Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Tryb oparty na użytkowniku rozwiązania Windows Autopilot umożliwia skonfigurowanie nowego urządzenia z systemem Windows w celu automatycznego przekształcenia ich ze stanu fabryki na stan gotowy do użycia. Ten proces nie wymaga, aby pracownicy IT dotykali urządzenia.
Proces jest prosty. Urządzenia mogą być dostarczane lub dystrybuowane do użytkownika końcowego bezpośrednio z następującymi instrukcjami:
- Rozpakuj urządzenie, podłącz go i włącz.
- Jeśli używa wielu języków, wybierz język, ustawienia regionalne i klawiaturę.
- Połącz ją z siecią bezprzewodową lub przewodową z dostępem do Internetu. Jeśli używasz sieci bezprzewodowej, najpierw połącz się z siecią wi-fi.
- Określ konto adresu e-mail i hasło dla organizacji.
Pozostała część procesu jest zautomatyzowana. Urządzenie wykonuje następujące czynności:
- Dołącz do organizacji.
- Zarejestruj się w usłudze Microsoft Intune lub innej usłudze zarządzania urządzeniami przenośnymi (MDM).
- Konfigurowanie zgodnie z definicją organizacji.
Inne monity mogą być pomijane w środowisku out-of-box (OOBE). Aby uzyskać więcej informacji na temat dostępnych opcji, zobacz Konfigurowanie profilów rozwiązania Windows Autopilot.
Ważna
Jeśli jest używany Active Directory Federation Services (ADFS), istnieje znany problem, który może umożliwić użytkownikowi końcowemu logowanie się przy użyciu innego konta niż przypisane do tego urządzenia.
Tryb oparty na użytkownikach rozwiązania Windows Autopilot obsługuje dołączanie Microsoft Entra i Microsoft Entra urządzeń przyłączonych hybrydowo. Aby uzyskać więcej informacji na temat tych dwóch opcji sprzężenia, zobacz następujące artykuły:
- Co to jest tożsamość urządzenia?.
- Dowiedz się więcej o punktach końcowych natywnych dla chmury.
- Microsoft Entra przyłączone a Microsoft Entra przyłączone hybrydowo w punktach końcowych natywnych dla chmury.
- Samouczek: konfigurowanie i konfigurowanie natywnego dla chmury punktu końcowego systemu Windows w usłudze Microsoft Intune.
- Instrukcje: planowanie implementacji dołączania Microsoft Entra.
- Struktura transformacji zarządzania punktami końcowymi systemu Windows.
- Powodzenie dzięki zdalnej funkcji Windows Autopilot i przyłącza hybrydowego Microsoft Entra.
Kroki procesu opartego na użytkownikach są następujące:
Gdy urządzenie nawiąże połączenie z siecią, urządzenie pobierze profil rozwiązania Windows Autopilot. Profil definiuje ustawienia używane dla urządzenia. Na przykład zdefiniuj monity pominięte podczas OOBE.
System Windows sprawdza krytyczne aktualizacje OOBE. Jeśli aktualizacje są dostępne, są one instalowane automatycznie. W razie potrzeby urządzenie zostanie ponownie uruchomione.
Użytkownik jest monitowany o Microsoft Entra poświadczeń. To dostosowane środowisko użytkownika pokazuje Microsoft Entra nazwę dzierżawy, logo i tekst logowania.
Urządzenie łączy się Microsoft Entra identyfikatorem lub usługą Active Directory w zależności od ustawień profilu rozwiązania Windows Autopilot.
Urządzenie jest rejestrowane w usłudze Intune lub innej skonfigurowanej usłudze MDM. W zależności od potrzeb organizacji ta rejestracja odbywa się następująco:
Podczas procesu dołączania Microsoft Entra przy użyciu automatycznej rejestracji mdm.
Przed procesem dołączania do usługi Active Directory.
Jeśli zostanie skonfigurowana, zostanie wyświetlona strona ze stanem rejestracji (ESP).
Po zakończeniu zadań konfiguracji urządzenia użytkownik jest zalogowany do systemu Windows przy użyciu podanych wcześniej poświadczeń. Jeśli urządzenie zostanie ponownie uruchomione podczas procesu esp urządzenia, użytkownik musi ponownie wprowadzić swoje poświadczenia. Te szczegóły nie są utrwalane po ponownym uruchomieniu.
Po zalogowaniu zostanie wyświetlona strona stanu rejestracji dla zadań konfiguracji ukierunkowanych na użytkownika.
Jeśli podczas tego procesu zostaną znalezione jakiekolwiek problemy, zobacz Rozwiązywanie problemów z rozwiązaniem Windows Autopilot — omówienie.
Aby uzyskać więcej informacji na temat dostępnych opcji sprzężenia, zobacz następujące sekcje:
- Microsoft Entra dołączenie jest dostępne, jeśli urządzenia nie muszą dołączać do domeny lokalna usługa Active Directory.
- Microsoft Entra dołączenie hybrydowe jest dostępne dla urządzeń, które muszą dołączyć zarówno identyfikator Microsoft Entra, jak i domenę lokalna usługa Active Directory.
Tryb sterowany przez użytkownika dla sprzężenia Microsoft Entra
Aby ukończyć wdrożenie oparte na użytkownikach przy użyciu rozwiązania Windows Autopilot, wykonaj następujące kroki przygotowania:
Upewnij się, że użytkownicy wykonujący wdrożenia w trybie opartym na użytkownikach mogą dołączać urządzenia do Microsoft Entra identyfikatora. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień urządzenia w dokumentacji Microsoft Entra.
Utwórz profil rozwiązania Windows Autopilot dla trybu sterowanego przez użytkownika przy użyciu odpowiednich ustawień.
W usłudze Intune ten tryb jest jawnie wybierany podczas tworzenia profilu.
W Microsoft Store dla Firm i Centrum partnerskim tryb sterowany przez użytkownika jest domyślny.
Jeśli używasz usługi Intune, utwórz grupę urządzeń w Microsoft Entra identyfikatorze i przypisz profil rozwiązania Windows Autopilot do tej grupy.
Dla każdego urządzenia wdrożonego przy użyciu wdrożenia opartego na użytkownikach potrzebne są następujące dodatkowe kroki:
Dodaj urządzenie do rozwiązania Windows Autopilot. Ten krok można wykonać na dwa sposoby:
Automatycznie przez producenta OEM lub partnera po zakupie urządzenia.
Ręcznie, zgodnie z opisem w temacie Ręczne rejestrowanie urządzeń przy użyciu rozwiązania Windows Autopilot.
Przypisz profil rozwiązania Windows Autopilot do urządzenia:
Jeśli używasz usługi Intune i Microsoft Entra dynamicznych grup urządzeń, to przypisanie można wykonać automatycznie.
Jeśli używasz usługi Intune i Microsoft Entra statycznych grup urządzeń, ręcznie dodaj urządzenie do grupy urządzeń.
Jeśli używasz innych metod, takich jak Microsoft Store dla Firm lub Centrum partnerskie, ręcznie przypisz profil rozwiązania Windows Autopilot do urządzenia.
Porada
Jeśli zamierzonym stanem końcowym urządzenia jest współzarządzanie, rejestrację urządzenia można skonfigurować w usłudze Intune w celu włączenia współzarządzania, co ma miejsce podczas procesu rozwiązania Windows Autopilot. Takie zachowanie kieruje urząd obciążenia w sposób zorganizowany między programem Configuration Manager i usługą Intune. Aby uzyskać więcej informacji, zobacz Jak zarejestrować się przy użyciu rozwiązania Windows Autopilot.
