网络要求
Windows Autopilot 依赖于各种基于 Internet 的服务。 必须提供对这些服务的访问权限,才能让 Autopilot 正常运行。 在最简单的情况下,可以通过确保以下条件来实现适当的功能:
- 确保域名服务 (DNS) Internet DNS 名称的名称解析。
- 允许通过端口 80 (HTTP) 、443 (HTTPS) 和 123 (UDP/NTP) 访问所有主机。
若要在以下环境中授予对所需服务的访问权限,可能需要进行其他配置:
- 具有更严格的 Internet 访问。
- 需要进行身份验证,然后才能获取 Internet 访问权限。
服务要求
Windows Autopilot 依赖于多种不同类型的服务来正常运行。 为了使这些服务正常运行,需要执行某些网络配置。 这些服务及其所需的网络配置如下所示:
Windows Autopilot Deployment服务
建立网络连接后,每个 Windows 设备都将联系Windows Autopilot Deployment服务。 使用以下 URL:
https://ztd.dds.microsoft.comhttps://cs.dds.microsoft.comhttps://login.live.com
Windows 激活
Windows Autopilot 需要 Windows 激活服务。 有关激活服务需要访问的 URL 的详细信息,请参阅 Windows 激活或验证失败并出现错误代码0x8004FE33。
Microsoft Entra ID
Microsoft Entra ID验证用户凭据。 此外,设备在 Windows Autopilot 期间加入或注册到Microsoft Entra ID。 有关详细信息,请参阅 Office 365 IP 地址和 URL Web 服务。
Microsoft Intune
进行身份验证后,Microsoft Entra ID触发设备注册到Intune移动设备管理 (MDM) 服务。 有关Intune的网络通信要求的详细信息,请参阅以下文章:
Autopilot 自动设备诊断集合
要使诊断能够成功从客户端上传,请确保该 URL lgmsapeweu.blob.core.windows.net 未在网络上被阻止。 在删除诊断之前,诊断可用 28 天。
有关详细信息,请参阅从 Windows 设备收集诊断。
Windows 更新
在 OOBE) 过程中 (现用体验期间,在 Windows OS 配置之后,Windows 更新服务会检索所需的更新。 如果连接到Windows 更新时出现问题,请参阅排查Windows 更新问题。
如果无法访问Windows 更新,Autopilot 进程仍会继续,但关键更新不可用。
传递优化
下载应用程序和更新时,Autopilot 会联系 传递优化 服务。 此联系人建立内容的对等共享,以便只有几台设备需要从 Internet 下载内容。
- Windows 汇报。
- Microsoft存储应用程序和应用程序更新。
- Office 汇报。
- Intune Win32 应用程序。
如果传递优化服务不可访问,Autopilot 过程仍会继续从云下载传递优化,而无需对等。
网络时间协议 (NTP) 同步
Windows 设备启动时,它会与网络时间服务器通信,以确保设备上的时间正确。 确保可访问的 time.windows.com UDP 端口 123。
域名服务 (DNS)
为了解析所有服务的 Internet 名称,设备将与通常通过 DHCP 提供的 DNS 服务器通信。 此 DNS 服务器必须能够解析 Internet 名称。
诊断数据
默认情况下,诊断数据收集处于启用状态。 有关详细信息,请参阅 管理企业诊断数据。
如果设备无法发送诊断数据,Autopilot 进程仍会继续。 但是,依赖于诊断数据的服务不起作用。
网络连接状态指示器 (NCSI)
Windows 必须能够判断设备可以访问 Internet。 有关详细信息,请参阅网络连接状态指示器 (NCSI)。
*.msftconnecttest.com 必须可通过 DNS 解析并通过 HTTP 进行访问。
Windows 通知服务 (WNS)
此服务用于使 Windows 能够接收来自应用程序和服务的通知。 有关详细信息,请参阅 Microsoft Store。
如果 WNS 服务不可用,Autopilot 过程仍会继续,而不会收到通知。
Microsoft Store
可以通过Intune或其他 MDM 服务触发应用程序,将 Microsoft Store 中的应用程序推送到设备。 用户首次登录时,可能还需要应用更新和其他应用程序。 有关详细信息,请参阅更新以Intune与 Windows 上的 Microsoft 应用商店集成和常见问题解答:在托管设备上支持Microsoft应用商店体验。
如果无法访问 Microsoft Store,Autopilot 过程仍会继续,而不Microsoft应用商店应用。
Microsoft 365
作为Intune设备配置的一部分,可能需要安装 Microsoft 365 企业应用程序。 有关包含所有 Office 服务、DNS 名称、IP 地址(包括可能与之前列出的服务重叠Microsoft Entra ID和其他服务)的列表,请参阅Office 365 URL 和 IP 地址范围。
证书吊销列表 (CRL)
其中一些服务还需要检查证书吊销列表 (CRL) 服务中使用的证书。 有关完整列表,请参阅Office 365 URL 和 IP 地址范围和Office 365证书链。
Microsoft Entra混合联接
设备可以Microsoft Entra混合联接。 计算机应位于内部网络上,Microsoft Entra混合联接才能正常工作。 有关详细信息,请参阅 Windows Autopilot 用户驱动模式。
Autopilot 自部署模式和 Autopilot 预预配
TPM 证明过程需要访问一组 HTTPS URL,这些 URL 对于每个 TPM 提供程序都是唯一的。 确保访问此 URL 模式: *.microsoftaik.azure.net。
固件 TPM 设备(仅由 Intel、AMD 或 Qualcomm 提供)在启动时不包含所需的所有证书,并且必须在首次使用时从制造商处检索它们。 具有离散 TPM 芯片的设备附带预安装的这些证书。 这些设备包括来自任何其他制造商的设备。 有关详细信息,请参阅 TPM 建议。
对于每个固件 TPM 提供程序,请确保可以访问相应的 URL,以便可以成功请求证书。 例如:
- 英特尔:
https://ekop.intel.com/ekcertservice
- Qualcomm:
https://ekcert.spserv.microsoft.com/EKCertificate/GetEKCertificate/v1
- AMD:
https://ftpm.amd.com/pki/aia
代理设置
应在代理服务器本身上配置为 Windows Autopilot 部署代理设置。 不完全支持通过Intune策略实现代理设置,因为这可能会导致特权访问部署出现问题和意外行为。
软件
网络
许可
配置