Windows Autopilot 裝置準備使用者驅動 Microsoft Entra 聯結步驟:
- 步驟 3:建立指派的裝置群組
- 步驟 4: 建立使用者群組
- 步驟 5: 將應用程式和 PowerShell 腳本指派給裝置群組
- 步驟 6: 建立 Windows Autopilot 裝置準備原則
- 步驟 7: 將 Windows 公司識別碼新增至裝置
如需 Windows Autopilot 裝置準備使用者驅動 Microsoft Entra 聯結工作流程的概觀,請參閱 Windows Autopilot 裝置準備使用者驅動 Microsoft Entra 聯結概觀。
注意事項
在此步驟中建立的裝置群組是 Windows Autopilot 裝置準備特有的。 Microsoft 建議建立專門用於 Windows Autopilot 裝置準備的裝置群組,而不是重複使用其他 Windows Autopilot 案例中使用的現有裝置群組。
建立指派的裝置群組
裝置群組是組織成 Microsoft Entra 群組的裝置集合。 通常,裝置群組可以指派或動態:
- 指派的群組 - 裝置會手動新增至群組,而且是靜態的。 Windows Autopilot 裝置準備只會使用指派的群組。
- 動態群組 - 裝置會根據規則自動新增至群組。 Windows Autopilot 裝置準備不會使用動態群組。
Windows Autopilot 裝置準備會使用 指派的裝置群組 作為 Windows Autopilot 裝置準備原則的一部分。 Windows Autopilot 裝置準備原則中指定的裝置群組必須是 指派的裝置群組。 然後,Windows Autopilot 裝置準備程式會在 Windows Autopilot 裝置準備部署期間,自動將裝置新增至此指派的裝置群組。
重要事項
Windows Autopilot 裝置準備原則中指定的裝置群組必須是 指派的安全性裝置群組。
提示
雖然相同的指派裝置群組可用於多個 Windows Autopilot 裝置準備原則,但 Microsoft 建議為每個 Windows Autopilot 裝置準備原則建立個別的指派裝置群組。 例如,使用者驅動案例與自動案例的不同指派裝置群組。 這可讓您更輕鬆地管理 Windows Autopilot 裝置準備原則,以及指派給它們的裝置或雲端電腦。
若要建立指派的安全性裝置群組以搭配 Windows Autopilot 裝置準備使用,請遵循下列步驟:
在 主畫面 中,選取左側窗格中的 群組 。
在群組中 |所有群組 畫面,請確定已選取 所有群組 ,然後選取 [新增群組]。
在開啟的 「新增群組 」畫面中:
針對 群組類型,選取 安全性。
針對 [群組名稱],輸入裝置群組的名稱,例如 Windows Autopilot 裝置準備裝置群組。
針對 [群組描述],輸入裝置群組的描述。
針對 Microsoft Entra 角色可指派給群組,請選取 [否]。
針對 [成員資格類型],選取 [已指派]。
針對 [擁有者],選取 [ 未選取任何擁有者 ] 連結。
在開啟的 [新增擁有者 ] 畫面中:
捲動物件清單,然後選取 AppId 為 f1346770-5b25-470b-88bd-d5744ab7952c 的服務主體 Intune 布建用戶端。 或者,使用 [搜尋 ] 列來搜尋並選取 [ Intune 布建用戶端]。
注意事項
在某些租用戶中,服務主體的名稱可能是 Intune Autopilot ConfidentialClient ,而不是 Intune 布建用戶端。 只要服務主體的 AppID 是 f1346770-5b25-470b-88bd-d5744ab7952c,它就是正確的服務主體。
如果 AppId 為 f1346770-5b25-470b-88bd-d5744ab7952c 的 Intune 布建用戶端或 Intune Autopilot ConfidentialClient 服務主體在物件清單中或搜尋時無法使用,請參閱 新增 Intune 布建用戶端服務主體。
選取 Intune 布建用戶端 作為擁有者之後,請選取 [選取]。
選取 [ 建立 ] 以完成指派的裝置群組建立。
重要事項
在 Windows Autopilot 裝置準備部署期間,裝置會自動新增至此裝置群組。 不需要手動將裝置新增為在此步驟中建立的裝置群組成員,但這樣做不會影響 Windows Autopilot 裝置準備程式。
