在 Autopilot 配置文件中,在“ 加入到Microsoft Entra ID 为”下,选择 “Microsoft Entra 混合联接”。
如果使用 Intune,则需要在 Entra ID Microsoft 设备组。 将 Windows Autopilot 配置文件分配给组。
如果使用 Intune,请创建并分配域加入配置文件。 域加入配置文件包括本地 Active Directory 域信息。
设备需要访问 Internet。 有关详细信息,请参阅 网络要求。
安装适用于 Active Directory 的 Intune 连接器。
备注
Intune 连接器将设备加入本地域。 用户不需要将设备加入本地域的权限。 此行为假定连接器是代表用户为此操作配置的。 有关详细信息,请参阅增加组织单位中的计算机帐户限制。
如果使用代理,请启用并配置 Web 代理自动发现协议 (WPAD) 代理设置选项。
除了用户驱动Microsoft Entra 混合联接的这些核心要求外,以下额外要求也适用于本地设备:
该设备具有当前支持的 Windows 版本。
设备已连接到内部网络,并有权访问 Active Directory 域控制器。
它需要解析域和域控制器的 DNS 记录。
它需要与域控制器通信才能对用户进行身份验证。
加入 Active Directory 的设备需要连接到 Active Directory 域控制器才能进行许多活动。 这些活动包括在用户登录时验证凭据,以及应用组策略设置。 Microsoft Entra 混合联接设备的 Autopilot 用户驱动过程验证设备是否可以通过 ping 该域控制器来联系域控制器。
通过为此方案添加 VPN 支持,可以将Microsoft Entra 混合加入过程配置为跳过连接检查。 此更改不会消除与域控制器通信的需要。 相反,为了允许连接到组织的网络,Intune 在用户尝试登录到 Windows 之前提供所需的 VPN 配置。
除了具有 Microsoft Entra 混合联接的用户驱动模式 的核心要求 外,以下额外要求也适用于支持 VPN 的远程方案:
当前支持的 Windows 版本。
在 Autopilot Microsoft Entra 混合加入配置文件中,启用以下选项: 跳过域连接检查。
具有以下选项之一的 VPN 配置:
可以使用 Intune 进行部署,并允许用户从 Windows 登录屏幕手动建立 VPN 连接。
根据需要自动建立 VPN 连接。
所需的特定 VPN 配置取决于使用的 VPN 软件和身份验证。 对于非Microsoft VPN 解决方案,此配置通常涉及通过 Intune 管理扩展部署 Win32 应用。 此应用将包括 VPN 客户端软件和任何特定的连接信息。 例如,VPN 终结点主机名。 有关特定于该提供程序的配置详细信息,请参阅 VPN 提供程序的文档。
备注
VPN 要求不特定于 Autopilot。 例如,如果实现 VPN 配置以启用远程密码重置,则可以将相同的配置用于 Windows Autopilot。 此配置将允许用户在不在组织的网络上时使用新密码登录到 Windows。 用户登录并缓存其凭据后,后续登录尝试不需要连接,因为 Windows 使用缓存的凭据。
如果 VPN 软件需要证书身份验证,请使用 Intune 部署所需的设备证书。 可以使用 Intune 证书注册功能完成此部署,并将证书配置文件定向到设备。
某些配置不受支持,因为它们在用户登录到 Windows 之前不会应用:
- 用户证书
- Windows 应用商店中的非Microsoft UWP VPN 插件
在尝试使用 VPN Microsoft Entra 混合加入之前,请务必确认Microsoft Entra 混合加入过程的用户驱动模式是否在内部网络上有效。 此测试通过在添加 VPN 配置之前确保核心过程正常工作来简化故障排除。
接下来,确认 Intune 可用于部署 VPN 配置及其要求。 使用已Microsoft Entra 混合联接的现有设备测试这些组件。 例如,某些 VPN 客户端在安装过程中创建每台计算机 VPN 连接。 使用以下步骤验证配置:
验证是否至少为每个计算机创建了一个 VPN 连接。
Get-VpnConnection -AllUserConnection
尝试手动启动 VPN 连接。
RASDIAL.EXE "ConnectionName"
注销 Windows。 验证 “VPN 连接 ”图标是否显示在 Windows 登录页上。
将设备移出内部网络,并尝试使用 Windows 登录页上的图标建立连接。 登录到没有缓存凭据的帐户。
对于自动连接的 VPN 配置,验证步骤可能有所不同。
备注
始终启用 VPN 可用于此方案。 有关详细信息,请参阅 部署 Always-On VPN。