Windows 设备的批量注册

  • 项目

适用对象

  • Windows 10
  • Windows 11

将新的 Windows 设备加入到Microsoft Entra ID和Intune。 若要为 Microsoft Entra 租户批量注册设备,请使用 Windows 配置Designer (WCD) 应用创建预配包。 将预配包应用于公司拥有的设备会将设备加入Microsoft Entra租户,并注册它们进行Intune管理。 应用包后,即可让Microsoft Entra用户登录。

Microsoft Entra用户是这些设备上的标准用户,并接收分配Intune策略和所需的应用。 使用 Windows 批量注册注册到 Intune 的 Windows 设备可以使用公司门户应用安装可用的应用。

角色和权限

若要创建批量注册令牌,必须具有受支持的Microsoft Entra角色分配,并且不能限定为 Microsoft Entra ID 中的管理单元。 支持的角色包括:

  • 全局管理员
  • 云设备管理员
  • Intune管理员
  • 密码管理员

可以在教育>租户设置Intune或Microsoft Intune管理中心>“用户”中分配这些角色。 有关详细信息,请参阅在管理中心Microsoft Intune授予管理员权限

先决条件

  • 设备必须运行Windows 11或Windows 10 Creator 更新 (内部版本 1709) 或更高版本。
  • 启用 Windows 自动注册

此外,请确保Microsoft Entra租户中存在 Microsoft.Azure.SyncFabric (AppID 00000014-0000-0000-c000-00000000000000000) 的服务主体。 在命令行中,使用 Get-AzureADServicePrincipal 命令为服务主体检查。 如果没有服务主体,Windows 配置Designer无法检索批量注册令牌,从而导致错误。

创建预配包

  1. 从 Microsoft Store 安装 Windows 配置Designer (WCD)

  2. 打开“Windows 配置设计器”应用,然后选择“预配桌面设备”。 在 Windows 配置Designer应用中选择“预配桌面设备的屏幕截图”

  3. 将打开“新项目”窗口,在其中指定以下信息:

    • 名称 - 你的项目的名称
    • 项目文件夹 - 项目的保存位置
    • 说明 - 项目的可选说明 在 Windows 配置Designer应用中指定名称、项目文件夹和说明的屏幕截图

  4. 输入设备的唯一名称。 名称可以包含序列号 (%SERIAL%) 或一组随机字符。 (可选)如果正在升级 Windows 版本,还可以输入产品密钥、配置设备以用于共享和删除预安装的软件。

    在 Windows 配置设计器应用中指定名称和产品密钥的屏幕截图

  5. (可选)可以配置设备首次启动时所连接到的 Wi-Fi 网络。 如果未配置网络设备,则在设备首次启动时必须建立有线网络连接。 启用 Wi-Fi 的屏幕截图,包括 Windows 配置Designer应用中的网络 SSID 和网络类型选项

  6. 选择“在 Azure AD 中注册”,输入 批量令牌到期 日期,然后选择“获取批量令牌”。 令牌有效期为 180 天。

    注意

    创建预配包后,可以通过从Microsoft Entra ID中删除关联的 package_{GUID} 用户帐户,在预配包过期之前将其撤销。

  7. 提供Microsoft Entra凭据以获取批量令牌。 登录到 Windows 配置Designer应用的屏幕截图

    注意

    用于请求批量令牌的帐户必须包含在 Microsoft Entra ID 中指定的 MDM 用户范围中。 如果从绑定到 MDM 用户范围的组中删除此帐户,批量注册将停止工作。

  8. 在“保持登录到所有应用”页上,选择“否,仅登录到此应用”。 如果保持选中此复选框并按“确定”,所用设备将由你的组织进行管理。 如果你不打算托管设备,请确保选择“否,仅登录到此应用”

  9. 成功提取“批量令牌”后,单击“下一步”。

  10. (可选)可以“添加应用程序”和“添加证书”。 将在此设备上配置应用和证书。

  11. (可选)还可以使用密码保护你的配置包。 单击“创建”。 Windows 配置Designer应用中包保护的屏幕截图

预配设备

  1. 访问在应用中指定的“项目文件夹”中指定位置中的预配包。

  2. 选择向设备应用预配程序包的方式。 可使用以下方法之一向设备应用预配包:

    • 将预配程序包置于 USB 驱动器中,将 USB 驱动器插入要进行批量注册的设备,并在初始设置时应用它
    • 将预配包置于网络文件夹中,并在初始设置后应用它

    有关应用预配包的分步说明,请参阅 应用预配包

  3. 在应用了包后,设备将在一分钟内自动重启。 Windows 配置Designer应用中项目文件夹、指定名称和说明的屏幕截图

  4. 设备重启时,它会连接到Microsoft Entra ID并在Microsoft Intune中注册。

Windows 批量注册的疑难解答

设置问题

预配旨在用于新的 Windows 设备上。 预配失败可能需要对擦除设备或通过启动映像来恢复设备。 这些示例描述了预配失败的一些原因:

  • 尝试加入 Active Directory 域或未创建本地帐户Microsoft Entra租户的预配包可能会使设备无法访问(如果域加入过程由于缺少网络连接而失败)。
  • 预配包运行的脚本在系统上下文中运行。 脚本能够对设备文件系统和配置进行任意更改。 恶意或不正确的脚本可将设备置于仅能通过重置映像或擦除才能将其恢复的状态。

可以在“事件查看器”中的“预配-诊断-提供程序”管理日志中查看包中的设置的成功/失败

注意

批量注册被视为一种无用户注册方法,因此,只有 Intune 中的“默认”注册限制将在注册期间应用。 请确保默认限制允许 Windows 平台,否则注册将失败。 若要检查其他 Windows 注册方法的功能,请参阅适用于 Windows 设备的 Intune 注册方法功能

批量注册到 Wi-Fi

如果未使用开放网络,则必须使用设备级证书来启动连接。 批量注册的设备无法使用面向用户的证书来访问网络。

条件访问

条件访问适用于通过运行 Windows 11 或 Windows 10 版本 1803 及更高版本的批量注册来注册的设备。