訓練
模組
MD-102 1:使用 Windows Autopilot 部署裝置 - Training
使用 Autopilot 來部署新的硬體,或使用組織所需的設定重新整理現有的硬體,而無須使用傳統的映像處理程序。
認證
Microsoft 365 Certified: Endpoint Administrator Associate - Certifications
使用現代化管理、共同管理方法和 Microsoft Intune 整合的基本元素,規劃並執行端點部署策略。
Windows Autopilot 使用者驅動模式可讓新的 Windows 裝置設定為自動將其從原廠狀態轉換成現成可用的狀態。 此程式不需要IT人員觸控裝置。
此程序很簡單。 您可以使用下列指示,直接將裝置運送或散發給終端使用者:
程序的其餘部分會自動化。 該裝置會執行下列步驟:
在 OOBE) 的全新體驗 (,可以隱藏其他提示。 如需可用選項的詳細資訊,請 參閱設定 Autopilot 配置檔。
重要
如果使用 Active Directory 同盟服務 (ADFS) ,則有一個 已知問題 可讓使用者使用與指派給該裝置的帳戶不同的帳戶登入。
Windows Autopilot 使用者驅動模式支援Microsoft加入 Entra 並Microsoft加入 Entra 的裝置。 如需這兩個聯結選項的詳細資訊,請參閱下列文章:
使用者導向流程的步驟如下:
裝置連線到網路之後,裝置會下載 Windows Autopilot 配置檔。 該設定檔會定義裝置所使用的設定。 例如,定義 OOBE 期間隱藏的提示。
Windows 會檢查重要的 OOBE 更新。 如果有可用的更新,則會自動安裝更新。 如有需要,裝置會重新啟動。
系統會提示使用者輸入 Microsoft Entra 認證。 這個自定義的用戶體驗會顯示Microsoft租使用者名稱、標誌和登入文字。
裝置會根據 Windows Autopilot 配置檔設定Microsoft加入 Entra ID 或 Active Directory。
裝置會註冊 Intune 或其他已設定的 MDM 服務。 視組織需求而定,此註冊會發生下列其中一種情況:
在Microsoft加入程序期間,使用 MDM 自動註冊。
在 Active Directory 加入流程之前。
如果已設定,它會顯示ESP) (註冊狀態頁面 。
裝置設定工作完成後,使用者會使用先前提供的認證來登入 Windows。 如果裝置在裝置 ESP 程式期間重新啟動,用戶必須重新輸入其認證。 這些詳細資料在重新啟動後不會保留。
在登入之後,註冊狀態頁面會顯示以供進行以使用者為鎖定目標的設定工作。
如果在此程式期間發現任何問題,請參閱 疑難解答 Windows Autopilot 概觀。
如需有關可用加入選項的詳細資訊,請參閱下列各節:
若要使用 Windows Autopilot 完成使用者驅動部署,請遵循下列準備步驟:
請確定執行用戶驅動模式部署的使用者可以將裝置加入Microsoft Entra ID。 如需詳細資訊, 請參 閱 Microsoft Entra 檔中的設定裝置設定。
使用所需的設定建立用戶驅動模式的 Autopilot 配置檔。
在 Intune 中,建立配置檔時會明確選擇此模式。
在Microsoft商務用市集和合作夥伴中心,用戶驅動模式是預設值。
如果使用 Intune,請在 Microsoft Entra ID 中建立裝置群組,並將 Autopilot 配置檔指派給該群組。
針對使用使用者驅動部署部署的每個裝置,需要下列額外步驟:
將裝置新增至 Windows Autopilot。 此步驟可以透過兩種方式來完成:
購買裝置時,OEM 或合作夥伴會自動進行。
手動方式,如將 裝置新增至 Windows Autopilot 中所述。
將 Autopilot 設定檔指派給裝置:
如果使用 Intune 和 Microsoft Entra 動態裝置群組,則可以自動完成此指派。
如果使用 Intune 和 Microsoft Entra 靜態裝置群組,請手動將裝置新增至裝置群組。
如果使用其他方法,例如Microsoft商務用市集或合作夥伴中心,請手動將 Autopilot 配置檔指派給裝置。
提示
如果裝置的預期結束狀態是共同管理,可以在 Intune 中設定裝置註冊以啟用共同管理,這會在 Autopilot 程式期間發生。 此行為會以協調的方式在 Configuration Manager 和 Intune 之間引導工作負載授權。 如需詳細資訊,請 參閱如何使用 Autopilot 註冊。
重要
Microsoft建議使用 Microsoft Entra join 將新裝置部署為雲端原生裝置。 不建議將新裝置部署為 Microsoft Entra 混合式聯結裝置,包括透過 Autopilot。 如需詳細資訊, 請參閱 Microsoft Entra joined 與 Microsoft Entra hybrid joined in cloud-native endpoints:哪個選項適合您的組織。
Windows Autopilot 要求裝置必須Microsoft加入 Entra。 針對內部部署 Active Directory 環境,裝置可以加入內部部署網域。 若要加入裝置,請將 Autopilot 裝置設定為混合式聯結至 Microsoft Entra ID。
提示
當Microsoft與使用 Microsoft Intune 的客戶交談,並Microsoft Configuration Manager 來部署、管理及保護其用戶端裝置時,我們通常會收到有關共同管理裝置和Microsoft加入 Entra 混合式裝置的問題。 許多客戶會混淆這兩個主題。 共同管理是管理選項,而 Microsoft Entra ID 是身分識別選項。 如需詳細資訊,請 參閱瞭解混合式Microsoft和共同管理案例。 此部落格文章旨在釐清Microsoft混合式加入和共同管理、它們如何共同運作,但並非相同。
