Windows Autopilot 使用者驅動模式允許新 Windows 裝置自動從出廠狀態轉換為可用狀態。 這個流程不需要 IT 人員親自操作裝置。
這個過程很簡單。 裝置可依以下指示直接運送或分發給終端使用者:
- 從包裝中取出裝置,插上電源然後開啟。
- 如果使用多種語言,請選擇語言、地點和鍵盤。
- 將它連線到具有網際網路存取的無線或有線網路。 如果用無線,先連上 Wi-Fi 網路。
- 請指定該組織的電子郵件地址、帳號和密碼。
其餘流程則自動化。 該裝置會執行下列步驟:
- 加入組織。
- 註冊 Microsoft Intune 或其他行動裝置管理服務 (MDM) 服務。
- 依組織定義進行設定。
其他提示在開箱體驗 (OOBE) 中可能會被抑制。 欲了解更多可用選項,請參閱 「配置 Windows Autopilot 設定檔」。
重要事項
如果Active Directory 同盟服務 (ADFS) 被使用,已知問題可能導致終端使用者用與該裝置不同的帳號登入。
Windows Autopilot 使用者驅動模式支援 Microsoft Entra 加入及 Microsoft Entra 混合連接裝置。 欲了解更多關於這兩種連接選項的資訊,請參閱以下文章:
- 什麼是裝置身份?
- 了解更多關於雲端原生端點的資訊。
- Microsoft Entra 加入與 Microsoft Entra 混合加入雲端原生端點。
- 教學:使用 Microsoft Intune 設定並設定雲端原生的 Windows 端點。
- 如何:規劃您的 Microsoft Entra 加入實作。
- 一個用於 Windows 端點管理轉型的框架。
- 遠端 Windows Autopilot 與 Microsoft Entra 混合加入成功案例。
使用者導向流程的步驟如下:
裝置連接網路後,會下載一個 Windows Autopilot 設定檔。 該設定檔會定義裝置所使用的設定。 例如,定義 OOBE 期間隱藏的提示。
Windows 會檢查重要的 OOBE 更新。 如果有可用的更新,則會自動安裝更新。 如有需要,裝置會重新啟動。
使用者會被要求輸入 Microsoft Entra 憑證。 此客製化使用者體驗會顯示 Microsoft Entra 租戶名稱、標誌及登入文字。
該裝置會依 Windows Autopilot 設定檔而加入 Microsoft Entra ID 或 Active Directory。
裝置會註冊 Intune 或其他已設定的 MDM 服務。 根據組織需求,此登記方式包括:
在 Microsoft Entra 加入過程中,使用 MDM 自動註冊。
在 Active Directory 加入流程之前。
若設定為此,會顯示 ESP) (註冊狀態頁面 。
裝置設定工作完成後,使用者會使用先前提供的認證來登入 Windows。 若裝置在 ESP 過程中重新啟動,使用者必須重新輸入憑證。 這些詳細資料在重新啟動後不會保留。
在登入之後,註冊狀態頁面會顯示以供進行以使用者為鎖定目標的設定工作。
若在此過程中發現任何問題,請參閱 Windows Autopilot 故障排除概述。
如需有關可用加入選項的詳細資訊,請參閱下列各節:
- 如果裝置不需要加入內部部署的 Active Directory 網域,則可以使用 Microsoft Entra 加入。
- Microsoft Entra 混合加入服務適用於需要同時加入 Microsoft Entra ID 與內部部署的 Active Directory 網域的裝置。
Microsoft Entra join 的 User-driven mode
要完成使用 Windows Autopilot 的使用者驅動部署,請遵循以下準備步驟:
確保執行使用者驅動模式部署的使用者能將裝置加入 Microsoft Entra ID。 欲了解更多資訊,請參閱 Microsoft Entra 文件中的「裝置設定」。
建立一個 Windows Autopilot 設定檔,用於使用者驅動模式,並符合所需設定。
在 Intune 中,建立設定檔時會明確選擇此模式。
在商務用 Microsoft Store 與合作夥伴中心中,使用者驅動模式是預設模式。
如果使用 Intune,請在 Microsoft Entra ID 建立裝置群組,並將 Windows Autopilot 設定檔指派給該群組。
