Windows Autopilot 裝置準備使用者驅動的 Microsoft Entra 連接步驟:
- 步驟 3:建立指定的裝置群組
- 步驟四: 建立使用者群組
- 步驟 5: 將應用程式與 PowerShell 腳本指派到裝置群組
- 步驟 6: 建立 Windows Autopilot 裝置準備政策
- 步驟 7: 將 Windows 企業識別碼加入裝置
關於 Windows Autopilot 裝置準備、使用者驅動的 Microsoft Entra 連接工作流程概述,請參閱 Windows Autopilot 裝置準備使用者驅動的 Microsoft Entra 連接總覽。
注意事項
此步驟建立的裝置群組是專門用於 Windows Autopilot 裝置準備的。 Microsoft 建議建立專門用於 Windows Autopilot 裝置準備的裝置群組,而非重複使用其他 Windows Autopilot 場景中使用的現有裝置群組。
建立指派的裝置群組
裝置群組是一組被組織成 Microsoft Entra 群組的裝置集合。 通常裝置群組可以是指派的或動態的:
- 分配群組 - 裝置是手動加入群組且為靜態。 Windows Autopilot 的裝置準備只使用指定的群組。
- 動態群組 - 裝置會根據規則自動加入群組。 Windows Autopilot 裝置準備不使用動態群組。
Windows Autopilot 裝置準備使用 指定的裝置群組 作為 Windows Autopilot 裝置準備政策的一部分。 Windows Autopilot 裝置準備政策中指定的裝置群組必須是 指定的裝置群組。 Windows Autopilot 裝置準備流程會在 Windows Autopilot 裝置準備部署期間,自動將裝置加入該指定裝置群組。
重要事項
Windows Autopilot 裝置準備政策中指定的裝置群組必須是 指定的安全裝置群組。
提示
雖然同一指定裝置群組可用於多個 Windows Autopilot 裝置準備政策,Microsoft 建議為每個 Windows Autopilot 裝置準備政策建立獨立的指定裝置群組。 例如,使用者驅動情境與自動情境不同的裝置群組。 這讓管理 Windows Autopilot 裝置準備政策以及分配給它們的裝置或雲端電腦變得更容易。
要建立用於 Windows Autopilot 裝置準備的指定安全裝置群組,請依照以下步驟操作:
在 主 畫面,選擇左側窗格的 群組 。
在 群中 |所有群組 篩選,確認已選取 所有群組 ,然後選擇 新群組。
在 開啟的新群組 畫面中:
在群組 類型中,選擇 安全性。
關於 群組名稱,請輸入裝置群組名稱,例如 Windows Autopilot 裝置準備裝置群組。
在群組 描述中,請輸入裝置群組的描述。
對於 Microsoft Entra,可以指派角色到群組,選擇「編號」。
對於 會員類型,請選擇 指派。
對於 擁有者,請選擇 「無擁有者已選中 」連結。
在開啟的 新增擁有者 畫面中:
瀏覽物件清單,選擇服務主體 Intune 配置客戶端,AppID 為 f1346770-5b25-470b-88bd-d5744ab7952c。 或者,使用搜尋欄搜尋並選擇 Intune 配置客戶端。
注意事項
在某些租戶中,服務主體可能名為 Intune Autopilot ConfidentialClient,而非 Intune Provisioning Client。 只要服務主體的 AppID 是 f1346770-5b25-470b-88bd-d5744ab7952c,那就是正確的服務主體。
若 Intune Provisioning Client 或 Intune Autopilot ConfidentialClient 服務主體(AppID 為 f1346770-5b25-470b-88bd-d5744ab7952c)在物件列表中或搜尋時都找不到,請參見「新增 Intune Provisioning 客戶端服務主體」。
當 Intune Provisioning Client 被選為擁有者後,請選擇「選擇」。
選擇 建立 以完成建立指定的裝置群組。
重要事項
裝置會在 Windows Autopilot 裝置準備部署期間自動加入此裝置群組。 手動將裝置加入此步驟建立的裝置群組成員並非必要,但此舉不會影響 Windows Autopilot 裝置準備流程。
新增 Intune Provisioning 客戶端服務原則
如果在選擇裝置群組擁有者時,無法使用帶有 AppID f1346770-5b25-470b-88bd-d5744ab7952c 的 Intune Provisioning 客戶端服務主體,請依照以下步驟新增該服務主體:
在通常使用 Microsoft Intune 或 Microsoft Entra ID 的裝置上,開啟提升級的 Windows PowerShell 命令提示字元。
在 Windows PowerShell 命令提示字元視窗中:
請輸入以下指令安裝 Microsoft.Graph.Authentication 模組:
Install-Module Microsoft.Graph.Authentication如果有人提醒你這麼做:
- 同意安裝 NuGet ,請輸入 Y 或 Yes,或點選 Yes 按鈕。
- 同意從 PSGallery 不受信任的儲存庫安裝,請輸入 Y 或 Yes,或選擇 「是」 按鈕。
更多資訊請參閱 Microsoft.Graph.Authentication 與 Set-PSRepository -InstallationPolicy。
請輸入以下指令安裝 Microsoft.Graph.Applications 模組:
Install-Module Microsoft.Graph.Applications若被要求安裝,請透過輸入 Y 或 Yes,或選擇「是」按鈕,同意從 PSGallery 不受信任的儲存庫安裝。
欲了解更多資訊,請參閱 Microsoft.Graph.Applications 與 Set-PSRepository -InstallationPolicy。
安裝 Microsoft.Graph.Authentication 與 Microsoft.Graph.Applications 模組後,請輸入以下指令連接 Microsoft Entra ID:
Connect-MgGraph -Scopes "Application.ReadWrite.All"欲了解更多資訊,請參閱 Connect-MgGraph。
如果還沒認證 Microsoft Entra ID,就會顯示「登入你的帳號」視窗。 輸入一位擁有新增服務主體權限的 Microsoft Entra ID 管理員的憑證。
如果出現 「請求權限 」視窗,請選擇「 代表你的組織同意 」勾選框,然後選擇 「接受 」按鈕。
一旦已認證至 Microsoft Entra ID 並獲得適當權限後,請輸入以下指令加入 Intune Provisioning 客戶端服務主體:
New-MgServicePrincipal -AppID f1346770-5b25-470b-88bd-d5744ab7952c更多資訊請參閱 New-MgServicePrincipal -BodyParameter。
注意事項
若租戶中已存在 Intune Provisioning 客戶端服務主體,則會顯示以下錯誤訊息:
New-MgServicePrincipal : The service principal cannot be created, updated, or restored because the service principal name f1346770-5b25-470b-88bd-d5744ab7952c is already in use. Status: 409 (Conflict) ErrorCode: Request_MultipleObjectsWithSameKeyValue若以下條件之一為真,將顯示以下錯誤訊息:
- 用該
Connect-MgGraph指令登入的帳號沒有權限在租戶中新增服務主體。 -
-Scopes "Application.ReadWrite.All"這個參數不會被加入指令Connect-MgGraph中。 - 請求 權限 的視窗未被接受。
- 在請求權限視窗中,代表組織的同意選項並未被選擇。
New-MgServicePrincipal : Insufficient privileges to complete the operation. Status: 403 (Forbidden) ErrorCode: Authorization_RequestDenied- 用該
下一步:建立使用者群組
相關內容
欲了解更多關於在 Intune 中建立群組的資訊,請參閱以下文章: