设置注册状态页
适用对象
- Windows 10
- Windows 11
注册状态页 (ESP) 显示注册 Windows 设备和首次登录的人员的预配状态。 可以将 ESP 配置为在安装所有必需的策略和应用程序前阻止设备使用。 设备用户可以查看 ESP,以跟踪其设备在安装过程中的进展。
ESP 可以在默认的现用体验期间部署, (OOBE) Microsoft Entra 联接和任何 Windows Autopilot 预配方案。
若要将 ESP 部署到设备,必须在 Microsoft Intune 中创建 ESP 配置文件。 在配置文件中,可以配置控制以下项的 ESP 设置:
- 安装进度指示器的可见性。
- 预配期间的设备访问。
- 时间限制。
- 允许的故障排除操作。
本文介绍注册状态页跟踪的信息以及如何创建 ESP 配置文件。
Windows CSP
ESP 使用 EnrollmentStatusTracking 配置服务提供程序 (CSP) 和 FirstSyncStatus CSP 来跟踪应用安装。
创建新的配置文件
转到 “设备>注册”。
选择“ Windows ”选项卡。
在 “Windows Autopilot”下,选择“ 注册状态页”。
选择“创建”。
在“基本信息”中,输入以下属性:
- 名称:为配置文件命名,以便稍后可以轻松识别它。
- 说明:输入配置文件的说明。 此设置是可选的,但建议进行。
选择 下一步。
在设置中,配置以下设置:
显示应用和配置文件配置进度 - 你的选项有:
- 不:设备设置期间不会显示注册状态页。 如果不想向用户显示 ESP,请选择此选项。
- 是:设备设置期间将显示注册状态页。
当安装时间超过指定分钟数时显示错误:默认超时为 60 分钟。 如果你认为在设备上安装应用需要更多时间,请输入更高的值。
在出现时间限制或错误时显示自定义消息:加入一条消息,告知人员发生了什么情况以及联系谁以寻求帮助。 选项包括:
- 不:发生错误时,将向用户显示默认消息。 该消息为:“无法完成安装。 请重试,或者联系你的 IT 支持人员以获取帮助。”
- 是:出现错误时,会向用户显示自定义消息。 在提供的文本框中输入你的消息。
为最终用户打开日志收集和诊断页:建议启用此选项,因为用户的日志和诊断可以帮助进行故障排除。 选项包括:
- 不:发生安装错误时,不会向用户显示收集日志按钮。 运行 Windows 11 的设备上不显示 Windows Autopilot 诊断页面。
- 是:当发生安装错误时,将向用户显示收集日志按钮。 Windows Autopilot 诊断页面显示在运行 Windows 11 的设备上。
仅向由现成体验 (OOBE) 预配的设备显示页面 :使用此设置可阻止注册状态页重新显示给登录到设备的每个新用户。 选项包括:
- 否:注册状态页在设备阶段显示, (OOBE) 的现装体验。 该页面还会在 用户阶段 显示给首次登录设备的每个用户。
- 是:注册状态页在设备阶段和 OOBE 期间显示。 页面也会在用户阶段显示,但仅显示登录到设备的第一个用户。 它不会显示给登录到设备的后续用户。
在安装所有应用和配置文件之前阻止设备使用:你的选项有:
- 不:用户可以在 Intune 完成设备设置之前离开 ESP。
- 是:在设置设备完成 Intune 之前,用户无法离开 ESP。 此选项将解锁此方案的其他设置。
出现安装错误时允许用户重置设备:你的选项有:
- 不:ESP 不为用户提供在安装失败时重置其设备的选项。
- 是:ESP 为用户提供在安装失败时重置其设备的选项。
出现安装错误时允许用户使用设备:你的选项有:
- 不:ESP 不向用户提供在安装失败时绕过 ESP 的选项。
- 是:ESP 为用户提供在安装失败时绕过 ESP 并使用其设备的选项。
如果这些所需应用已分配给用户/设备,则在安装这些应用之前阻止设备使用:你的选项有:
- 全部:必须先安装所有分配的应用,然后用户才能使用其设备。
- 已选择:必须先安装所选应用,用户才能使用其设备。 选择 “选择应用” 以启动 “阻止应用 ”列表。 此选项可解锁 “阻止应用 ”设置。
在技术人员阶段仅失败选定的阻止应用:将此设置与 Windows Autopilot 预预配部署配合使用,以控制 在技术人员流期间所需应用的优先级。 仅当添加了 阻止应用 并且仅适用于正在进行预预配的设备时,此设置才可用。 选项包括:
- 否:尝试安装阻止的应用。 如果阻止应用无法安装,Autopilot 部署将失败。 不会尝试安装非阻止应用。 当最终用户收到重新密封的设备并首次登录时,ESP 会尝试安装非阻止应用。
- 是:尝试安装所有必需的应用。 如果阻止应用无法安装,Autopilot 部署将失败。 如果面向设备的非阻止应用无法安装,ESP 将忽略它,并像正常一样继续部署。 当最终用户首次登录到重新密封的设备时,ESP 会重新尝试安装在技术人员阶段无法安装的应用。 此设置是预预配部署的默认设置。
提示
使用此功能时,预计在技术阶段的预配时间会增加。 分配的应用越多,花费的时间就越长。 如果使用第三方来预配设备,请告知他们预配时间增加的可能性。 增加 ESP 超时持续时间,以防止部署因超时而失败。
选择 下一步。
在 “分配”中,选择要接收配置文件的组。 (可选)选择编辑筛选器以进一步限制策略分配。
注意
由于 OS 限制,ESP 分配提供了有限的筛选器选择。 选取器仅显示具有为
model
、、、operatingSystemSKU
deviceOwnership
manufacturer
osVersion
、 和enrollmentProfileName
属性定义的规则的筛选器。model
和manufacturer
可用于 Windows 11 版本 23H2 和 KB5035942 或更高版本,或具有 KB5035942 或更高版本的版本 22H2。 包含其他属性的筛选器不可用。选择“下一步”。
(可选)在作用域标记中,分配标记以将配置文件管理限制为特定 IT 组,例如
US-NC IT Team
或JohnGlenn_ITDepartment
。 然后选择“下一步”。注意
作用域标记限制可在管理中心中查看 ESP 和重新设置 ESP 配置文件优先级的人员。 作用域的用户可以判断其配置文件的相对优先级,即使他们在 Intune 中看不到其他所有配置文件。 有关范围标记的详细信息,请参阅 为分布式 IT 使用基于角色的访问控制和范围标记。
在“查看并创建”中查看设置。 选择“创建”后,将保存所做的更改并分配配置文件。 部署后,下次设备签入时将应用配置文件。 可以从配置文件列表访问配置文件。
编辑默认配置文件
当没有其他 ESP 配置文件可供分配时,Intune 会将默认配置文件应用于所有用户和所有设备。 可以将默认配置文件配置为显示或隐藏 ESP。
选择默认配置文件。
选择“属性”。
转到设置部分,然后选择编辑。
配置显示应用和配置文件安装进度以设置默认配置文件的行为。 选项包括:
- 不:在初始设备设置和登录期间,ESP 对用户不可见。
- 是:ESP 在初始设备设置和登录期间对用户可见。
如果选择是,则可以配置更多设置。
选择“查看 + 保存”。
查看更改摘要,然后选择保存。
设置配置文件的优先级
如果为用户或设备分配了多个 ESP 配置文件,则优先级最高的配置文件优先于其他配置文件。 设置为 1 的配置文件具有最高优先级。 未将其他配置文件分配给设备或用户时,Intune 将应用默认 ESP 配置文件。
Intune 按以下顺序应用配置文件:
- Intune 应用分配给设备的最高优先级配置文件。
- 如果没有针对设备的配置文件,Intune 将应用分配给用户的最高优先级配置文件。 这仅适用于有用户的情况。 在预预配和自部署方案中,Intune 仅应用面向设备的配置文件。
- 如果未向设备或用户分配配置文件,Intune 将应用默认 ESP 配置文件。
若要设置配置文件的优先级,请执行以下操作:
- 将光标悬停在列表中的配置文件上,直到看到三个垂直点。
- 将配置文件拖动到列表中想要的位置。
在安装特定应用程序之前阻止访问设备
指定必须安装的应用,然后用户才能退出 ESP。 最多可以选择 100 个应用。
- 选择注册状态页配置文件,然后选择 “设置”。
- 有关“显示应用和配置文件安装进度”,请选择“是”。
- 有关“在安装所有应用和配置文件之前阻止设备使用”,请选择“是”。
- 有关“如果这些所需应用已分配给用户/设备,则在安装这些应用之前阻止设备使用”,请选择“已选择”。
- 选择“选择应用>”,选择“应用>”“选择>保存”。
Intune 使用此列表中包含的应用来筛选应被视为要阻止的列表。 它并未指定应安装的应用。 例如,如果将此列表配置为包括:
