Windows Autopilot 用戶驅動模式

Windows Autopilot 使用者驅動模式可讓您設定新的 Windows 裝置,將它們從原廠狀態自動轉換成現成可用的狀態。 此程式不需要IT人員觸控裝置。

此程序很簡單。 您可以使用下列指示,直接將裝置運送或散發給終端使用者:

  1. 從包裝中取出裝置,插上電源然後開啟。
  2. 如果使用多種語言,請選擇語言、地區設定和鍵盤。
  3. 將它連線到具有網際網路存取的無線或有線網路。 如果使用無線,請先連線到Wi-fi網路。
  4. 指定貴組織帳戶的電子郵件地址和密碼。

程序的其餘部分會自動化。 該裝置會執行下列步驟:

  1. 加入組織。
  2. 註冊 Microsoft Intune 或其他 MDM 服務。
  3. 依組織定義進行設定。

您可以在 OOBE) 的全新體驗 (隱藏任何其他提示。 如需可用選項的詳細資訊,請 參閱設定 Autopilot 配置檔

重要事項

如果您使用 Active Directory 同盟服務 (ADFS) ,則有一個已知問題可讓使用者使用與指派給該裝置的帳戶不同的帳戶登入。

Windows Autopilot 使用者驅動模式支援 Microsoft Entra 加入和 Microsoft Entra 混合式聯結裝置。 如需這兩個聯結選項的詳細資訊,請參閱下列文章:

使用者導向流程的步驟如下:

  1. 裝置連線到網路之後,裝置會下載 Windows Autopilot 配置檔。 該設定檔會定義裝置所使用的設定。 例如,定義 OOBE 期間隱藏的提示。

  2. Windows 會檢查重要的 OOBE 更新。 如果有可用的更新,則會自動安裝更新。 如有需要,裝置會重新啟動。

  3. 系統會提示使用者輸入 Microsoft Entra 認證。 這個自定義的用戶體驗會顯示 Microsoft Entra 租使用者名稱、標誌和登入文字。

  4. 裝置會根據 Windows Autopilot 配置檔設定,加入 Microsoft Entra ID 或 Active Directory。

  5. 裝置會註冊 Intune 或其他已設定的 MDM 服務。 視您的組織需求而定,此註冊會發生下列其中一種情況:

    • 在 Microsoft Entra 加入程序期間,使用 MDM 自動註冊。

    • 在 Active Directory 加入流程之前。

  6. 如果已設定,它會顯示ESP) (註冊狀態頁面

  7. 裝置設定工作完成後,使用者會使用先前提供的認證來登入 Windows。 如果裝置在裝置 ESP 程式期間重新啟動,用戶必須重新輸入其認證。 這些詳細資料在重新啟動後不會保留。

  8. 在登入之後,註冊狀態頁面會顯示以供進行以使用者為鎖定目標的設定工作。

如果在此流程期間發現任何問題,請參閱 Windows Autopilot 疑難排解

如需有關可用加入選項的詳細資訊,請參閱下列各節:

Microsoft Entra 聯結的用戶驅動模式

若要使用 Windows Autopilot 完成使用者驅動部署,請遵循下列準備步驟:

  1. 請確定執行用戶驅動模式部署的使用者可以將裝置加入 Microsoft Entra ID。 如需詳細資訊,請參閱 Microsoft Entra 檔中的設定裝置設定。

  2. 使用所需的設定建立用戶驅動模式的 Autopilot 配置檔。

    • 在 Intune 中,當您建立配置檔時,會明確選擇此模式。

    • 在 商務用 Microsoft Store和合作夥伴中心,用戶驅動模式是預設值。

  3. 如果您使用 Intune,請在 Microsoft Entra ID 中建立裝置群組,並將 Autopilot 配置檔指派給該群組。

針對使用使用者驅動部署部署的每個裝置,需要下列額外步驟:

  • 將裝置新增至 Windows Autopilot。 您可以透過兩種方式來執行此步驟:

  • 將 Autopilot 設定檔指派給裝置:

    • 如果您使用 Intune 並 Microsoft Entra 動態裝置群組,則可以自動完成此指派。

    • 如果您使用 Intune 並 Microsoft Entra 靜態裝置群組,請手動將裝置新增至裝置群組。

    • 如果您使用其他方法,例如 商務用 Microsoft Store 或合作夥伴中心,請手動將 Autopilot 配置檔指派給裝置。

提示

如果裝置的預期結束狀態是共同管理,您可以在 Intune 中設定裝置註冊,以啟用共同管理,這會在 Autopilot 程式期間發生。 此行為會以協調的方式在 Configuration Manager 和 Intune 之間引導工作負載授權。 如需詳細資訊,請 參閱如何使用 Autopilot 註冊

Microsoft Entra 混合式聯結的用戶驅動模式

重要事項

Microsoft 建議使用 Microsoft Entra 加入,將新裝置部署為雲端原生裝置。 不建議將新裝置部署為 Microsoft Entra 混合式聯結裝置,包括透過 Autopilot。 如需詳細資訊,請參閱 Microsoft Entra 加入與雲端原生端點中混合式加入 Microsoft Entra:哪一個選項適合您的組織

Windows Autopilot 要求裝置必須 Microsoft Entra 加入。 如果您有內部部署 Active Directory 環境,您可以將裝置加入您的內部部署網域。 若要加入裝置,請將 Autopilot 裝置設定為混合式聯結至 Microsoft Entra ID

提示

當 Microsoft 與使用 Microsoft Intune 和 Microsoft Configuration Manager 來部署、管理及保護其用戶端裝置的客戶交談時,我們通常會收到有關共同管理裝置和 Microsoft Entra 混合式聯結裝置的問題。 許多客戶會混淆這兩個主題。 共同管理是管理選項,而 Microsoft Entra ID 是身分識別選項。 如需詳細資訊,請參閱瞭解混合式 Microsoft Entra 和共同管理案例。 此部落格文章旨在釐清 Microsoft Entra 混合式加入和共同管理、它們如何共同運作,但並非相同。

在 Windows Autopilot 使用者驅動模式中布建新電腦以 Microsoft Entra 混合式聯結時,您無法部署 Configuration Manager 用戶端。 這項限制是因為 Microsoft Entra 加入程式期間裝置的身分識別變更所致。 在 Autopilot 流程之後部署 Configuration Manager 用戶端。 如需安裝用戶端的替代選項,請參閱 Configuration Manager 中的用戶端安裝方法

具有混合式 Microsoft Entra ID的用戶驅動模式需求

  • 建立用戶驅動模式的 Windows Autopilot 配置檔。

    在 Autopilot 配置檔的 [加入至 Microsoft Entra ID 身分] 底下,選取 [Microsoft Entra 混合式聯結]

  • 如果您使用 Intune,則需要 Microsoft Entra ID 中的裝置群組。 將 Windows Autopilot 配置檔指派給群組。

  • 如果您使用 Intune,請建立並指派網域加入配置檔。 網域聯結設定檔包含內部部署 Active Directory 網域資訊。

  • 裝置必須存取因特網。 如需詳細資訊,請參閱 網路需求

  • 安裝適用於 Active Directory 的 Intune 連接器。

    注意事項

    Intune 連接器會將裝置加入內部部署網域。 使用者不需要將裝置加入內部部署網域的許可權。 此行為假設您代表使用者設定此動作的連接器。 如需詳細資訊,請參閱增加組織單位中的電腦帳戶限制

  • 如果您使用 Proxy,請啟用並設定 WPAD Proxy 設定選項。

除了這些使用者驅動 Microsoft Entra 混合式聯結的核心需求,下列額外需求也適用於內部部署裝置:

