Требования к подготовке устройства Windows Autopilot

Требования к программному обеспечению

Подготовка устройств Windows Autopilot зависит от конкретных функций, доступных в клиенте Windows, Microsoft Entra ID и службе управления мобильными устройствами (MDM), например Microsoft Intune. Чтобы использовать подготовку устройств Windows Autopilot и получить доступ к этим функциям, необходимо выполнить некоторые требования к программному обеспечению.

Windows 11

• Windows 11 версии 23H2 с KB5035942 или более поздней — установочный носитель Windows с апреля 2024 года или более поздней версии KB5035942 включен.
• Windows 11 версии 22H2 с KB5035942 или более поздней — установочный носитель Windows от апреля 2024 г. или более поздней версии KB5035942 включен.

Поддерживаются следующие выпуски:

• Windows 11 Pro.
• Windows 11 Pro для образовательных учреждений.
• Windows 11 Pro для рабочих станций.
• Windows 11 Корпоративная.
• Windows 11 для образовательных учреждений.

Требования к сети

Подготовка устройства Windows Autopilot зависит от различных интернет-служб. Для правильной работы устройства Windows Autopilot необходимо предоставить доступ к этим службам. В простейшем случае обеспечить правильную функциональность можно с помощью следующих условий:

• Убедитесь, что доменные имена служб (DNS) разрешают dns-имена в Интернете.
• Разрешите доступ ко всем узлам через порты 80 (HTTP), 443 (HTTPS) и 123 (UDP/NTP).

Для предоставления доступа к требуемым службам в средах может потребоваться дополнительная настройка, которая:

• Более строгий доступ в Интернет.
• Перед получением доступа к Интернету требуется проверка подлинности.

Требования к службе

Подготовка устройства Windows Autopilot зависит от нескольких типов служб для правильной работы. Для правильной работы этих служб может потребоваться выполнить определенные конфигурации сети. Ниже перечислены эти службы и необходимые конфигурации сети.

Служба развертывания подготовки устройств Windows Autopilot

После установки сетевого подключения каждое устройство Windows будет обращаться в службу развертывания подготовки устройств Windows Autopilot. Используются следующие URL-адреса:

• https://ztd.dds.microsoft.com
• https://cs.dds.microsoft.com
• https://login.live.com

Активация Windows

Для подготовки устройства Windows Autopilot требуются службы активации Windows. Дополнительные сведения о URL-адресах, которые должны быть доступны для служб активации, см. в статье Сбой активации или проверки Windows с кодом ошибки 0x8004FE33.

Microsoft Entra ID

Microsoft Entra ID проверяет учетные данные пользователя. Кроме того, устройство присоединяется к Microsoft Entra ID во время подготовки устройства Windows Autopilot. Дополнительные сведения см. в статье Веб-служба IP-адресов и URL-адресов в Office 365.

Microsoft Intune

После проверки подлинности Microsoft Entra ID активирует регистрацию устройства в службе управления мобильными устройствами Intune (MDM). Дополнительные сведения о требованиях Intune к сетевой связи см. в следующих статьях:

• Требования к конфигурации сети Intune и ее пропускная способность.
• Конечные точки сети для Microsoft Intune.

Автоматический сбор диагностика устройств для подготовки устройств Windows Autopilot

Чтобы диагностика могли успешно отправляться из клиента, убедитесь, что URL-адрес lgmsapeweu.blob.core.windows.net не заблокирован в сети. Диагностика доступна в течение 28 дней, прежде чем они будут удалены.

Дополнительные сведения см. в статье Сбор диагностика с устройства Windows.

Центр обновления Windows

Во время процесса запуска (OOBE) и после настройки ОС Windows служба клиентский компонент Центра обновления Windows извлекает необходимые обновления. Если при подключении к клиентский компонент Центра обновления Windows возникают проблемы, см. статью Об устранении неполадок клиентский компонент Центра обновления Windows.

Если клиентский компонент Центра обновления Windows недоступна, процесс подготовки устройства Windows Autopilot по-прежнему продолжается, но критические обновления недоступны.

Оптимизация доставки

Подготовка устройства Windows Autopilot связывается со службой оптимизации доставки при скачивании приложений и обновлений. Этот контакт устанавливает одноранговый общий доступ к содержимому, чтобы только нескольким устройствам было необходимо скачать его из Интернета.

• Windows Обновления.
• Приложения и обновления приложений Microsoft Store.
• Office Обновления.
• Intune приложений Win32.

Если служба оптимизации доставки недоступна, процесс Autopilot по-прежнему продолжается с загрузкой оптимизации доставки из облака без однорангового подключения.

Синхронизация протокола NTP

Когда устройство Windows запускается, оно взаимодействует с сервером сетевого времени, чтобы убедиться, что время на устройстве правильно. Убедитесь, что UDP-порт 123 to time.windows.com доступен.

Службы доменных имен (DNS)

Чтобы разрешить интернет-имена для всех служб, устройство взаимодействует с DNS-сервером, который обычно предоставляется через DHCP. Этот DNS-сервер должен иметь возможность разрешать имена в Интернете.

Данные диагностики

Сбор диагностических данных включен по умолчанию. Дополнительные сведения см. в разделе Управление диагностическими данными предприятия.

Если устройство не может отправить диагностические данные, процесс подготовки устройства Windows Autopilot продолжается. Однако службы, зависящие от диагностических данных, не работают.

Индикатор состояния сетевого подключения (NCSI)

Windows должна быть в состоянии сообщить, что устройство может получить доступ к Интернету. Дополнительные сведения см. в разделе Индикатор состояния сетевого подключения (NCSI).

*.msftconnecttest.com должен быть разрешаемым через DNS и доступен по протоколу HTTP.

Службы уведомлений Windows (WNS)

Эта служба используется для предоставления Windows возможности получать уведомления от приложений и служб. Дополнительные сведения см. в разделе Microsoft Store.

Если службы WNS недоступны, процесс подготовки устройства Windows Autopilot по-прежнему продолжается без уведомлений.

Microsoft Store

Приложения в Microsoft Store можно отправить на устройство, активировав их через Intune или другую службу MDM. При первом входе пользователя могут потребоваться обновления приложений и дополнительные приложения. Дополнительные сведения см. в статьях Обновление до Intune интеграции с Microsoft Store в Windows и Вопросы и ответы: Поддержка возможностей Microsoft Store на управляемых устройствах.

Если Microsoft Store недоступен, процесс Autopilot по-прежнему продолжается без приложений Microsoft Store.

Microsoft 365

В рамках Intune конфигурации устройства может потребоваться установка приложений Microsoft 365 для предприятий. Список, включающий все службы Office, DNS-имена, IP-адреса, включая Microsoft Entra ID и другие службы, которые могут перекрываться с перечисленными выше службами, см. в разделе Office 365 URL-адреса и диапазоны IP-адресов.

Списки отзыва сертификатов (CRL)

Некоторые из этих служб также должны проверка списки отзыва сертификатов (CRL) для сертификатов, используемых в службах. Полный список см. в разделе OFFICE 365 URL-адреса и диапазоны IP-адресов, а также цепочки сертификатов Office 365.

Параметры прокси-сервера

Развертывание параметров прокси-сервера для подготовки устройства Windows Autopilot должно быть настроено на самом прокси-сервере. Реализация параметров прокси-сервера с помощью политики Intune не полностью поддерживается, так как это может привести к проблемам и непредвиденному поведению при развертывании с привилегированным доступом.

Требования к лицензированию

Подготовка устройства Windows Autopilot зависит от конкретных возможностей, доступных в клиенте Windows и Microsoft Entra ID. Для этого также требуется служба управления мобильными устройствами (MDM), например Microsoft Intune. Эти возможности можно получить с помощью различных выпусков и программ подписки.

Для предоставления необходимых функций Microsoft Entra ID и MDM, включая автоматическую регистрацию MDM и функции фирменной символики компании, требуется одна из следующих подписок:

• Microsoft 365 бизнес премиум подписка.
• подписка Microsoft 365 F1 или F3.
• Подписка Microsoft 365 Academic A1, A3 или A5.
• Microsoft 365 корпоративный подписке E3 или E5, которая включает все функции клиента Windows, Microsoft 365 и EMS (Microsoft Entra ID и Intune).
• подписка Enterprise Mobility + Security E3 или E5, которая включает все необходимые Microsoft Entra ID и Intune функции.
• подписка Intune для образовательных учреждений, которая включает все необходимые Microsoft Entra ID и Intune функции.
• Microsoft Entra ID P1 или P2 и Microsoft Intune подписку или альтернативную службу MDM.

Кроме того, также рекомендуется, но не обязательно:

• Приложения Microsoft 365 для предприятий . Приложения Microsoft 365 для предприятий можно легко развернуть с помощью Intune или другой службы MDM.
• Активация подписки На Windows — автоматический переход устройств с Windows Pro на Windows Enterprise.

