Windows Autopilot 网络要求
Windows Autopilot 依赖于各种基于 Internet 的服务。 必须提供对这些服务的访问权限,才能让 Autopilot 正常运行。 在最简单的情况下,可以通过确保以下条件来实现适当的功能:
- 确保域名服务 (DNS) Internet DNS 名称的名称解析。
- 允许通过端口 80 (HTTP) 、443 (HTTPS) 和 123 (UDP/NTP) 访问所有主机。
若要在以下环境中授予对所需服务的访问权限,可能需要进行其他配置:
- 具有更严格的 Internet 访问。
- 需要进行身份验证,然后才能获取 Internet 访问权限。
注意
在 OOBE 期间,不支持智能卡和基于证书的身份验证。 有关详细信息,请参阅 智能卡和基于证书的身份验证。
服务要求
有关每个服务及其特定要求的其他详细信息,请查看这些详细信息。
Windows Autopilot Deployment服务
建立网络连接后,每个 Windows 设备都将联系Windows Autopilot Deployment服务。 使用以下 URL:
https://ztd.dds.microsoft.comhttps://cs.dds.microsoft.comhttps://login.live.com
Windows 激活
Windows Autopilot 需要 Windows 激活服务。 有关激活服务需要访问的 URL 的详细信息,请参阅 Windows 激活或验证失败并出现错误代码0x8004FE33。
Microsoft Entra ID
Microsoft Entra ID 验证用户凭据,设备也可以加入到Microsoft Entra ID。 有关详细信息,请参阅 Office 365 IP 地址和 URL Web 服务。
Microsoft Intune
进行身份验证后,Microsoft Entra ID 会触发设备注册到 Intune 移动设备管理 (MDM) 服务。 有关 Intune 的网络通信要求的详细信息,请参阅以下文章:
Autopilot 自动设备诊断集合
要使诊断能够成功从客户端上传,请确保该 URL lgmsapeweu.blob.core.windows.net 未在网络上被阻止。 在删除诊断之前,诊断可用 28 天。
有关详细信息,请参阅从 Windows 设备收集诊断。
Windows 更新
在 OOBE 过程中和 Windows OS 配置之后,Windows 更新服务会检索所需的更新。 如果连接到Windows 更新时遇到问题,请参阅Windows 更新故障排除。
如果无法访问Windows 更新,Autopilot 进程仍会继续,但关键更新不可用。
传递优化
下载应用和更新时,Autopilot 会联系 传递优化 服务。 此联系人建立内容的对等共享,以便只有几台设备需要从 Internet 下载内容。
- Windows 汇报。
- Microsoft Store 应用和应用更新。
- Office 汇报。
- Intune Win32 应用。
如果传递优化服务不可访问,Autopilot 过程仍会继续从云下载传递优化,而无需对等。
网络时间协议 (NTP) 同步
Windows 设备启动时,它会与网络时间服务器通信,以确保设备上的时间正确。 确保可访问的 time.windows.com UDP 端口 123。
域名服务 (DNS)
为了解析所有服务的 DNS 名称,设备与通常通过 DHCP 提供的 DNS 服务器通信。 此 DNS 服务器必须能够解析 Internet 名称。
诊断数据
默认情况下,诊断数据收集处于启用状态。 若要禁用 Windows Analytics 和相关诊断功能,请参阅管理企业诊断数据。
如果设备无法发送诊断数据,Autopilot 进程仍会继续。 但是,依赖于诊断数据的服务(如桌面分析)不起作用。
网络连接状态指示器 (NCSI)
Windows 必须能够判断设备可以访问 Internet。 有关详细信息,请参阅网络连接状态指示器 (NCSI)。
*.msftconnecttest.com 必须可通过 DNS 解析并通过 HTTP 进行访问。
Windows 通知服务 (WNS)
此服务用于使 Windows 能够接收来自应用和服务的通知。 有关详细信息,请参阅 Microsoft Store。
如果 WNS 服务不可用,Autopilot 过程仍会继续,而不会收到通知。
Microsoft Store、适用于企业的 Microsoft Store & Education
可以通过 Intune (MDM) 触发 Microsoft Store 中的应用推送到设备。 用户首次登录时,可能还需要应用更新和其他应用。 有关详细信息,请参阅适用于企业的 Microsoft Store和教育的先决条件。 (它还包括Microsoft Entra ID 和 Windows 通知服务) 。
如果 Microsoft Store 不可访问,则 Autopilot 过程仍在继续,而没有 Microsoft Store 应用。
Microsoft 365
作为 Intune 设备配置的一部分,可能需要安装Microsoft 365 企业应用版。 有关详细信息,请参阅 Office 365 URL 和 IP 地址范围。 本文包括所有 Office 服务、DNS 名称和 IP 地址。 它还包括Microsoft Entra ID 和其他可能与之前列出的服务重叠的服务。
证书吊销列表 (CRL)
其中一些服务还需要检查证书吊销列表 (CRL) 服务中使用的证书。 有关完整列表,请参阅Office 365 URL 和 IP 地址范围和Office 365证书链。
Microsoft Entra混合联接
重要
Microsoft 建议使用 Microsoft Entra join 将新设备部署为云原生设备。 不建议将新设备部署为Microsoft Entra混合联接设备,包括通过 Autopilot 部署。 有关详细信息,请参阅在云原生终结点中加入Microsoft Entra与Microsoft Entra混合联接:哪个选项适合你的组织。
设备可以Microsoft Entra混合联接。 计算机应位于内部网络上,Microsoft Entra混合联接才能正常工作。 有关详细信息,请参阅 Windows Autopilot 用户驱动模式。
Autopilot 自部署模式和 Autopilot 预预配
TPM 证明过程需要访问一组 HTTPS URL,这些 URL 对于每个 TPM 提供程序都是唯一的。 确保访问此 URL 模式: *.microsoftaik.azure.net。
固件 TPM 设备(仅由 Intel、AMD 或 Qualcomm 提供)在启动时不包含所需的所有证书,并且必须在首次使用时从制造商处检索它们。 具有离散 TPM 芯片的设备附带预安装的这些证书。 这些设备包括来自任何其他制造商的设备。 有关详细信息,请参阅 TPM 建议。
对于每个固件 TPM 提供程序,请确保可以访问相应的 URL,以便可以成功请求证书。 例如:
- 英特尔:
https://ekop.intel.com/ekcertservice - 通:
https://ekcert.spserv.microsoft.com/EKCertificate/GetEKCertificate/v1 - Amd:
https://ftpm.amd.com/pki/aia
代理设置
应在代理服务器本身上配置为 Windows Autopilot 部署代理设置。 不完全支持通过 Intune 策略实现代理设置,因为它可能会导致特权访问部署出现问题和意外行为。
后续步骤
反馈
即将推出:在整个 2024 年,我们将逐步取消以“GitHub 问题”作为内容的反馈机制,并将其替换为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