Tryb sterowany przez użytkownika dla sprzężenia hybrydowego Microsoft Entra
Ważna
Firma Microsoft zaleca wdrażanie nowych urządzeń jako natywnych dla chmury przy użyciu Microsoft Entra join. Wdrażanie nowych urządzeń jako Microsoft Entra urządzeń przyłączania hybrydowego nie jest zalecane, w tym za pośrednictwem rozwiązania Windows Autopilot. Aby uzyskać więcej informacji, zobacz Microsoft Entra sprzężone a Microsoft Entra przyłączone hybrydowo w punktach końcowych natywnych dla chmury: Która opcja jest odpowiednia dla Twojej organizacji.
Rozwiązanie Windows Autopilot wymaga, aby urządzenia były Microsoft Entra przyłączone. W przypadku środowiska lokalna usługa Active Directory urządzenia mogą być przyłączone do domeny lokalnej. Aby dołączyć do urządzeń, skonfiguruj urządzenia z rozwiązaniem Windows Autopilot, aby były przyłączone hybrydowo do Microsoft Entra identyfikatora.
Porada
Gdy firma Microsoft rozmawia z klientami korzystającymi z usługi Microsoft Intune i Microsoft Configuration Manager do wdrażania i zabezpieczania urządzeń klienckich oraz zarządzania nimi, często otrzymujemy pytania dotyczące współzarządzania urządzeniami i Microsoft Entra urządzeń przyłączonych hybrydowo. Wielu klientów myli te dwa tematy. Współzarządzanie jest opcją zarządzania, podczas gdy Microsoft Entra identyfikator jest opcją tożsamości. Aby uzyskać więcej informacji, zobacz Understanding hybrid Microsoft Entra and co-management scenarios (Omówienie scenariuszy Microsoft Entra hybrydowych i współzarządzania). Ten wpis w blogu ma na celu wyjaśnienie, Microsoft Entra przyłączanie hybrydowe i współzarządzanie, jak współpracują ze sobą, ale nie są tym samym.
Nie można wdrożyć klienta Configuration Manager podczas aprowizowania nowego komputera w trybie opartym na użytkowniku rozwiązania Windows Autopilot w celu Microsoft Entra sprzężenia hybrydowego. To ograniczenie jest spowodowane zmianą tożsamości urządzenia podczas procesu łączenia Microsoft Entra. Wdróż klienta Configuration Manager po procesie rozwiązania Windows Autopilot. Zobacz Metody instalacji klienta w Configuration Manager, aby uzyskać alternatywne opcje instalowania klienta.
Wymagania dotyczące trybu opartego na użytkownikach z identyfikatorem Microsoft Entra hybrydowego
Utwórz profil rozwiązania Windows Autopilot dla trybu opartego na użytkownikach.
W profilu rozwiązania Windows Autopilot w obszarze Dołącz do Microsoft Entra identyfikator jako wybierz pozycję Microsoft Entra przyłączone hybrydowo.
W przypadku korzystania z usługi Intune grupa urządzeń jest potrzebna w Microsoft Entra identyfikatorze. Przypisz profil rozwiązania Windows Autopilot do grupy.
Jeśli używasz usługi Intune, utwórz i przypisz profil przyłączania do domeny. Profil konfiguracji przyłączania do domeny zawiera informacje o domenie lokalna usługa Active Directory.
Urządzenie musi mieć dostęp do Internetu. Aby uzyskać więcej informacji, zobacz wymagania dotyczące sieci.
Zainstaluj łącznik usługi Intune dla usługi Active Directory.
Uwaga
Łącznik usługi Intune dla usługi Active Directory dołącza urządzenie do domeny lokalnej. Użytkownicy nie potrzebują uprawnień do dołączania urządzeń do domeny lokalnej. To zachowanie zakłada, że łącznik jest skonfigurowany dla tej akcji w imieniu użytkownika. Aby uzyskać więcej informacji, zobacz Zwiększanie limitu konta komputera w jednostce organizacyjnej (OU).
