本文提供了有关 Sysprep 在已注册移动设备管理(MDM)的 Windows 10 设备上正确运行时的故障排除提示。
症状
在克隆映像或虚拟机(VM)之前,需要先在 操作系统(OS)上运行系统准备 (Sysprep)工具。 运行 Sysprep 时,预计通用化过程将从创建它的原始计算机中删除所有唯一信息。
但是,对于几个关键项,不会发生此删除操作:
MDM 注册(如 Intune)证书、标识符、设置等。
Microsoft Entra 加入或Microsoft Entra 设备注册证书和 ID。
此问题会导致 MDM 出现重大问题,因为多个设备都提供相同的 ID,并且不会从 MDM 服务器接收必要的配置。
原因
运行 Sysprep 来通用化计算机时,允许每个 Windows 组件从系统中删除信息,例如注册表项、证书、文件、文件夹等;组件知道的任何内容都会在安装曾经克隆时导致问题。
但这并不意味着每个组件都会删除信息。
示例:如果将 Windows 10 安装加入到 Microsoft Entra ID,或在 Intune 中注册,OS 将收到绑定到特定设备的多个证书。 其他注册和设备 ID 信息将写入注册表中的各种位置,然后应用策略信息和设置。 因此,sysprep 或通用化过程不会删除该信息。
解决方案
在复制或克隆 Windows 安装(无论是物理上复制磁盘驱动器还是使用基于 VM 的快照或差异磁盘技术),系统必须使用Sysprep.exe通用化。
部署重复的或映像的 Windows 安装时,需要先使用 Sysprep 才能捕获映像。 Microsoft不支持使用除 Sysprep 以外的 SID 复制工具设置的计算机。 在捕获和部署映像之前,重新密封或通用化 Windows 映像。
例如,当你使用 Sysprep 工具通用化某个映像时,Sysprep 将删除所有系统特定的信息并重置计算机。 如果将 Windows 映像传输到其他计算机,则必须将 Sysprep 命令与 /generalize 该选项一起运行,即使其他计算机具有相同的硬件配置。 Sysprep /generalize 命令从 Windows 安装中删除唯一信息,以便你可以在其他计算机上重复使用该映像。
此外,从不克隆已加入 Microsoft Entra ID 的设备,或注册到 MDM 服务(如 Intune)。 否则,使用该映像的所有设备将看起来与用户相同,并且 Intune 无法在它们都提供相同的设备 ID 和证书时区分它们。
创建映像时,请遵循一致的可重复过程(例如使用 MDT 或 ConfigMgr OSD),同时使用 VM 并运行可以完成整个过程的自动化任务序列。 请勿将其加入 Active Directory 或Microsoft Entra ID,并且不会将映像设置为共同管理的状态,因为该状态已在 Intune 中注册。 将映像保留在工作组中,执行自定义并在进程结束时运行 sysprep /generalize 。
若要绕过此处介绍的许多问题,Microsoft建议使用 Windows Autopilot 自动执行该过程。