Требования к конфигурации

Перед использованием подготовки устройств Windows Autopilot для поддержки распространенных сценариев Autopilot необходимо выполнить некоторые задачи конфигурации.

• Настройте автоматическую регистрацию Microsoft Entra. Дополнительные сведения о Microsoft Intune см. в разделах Настройка автоматической регистрации Intune Windows и Включение автоматической регистрации Windows. При использовании другой службы управления мобильными устройствами (MDM) обратитесь к поставщику за конкретными URL-адресами или конфигурацией, необходимыми для этих служб.

• Первый пользователь, который выполняет вход, должен иметь разрешения на Microsoft Entra присоединение. Дополнительные сведения см. в статье Разрешить пользователям присоединяться к устройствам Microsoft Entra ID.

Следующие конфигурации являются необязательными, но рекомендуемыми. Они не требуются:

• Автоматический переход с Windows Pro на Windows Корпоративная. Дополнительные сведения см. в разделе Активация подписки Windows.

Нет дополнительных требований к оборудованию для использования Autopilot, кроме требований к оборудованию для запуска Windows. Дополнительные сведения см. в разделе:

• Найдите Windows 11 спецификации, функции и требования к компьютеру.
• Минимальные требования к оборудованию Windows.
• требования к Windows 11.

Необходимые разрешения RBAC

Следующие разрешения на управление доступом на основе ролей (RBAC) требуются в роли в Intune для пользователя для администрирования подготовки устройств Windows Autopilot:

• Конфигурации устройств

  • Чтение
  • Удалить
  • Назначение
  • Create
  • Update

• Программы регистрации

  • Назначение членства устройства во время регистрации

• Управляемые приложения

  • Чтение

• Мобильные приложения

  • Чтение

• Организация

  • Чтение

Чтобы создать настраиваемую роль с этими разрешениями для использования с подготовкой устройства Windows Autopilot, выполните следующие действия:

1. Войдите в Центр администрирования Microsoft Intune.

2. На начальном экране выберите Администрирование клиента в области слева.

3. В администраторе клиента | Экран состояния клиента , выберите Роли.

4. В ролях Endpoint Manager | На экране Все роли убедитесь, что в разделе Управление выбрано значение Все роли.

5. Выберите раскрывающееся меню Создать и выберите Intune роль. Откроется экран Добавление настраиваемой роли .

6. На экране Добавление настраиваемой роли выполните следующие действия.

   1. На странице Основные сведения :

      1. Имя — введите имя настраиваемой роли, например администратор подготовки устройства Windows Autopilot.

      2. Описание — введите описание настраиваемой роли.

   2. Нажмите кнопку Далее.

   3. На странице Разрешения в разделе Выберите категорию ниже для настройки параметров прокрутите список, чтобы найти следующие параметры. После того как параметр будет найден, разверните его, а затем измените на следующие разрешения:

      • Конфигурации устройств

        • Чтение: Да
        • Удалить: Да
        • Назначение: Да
        • Создать: Да
        • Обновление: Да

        Для просмотра отчетов можно оставить значение по умолчанию Нет.

      • Программы регистрации

        • Назначение членства устройства во время регистрации: Да

        Для всех остальных разрешений можно оставить значение по умолчанию No.

      • Управляемые приложения

        • Чтение: Да

        Для всех остальных разрешений можно оставить значение по умолчанию No.

      • Мобильные приложения

        • Чтение: Да

        Для всех остальных разрешений можно оставить значение по умолчанию No.

      • Организация

        • Чтение: Да

        Для всех остальных разрешений можно оставить значение по умолчанию No.

   4. После правильной настройки всех разрешений нажмите кнопку Далее.

   5. На странице Теги области нажмите кнопку Далее.

      Примечание.

      Теги области являются необязательными. Если необходимо указать настраиваемый тег область, сделайте это на этой странице. Дополнительные сведения о тегах области см. в статье Использование управления доступом на основе ролей и тегов области для распределенных ИТ-систем.

   6. На странице Просмотр и создание убедитесь, что все разрешения заданы правильно, а затем нажмите кнопку Создать.

7. Новая настраиваемая роль подготовки устройств Windows Autopilot теперь может быть назначена пользователям, которые управляют подготовкой устройств Windows Autopilot.

Дополнительные сведения см. в разделе Управление доступом на основе ролей (RBAC) с помощью Microsoft Intune.