對於每個使用使用者驅動部署的裝置,都需要以下額外步驟:
把裝置加入 Windows Autopilot。 此步驟可透過兩種方式完成:
由 OEM 或合作夥伴在裝置購買時自動執行。
為裝置指派 Windows Autopilot 設定檔:
若使用 Intune 與 Microsoft Entra 動態裝置群組,此指派可自動完成。
若使用 Intune 與 Microsoft Entra 靜態裝置群組,請手動將裝置加入該裝置群組。
若使用其他方式,如 商務用 Microsoft Store 或 Partner Center,請手動為裝置指派 Windows Autopilot 設定檔。
提示
若裝置的預期終端狀態是共管理,可在 Intune 中設定裝置註冊以啟用共管理,這會在 Windows Autopilot 過程中完成。 此行為會以協調的方式在 設定管理員 和 Intune 之間引導工作負載授權。 欲了解更多資訊,請參閱 「如何使用 Windows Autopilot 註冊」。
Microsoft Entra 混合加入的使用者驅動模式
重要事項
Microsoft 建議使用Microsoft Entra join,將新裝置以雲端原生方式部署。 不建議將新裝置部署為 Microsoft Entra 混合加入裝置,包括透過 Windows Autopilot。 欲了解更多資訊,請參閱 Microsoft Entra 加入與 Microsoft Entra 混合加入雲端原生端點:哪種方案適合您組織。
Windows Autopilot 要求裝置必須加入 Microsoft Entra。 對於內部部署的 Active Directory 環境,裝置可以加入本地的網域。 要加入裝置,請設定 Windows Autopilot 裝置與 Microsoft Entra ID 混合連接。
提示
當 Microsoft 與使用 Microsoft Intune 和 Microsoft Configuration Manager 來部署、管理及保護客戶端裝置的客戶交談時,我們經常會收到關於共同管理裝置與 Microsoft Entra 混合加入裝置的問題。 許多顧客會混淆這兩個主題。 共同管理是一種管理選項,而 Microsoft Entra ID 則是身份選項。 欲了解更多資訊,請參閱「了解混合型 Microsoft Entra 與共同管理情境」。 這篇部落格文章旨在釐清 Microsoft Entra 混合加入與共同管理,以及它們如何協同運作,但兩者並非同一回事。
在 Windows Autopilot 使用者驅動模式下,Microsoft Entra 混合加入時,無法部署 設定管理員 用戶端。 此限制是因為裝置在 Microsoft Entra 加入過程中的身份變更。 在 Windows Autopilot 程序完成後部署 設定管理員 用戶端。 請參閱 設定管理員 中的用戶端安裝方法,以了解安裝用戶端的替代選項。
使用混合型 Microsoft Entra ID 的使用者驅動模式需求
建立一個 Windows Autopilot 使用者驅動模式的設定檔。
在 Windows Autopilot 設定檔中,於「加入 Microsoft Entra ID 作為」選項中,選擇 Microsoft Entra hybrid joined。
若使用 Intune,Microsoft Entra ID 中需要裝置群組。 將 Windows Autopilot 設定檔指派給群組。
如果使用 Intune,請建立並指派網域聯結設定檔。 網域聯結設定檔包含內部部署 Active Directory 網域資訊。
裝置需要連上網路。 欲了解更多資訊,請參閱 網路需求。
安裝 Active Directory 的 Intune 連接器。
注意事項
Active Directory 的 Intune 連接器會將裝置連接到本地網域。 使用者不需要權限就能將裝置加入本地網域。 此行為假設連接器已為使用者的此動作設定。 欲了解更多資訊,請參閱 組織單位 (OU) 提高電腦帳戶上限 。
若使用代理伺服器,請啟用並設定網頁代理自動發現協定 (WPAD) 代理設定選項。
除了這些由使用者驅動的 Microsoft Entra 混合加入核心需求外,本地裝置還需額外遵守以下額外要求:
該裝置目前支援 Windows 版本。
裝置連接內部網路,並可存取 Active Directory 網域控制站。
它需要解析網域和網域控制器的 DNS 紀錄。
它需要與網域控制器通訊以驗證使用者身份。
Microsoft Entra 混合加入支援 VPN 的使用者驅動模式
加入 Active Directory 的裝置需要連接 Active Directory 網域控制器來進行許多活動。 這些活動包括在使用者登入時驗證其憑證,以及套用群組政策設定。 Windows Autopilot 使用者驅動的 Microsoft Entra 混合加入裝置流程驗證該裝置是否能透過 ping 網域控制所來聯絡該網域控制站。
隨著此情境新增 VPN 支援,Microsoft Entra 混合加入流程可設定為跳過連接檢查。 這項變更並未消除與網域控制器通訊的需求。 相反地,為了讓使用者能連接組織的網路,Intune 會在使用者嘗試登入 Windows 前先提供所需的 VPN 設定。
使用者驅動模式與混合型 Microsoft Entra ID 與 VPN 的需求
除了使用 Microsoft Entra 混合加入的使用者驅動模式核心需求外,遠端支援 VPN 的情境還需額外要求:
目前支援的 Windows 版本。
在 Windows Autopilot 的 Microsoft Entra 混合加入設定檔中,啟用以下選項:跳過網域連接檢查。
提供以下選項之一的 VPN 配置:
可搭配 Intune 部署,並允許用戶從 Windows 登入畫面手動建立 VPN 連線。
需要時自動建立 VPN 連線。
所需的具體 VPN 設定取決於所使用的 VPN 軟體和認證。 對於非 Microsoft VPN 解決方案,這種配置通常涉及透過 Intune 管理擴充套件部署 Win32 應用程式。 這個應用程式會包含 VPN 用戶端軟體和任何特定的連線資訊。 例如,VPN 端點主機名稱。 關於該供應商的設定細節,請參閱 VPN 供應商的文件。
注意事項
VPN 要求並非 Windows Autopilot 專屬。 例如,若實作VPN設定以啟用遠端密碼重設,該設定可用於Windows Autopilot。 此設定允許使用者在不在組織網路上時,以新密碼登入 Windows。 一旦使用者登入且憑證被快取,後續的登入嘗試就不需要連線,因為 Windows 會使用快取的憑證。
如果 VPN 軟體需要憑證驗證,請使用 Intune 部署所需的裝置憑證。 此部署可透過 Intune 憑證註冊功能完成,將憑證配置檔鎖定裝置。
有些設定不被支援,因為這些設定要等使用者登入 Windows 後才會套用:
- 使用者憑證
- Windows 商店的非 Microsoft UWP VPN 外掛
驗證
在嘗試使用 VPN 進行 Microsoft Entra 混合加入之前,確認 Microsoft Entra 混合連線流程的使用者驅動模式是否能在內部網路上運作,是非常重要的。 此測試透過確認核心程序正常運作,簡化故障排除,再加入 VPN 設定。
接著,確認 Intune 是否可用來部署 VPN 設定及其需求。 用已經連接 Microsoft Entra 混合系統的現有裝置測試這些元件。 例如,有些 VPN 用戶端會在安裝過程中建立每台機器的 VPN 連線。 請依照以下步驟驗證配置:
確認至少每台機器建立一個 VPN 連線。
Get-VpnConnection -AllUserConnection嘗試手動啟動 VPN 連線。
RASDIAL.EXE "ConnectionName"登出 Windows。 確認 VPN 連線 圖示是否出現在 Windows 登入頁面。
將裝置移離內部網路,並嘗試使用 Windows 登入頁面上的圖示建立連線。 登入一個沒有快取憑證的帳號。
對於自動連線的 VPN 設定,驗證步驟可能會不同。
注意事項
這種情況下可以使用全天候連線的 VPN。 欲了解更多資訊,請參閱 部署 Deploy always-on VPN。
後續步驟
- 使用 Intune 和 Windows Autopilot 部署 Microsoft Entra 混合加入裝置。
- 如何註冊使用 Windows Autopilot。
- 試試 Windows Autopilot 透過 VPN 在 Azure 實驗室的混合加入功能。