- 应用 1
- 应用 2
- 应用 3
应用 3 和应用 4 面向设备或用户,ESP 仅跟踪应用 3。 应用 4 仍已安装,但 ESP 不会等待它完成。
ESP 跟踪
注册状态页跟踪预配的这些阶段:
- 设备准备
- 设备设置
- 帐户设置
本部分介绍每个阶段跟踪的信息、应用和策略的类型。
设备准备
在设备准备期间,注册状态页跟踪设备用户的以下任务:
- 保护硬件
- 加入组织的网络
- 注册设备以进行移动管理
保护硬件
此任务可确保设备完成受信任的平台模块 (TPM) 密钥证明,并使用Microsoft Entra ID 验证其标识。 Microsoft Entra ID 将令牌发送到设备,该令牌在Microsoft Entra 联接期间使用。
Autopilot 自部署模式和 Autopilot 预预配部署需要此步骤。 用户驱动模式下的 Windows Autopilot 应用场景不需要此功能。
加入组织的网络
设备使用在上一步中收到的令牌加入Microsoft Entra ID。 在 Autopilot 自部署模式和 Autopilot 预预配部署中,此步骤是必需的。 用户驱动模式下的设备在打开 ESP 时已完成此任务。
注册设备以进行移动管理
设备在 Microsoft Intune 中注册移动设备管理 (MDM)。
在 Autopilot 自部署模式和 Autopilot 预预配部署中,此步骤是必需的。 用户驱动模式下的设备在打开 ESP 时已完成此步骤。
注册后,设备会计算下一阶段跟踪所需的策略和应用。 对于 Windows 10 版本 1903 及更高版本,设备还会为 SideCar 代理创建跟踪策略,并安装用于安装 Win32 应用的 Intune 管理扩展。
设备设置
注册状态页在设备设置阶段跟踪这些项:
- 安全策略
- 证书配置文件
- 网络连接
- 应用
设备设置:安全策略
ESP 不跟踪安全策略,例如设备限制,但这些策略将在后台进行安装。 ESP 会跟踪 Microsoft Edge、分配的访问权限和展台浏览器策略。
提示
完成后,安全策略的状态将在 ESP 上显示为 (第 1 个,共 1 个) 已完成。
设备设置:证书
ESP 跟踪针对设备的 SCEP 证书配置文件的安装。
设备设置:网络连接
ESP 跟踪面向设备的 VPN 和 Wi-Fi 配置文件。
设备设置:应用
ESP 跟踪在设备上下文中部署并面向设备的应用的安装,包括:
- 每个计算机业务线 (LoB) MSI 应用。
- LoB 存储安装上下文 = 设备的应用。
- 当前支持的 Windows 版本的 Win32 应用程序。
- WinGet 应用程序。
注意
不要混合使用 LOB 和 Win32 应用。 LOB (MSI) 和 Win32 安装程序均使用不允许同时安装的 TrustedInstaller。 如果 OMA DM 代理启动 MSI 安装,Intune 管理扩展插件将使用相同的 TrustedInstaller 启动 Win32 应用安装。 在这种情况下,Win32 应用安装会失败并返回“另一个安装正在进行中,请稍后再试”错误消息。 在这种情况下,ESP 会失败。 因此,使用 Windows Autopilot 时不要混合使用 LOB 和 Win32 应用。
如果需要混合 LOB 和 Win32 应用,请考虑使用 Windows Autopilot 设备准备,它不使用 ESP,因此支持混合 LOB 和 Win32 应用。
帐户设置
在帐户设置阶段,ESP 跟踪面向用户的应用和策略,包括:
安全策略
证书
网络连接
应用
提示
在安装开始之前,设备会创建跟踪策略并计算需要跟踪的所有应用和策略。 发生这种情况时,ESP 会显示子任务处于 标识 状态。
帐户设置:安全策略
ESP 不跟踪安全策略,例如设备限制,但这些策略将在后台进行安装。 ESP 会跟踪 Microsoft Edge、分配的访问权限和展台浏览器策略。
帐户设置:证书
ESP 跟踪分配给用户的 SCEP 证书配置文件的安装。
帐户设置:网络连接
ESP 跟踪分配给用户的 Wi-Fi 配置文件。
帐户设置:应用
在此阶段,ESP 跟踪分配给用户的应用的安装。 ESP 跟踪适用于 Windows 10 版本 1903 及更高版本的 Win32 应用。