  • 裝置目前支援 Windows 版本。

  • 裝置已連線到內部網路,並可存取 Active Directory 域控制器。

    • 它需要解析網域和域控制器的 DNS 記錄。

    • 它必須與域控制器通訊,才能驗證使用者。

使用 VPN 支援 Microsoft Entra 混合式加入的用戶驅動模式

加入 Active Directory 的裝置需要連線到 Active Directory 域控制器,才能進行許多活動。 這些活動包括在使用者登入時驗證用戶的認證,以及套用組策略設定。 Microsoft Entra 混合式加入裝置的 Autopilot 使用者驅動程式會驗證裝置可以藉由 ping 該域控制器來連絡域控制器。

新增此案例的 VPN 支援後,您可以設定 Microsoft Entra 混合式聯結程式來略過連線能力檢查。 這項變更不會消除與域控制器通訊的需求。 相反地,為了允許連線到組織的網路,Intune 會在用戶嘗試登入 Windows 之前提供所需的 VPN 設定。

具有混合式 Microsoft Entra ID和 VPN 的用戶驅動模式需求

除了具有 Microsoft Entra 混合式聯結的用戶驅動模式核心需求之外,下列額外需求也適用於具有 VPN 支援的遠端案例:

  • 目前支援的 Windows 版本。

  • 在 Autopilot 的 Microsoft Entra 混合式聯結配置檔中,啟用下列選項:略過網域連線能力檢查

  • 具有下列其中一個選項的 VPN 組態:

    • 可以使用 Intune 部署,並讓使用者從 Windows 登入畫面手動建立 VPN 連線。

    • 視需要自動建立 VPN 連線。

所需的特定 VPN 設定取決於所使用的 VPN 軟體和驗證。 針對第三方 VPN 解決方案,此設定通常牽涉到透過 Intune 管理延伸模組部署 Win32 應用程式。 此應用程式會包含 VPN 用戶端軟體和任何特定連線資訊。 例如,VPN 端點主機名。 如需該提供者的特定設定詳細數據,請參閱 VPN 提供者的檔。

注意事項

VPN 需求不是 Autopilot 特有的。 例如,如果實作 VPN 組態來啟用遠端密碼重設,則可以搭配 Windows Autopilot 使用相同的設定。 此設定可讓使用者在不在組織的網路上時,使用新密碼登入 Windows。 一旦使用者登入並快取其認證,後續的登入嘗試就不需要連線,因為 Windows 會使用快取的認證。

如果 VPN 軟體需要憑證驗證,請使用 Intune 同時部署必要的裝置憑證。 此部署可以使用 Intune 憑證註冊功能來完成,以裝置的憑證配置檔為目標。

有些設定不支援,因為在使用者登入 Windows 之前不會套用這些設定:

  • 用戶憑證
  • 來自 Windows 市集的非 Microsoft UWP VPN 外掛程式

驗證

在嘗試使用 VPN 進行 Microsoft Entra 混合式聯結之前,請務必確認 Microsoft Entra 混合式聯結程式的用戶驅動模式可在內部網路上運作。 此測試可在新增 VPN 組態之前,先確定核心程式正常運作,以簡化疑難解答。

接下來,確認您可以使用 Intune 來部署 VPN 組態及其需求。 使用已 Microsoft Entra 混合式聯結的現有裝置來測試這些元件。 例如,某些 VPN 用戶端會在安裝程式中建立每部電腦的 VPN 連線。 使用下列步驟驗證組態:

  1. 確認已建立至少一個每部電腦 VPN 連線。

    Get-VpnConnection -AllUserConnection

  2. 嘗試手動啟動 VPN 連線。

    RASDIAL.EXE "ConnectionName"

  3. 註銷 Windows。 確認您可以在 Windows 登入頁面上看到「VPN 連線」圖示。

  4. 將裝置移出內部網路,並嘗試使用 Windows 登入頁面上的圖示來建立連線。 登入沒有快取認證的帳戶。

對於自動連線的 VPN 組態,驗證步驟可能會不同。

注意事項

在此案例中,您可以使用一律開啟的 VPN。 如需詳細資訊,請 參閱部署 Always-On VPN

後續步驟