Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Режим Windows Autopilot, управляемый пользователем, позволяет настроить новое устройство Windows для автоматического преобразования из состояния фабрики в состояние готовности к использованию. Для этого процесса не требуется, чтобы ИТ-специалисты касались устройства.
Это простой процесс. Устройства могут быть отправлены или распространены для конечного пользователя напрямую с помощью следующих инструкций:
- Распакуйте устройство, подключите его к питанию и включите его.
- Если используется несколько языков, выберите язык, языковой стандарт и клавиатуру.
- Подключите устройство к беспроводной или проводной сети с доступом к Интернету. При использовании беспроводной сети сначала подключитесь к сети Wi-Fi.
- Укажите учетную запись адреса электронной почты и пароль для организации.
Остальная часть процесса автоматизирована. Устройство выполняет следующие действия.
- Присоединение к организации.
- Зарегистрируйтесь в Microsoft Intune или другой службе управления мобильными устройствами (MDM).
- Настройка согласно определению организации.
Другие запросы могут подавляться во время запуска запуска (OOBE). Дополнительные сведения о доступных параметрах см. в разделе Настройка профилей Windows Autopilot.
Важно!
Если используется службы федерации Active Directory (AD FS) (ADFS), существует известная проблема, из-за которой пользователь может выполнить вход с учетной записью, отличной от учетной записи, назначенной этому устройству.
Режим Windows Autopilot, управляемый пользователем, поддерживает Microsoft Entra присоединение и Microsoft Entra гибридных устройств. Дополнительные сведения об этих двух вариантах соединения см. в следующих статьях:
- Что такое удостоверение устройства?
- Дополнительные сведения о облачных конечных точках.
- Microsoft Entra присоединено и Microsoft Entra гибридное присоединение в облачных конечных точках.
- Руководство. Настройка и настройка облачной конечной точки Windows с помощью Microsoft Intune.
- Практическое руководство. Планирование реализации Microsoft Entra присоединения.
- Платформа для преобразования управления конечными точками Windows.
- Успешное использование удаленного windows Autopilot и Microsoft Entra гибридного присоединения.
Действия процесса, управляемого пользователем:
После подключения устройства к сети устройство скачивает профиль Windows Autopilot. Профиль определяет параметры, используемые для устройства. Например, вы можете определить запросы, которые подавляются во время запуска при первом включении.
Windows проверяет наличие критических обновлений запуска при первом включении. Если обновления доступны, они устанавливаются автоматически. При необходимости устройство перезапускается.
Пользователю будет предложено ввести Microsoft Entra учетные данные. В этом настроенном пользовательском интерфейсе отображается Microsoft Entra имя клиента, логотип и текст для входа.
Устройство присоединяется к Microsoft Entra ID или Active Directory в зависимости от параметров профиля Windows Autopilot.
Устройство регистрируется в Intune или другой настроенной службе MDM. В зависимости от потребностей организации эта регистрация выполняется следующим образом:
Во время Microsoft Entra процесса присоединения с помощью автоматической регистрации MDM.
Перед присоединением к Active Directory.
Если это настроено, отображается страница состояния регистрации (ESP).
После завершения задач настройки устройства пользователь выполняет вход в Windows с использованием предоставленных ранее учетных данных. Если устройство перезапускается во время процесса ESP устройства, пользователь должен повторно введите свои учетные данные. Эти сведения не сохраняются после перезапуска.
После входа отображается страница состояния регистрации для задач конфигурации, предназначенных для пользователя.
Если в ходе этого процесса обнаружены какие-либо проблемы, см. статью Общие сведения об устранении неполадок Windows Autopilot.
Дополнительные сведения о доступных вариантах присоединения см. в следующих разделах.
- Microsoft Entra присоединение доступно, если устройствам не нужно присоединяться к домену локальная служба Active Directory.
- Microsoft Entra гибридное присоединение доступно для устройств, которым необходимо присоединиться как к Microsoft Entra ID, так и к домену локальная служба Active Directory.
Управляемый пользователем режим для Microsoft Entra присоединения
Чтобы завершить управляемое пользователем развертывание с помощью Windows Autopilot, выполните следующие действия по подготовке:
Убедитесь, что пользователи, выполняющие развертывания в управляемом пользователем режиме, могут присоединять устройства к Microsoft Entra ID. Дополнительные сведения см. в разделе Настройка параметров устройства в документации по Microsoft Entra.
Создайте профиль Windows Autopilot для пользовательского режима с нужными параметрами.
В Intune этот режим явно выбирается при создании профиля.
В Microsoft Store для бизнеса и Центре партнеров по умолчанию используется управляемый пользователем режим.
При использовании Intune создайте группу устройств в Microsoft Entra ID и назначьте ей профиль Windows Autopilot.