当将以下类型的应用分配给所有设备、所有用户或包含注册设备用户的用户组时,还会跟踪这些应用类型:
- 每个用户 LoB MSI 应用。
- 按计算机 LoB MSI 应用。
- LoB 应用商店应用、在线商店应用和脱机应用商店应用。
如果使用 Microsoft Entra 混合联接,则预配期间不会跟踪分配给具有用户安装上下文的设备的 Win32 和 UWP 应用。
已知问题
本部分列出了注册状态页的已知问题。
创建在 ESP 期间部署的应用时,在应用中打包的任何重新启动都可能导致 ESP 挂起并导致部署失败。 建议在 Intune 中指定重启行为,而不是在包中触发重启。
禁用 ESP 配置文件不会从设备中删除 ESP 策略,并且用户在首次登录设备时仍会收到 ESP。 禁用 ESP 配置文件后未删除策略。
设备设置期间重启将强制用户输入凭据才能进入帐户设置阶段。 重启时不会保留用户凭据。 指示设备用户输入其凭据以继续进入帐户设置阶段。
ESP 在运行 Windows 10 版本 1903 及更低版本并通过“添加工作和学校帐户”选项进行注册的设备上始终超时。 ESP 等待Microsoft Entra 注册完成。 已在 Windows 10 版本 1903 及更高版本中修复此问题。
使用 ESP 的混合Microsoft Entra Autopilot 部署所花费的时间超过在 ESP 配置文件中输入的超时持续时间。 在混合Microsoft Entra Autopilot 部署中,ESP 花费的时间比 ESP 配置文件中设置的值长 40 分钟。 例如,在配置文件中将超时持续时间设置为 30 分钟。 ESP 可能需要 30 分钟 + 40 分钟。 此延迟使本地 AD 连接器有时间创建新设备记录以Microsoft Entra ID。
在 Autopilot 用户驱动模式下,Windows 登录页不会预填充用户名。 如果在 ESP 的设备设置阶段出现重启:
- 不会保留用户凭据
- 用户必须先重新输入凭据,然后才可由设备设置阶段继续转到帐户设置阶段
ESP 长时间停滞,或始终未完成“正在识别”阶段。 在识别阶段期间,Intune 将计算 ESP 策略。 若当前用户未分配 Intune 许可证,设备可能始终无法完成计算 ESP 策略。
配置 Microsoft Defender 应用程序控制会导致在 Autopilot 期间提示重启。 配置 Microsoft Defender 应用程序 (AppLocker CSP) 需要重启。 配置此策略后,可能会导致设备在 Autopilot 期间重启。 目前无法取消或推迟此重启。
当作为 ESP 配置文件的一部分启用 DeviceLock 策略 时,OOBE 或用户桌面自动登录可能会由于两个原因意外失败。
- 如果在退出 ESP 设备设置阶段之前设备未重新启动,系统可能会提示用户输入其Microsoft Entra 凭据。 出现此提示,而不是成功自动登录,用户会看到 Windows 首次登录动画。
- 如果设备在用户输入其Microsoft Entra 凭据之后但在退出 ESP 设备设置阶段之前重新启动,则自动登录将失败。 因为 ESP 设备设置阶段始终未完成,因此会出现此故障。 解决方法为重置设置。
ESP 不适用于注册了组策略 (GPO) 的 Windows 设备。
在用户上下文中运行的脚本 (使用脚本属性上的登录凭据运行此 脚本设置为 “是 ”,) 在 ESP 期间可能不会执行。 解决方法是,通过将此设置更改为 no,在系统上下文中执行脚本。
Microsoft 365 应用可能会导致 ESP 在应用安装过程中挂起,特别是在以下情况下:
- 使用 Microsoft 365 应用 (Windows 10 及更高版本) 应用类型,将 Microsoft 365 应用添加到 Microsoft Intune。
- ESP 正在跟踪 Microsoft 365 应用版的安装。
- Microsoft 365 应用在安装另一个正在跟踪的 Win32 应用期间开始安装。
若要防止 ESP 在安装过程中挂起并导致部署失败,我们建议使用 Win32 应用类型部署具有 Microsoft Intune 的 Microsoft 365 应用。
疑难解答
有关与 ESP 相关的错误或消息的帮助,包括如何禁用已启用的 ESP,请参阅 Windows 注册状态页疑难解答。