Windows Autopilot 用户驱动模式

Windows Autopilot 用户驱动模式允许你配置新的 Windows 设备,以将其从出厂状态自动转换为随时可用的状态。 此过程不需要 IT 人员触摸设备。

此过程很简单。 可按照以下说明直接向最终用户寄送或分发设备:

  1. 拆开设备的包装,插上电源,然后将其打开。
  2. 如果它使用多种语言,请选择语言、区域设置和键盘。
  3. 将其连接到具有 Internet 访问权限的无线或有线网络。 如果使用无线,请先连接到 WI-Fi 网络。
  4. 为你的组织帐户指定电子邮件地址和密码。

该过程的其余部分是自动化的。 设备执行以下步骤:

  1. 加入组织。
  2. 注册 Microsoft Intune 或其他 MDM 服务。
  3. 按照组织的规定获得配置。

在现 (OOBE) 体验期间,可以禁止显示任何其他提示。 有关可用选项的详细信息,请参阅 配置 Autopilot 配置文件

重要

如果使用 Active Directory 联合身份验证服务 (ADFS) ,则存在一个已知问题,即最终用户可以使用与分配给该设备的帐户不同的帐户登录。

Windows Autopilot 用户驱动模式支持Microsoft Entra加入和Microsoft Entra混合联接设备。 有关这两个联接选项的详细信息,请参阅以下文章:

用户驱动过程的步骤如下所示:

  1. 设备连接到网络后,设备将下载 Windows Autopilot 配置文件。 配置文件定义用于设备的设置。 例如,定义 OOBE 期间禁止显示的提示。

  2. Windows 会检查关键 OOBE 更新。 如果有可用的更新,则会自动安装它们。 如有必要,设备将重新启动。

  3. 系统会提示用户输入Microsoft Entra凭据。 此自定义用户体验显示Microsoft Entra租户名称、徽标和登录文本。

  4. 设备Microsoft Entra ID或 Active Directory 联接,具体取决于 Windows Autopilot 配置文件设置。

  5. 设备注册到 Intune 或其他配置的 MDM 服务。 根据组织需求,将进行此注册:

    • 在Microsoft Entra加入过程中,使用 MDM 自动注册。

    • 在 Azure Active Directory 联接过程之前。

  6. 如果已配置,则会 (ESP) 显示 注册状态页

  7. 设备配置任务完成后,用户将使用之前提供的凭据登录到 Windows。 如果设备在设备 ESP 过程中重启,用户必须重新输入其凭据。 重新启动后,这些详细信息不会保留。

  8. 登录后,将显示用户目标配置任务的注册状态页。

如果在此过程中发现任何问题,请参阅 Windows Autopilot 疑难解答

有关可用联接选项的详细信息,请参阅以下部分:

用于加入Microsoft Entra的用户驱动模式

若要使用 Windows Autopilot 完成用户驱动的部署,请按照以下准备步骤操作:

  1. 确保执行用户驱动模式部署的用户可以将设备加入到Microsoft Entra ID。 有关详细信息,请参阅Microsoft Entra文档中的配置设备设置

  2. 使用所需设置为用户驱动模式创建 Autopilot 配置文件。

    • 在 Intune 中,创建配置文件时会显式选择此模式。

    • 在 适用于企业的 Microsoft Store 和合作伙伴中心,默认为用户驱动模式。

  3. 如果使用 Intune,请在 Microsoft Entra ID 中创建一个设备组,并将 Autopilot 配置文件分配给该组。

对于使用用户驱动部署部署的每个设备,需要执行以下额外步骤:

  • 将设备添加到 Windows Autopilot。 可以通过两种方式执行此步骤:

  • 将 Autopilot 配置文件分配给设备:

    • 如果使用 Intune 和Microsoft Entra动态设备组,则可以自动完成此分配。

    • 如果使用 Intune 并Microsoft Entra静态设备组,请手动将设备添加到设备组。

    • 如果使用其他方法(如 适用于企业的 Microsoft Store 或合作伙伴中心),请手动将 Autopilot 配置文件分配给设备。

提示

如果设备的预期最终状态是共同管理,则可以在 Intune 中配置设备注册以启用共同管理,这在 Autopilot 过程中发生。 此行为以协调的方式在配置管理器和 Intune 之间指导工作负载权限。 有关详细信息,请参阅 如何注册 Autopilot

Microsoft Entra混合加入的用户驱动模式

重要

Microsoft 建议使用 Microsoft Entra join 将新设备部署为云原生设备。 不建议将新设备部署为Microsoft Entra混合联接设备,包括通过 Autopilot 部署。 有关详细信息,请参阅在云原生终结点中加入Microsoft Entra与Microsoft Entra混合联接:哪个选项适合你的组织

Windows Autopilot 要求Microsoft Entra加入设备。 如果具有本地 Active Directory 环境,则可以将设备加入到本地域。 若要加入设备,请将 Autopilot 设备配置为混合加入,以Microsoft Entra ID

提示

当 Microsoft 与使用Microsoft Intune和Microsoft Configuration Manager来部署、管理和保护其客户端设备的客户交谈时,我们经常遇到有关共同管理设备和Microsoft Entra混合联接设备的问题。 许多客户混淆了这两个主题。 共同管理是一种管理选项,而Microsoft Entra ID是标识选项。 有关详细信息,请参阅了解混合Microsoft Entra和共同管理方案。 此博客文章旨在阐明Microsoft Entra混合联接和共同管理,以及它们如何协同工作,但并非同一回事。

在 Windows Autopilot 用户驱动模式下预配新计算机以Microsoft Entra混合联接时,无法部署 Configuration Manager 客户端。 此限制是由于在Microsoft Entra加入过程中设备的身份更改。 在 Autopilot 进程之后部署 Configuration Manager 客户端。 有关安装客户端的替代选项,请参阅 Configuration Manager 中的客户端安装方法。

使用混合Microsoft Entra ID的用户驱动模式的要求

  • 为用户驱动模式创建 Windows Autopilot 配置文件。

    在 Autopilot 配置文件中,在“加入到Microsoft Entra ID为”下,选择“Microsoft Entra混合联接”。

  • 如果使用 Intune,则需要Microsoft Entra ID中的设备组。 将 Windows Autopilot 配置文件分配给组。

  • 如果使用 Intune,请创建并分配域加入配置文件。 域加入配置文件包括本地 Active Directory 域信息。

  • 设备需要访问 Internet。 有关详细信息,请参阅 网络要求

  • 安装适用于 Active Directory 的 Intune 连接器。

    注意

    Intune 连接器将设备加入本地域。 用户不需要将设备加入本地域的权限。 此行为假定你代表用户配置此操作的连接器。 有关详细信息,请参阅增加组织单位中的计算机帐户限制

  • 如果使用代理,请启用并配置 WPAD 代理设置选项。

除了用户驱动Microsoft Entra混合联接的这些核心要求外,以下额外要求也适用于本地设备:

  • 该设备具有当前支持的 Windows 版本。

  • 设备已连接到内部网络,并有权访问 Active Directory 域控制器。

    • 它需要解析域和域控制器的 DNS 记录。

    • 它需要与域控制器通信才能对用户进行身份验证。

使用 VPN 支持Microsoft Entra混合加入的用户驱动模式

加入 Active Directory 的设备需要连接到 Active Directory 域控制器才能进行许多活动。 这些活动包括在用户登录时验证凭据,以及应用组策略设置。 Microsoft Entra混合加入设备的 Autopilot 用户驱动过程验证设备是否可以通过 ping 该域控制器来联系域控制器。

通过为此方案添加 VPN 支持,可以将Microsoft Entra混合加入过程配置为跳过连接检查。 此更改不会消除与域控制器通信的需要。 相反,为了允许连接到组织的网络,Intune 在用户尝试登录到 Windows 之前提供所需的 VPN 配置。

使用混合Microsoft Entra ID和 VPN 的用户驱动模式的要求

除了具有Microsoft Entra混合联接的用户驱动模式的核心要求外,以下额外要求也适用于支持 VPN 的远程方案:

  • 当前支持的 Windows 版本。

  • 在 Autopilot 的Microsoft Entra混合加入配置文件中,启用以下选项:跳过域连接检查

  • 具有以下选项之一的 VPN 配置:

    • 可以使用 Intune 进行部署,并允许用户从 Windows 登录屏幕手动建立 VPN 连接。

    • 根据需要自动建立 VPN 连接。

所需的特定 VPN 配置取决于使用的 VPN 软件和身份验证。 对于第三方 VPN 解决方案,此配置通常涉及通过 Intune 管理扩展部署 Win32 应用。 此应用将包括 VPN 客户端软件和任何特定的连接信息。 例如,VPN 终结点主机名。 有关特定于该提供程序的配置详细信息,请参阅 VPN 提供商的文档。

注意

VPN 要求不特定于 Autopilot。 例如,如果实现 VPN 配置以启用远程密码重置,则可以将相同的配置用于 Windows Autopilot。 此配置将允许用户在不在组织的网络上时使用新密码登录到 Windows。 用户登录并缓存其凭据后,后续登录尝试不需要连接,因为 Windows 使用缓存的凭据。

如果 VPN 软件需要证书身份验证,请使用 Intune 部署所需的设备证书。 可以使用 Intune 证书注册功能完成此部署,并将证书配置文件定向到设备。

某些配置不受支持,因为它们在用户登录到 Windows 之前不会应用:

  • 用户证书
  • 来自 Windows 应用商店的非 Microsoft UWP VPN 插件

Validation

在尝试使用 VPN Microsoft Entra混合加入之前,请务必确认Microsoft Entra混合加入过程的用户驱动模式是否适用于内部网络。 此测试通过在添加 VPN 配置之前确保核心过程正常工作来简化故障排除。

接下来,确认可以使用 Intune 部署 VPN 配置及其要求。 使用已Microsoft Entra混合联接的现有设备测试这些组件。 例如,某些 VPN 客户端在安装过程中创建每台计算机 VPN 连接。 使用以下步骤验证配置:

  1. 验证是否至少为每个计算机创建了一个 VPN 连接。

    Get-VpnConnection -AllUserConnection

  2. 尝试手动启动 VPN 连接。

    RASDIAL.EXE "ConnectionName"

  3. 注销 Windows。 验证是否可以在 Windows 登录页上看到“VPN 连接”图标。

  4. 将设备移出内部网络,并尝试使用 Windows 登录页上的图标建立连接。 登录到没有缓存凭据的帐户。

对于自动连接的 VPN 配置,验证步骤可能有所不同。

注意

对于此方案,可以使用 Always-On VPN。 有关详细信息,请参阅 部署 Always-On VPN

后续步骤