訓練
認證
Microsoft 365 Certified: Endpoint Administrator Associate - Certifications
使用現代化管理、共同管理方法和 Microsoft Intune 整合的基本元素,規劃並執行端點部署策略。
設定註冊狀態頁面
適用於
- Windows 10
- Windows 11
ESP) (註冊狀態頁面會顯示第一次註冊 Windows 裝置並登入的人員的布建狀態。 您可以設定 ESP 來封鎖裝置使用,直到安裝所有必要的原則和應用程式為止。 裝置使用者可以查看ESP來追蹤其裝置在安裝程式中的進度。
ESP 可以在 OOBE) (預設全新體驗期間部署,以 Microsoft Entra 加入,以及任何 Windows Autopilot 布建案例。
若要將 ESP 部署到裝置,您必須在 Microsoft Intune 中建立 ESP 配置檔。 在設定檔中,您可以設定可控制下列專案之 ESP 設定:
- 安裝進度指標的可見度。
- 布建期間的裝置存取。
- 時間限制。
- 允許的疑難解答作業。
本文說明註冊狀態頁面追蹤的資訊,以及如何建立 ESP 配置檔。
ESP 會使用 EnrollmentStatusTracking 設定服務提供者 (CSP) 和 FirstSyncStatus CSP 來追蹤應用程式安裝。
登入 Microsoft Intune 系統管理中心,然後移至 [裝置]。
展開 [裝置上線],然後選取 [ 註冊]。
選取 [Windows] 索引 標籤。
在 [Windows Autopilot] 底下,選取 [ 註冊狀態頁面]。
選取 [建立]。
在 [基本資訊] 中,輸入下列內容:
- 名稱:為您的配置檔命名,以便稍後輕鬆識別。
- 描述:輸入設定檔的描述。 這是選擇性設定,但建議進行。
選取[下一步]。
在 [ 設定] 中,設定下列設定:
顯示應用程式與設定檔設定進度:您的選項:
- 否:註冊狀態頁面不會在裝置設定期間顯示。 如果您不想向使用者顯示設定進度,請選取此選項。
- 是:註冊狀態頁面會在裝置設定期間出現。 如果您選取此選項,則會提供更多選項。
當安裝花費的時間超過指定的分鐘數時顯示錯誤:逾時錯誤訊息會在您所需的時間之後顯示。 默認逾時為 60 分鐘。 如果您認為在裝置上安裝應用程式需要更多時間,請輸入較高的值。
在發生時間限制或錯誤時顯示自定義訊息:包含自定義訊息,告知人員發生什麼情形,以及與誰連絡以尋求協助。 選項包括:
- 否:發生錯誤時,會向用戶顯示預設訊息。 該訊息為:「無法完成安裝程式。 請再試一次,或連絡您的支持人員尋求協助。」
- 是:當發生錯誤時,會向用戶顯示您的自定義訊息。 在提供的文字框中輸入您的訊息。
開啟用戶的記錄收集和診斷頁面:建議您開啟此選項,因為使用者的記錄和診斷可協助進行疑難解答。 選項包括:
- 否:安裝錯誤發生時,不會向用戶顯示 [收集記錄] 按鈕。 執行 Windows 11 的裝置上不會顯示 Windows Autopilot 診斷頁面。
- 是:安裝錯誤發生時,系統會向用戶顯示 [收集記錄] 按鈕。 Windows Autopilot 診斷頁面會顯示在執行 Windows 11 的裝置上。
僅顯示以全新體驗布建的裝置頁面 (OOBE) :使用此設定可防止註冊狀態頁面重新顯示給每個登入裝置的新使用者。 選項包括:
- 否:註冊狀態頁面會在裝置階段和 OOBE) (現成體驗期間顯示。 第一次登入裝置的每個使用者,也會在 用戶階段 期間顯示此頁面。
- 是:註冊狀態頁面會在裝置階段和 OOBE 期間顯示。 頁面也會在用戶階段顯示,但僅限於第一個登入裝置的使用者。 登入裝置的後續使用者不會看到此資訊。
封鎖裝置使用,直到安裝所有應用程式和配置檔為止:您的選項:
- 否:用戶可以在 Intune 完成裝置設定之前離開 ESP。
- 是:用戶必須等到 Intune 裝置設定完成後才能離開 ESP。 此選項可解除鎖定此案例的更多設定。
如果發生安裝錯誤,允許使用者重設裝置:您的選項:
- 否:ESP 不會提供使用者在安裝失敗時重設其裝置的選項。
- 是:ESP 可讓使用者選擇在安裝失敗時重設其裝置。
如果發生安裝錯誤,允許使用者使用裝置:您的選項:
- 否:ESP 不會提供使用者在安裝失敗時略過 ESP 的選項。
- 是:ESP 可讓使用者選擇略過 ESP,並在安裝失敗時使用其裝置。
如果將這些必要應用程式指派給使用者/裝置,請封鎖裝置使用,直到安裝這些必要應用程式為止:您的選項:
- 全部:必須先安裝所有指派的應用程式,使用者才能使用其裝置。
- 已選取:必須先安裝 selected-apps,使用者才能使用其裝置。 選擇 [選取應用程式] 以啟動 [封鎖應用程式 ] 清單,其中包含更多與封鎖應用程式相關的設定。
僅在技術人員階段中無法選取封鎖應用程式:搭配 Windows Autopilot 預先布建部署使用此設定,以控制 技術人員流程期間所需應用程式的優先順序。 只有在新增 封鎖應用程式 ,且僅適用於進行預先布建的裝置時,才能使用此設定。 選項包括:
- 否:嘗試安裝封鎖的應用程式。 如果封鎖應用程式無法安裝,Autopilot 部署會失敗。 不會嘗試安裝非封鎖應用程式。 當使用者第一次收到重新密封的裝置並登入時,ESP 會嘗試安裝未封鎖的應用程式。
- 是:嘗試安裝所有必要的應用程式。 如果封鎖應用程式無法安裝,Autopilot 部署會失敗。 如果以裝置為目標的非封鎖應用程式無法安裝,ESP 會忽略它,並繼續正常部署。 當使用者第一次登入重新密封的裝置時,ESP 會重新嘗試安裝在技術人員階段無法安裝的應用程式。 此設定是預先布建部署的預設設定。
提示
使用這項功能時,預期技術人員階段的布建時間會增加。 指派的應用程式越多,可能需要的時間就越長。 如果您使用第三方來布建您的裝置,請告知他們增加布建時間的可能性。 增加 ESP 逾時持續時間,以防止部署因逾時而失敗。
選取 [下一步]。
在 [ 指派] 中,選取要接收配置檔的群組。 選擇性地選取 [編輯篩選 ] 以進一步限制指派。
注意
由於作系統限制,ESP 指派的篩選條件選取範圍有限。 選擇器只會顯示已針對
model、、manufacturerdeviceOwnershipoperatingSystemSKUosVersion和 屬性定義規則的enrollmentProfileName篩選條件。model和manufacturer適用於 Windows 11 版本 23H2 KB5035942或更新版本,或是具有 KB5035942 或更新版本的 22H2。 無法使用包含其他屬性的篩選。選取 [下一步]。
或者,在 [範圍卷標] 中指派標籤,以將配置檔管理限制為特定 IT 群組,例如
US-NC IT Team或JohnGlenn_ITDepartment。 然後選取 [下一步]。注意
範圍標籤會限制可在系統管理中心查看並重新撰寫 ESP 配置檔的人員。 限定範圍的使用者可以分辨其配置檔的相對優先順序,即使他們在 Intune 中看不到所有其他配置檔。 如需範圍標籤的詳細資訊,請 參閱針對分散式IT使用角色型訪問控制和範圍標籤。
在 [檢閱 + 建立] 中,檢閱您的設定。 選取 [ 建立] 之後,會儲存您的變更,並指派配置檔。 部署之後,下次裝置簽入時就會套用配置檔。 您可以從設定檔案清單存取設定檔。
Intune 在沒有其他 ESP 設定檔可供指派時,將預設配置檔套用至所有使用者和所有裝置。 您可以設定預設設定檔來顯示或隱藏 ESP。
選取預設配置檔。
選取 [內容]。
移至 [ 設定] 區 段,然後選取 [ 編輯]。
設定 [顯示應用程式和設定檔安裝進度 ] 以設定預設設定檔的行為。 選項包括:
- 否:使用者在初始裝置設定和登入期間看不到 ESP。
- 是:使用者在初始裝置設定和登入期間可以看到 ESP。
如果您選取 [ 是],則會提供更多可供您設定的設定。
選 取 [檢閱 + 儲存]。
檢閱變更摘要,然後選取 [ 儲存]。
如果您指派一個以上的使用者或裝置 ESP 設定檔,優先順序最高的配置檔會優先於其他配置檔。 設定為 1 的設定檔具有最高優先順序。 Intune 在未將其他配置檔指派給裝置或使用者時,套用預設 ESP 配置檔。
Intune 依下列順序套用設定檔:
- Intune 會套用指派給裝置的最高優先順序配置檔。
- 如果沒有以裝置為目標的配置檔,Intune 會套用指派給使用者的最高優先順序配置檔。 這僅適用於有用戶的情況。 在預先布建和自我部署案例中,Intune 只會套用以裝置為目標的配置檔。
- 如果未將任何配置檔指派給裝置或使用者,Intune 套用預設 ESP 配置檔。
若要排定設定檔的優先權:
- 將滑鼠游標停留在清單中的配置檔上,直到您看到三個垂直點為止。
- 將配置檔拖曳至清單中所需的位置。
指定必須先安裝的應用程式,使用者才能結束 ESP。 您可以選擇最多 100 個應用程式。
- 選擇註冊狀態頁面配置檔,然後選取 [ 設定]。
- 針對 [顯示應用程式和設定檔安裝進度] 選擇 [是]。
- 針對 [封鎖裝置使用] 選擇 [ 是 ], 直到安裝所有應用程式和配置文件為止。
- 選擇 [選取 ] 以 封鎖裝置使用,直到這些必要應用程式指派給使用者/裝置時才安裝。
- 選擇 [選取應用程式]> 選擇 [選取>儲存]應用程式。>
Intune 會使用此清單中包含的應用程式來篩選應視為封鎖的清單。 它不會指定應該安裝哪些應用程式。 例如,如果您將此清單設定為包含:
- 應用程式1
- 應用程式 2
- 應用程式3
而 App 3 和 App 4 是以裝置或用戶為目標,ESP 只會追蹤 App 3。 應用程式 4 仍已安裝,但 ESP 不會等待它完成。
註冊狀態頁面會追蹤下列布建階段:
- 裝置準備
- 裝置設定
- 帳戶設定
本節說明在每個階段追蹤的資訊、應用程式和原則類型。
在裝置準備期間,註冊狀態頁面會追蹤裝置用戶的這些工作:
- 保護您的硬體
- 加入組織的網路
- 註冊您的裝置以進行行動管理
此工作可確保裝置完成信賴平臺模組 (TPM) 密鑰證明,並使用 Microsoft Entra ID 驗證其身分識別。 Microsoft Entra ID 會將令牌傳送至裝置,該令牌會在 Microsoft Entra 加入期間使用。
Autopilot 自我部署模式和 Autopilot 預先布建部署需要此步驟。 在用戶驅動模式下,Windows Autopilot 案例不需要它。
裝置會使用上一個步驟中收到的令牌來加入 Microsoft Entra ID。 Autopilot 自我部署模式和 Autopilot 預先布建部署需要此步驟。 處於用戶驅動模式的裝置已在開啟ESP時完成這項工作。
裝置會註冊行動裝置管理 (MDM) Microsoft Intune。
Autopilot 自我部署模式和 Autopilot 預先布建部署需要此步驟。 處於用戶驅動模式的裝置已在開啟ESP時完成此步驟。
註冊之後,裝置會計算在下一個階段中追蹤所需的原則和應用程式。 針對 Windows 10 1903 版和更新版本,裝置也會建立 SideCar 代理程式的追蹤原則,並安裝用來安裝 Win32 應用程式的 Intune 管理延伸模組。
註冊狀態頁面會在裝置設定階段追蹤這些專案:
- 安全性原則
- 憑證設定檔
- 網路連線
- 應用程式
ESP 不會追蹤安全策略,例如裝置限制,但這些原則會安裝在背景中。 ESP 會追蹤Microsoft Edge、受指派的存取權和 Kiosk 瀏覽器原則。
提示
完成時,安全策略的狀態會顯示在 ESP 上 , (1 的 1 個) 完成。
ESP 會追蹤以裝置為目標的SCEP憑證配置檔安裝。
ESP 會追蹤以裝置為目標的 VPN 和 Wi-Fi 配置檔。
ESP 會追蹤部署在裝置內容中且以裝置為目標的應用程式安裝,包括:
- 每部計算機的企業營運 (LoB) MSI 應用程式。
- LoB 市集應用程式,其中安裝內容 = 裝置。
- 適用於目前支援之 Windows 版本的 Win32 應用程式。
- WinGet 應用程式。
注意
請勿混合 LOB 和 Win32 應用程式。 LOB (MSI) 和 Win32 安裝程式都使用 TrustedInstaller,這不允許同時安裝。 如果 OMA DM 代理程式啟動 MSI 安裝,Intune 管理延伸模組外掛程式會使用相同的 TrustedInstaller 來啟動 Win32 應用程式安裝。 在此情況下,Win32 應用程式安裝失敗,並傳回 正在進行的另一個安裝,請稍後再試 一次錯誤訊息。 在此情況下,ESP 會失敗。 因此,請勿在使用 Windows Autopilot 時混用 LOB 和 Win32 應用程式。
如果需要混合 LOB 和 Win32 應用程式,請考慮使用 Windows Autopilot 裝置準備,這不會使用 ESP,因此支援混合 LOB 和 Win32 應用程式。
在帳戶設定階段期間,ESP 會追蹤以用戶為目標的應用程式和原則,包括:
安全性原則
憑證
網路連線
應用程式
提示
開始安裝之前,裝置會建立追蹤原則,並計算所有需要追蹤的應用程式和原則。 發生這種情況時,ESP 會顯示處於 識別 狀態的子工作。
ESP 不會追蹤安全策略,例如裝置限制,但這些原則會安裝在背景中。 ESP 會追蹤Microsoft Edge、受指派的存取權和 Kiosk 瀏覽器原則。
ESP 會追蹤指派給使用者的SCEP憑證配置檔安裝。
ESP 會追蹤指派給使用者的 Wi-Fi 配置檔。
在此階段中,ESP 會追蹤指派給使用者的應用程式安裝。 ESP 會追蹤適用於 Windows 10 版本 1903 和更新版本的 Win32 應用程式。
當指派給所有裝置、所有使用者或包含註冊裝置使用者的使用者群組時,也會追蹤下列類型的應用程式:
- 每位使用者 LoB MSI 應用程式。
- 每部機器LoB MSI應用程式。
- LoB 市集應用程式、在線市集應用程式和離線市集應用程式。
如果您使用 Microsoft Entra 混合式加入,在布建期間不會追蹤指派給具有使用者安裝內容之裝置的 Win32 和 UWP 應用程式。
本節列出註冊狀態頁面的已知問題。
建立在 ESP 期間部署的應用程式時,任何在應用程式內封裝的重新啟動都可能導致 ESP 停止回應,並使部署失敗。 建議您在 Intune 中指定重新啟動行為,而不是在套件內觸發重新啟動。
停用 ESP 配置檔並不會從裝置移除 ESP 原則,而且使用者在第一次登入裝置時仍會取得 ESP。 停用 ESP 配置檔時,不會移除原則。