新增 Intune 布建用戶端服務主體
如果在選取裝置群組擁有者時,無法使用 AppId f1346770-5b25-470b-88bd-d5744ab7952c 的 Intune 布建用戶端服務主體,請遵循下列步驟來新增服務主體:
在通常管理 Microsoft Intune 或 Microsoft Entra ID 的裝置上,開啟提高許可權的 Windows PowerShell 命令提示字元。
在 Windows PowerShell 命令提示字元視窗中:
輸入下列命令來安裝 Microsoft.Graph.Authentication 模組:
Install-Module Microsoft.Graph.Authentication如果提示這樣做:
- 輸入 Y 或 [是],或選取 [是] 按鈕,同意安裝 NuGet。
- 輸入 Y 或 Yes,或選取 [是] 按鈕,同意從 PSGallery 不受信任的存放庫安裝。
如需詳細資訊,請參閱 Microsoft.Graph.Authentication 和 Set-PSRepository -InstallationPolicy。
輸入下列命令來安裝 Microsoft.Graph.Applications 模組:
Install-Module Microsoft.Graph.Applications如果系統提示您這樣做,請輸入 Y 或 Yes,或選取 Yes 按鈕,以同意從 PSGallery 不受信任的存放庫安裝。
如需詳細資訊,請參閱 Microsoft.Graph.Applications 和 Set-PSRepository -InstallationPolicy。
安裝 Microsoft.Graph.Authentication 和 Microsoft.Graph.Applications 模組之後,請輸入下列命令來連線到 Microsoft Entra ID:
Connect-MgGraph -Scopes "Application.ReadWrite.All"如需詳細資訊,請參閱 Connect-MgGraph。
如果尚未向 Microsoft Entra ID 進行驗證,則會出現 [登入您的帳戶] 視窗。 輸入具有新增服務主體許可權的 Microsoft Entra ID 系統管理員的認證。
如果出現 [ 要求的許可權 ] 視窗,請選取 [ 代表 您的組織 同意 ] 核取方塊,然後選取 [ 接受 ] 按鈕。
向 Microsoft Entra ID 進行驗證並授與適當的許可權之後,請輸入下列命令來新增 Intune 布建用戶端服務主體:
New-MgServicePrincipal -AppID f1346770-5b25-470b-88bd-d5744ab7952c如需詳細資訊,請參閱 New-MgServicePrincipal -BodyParameter。
注意事項
如果租用戶中已存在 Intune 布建用戶端服務主體 ,則會顯示下列錯誤訊息:
New-MgServicePrincipal : The service principal cannot be created, updated, or restored because the service principal name f1346770-5b25-470b-88bd-d5744ab7952c is already in use. Status: 409 (Conflict) ErrorCode: Request_MultipleObjectsWithSameKeyValue如果符合下列其中一個條件,則會顯示下列錯誤訊息:
- 用來使用命令登入
Connect-MgGraph的帳戶沒有將服務主體新增至租用戶的許可權。 -
-Scopes "Application.ReadWrite.All"引數不會新增至Connect-MgGraph命令。 - 不接受 [要求的權限 ] 視窗。
- 未在 [要求的權限] 視窗中選取 [代表您的組織同意] 核取方塊。
New-MgServicePrincipal : Insufficient privileges to complete the operation. Status: 403 (Forbidden) ErrorCode: Authorization_RequestDenied- 用來使用命令登入
下一步:建立使用者群組
相關內容
如需在 Intune 中建立群組的詳細資訊,請參閱下列文章: