Windows Autopilot:新增功能

Windows Autopilot 自部署模式现已正式发布

Windows Autopilot 自部署模式现已正式发布,预览版已过期。 Windows Autopilot 自部署模式使你无需用户交互即可部署 Windows 设备。 设备连接到网络后,设备预配过程会自动启动:设备加入Microsoft Entra ID,在 Intune 中注册,并同步面向设备的所有基于设备的配置。 自部署模式可确保用户在应用所有基于设备的配置之前无法访问桌面。 OOBE 期间会显示 ESP) (注册状态页,以便用户可以跟踪部署的状态。 有关更多信息,请参阅:

预预配部署的 Windows Autopilot 现已正式发布

用于预预配部署的 Windows Autopilot 现已正式发布且已取消预览版。 组织使用 Windows Autopilot 进行预预配部署,这些组织希望确保设备在用户访问设备之前处于业务就绪状态。 通过预预配,管理员、合作伙伴或 OEM 可以从现成体验访问技术人员流, (OOBE) 并启动设备设置。 接下来,设备将发送给在用户阶段完成预配的用户。 预预配会提前提供大部分配置,以便最终用户可以更快地访问桌面。 有关更多信息,请参阅:

手动设备上传的错误消息汇报

Intune 的 2310 版本使控制台中的手动硬件哈希上传更加清晰。 如果无法导入设备,则通知会显示导入错误以及收到错误的 CSV 文件的特定行。 错误代码还包括有关设备无法上传的原因、设备是分配给另一个租户还是已注册到租户的设备的详细信息。

导入错误屏幕截图。

导入错误详细信息。

取消阻止已禁用 OEM 的自部署和预预配模式的修复挂起状态

从 2310 开始,我们将为尚未选择加入以证明删除 Autopilot 翻新设备的制造商更新自部署和预预配模式。 在自我部署和预预配模式下,使用这些制造商的客户仍会受到基于设备的一次性注册块的约束。 此阻止意味着设备可能会经历一次自我部署或预预配模式,然后被阻止再次执行此操作。 如果需要重置或重新部署设备,此行为可能会导致问题。 2310 中的此更改使 Intune 中的 Autopilot 设备部分中的按钮可以手动取消阻止这些设备。 此更新仅适用于不在 OEM 列表中 且不适用于修复挂起状态的 OEM。

如何取消阻止设备

  1. 登录到Microsoft Intune管理中心

  2. “主页 ”屏幕中,选择左侧窗格中的“ 设备 ”。

  3. 设备中 |“概述 ”屏幕的“ 按平台”下,选择“ Windows”。

  4. Windows 中 |“Windows 设备 ”屏幕,选择“ Windows 注册”。

  5. “Windows Autopilot Deployment计划”下,选择“设备”。

  6. 选择要取消阻止的设备,然后选择页面顶部的“ 取消阻止设备 ”按钮。

更新到 Windows Autopilot 的 BitLocker 恢复密钥进程

Microsoft Intune正在更改 9 月 (2309) 服务版本中重复使用的 Windows Autopilot 设备的 BitLocker 重置方式。 以前,在重用通过 Windows Autopilot 配置的设备时,用户可以通过 BitLocker 自助服务访问 BitLocker 恢复密钥。 但是,更改后,用户需要联系其 IT 管理员以请求还原或访问 BitLocker 恢复密钥。 在此更改之前和之后,IT 管理员将继续拥有对恢复密钥的完全访问权限。

用户影响

此更改会影响 Autopilot 设备的新主要用户,他们有权将 BitLocker 密钥自助恢复到该设备。 如果设备的主要用户在整个设备还原或重置中没有更改,则不会受到影响。

如果 IT 管理员执行以下任一操作,则自助式 BitLocker 访问可以继续工作:

如果新的主用户从以前的主用户更改后无法访问 BitLocker 自助服务,则 IT 管理员应在设备属性中更新主用户。 然后,设备上的主用户会在下一个检查更新到新用户。

需要做什么准备?

若要确保平稳过渡,请将此更改通知技术支持。 此外,将文档更新为以下选项之一:

  1. 在还原之前,请暂时记下 BitLocker 恢复密钥,如 BitLocker 恢复指南中所述。
  2. 若要解锁 BitLocker 自助服务访问,请联系技术支持或 IT 管理员。

更新:临时更改

重复使用使用 Windows Autopilot 的设备,并且有新的设备所有者时,新设备所有者必须与管理员联系以获取该设备的 BitLocker 恢复密钥。 管理单元范围的管理员将在设备所有权更改后失去对 BitLocker 恢复密钥的访问权限。 这些作用域内管理员需要联系非作用域管理员以获取恢复密钥。 此更改是作用域内管理员的临时更改,在解决方案到位后将更新。

Win32 应用可配置安装时间影响注册状态页

在 Intune 2308 中,Win32 应用允许你基于每个应用配置安装时间。 此时间以分钟为单位。 如果应用安装时间超过设置的安装时间,则部署将失败应用安装。 为了避免注册状态页 (ESP) 超时失败,对 Win32 应用所做的超时更改也需要增加 ESP 超时以反映这些更改。

Autopilot 配置文件复原能力

下载 Windows Autopilot 策略的弹性更高! 正在推出一项新的更新,该更新增加了在网络连接可能未完全初始化时应用 Windows Autopilot 策略的重试次数。 增加的重试尝试有助于确保在用户开始设置体验之前应用配置文件,并改进时间同步。为此功能安装以下质量更新:

一步删除 Windows Autopilot 注册

从 2307 开始,Windows Autopilot 通过在 Intune 的 Autopilot 设备中添加一步删除设备来更轻松地管理设备。 删除设备的一个步骤意味着现在可以删除设备的 Autopilot 注册,而无需删除 Intune 中的记录。 如果设备在 Intune 中仍然处于活动状态,则删除操作只会删除注册,但它将继续受到管理。 若要在 Intune 中使用此功能,请执行以下操作:

  1. 登录到Microsoft Intune管理中心

  2. “主页 ”屏幕中,选择左侧窗格中的“ 设备 ”。

  3. 设备中 |“概述 ”屏幕的“ 按平台”下,选择“ Windows”。

  4. Windows 中 |“Windows 设备 ”屏幕,选择“ Windows 注册”。

  5. “Windows Autopilot Deployment计划”下,选择“设备”。

  6. 选择要删除的设备,然后在顶部工具栏中选择“ 删除 ”。

设备重命名发生在预预配的技术人员阶段

从 2303 开始,新的功能更改强制在技术人员阶段进行设备重命名,以便为Microsoft Entra联接设备进行预预配。 技术人员选择“预配”按钮后,我们将立即执行设备重命名并重新启动设备,然后转换为设备 ESP。 在用户流期间,将跳过设备重命名,使依赖于设备名称 (的资源(如 System Center Endpoint Protection (SCEP) 证书)) 保持不变。 若要应用此更改,Windows 10安装质量更新KB5023773或更高版本。 对于Windows 11,请安装质量更新KB5023778或更高版本。

在预预配期间安装所需的应用

注册状态页 (ESP) 配置文件中提供了新的切换,可用于选择是否要在预预配技术人员阶段尝试安装所需的应用程序。 我们知道,在预预配期间需要安装尽可能多的应用程序,以减少最终用户的设置时间。 为了帮助你在预预配期间安装尽可能多的应用程序,已实现一个选项来尝试在技术人员阶段安装分配给设备的所有必需应用。 如果应用安装失败,ESP 将继续,ESP 配置文件中指定的应用除外。 若要启用此功能,请在名为“技术人员阶段仅失败所选应用”的新设置上选择“”来编辑注册状态页配置文件。 仅当已选择阻止应用时,才会显示此设置。 有关详细信息,请参阅 更新到应用安装的 Windows Autopilot 预预配过程

注册状态页现在支持新的 Microsoft Store 应用

“注册状态”页 (ESP) 现在支持 Windows Autopilot 期间新的 Microsoft Store 应用程序。 此更新可以更好地支持新的 Microsoft Store 体验,并且应从 Intune 2303 开始向所有租户推出。 有关相关信息,请参阅 设置注册状态页

Win32 应用取代 ESP 改进

从 2023 年 1 月开始,我们目前正在推出 Win32 应用取代 GA,它引入了有关应用跟踪和应用处理的 ESP 行为的增强功能。 具体而言,管理员可能会注意到应用计数发生了变化。 有关详细信息,请参阅 Win32 应用取代改进添加 Win32 应用取代

对临时访问密码的支持

从 2301 Windows Autopilot 开始,Autopilot 支持对已加入Microsoft Entra用户驱动、预预配和自部署模式的共享设备使用临时访问通行证。 临时访问密码是一种限时密码,可配置为多用或单一使用,以允许用户加入其他身份验证方法。 这些身份验证方法包括无密码方法,例如 Microsoft Authenticator、FIDO2 或 Windows Hello 企业版。

有关支持的方案的详细信息,请参阅 临时访问密码

Autopilot 自动设备诊断集合

从 Intune 2209 开始,当设备在 Windows 10 版本 1909 或更高版本的 Autopilot 过程中遇到故障时,Intune 会自动捕获诊断Windows 11。 在失败的设备上完成日志处理后,会自动捕获日志并将其上传到 Intune。 诊断可能包括用户身份信息,例如用户或设备名称。 如果日志在 Intune 中不可用,检查设备是否已开机并有权访问 Internet。 在删除诊断之前,诊断可用 28 天。

有关详细信息,请参阅从 Windows 设备收集诊断

汇报 Autopilot 设备目标基础结构

使用 Intune 2208,我们将更新 Autopilot 基础结构,以确保在部署设备时,分配的配置文件和应用程序始终处于就绪状态。 此更改减少了每个 Autopilot 设备需要同步的数据量。 此外,它还使用设备生命周期更改事件来减少Microsoft Entra加入和Microsoft Entra混合联接的设备从设备重置恢复所需的时间。 无需执行任何操作即可启用此更改。 它从 2022 年 8 月开始向所有客户端推出。

更新适用于Microsoft Entra混合联接设备的 Active Directory 的 Intune 连接器

从 2022 年 9 月开始,Intune 连接器 for Active Directory (ODJ 连接器) 需要.NET Framework版本 4.7.2 或更高版本。 如果尚未使用 .NET 4.7.2 或更高版本,Intune 连接器可能不适用于导致故障的 Autopilot 混合Microsoft Entra部署。 安装新的 Intune 连接器时,请勿使用以前下载的连接器安装包。 安装新连接器之前,请将.NET Framework更新到版本 4.7.2 或更高版本。 从 Microsoft Intune 管理中心的 Intune Connector for Active Directory 部分下载新版本。 如果不使用最新版本,它可能会继续工作,但用于向 Intune 连接器提供更新的自动升级功能不起作用。

从 Windows Autopilot 注册到共同管理

使用 Intune 2205 版本,可以在 Intune 中配置设备注册以启用 共同管理,这在 Autopilot 过程中发生。 此行为以协调的方式在配置管理器和 Intune 之间指导工作负载权限。

如果设备以 Autopilot 注册状态页 (ESP) 策略为目标,则设备将等待Configuration Manager。 配置管理器客户端安装、向站点注册,并应用生产共同管理策略。 然后,Autopilot ESP 将继续运行。

有关详细信息,请参阅 如何使用 Autopilot注册到共同管理

注册状态页的改进

Intune 2202 版本改进了 注册状态页 的功能。 用于选择阻止应用的应用程序选取器具有以下改进:

  • 包括一个搜索框,以便更轻松地选择应用。
  • 修复了无法区分联机或脱机模式下的应用商店应用的问题。
  • “版本 ”添加一个新列,以查看选择了哪个版本的应用程序。

注册状态页应用程序选取器。

一次性自我部署和预配

我们对 Windows Autopilot 自部署模式和预预配模式体验进行了更改,并在设备重用过程中添加了删除设备记录的步骤。 此更改会影响 Autopilot 配置文件设置为自部署或预配模式的所有 Windows Autopilot 部署。 此更改仅在重复使用或重置时影响设备,并且会尝试重新部署。

更多相关信息,请参阅 更新到 Windows Autopilot 登录和部署体验

更新到 Windows Autopilot 登录体验

用户在注册期间必须在初始登录时输入其凭据。 我们不再允许在 UPN) (预先填充Microsoft Entra用户主体名称。

更多相关信息,请参阅 更新到 Windows Autopilot 登录和部署体验

MFA 改变了 Windows Autopilot 的注册流

为了提高Microsoft Entra ID的基线安全性,我们在设备注册期间更改了多重身份验证 (MFA) Microsoft Entra行为。 以前,如果用户在设备注册过程中完成了 MFA,则在注册完成后,MFA 声明会转到用户状态。

现在,注册后不会保留 MFA 声明。 系统会提示用户针对任何需要按策略进行 MFA 的应用重做 MFA。

更多相关信息,请参阅 Windows Autopilot MFA 对注册流的更改

Windows Autopilot 诊断 页

使用 Autopilot 部署Windows 11时,可以让用户查看有关 Autopilot 预配过程的详细故障排除信息。 提供了一个新的 Windows Autopilot 诊断页面,该页面提供了一个用户友好的视图来排查 Windows Autopilot 故障。

以下示例显示了 部署信息的详细信息,其中包括 网络连接Autopilot 设置注册状态。 还可以 导出日志 ,以便进行详细的 故障排除 分析。

Windows Autopilot 诊断页面展开以显示详细信息。

若要启用“诊断”页,请转到 ESP 配置文件。 请确保将“显示应用和配置文件配置进度”选中“”,然后选择“为最终用户启用日志收集和诊断”页旁边的“”。

商业 OOBE 和 Autopilot 用户驱动模式当前支持诊断页。 它目前在 Windows 11 上可用。 在 Intune 中启用此设置时,Windows 10用户仍然可以收集和导出诊断日志。

后续步骤