Для каждого устройства, развернутого с помощью пользовательского развертывания, необходимы следующие дополнительные действия:
Добавьте устройство в Windows Autopilot. Этот шаг можно выполнить двумя способами:
Автоматически изготовителем оборудования или партнером при покупке устройства.
Вручную, как описано в разделе Ручная регистрация устройств с помощью Windows Autopilot.
Назначьте профиль Windows Autopilot устройству:
При использовании Intune и Microsoft Entra динамических групп устройств это назначение можно выполнить автоматически.
При использовании Intune и Microsoft Entra статических групп устройств вручную добавьте устройство в группу устройств.
При использовании других методов, таких как Microsoft Store для бизнеса или Центр партнеров, вручную назначьте профиль Windows Autopilot устройству.
Совет
Если предполагаемое конечное состояние устройства — совместное управление, регистрацию устройства можно настроить в Intune, чтобы включить совместное управление, что происходит во время процесса Windows Autopilot. Это поведение управляет центром рабочей нагрузки совместно с Configuration Manager и Intune. Дополнительные сведения см. в статье Как зарегистрироваться в Windows Autopilot.
Режим на основе пользователя для гибридного Microsoft Entra присоединения
Важно!
Корпорация Майкрософт рекомендует развертывать новые устройства как облачные с помощью Microsoft Entra присоединения. Развертывание новых устройств как Microsoft Entra устройств гибридного соединения не рекомендуется, в том числе с помощью Windows Autopilot. Дополнительные сведения см. в разделе Microsoft Entra присоединение и Microsoft Entra гибридное присоединение в облачных конечных точках: какой вариант подходит для вашей организации.
Windows Autopilot требует, чтобы устройства были Microsoft Entra присоединены. Для локальная служба Active Directory среды устройства можно присоединить к локальному домену. Чтобы присоединить устройства, настройте гибридное присоединение устройств Windows Autopilot к Microsoft Entra ID.
Совет
В то время как корпорация Майкрософт беседует с клиентами, которые используют Microsoft Intune и Microsoft Configuration Manager для развертывания, управления и защиты своих клиентских устройств, мы часто получаем вопросы о совместном управлении устройствами и Microsoft Entra устройствами с гибридным присоединением. Многие клиенты путают эти две темы. Совместное управление — это вариант управления, а Microsoft Entra ID — это параметр удостоверения. Дополнительные сведения см. в статье Общие сведения о гибридных сценариях Microsoft Entra и совместного управления. Эта запись блога направлена на уточнение Microsoft Entra гибридного присоединения и совместного управления, как они работают вместе, но не одно и то же.
Клиент Configuration Manager не может быть развернут при подготовке нового компьютера в управляемом пользователем режиме Windows Autopilot для Microsoft Entra гибридного присоединения. Это ограничение связано с изменением удостоверения устройства в процессе присоединения Microsoft Entra. Разверните клиент Configuration Manager после процесса Windows Autopilot. Альтернативные варианты установки клиента см. в разделе Методы установки клиента в Configuration Manager.
Требования к пользовательскому режиму с гибридным Microsoft Entra ID
Создайте профиль Windows Autopilot для пользовательского режима.
В профиле Windows Autopilot в разделе Присоединиться к Microsoft Entra ID как выберите Microsoft Entra гибридное присоединение.
При использовании Intune в Microsoft Entra ID требуется группа устройств. Назначьте профиль Windows Autopilot группе.
При использовании Intune создайте и назначьте профиль присоединения к домену. Профиль конфигурации присоединения к домену включает сведения о локальном домене Active Directory.
Устройство должно иметь доступ к Интернету. Дополнительные сведения см. в разделе Требования к сети.
Установите соединитель Intune для Active Directory.
Примечание.
Соединитель Intune для Active Directory присоединяет устройство к локальному домену. Пользователям не требуются разрешения для присоединения устройств к локальному домену. Это поведение предполагает, что соединитель настроен для этого действия от имени пользователя. Дополнительные сведения см. в разделе Увеличение лимита учетной записи компьютера в подразделении.
При использовании прокси-сервера включите и настройте параметр Параметры прокси-сервера WPAD.
В дополнение к этим основным требованиям для управляемого пользователем Microsoft Entra гибридного присоединения к локальным устройствам применяются следующие дополнительные требования:
Устройство имеет поддерживаемую в настоящее время версию Windows.
Устройство подключено к внутренней сети и имеет доступ к контроллеру домена Active Directory.
Ему необходимо разрешить записи DNS для домена и контроллеров домена.
Он должен взаимодействовать с контроллером домена для проверки подлинности пользователя.
Управляемый пользователем режим для Microsoft Entra гибридного присоединения с поддержкой VPN
Устройствам, присоединенным к Active Directory, требуется подключение к контроллеру домена Active Directory для многих действий. Эти действия включают проверку учетных данных пользователя при входе и применение параметров групповой политики. Управляемый пользователем процесс Windows Autopilot для Microsoft Entra гибридных присоединенных устройств проверяет, может ли устройство связаться с контроллером домена, связавшись с этим контроллером домена.
