用于预配置部署的 Windows Autopilot

• 适用于:

  ✅ Windows 11, ✅ Windows 10

Windows Autopilot 可帮助组织使用预安装的 OEM 映像和驱动程序轻松预配新设备。 此功能允许最终用户使用简单的过程使其设备可供业务使用。

Windows Autopilot 还可以提供 预预配 服务，帮助合作伙伴或 IT 人员预配完全配置且业务就绪的 Windows 电脑。 从最终用户的角度来看，Windows Autopilot 用户驱动的体验保持不变，但将设备设置为完全预配状态会更快。

对于 预预配部署的 Windows Autopilot，预配过程是拆分的。 耗时部分由 IT、合作伙伴或 OEM 完成。 最终用户只需完成一些必要的设置和策略，即可开始使用其设备。

预预配部署在当前支持的 Windows 版本中使用 Microsoft Intune。 此类部署基于现有的 Windows Autopilot 用户驱动方案，并支持已加入Microsoft Entra和Microsoft Entra混合联接设备的用户驱动模式方案。

先决条件

除了 Windows Autopilot 要求外，预预配部署的 Windows Autopilot 还需要：

• 当前支持的 Windows 版本。
• Windows 专业版、企业版或教育版。
• Intune 订阅。
• 支持受信任的平台模块 (TPM) 2.0 和设备证明的物理设备。 不支持虚拟机。 预配置过程使用 Windows Autopilot 自行部署功能，因此需要 TPM 2.0。 TPM 证明过程还需要访问一组 HTTPS URL，这些 URL 对于每个 TPM 提供程序都是唯一的。 有关详细信息，请参阅网络要求中有关 Autopilot 自部署模式和 Autopilot 预配置的条目。
• 网络连接。 使用无线连接需要先选择区域、语言和键盘，然后才能进行连接并开始预配。
• ESP) 配置文件 (注册状态页必须面向设备。

重要

• 由于 OEM 或供应商执行预预配过程，因此此过程 不需要访问最终用户的本地域基础结构。 预预配过程与典型的Microsoft Entra混合联接方案不同，因为重启设备会推迟。 设备在预期连接到域控制器之前重新密封，当最终用户在本地取消装箱时，将联系域网络。

• 请参阅 Windows Autopilot 已知问题和Autopilot 设备导入和注册疑难解答 ，以查看已知问题及其解决方案。

准备

预定进行预预配的设备通过正常注册过程注册 Autopilot。

若要准备为预配置的部署试用 Windows Autopilot，请确保可以首先成功使用现有的 Windows Autopilot 用户驱动方案：

• 用户驱动的Microsoft Entra加入。 请确保可以使用 Windows Autopilot 部署设备并将其加入Microsoft Entra ID租户。

• 具有Microsoft Entra混合联接的用户驱动。 若要启用Microsoft Entra混合联接的功能，请确保可以：

  • 使用 Windows Autopilot 部署设备。
  • 将设备加入本地 Active Directory域。
  • 向 Microsoft Entra ID 注册设备。

  重要

  Microsoft 建议使用 Microsoft Entra join 将新设备部署为云原生设备。 不建议将新设备部署为Microsoft Entra混合联接设备，包括通过 Autopilot 部署。 有关详细信息，请参阅在云原生终结点中加入Microsoft Entra与Microsoft Entra混合联接：哪个选项适合你的组织。

如果无法完成这些方案，则预预配部署的 Windows Autopilot 也不会成功，因为它基于这些方案构建。

在预配服务设施中启动预预配过程之前，必须使用 Intune 帐户配置另一个 Autopilot 配置文件设置。 以下文章提供了有关如何为预预配配置 Autopilot 配置文件的详细教程：

• Windows Autopilot 的分步教程，用于预预配部署Microsoft Entra加入 Intune
• Windows Autopilot 的分步教程，用于预预配部署Microsoft Entra Intune 中的混合联接

预预配过程应用来自 Intune 的所有面向设备的策略。 这些策略包括证书、安全模板、设置、应用等 - 任何面向设备的信息。 此外，如果 Win32 或 LOB 应用满足以下条件，则会安装任何 Win32 或 LOB 应用：

• 配置为安装在设备上下文中。
• 分配给设备或预分配到 Autopilot 设备的用户。

重要

请确保不要将 Win32 和 LOB 应用同时面向同一设备。 有关详细信息，请参阅将 Windows 业务线应用添加到Microsoft Intune。

注意

选择 Autopilot 配置文件中指定的用户的语言模式，以确保轻松访问预预配模式。 预预配技术人员阶段将安装所有面向设备的应用以及面向已分配用户的任何面向用户的设备上下文应用。 如果没有分配的用户，则只安装面向设备的应用。 在用户登录到设备之前，不会应用其他用户定向策略。 若要验证这些行为，请务必针对设备和用户创建适当的应用和策略。

应用场景

用于预配置部署的 Windows Autopilot 支持两种不同方案：

• 具有Microsoft Entra联接的用户驱动部署。 设备已加入Microsoft Entra租户。

• 具有Microsoft Entra混合联接的用户驱动部署。 设备已加入本地 Active Directory域，并分别注册到 Microsoft Entra ID。

  重要

  Microsoft 建议使用 Microsoft Entra join 将新设备部署为云原生设备。 不建议将新设备部署为Microsoft Entra混合联接设备，包括通过 Autopilot 部署。 有关详细信息，请参阅在云原生终结点中加入Microsoft Entra与Microsoft Entra混合联接：哪个选项适合你的组织。