在裝置設定期間重新啟動會強制用戶在帳戶設定階段之前輸入其認證。 重新啟動期間不會保留用戶認證。 指示裝置使用者輸入其認證,以繼續進行帳戶設定階段。
ESP 一律會在執行 Windows 10 版本 1903 和更早版本的裝置上逾時,並透過 [新增公司與學校帳戶] 選項註冊。 ESP 會等候 Microsoft Entra 註冊完成。 問題已在 Windows 10 1903 版和更新版本上修正。
具有 ESP 的混合式 Microsoft Entra Autopilot 部署所花費的時間超過 ESP 配置檔中輸入的逾時持續時間。 在混合式 Microsoft Entra Autopilot 部署上,ESP 所花費的時間比 ESP 配置檔中設定的值長 40 分鐘。 例如,您會在配置檔中將逾時持續時間設定為 30 分鐘。 ESP 可能需要 30 分鐘 + 40 分鐘。 此延遲可讓內部部署 AD 連接器有時間建立新裝置記錄以 Microsoft Entra ID。
Windows 登入頁面未在 Autopilot 用戶驅動模式中預先填入用戶名稱。 如果 ESP 的裝置設定階段期間有重新啟動:
- 不會保留用戶認證
- 用戶必須再次輸入認證,才能從裝置安裝階段繼續進行至帳戶設定階段
ESP 停滯很長一段時間,或永遠不會完成「識別」階段。 Intune 在識別階段期間計算 ESP 原則。 如果目前的使用者未獲指派 Intune 授權,裝置可能永遠不會完成計算 ESP 原則。
設定 Microsoft Defender 應用程控會導致 Autopilot 期間出現重新啟動的提示。 設定 Microsoft Defender Application (AppLocker CSP) 需要重新啟動。 設定此原則時,可能會導致裝置在 Autopilot 期間重新啟動。 目前,無法抑制或延後重新啟動。
當 DeviceLock 原則 啟用為 ESP 配置檔的一部分時,OOBE 或使用者桌面自動登入可能會因為兩個原因而意外失敗。
- 如果裝置在結束 ESP 裝置設定階段之前未重新啟動,系統可能會提示使用者輸入其 Microsoft Entra 認證。 此提示會發生,而不是使用者看到 Windows 第一個登入動畫的成功自動登入。
- 如果裝置在使用者輸入其 Microsoft Entra 認證之後,但在結束 ESP 裝置設定階段之前重新啟動,則自動註冊將會失敗。 發生此失敗是因為 ESP 裝置設定階段從未完成。 因應措施是重設裝置。
ESP 不適用於已向 群組原則 (GPO) 註冊的 Windows 裝置。
在使用者內容中執行 (在腳本屬性上使用登入認證執行此腳本的腳本 會設定為 [是 ],) 可能無法在 ESP 期間執行。 因應措施是在系統內容中執行腳本,方法是將此設定變更為 [否]。
Microsoft 365 Apps 可能會導致 ESP 在應用程式安裝期間停止回應,特別是在:
- 您可以使用 Microsoft 365 Apps (Windows 10 和更新版本) 應用程式類型,將 Microsoft 365 Apps 新增至 Microsoft Intune。
- ESP 正在追蹤 Microsoft 365 Apps 的安裝。
- Microsoft 365 Apps 在正在追蹤的另一個 Win32 應用程式安裝期間開始安裝。
若要防止 ESP 在安裝期間停止回應,並導致部署失敗,建議您使用 Win32 應用程式類型來部署具有 Microsoft Intune 的 Microsoft 365 Apps。
如需 ESP 相關錯誤或訊息的說明,包括如何停用已啟用的 ESP,請參閱針對 Windows 註冊狀態頁面進行疑難解答。