W przypadku korzystania z serwera proxy włącz i skonfiguruj opcję ustawień serwera proxy serwera proxy serwera proxy (WPAD) serwera proxy sieci Web.
Oprócz tych podstawowych wymagań dotyczących sprzężenia hybrydowego opartego na użytkownikach Microsoft Entra, następujące dodatkowe wymagania mają zastosowanie do urządzeń lokalnych:
Urządzenie ma obecnie obsługiwaną wersję systemu Windows.
Urządzenie jest połączone z siecią wewnętrzną i ma dostęp do kontrolera domeny usługi Active Directory.
Musi rozpoznać rekordy DNS dla domeny i kontrolerów domeny.
Musi komunikować się z kontrolerem domeny, aby uwierzytelnić użytkownika.
Tryb sterowany przez użytkownika dla Microsoft Entra sprzężenia hybrydowego z obsługą sieci VPN
Urządzenia przyłączone do usługi Active Directory wymagają łączności z kontrolerem domeny usługi Active Directory w przypadku wielu działań. Działania te obejmują sprawdzanie poprawności poświadczeń użytkownika podczas logowania i stosowanie ustawień zasad grupy. Proces oparty na użytkownikach rozwiązania Windows Autopilot dla Microsoft Entra urządzeń przyłączonych hybrydowo sprawdza, czy urządzenie może skontaktować się z kontrolerem domeny, wysyłając polecenie ping do tego kontrolera domeny.
Dzięki dodaniu obsługi sieci VPN w tym scenariuszu można skonfigurować proces dołączania hybrydowego Microsoft Entra, aby pominąć sprawdzanie łączności. Ta zmiana nie eliminuje konieczności komunikacji z kontrolerem domeny. Zamiast tego, aby zezwolić na połączenie z siecią organizacji, usługa Intune dostarcza wymaganą konfigurację sieci VPN, zanim użytkownik spróbuje zalogować się do systemu Windows.
Wymagania dotyczące trybu opartego na użytkownikach z hybrydowym identyfikatorem Microsoft Entra i siecią VPN
Oprócz podstawowych wymagań dotyczących trybu opartego na użytkownikach z Microsoft Entra sprzężenia hybrydowego, następujące dodatkowe wymagania mają zastosowanie do scenariusza zdalnego z obsługą sieci VPN:
Obecnie obsługiwana wersja systemu Windows.
W Microsoft Entra profilu przyłączania hybrydowego dla rozwiązania Windows Autopilot włącz następującą opcję: Pomiń sprawdzanie łączności z domeną.
Konfiguracja sieci VPN z jedną z następujących opcji:
Można wdrożyć za pomocą usługi Intune i umożliwić użytkownikowi ręczne nawiązanie połączenia sieci VPN z poziomu ekranu logowania systemu Windows.
Automatycznie ustanawia połączenie sieci VPN zgodnie z potrzebami.
Wymagana konfiguracja sieci VPN zależy od używanego oprogramowania sieci VPN i uwierzytelniania. W przypadku rozwiązań sieci VPN innych niż Microsoft ta konfiguracja zwykle obejmuje wdrożenie aplikacji Win32 za pośrednictwem rozszerzeń zarządzania usługi Intune. Ta aplikacja będzie zawierać oprogramowanie klienckie sieci VPN i wszelkie określone informacje o połączeniu. Na przykład nazwy hostów punktu końcowego sieci VPN. Aby uzyskać szczegółowe informacje o konfiguracji specyficzne dla tego dostawcy, zobacz dokumentację dostawcy sieci VPN.
Uwaga
Wymagania dotyczące sieci VPN nie są specyficzne dla rozwiązania Windows Autopilot. Jeśli na przykład konfiguracja sieci VPN zostanie zaimplementowana w celu włączenia zdalnego resetowania haseł, ta sama konfiguracja może być używana z rozwiązaniem Windows Autopilot. Ta konfiguracja umożliwi użytkownikowi logowanie się do systemu Windows przy użyciu nowego hasła, gdy nie ma go w sieci organizacji. Po zalogowaniu się użytkownika i zapisaniu ich poświadczeń w pamięci podręcznej kolejne próby logowania nie wymagają łączności, ponieważ system Windows używa poświadczeń buforowanych.
Jeśli oprogramowanie sieci VPN wymaga uwierzytelniania certyfikatu, użyj usługi Intune, aby również wdrożyć wymagany certyfikat urządzenia. To wdrożenie można wykonać przy użyciu funkcji rejestracji certyfikatów usługi Intune, które są przeznaczone dla profilów certyfikatów na urządzeniu.
Niektóre konfiguracje nie są obsługiwane, ponieważ nie są stosowane, dopóki użytkownik nie zaloguje się do systemu Windows:
- Certyfikaty użytkowników
- Wtyczki sieci VPN innych niż Microsoft UWP ze Sklepu Windows
Walidacja
Przed podjęciem próby dołączenia hybrydowego Microsoft Entra przy użyciu sieci VPN należy upewnić się, że tryb oparty na użytkownikach dla Microsoft Entra procesu przyłączania hybrydowego działa w sieci wewnętrznej. Ten test upraszcza rozwiązywanie problemów, upewniając się, że podstawowy proces działa przed dodaniem konfiguracji sieci VPN.
Następnie upewnij się, że usługa Intune może służyć do wdrażania konfiguracji sieci VPN i jej wymagań. Przetestuj te składniki przy użyciu istniejącego urządzenia, które jest już Microsoft Entra przyłączone hybrydowo. Na przykład niektórzy klienci sieci VPN tworzą połączenie sieci VPN na maszynę w ramach procesu instalacji. Zweryfikuj konfigurację, wykonując następujące kroki:
Sprawdź, czy utworzono co najmniej jedno połączenie sieci VPN na maszynę.
Get-VpnConnection -AllUserConnectionSpróbuj ręcznie uruchomić połączenie sieci VPN.
RASDIAL.EXE "ConnectionName"Wyloguj się z systemu Windows. Sprawdź, czy ikona połączenia sieci VPN jest wyświetlana na stronie logowania systemu Windows.
Przenieś urządzenie z sieci wewnętrznej i spróbuj nawiązać połączenie przy użyciu ikony na stronie logowania systemu Windows. Zaloguj się do konta, które nie ma buforowanych poświadczeń.
W przypadku konfiguracji sieci VPN, które automatycznie nawiązują połączenie, kroki weryfikacji mogą być inne.
Uwaga
W tym scenariuszu można użyć zawsze włączonej sieci VPN. Aby uzyskać więcej informacji, zobacz Wdrażanie zawsze włączonej sieci VPN.
Następne kroki
- Wdrażanie Microsoft Entra urządzeń przyłączonych hybrydowo przy użyciu usługi Intune i rozwiązania Windows Autopilot.
- Jak zarejestrować się za pomocą rozwiązania Windows Autopilot.
- Wypróbuj przyłączanie hybrydowe rozwiązania Windows Autopilot za pośrednictwem sieci VPN w laboratorium platformy Azure.
Zawartość pokrewna
- Co to jest tożsamość urządzenia?.
- Dowiedz się więcej o punktach końcowych natywnych dla chmury.
- Microsoft Entra przyłączone a Microsoft Entra przyłączone hybrydowo w punktach końcowych natywnych dla chmury.
- Samouczek: konfigurowanie i konfigurowanie natywnego dla chmury punktu końcowego systemu Windows w usłudze Microsoft Intune.
- Instrukcje: planowanie implementacji dołączania Microsoft Entra.
- Struktura transformacji zarządzania punktami końcowymi systemu Windows.
- Omówienie scenariuszy Azure AD hybrydowych i współzarządzania.
- Powodzenie dzięki zdalnej funkcji Windows Autopilot i hybrydowej funkcji dołączania do usługi Azure Active Directory.