其中每个方案都包含两个部分：技术人员流和用户流。 概括而言，这些部分对于Microsoft Entra联接和Microsoft Entra混合联接是相同的。 最终用户将在身份验证步骤中看到这些差异。

技术人员流程

在客户或 IT 管理员通过Intune面向其设备所需的所有应用和设置后，预预配技术人员可以开始预预配过程。 技术人员可以是 IT 人员、服务合作伙伴或 OEM 的成员 ， 每个组织都可以决定谁应该执行这些活动。 无论方案如何，技术人员完成的过程都是相同的：

• 启动设备。

• 从第一个现成体验 (OOBE) 屏幕 (（可以是语言选择、区域设置选择屏幕或Microsoft Entra登录页) ），请不要选择“下一步”。 相反，按 Windows 键五次以查看另一个选项对话框。 在该屏幕中，选择“Windows Autopilot 设配”选项，然后选择“继续”。

• 在 Windows Autopilot 配置 屏幕上，它显示有关设备的以下信息：

  • 分配给设备的 Autopilot 配置文件。

  • 设备的组织名称。

  • 分配到设备的用户 (（如果有一个) ）。

  • 包含设备唯一标识符的 QR 代码。 可以使用此代码在 Intune 中查找设备，可能需要执行此操作以更改配置。 例如，将用户或设备添加到应用或策略目标所需的组。

    注意

    可以使用配套应用扫描 QR 码。 应用还会配置设备以指定其所属的人员。 Autopilot 团队创建了一个使用 图形 API 与 Intune 集成的配套应用的开源示例。 它在 GitHub 上可用。

• 验证显示的信息。 如果需要任何更改，请进行更改，然后选择“刷新”以重新下载更新的 Autopilot 配置文件详细信息。

• 选择“设置”以开始配置过程。

如果预预配过程成功完成：

• 此时会显示一个成功状态屏幕，其中包含有关设备的信息，包括前面提供的相同详细信息。 例如，Autopilot 配置文件、组织名称、分配的用户和 QR 代码。 还提供了预配步骤的已用时间。

• 选择“重新封装”以关闭设备。 此时，设备可以运送给最终用户。

注意

技术人员流从 自部署模式继承行为。 Self-Deploying 模式使用“注册状态”页将设备置于预配状态。 处于预配状态的设备阻止用户在注册后但在完成应用软件和配置之前继续进入桌面。 因此，如果“注册状态页”处于禁用状态状态页状态，则会在应用软件和配置之前显示“重新密封”按钮。 此行为可以允许在技术人员流预配完成之前继续处理用户流。 成功屏幕验证注册是否成功，而不是技术人员流是否一定完成。

如果预配置过程失败：

• 将显示错误状态屏幕，其中包含有关设备的信息，包括前面提供的相同详细信息。 例如，Autopilot 配置文件、组织名称、分配的用户和 QR 代码。 还提供了预配步骤的已用时间。
• 可以从设备收集诊断日志，然后可以重置它以重新开始该过程。

用户流程

重要

• 为了确保在技术人员流和用户流之间正确刷新令牌，请在运行技术人员流后至少等待 90 分钟，然后再运行用户流。 当用户流在技术人员流完成后 90 分钟内运行时，此方案主要影响实验室和测试方案。

• Microsoft Entra ID中的符合性在用户流期间重置。 技术人员流完成后，设备可能会在Microsoft Entra ID显示为合规，但在用户流启动后，设备会显示为不符合要求。 在用户流完成后留出足够的时间来重新评估和更新符合性。

如果预预配过程成功完成，并且设备已重新密封，则可以交付给最终用户。 最终用户按照以下步骤完成正常的 Windows Autopilot 用户驱动过程：

• 接通设备电源。

• 选择适当的语言、区域设置和键盘布局。

• 连接到网络（如果使用 Wi-Fi）。 始终需要 Internet 访问。 如果使用Microsoft Entra混合联接，还必须与域控制器建立连接。

• 如果使用 Microsoft Entra join，请在品牌登录屏幕上输入用户的Microsoft Entra凭据。

• 如果使用Microsoft Entra混合联接，设备将重新启动;重新启动后，输入用户的 Active Directory 凭据。

  注意

  在某些情况下，在Microsoft Entra混合联接方案中，还会提示输入Microsoft Entra凭据。 例如，如果未使用 ADFS。

• 更多策略和应用将传递到设备，如注册状态页 (ESP) 跟踪。 一旦完成，用户就可以访问桌面。

设备 ESP 在用户流期间重新运行，以便在用户登录时同时运行设备和用户 ESP。 此行为允许 ESP 在设备完成技术人员阶段后安装分配给设备的其他策略。

注意

如果在技术人员流期间禁用了 Microsoft 帐户 Sign-In 助手 (wlidsvc) ，则Microsoft Entra登录选项可能不会显示。 相反，系统会要求用户接受 EULA 并创建本地帐户，这可能不是所需行为。

相关文章

• 预预配视频。
• 什么是设备标识？。
• 详细了解云原生终结点。
• 教程：使用 Microsoft Intune 设置和配置云原生 Windows 终结点。
• 如何：规划Microsoft Entra联接实现。
• 用于 Windows 终结点管理转换的框架。
• 了解混合 Azure AD 和共同管理方案。
• 成功加入远程 Windows Autopilot 和混合 Azure Active Directory。