Благодаря добавлению поддержки VPN для этого сценария процесс гибридного присоединения Microsoft Entra можно настроить на пропуск проверка подключения. Это изменение не устраняет необходимость в обмене данными с контроллером домена. Вместо этого, чтобы разрешить подключение к сети организации, Intune предоставляет необходимую конфигурацию VPN, прежде чем пользователь попытается войти в Windows.
Требования для управляемого пользователем режима с гибридным Microsoft Entra ID и VPN
В дополнение к основным требованиям для пользовательского режима с Microsoft Entra гибридного присоединения к удаленному сценарию с поддержкой VPN применяются следующие дополнительные требования:
Поддерживаемая в настоящее время версия Windows.
В профиле гибридного присоединения Microsoft Entra для Windows Autopilot включите следующий параметр: Пропустить подключение к домену проверка.
Конфигурация VPN с одним из следующих вариантов:
Может развертываться с помощью Intune и позволяет пользователю вручную установить VPN-подключение с экрана входа в Windows.
При необходимости автоматически устанавливает VPN-подключение.
Конкретная необходимая конфигурация VPN зависит от используемого программного обеспечения VPN и проверки подлинности. Для vpn-решений, отличных от Майкрософт, эта конфигурация обычно включает развертывание приложения Win32 с помощью расширений управления Intune. Это приложение будет включать программное обеспечение VPN-клиента и любые конкретные сведения о подключении. Например, имена узлов конечных точек VPN. Сведения о конфигурации, характерные для этого поставщика, см. в документации поставщика VPN.
Примечание.
Требования к VPN не относятся к Windows Autopilot. Например, если для удаленного сброса паролей реализована конфигурация VPN, эта же конфигурация может использоваться и с Windows Autopilot. Такая конфигурация позволяет пользователю входить в Windows с новым паролем, когда он не входит в сеть организации. После входа пользователя и кэширования его учетных данных последующие попытки входа не требуют подключения, так как Windows использует кэшированные учетные данные.
Если программное обеспечение VPN требует проверки подлинности с помощью сертификата, используйте Intune, чтобы также развернуть необходимый сертификат устройства. Это развертывание можно выполнить с помощью Intune возможностей регистрации сертификатов, предназначенных для профилей сертификатов на устройстве.
Некоторые конфигурации не поддерживаются, так как они не применяются до тех пор, пока пользователь не войдет в Windows:
- Сертификаты пользователей
- Сторонние подключаемые модули UWP VPN из Магазина Windows
Проверка
Перед попыткой Microsoft Entra гибридного соединения с помощью VPN важно убедиться, что управляемый пользователем режим для Microsoft Entra процесса гибридного присоединения работает во внутренней сети. Этот тест упрощает устранение неполадок, убедившись, что основной процесс работает перед добавлением конфигурации VPN.
Затем убедитесь, Intune можно использовать для развертывания конфигурации VPN и ее требований. Протестируйте эти компоненты с помощью существующего устройства, которое уже Microsoft Entra гибридное присоединение. Например, некоторые VPN-клиенты создают VPN-подключение для каждого компьютера в процессе установки. Проверьте конфигурацию, выполнив следующие действия.
Убедитесь, что создано по крайней мере одно VPN-подключение для каждого компьютера.
Get-VpnConnection -AllUserConnectionПопробуйте вручную запустить VPN-подключение.
RASDIAL.EXE "ConnectionName"Выйдите из Windows. Убедитесь, что значок VPN-подключения отображается на странице входа в Windows.
Переместите устройство из внутренней сети и попытайтесь установить подключение, используя значок на странице входа в Windows. Войдите в учетную запись без кэшированных учетных данных.
Для конфигураций VPN, которые автоматически подключаются, шаги проверки могут отличаться.
Примечание.
Для этого сценария можно использовать постоянную VPN-сеть. Дополнительные сведения см. в статье Развертывание always-on VPN.
Дальнейшие действия
- Развертывание Microsoft Entra гибридных устройств с помощью Intune и Windows Autopilot.
- Как зарегистрироваться с помощью Windows Autopilot.
- Попробуйте гибридное присоединение к Windows Autopilot через VPN в лаборатории Azure.
Связанные материалы
- Что такое удостоверение устройства?
- Дополнительные сведения о облачных конечных точках.
- Microsoft Entra присоединено и Microsoft Entra гибридное присоединение в облачных конечных точках.
- Руководство. Настройка и настройка облачной конечной точки Windows с помощью Microsoft Intune.
- Практическое руководство. Планирование реализации Microsoft Entra присоединения.
- Платформа для преобразования управления конечными точками Windows.
- Общие сведения о сценариях гибридного Azure AD и совместного управления.
- Успешное использование удаленного присоединения к Windows Autopilot и гибридного присоединения к Azure Active Directory.