在 Windows Autopilot 使用者驅動模式中布建新電腦時,無法部署 Configuration Manager 用戶端,Microsoft加入 Entra 混合式聯結。 這項限制是因為裝置在Microsoft加入程式期間的身分識別變更所致。 在 Autopilot 流程之後部署 Configuration Manager 用戶端。 如需安裝用戶端的替代選項,請參閱 Configuration Manager 中的用戶端安裝方法 。
建立用戶驅動模式的 Windows Autopilot 配置檔。
在 Autopilot 配置檔的 [ 聯結至 Microsoft Entra ID] 底下,選 取 [Microsoft混合式聯結]。
如果使用 Intune,Microsoft Entra ID 中需要裝置群組。 將 Windows Autopilot 配置檔指派給群組。
如果使用 Intune,請建立並指派網域聯結設定檔。 網域聯結設定檔包含內部部署 Active Directory 網域資訊。
裝置必須存取因特網。 如需詳細資訊,請參閱 網路需求。
安裝適用於 Active Directory 的 Intune 連接器。
注意
Intune 連接器會將裝置加入內部部署網域。 使用者不需要將裝置加入內部部署網域的許可權。 此行為假設連接器已代表使用者設定此動作。 如需詳細資訊,請參閱增加組織單位中的電腦帳戶限制。
如果使用 Proxy,請啟用並設定 [Web Proxy 自動探索通訊協定 (WPAD) Proxy 設定] 選項。
除了用戶驅動Microsoft Entra 混合式聯結的這些核心需求,下列額外需求也適用於內部部署裝置:
裝置目前支援 Windows 版本。
裝置已連線到內部網路,並可存取 Active Directory 域控制器。
它需要解析網域和域控制器的 DNS 記錄。
它必須與域控制器通訊,才能驗證使用者。
加入 Active Directory 的裝置需要連線到 Active Directory 域控制器,才能進行許多活動。 這些活動包括在使用者登入時驗證用戶的認證,以及套用組策略設定。 Microsoft加入 Entra 混合式裝置的 Autopilot 使用者驅動程式會驗證裝置可以藉由 ping 該域控制器來連絡域控制器。
新增此案例的 VPN 支援后,即可將 Microsoft Entra 混合式聯結程式設定為略過連線檢查。 這項變更不會消除與域控制器通訊的需求。 相反地,為了允許連線到組織的網路,Intune 會在用戶嘗試登入 Windows 之前提供所需的 VPN 設定。
除了具有 Microsoft Entra 混合式聯結的用戶驅動模式 核心需求 之外,下列額外需求也適用於具有 VPN 支援的遠端案例:
目前支援的 Windows 版本。
在 Autopilot 的 Microsoft Entra 混合式聯結配置檔中,啟用下列選項: 略過網域連線能力檢查。
具有下列其中一個選項的 VPN 組態:
可以使用 Intune 部署,並讓使用者從 Windows 登入畫面手動建立 VPN 連線。
視需要自動建立 VPN 連線。
所需的特定 VPN 設定取決於所使用的 VPN 軟體和驗證。 對於非Microsoft VPN 解決方案,此設定通常牽涉到透過Intune管理延伸模組部署 Win32 應用程式。 此應用程式會包含 VPN 用戶端軟體和任何特定連線資訊。 例如,VPN 端點主機名。 如需該提供者的特定設定詳細數據,請參閱 VPN 提供者的檔。
注意
VPN 需求不是 Autopilot 特有的。 例如,如果實作 VPN 組態來啟用遠端密碼重設,則可以搭配 Windows Autopilot 使用相同的設定。 此設定可讓使用者在不在組織的網路上時,使用新密碼登入 Windows。 一旦使用者登入並快取其認證,後續的登入嘗試就不需要連線,因為 Windows 會使用快取的認證。
如果 VPN 軟體需要憑證驗證,請使用 Intune 同時部署必要的裝置憑證。 此部署可以使用 Intune 憑證註冊功能來完成,以裝置的憑證配置檔為目標。
有些設定不支援,因為在使用者登入 Windows 之前不會套用這些設定:
在嘗試使用 VPN 進行 Microsoft Entra 混合式聯結之前,請務必確認Microsoft Entra 混合式聯結程式的用戶驅動模式可在內部網路上運作。 此測試可在新增 VPN 組態之前,先確定核心程式正常運作,以簡化疑難解答。
接下來,確認 Intune 可用來部署 VPN 組態及其需求。 使用已Microsoft加入 Entra 混合式的現有裝置來測試這些元件。 例如,某些 VPN 用戶端會在安裝程式中建立每部電腦的 VPN 連線。 使用下列步驟驗證組態:
確認已建立至少一個每部電腦 VPN 連線。
Get-VpnConnection -AllUserConnection
嘗試手動啟動 VPN 連線。
RASDIAL.EXE "ConnectionName"
註銷 Windows。 確認 VPN 連線 圖示出現在 Windows 登入頁面上。
將裝置移出內部網路,並嘗試使用 Windows 登入頁面上的圖示來建立連線。 登入沒有快取認證的帳戶。
對於自動連線的 VPN 組態,驗證步驟可能會不同。
注意
一律開啟的 VPN 可用於此案例。 如需詳細資訊,請 參閱部署 Always-On VPN。
訓練
模組
MD-102 1:使用 Windows Autopilot 部署裝置 - Training
使用 Autopilot 來部署新的硬體,或使用組織所需的設定重新整理現有的硬體,而無須使用傳統的映像處理程序。
認證
Microsoft 365 Certified: Endpoint Administrator Associate - Certifications
使用現代化管理、共同管理方法和 Microsoft Intune 整合的基本元素,規劃並執行端點部署策略。