Поделиться через


Режим Windows Autopilot, управляемый пользователем

Режим Windows Autopilot, управляемый пользователем, позволяет настроить новое устройство Windows для автоматического преобразования из состояния фабрики в состояние готовности к использованию. Для этого процесса не требуется, чтобы ИТ-специалисты касались устройства.

Это простой процесс. Устройства могут быть отправлены или распространены для конечного пользователя напрямую с помощью следующих инструкций:

  1. Распакуйте устройство, подключите его к питанию и включите его.
  2. Если используется несколько языков, выберите язык, языковой стандарт и клавиатуру.
  3. Подключите устройство к беспроводной или проводной сети с доступом к Интернету. При использовании беспроводной сети сначала подключитесь к сети Wi-Fi.
  4. Укажите учетную запись адреса электронной почты и пароль для организации.

Остальная часть процесса автоматизирована. Устройство выполняет следующие действия.

  1. Присоединение к организации.
  2. Зарегистрируйтесь в Microsoft Intune или другой службе управления мобильными устройствами (MDM).
  3. Настройка согласно определению организации.

Другие запросы могут подавляться во время запуска запуска (OOBE). Дополнительные сведения о доступных параметрах см. в разделе Настройка профилей Autopilot.

Важно!

Если используются службы федерации Active Directory (ADFS), существует известная проблема , из-за которой пользователь может выполнить вход с учетной записью, отличной от учетной записи, назначенной этому устройству.

Режим Windows Autopilot, управляемый пользователем, поддерживает присоединение к Microsoft Entra и устройства с гибридным присоединением к Microsoft Entra. Дополнительные сведения об этих двух вариантах соединения см. в следующих статьях:

Действия процесса, управляемого пользователем:

  1. После подключения устройства к сети устройство скачивает профиль Windows Autopilot. Профиль определяет параметры, используемые для устройства. Например, вы можете определить запросы, которые подавляются во время запуска при первом включении.

  2. Windows проверяет наличие критических обновлений запуска при первом включении. Если обновления доступны, они устанавливаются автоматически. При необходимости устройство перезапускается.

  3. Пользователю будет предложено ввести учетные данные Microsoft Entra. В этом пользовательском интерфейсе отображаются имя клиента Microsoft Entra, логотип и текст для входа.

  4. Устройство присоединяется к Идентификатору Microsoft Entra или Active Directory в зависимости от параметров профиля Windows Autopilot.

  5. Устройство регистрируется в Intune или другой настроенной службе MDM. В зависимости от потребностей организации эта регистрация выполняется следующим образом:

    • Во время присоединения к Microsoft Entra используется автоматическая регистрация MDM.

    • Перед присоединением к Active Directory.

  6. Если это настроено, отображается страница состояния регистрации (ESP).

  7. После завершения задач настройки устройства пользователь выполняет вход в Windows с использованием предоставленных ранее учетных данных. Если устройство перезапускается во время процесса ESP устройства, пользователь должен повторно введите свои учетные данные. Эти сведения не сохраняются после перезапуска.

  8. После входа отображается страница состояния регистрации для задач конфигурации, предназначенных для пользователя.

Если в ходе этого процесса обнаружены какие-либо проблемы, см. статью Общие сведения об устранении неполадок Windows Autopilot.

Дополнительные сведения о доступных вариантах присоединения см. в следующих разделах.

Управляемый пользователем режим присоединения к Microsoft Entra

Чтобы завершить управляемое пользователем развертывание с помощью Windows Autopilot, выполните следующие действия по подготовке:

  1. Убедитесь, что пользователи, выполняющие развертывания в управляемом пользователем режиме, могут присоединять устройства к Идентификатору Microsoft Entra. Дополнительные сведения см. в разделе Настройка параметров устройства в документации Microsoft Entra.

  2. Создайте профиль Autopilot для управляемого пользователем режима с нужными параметрами.

    • В Intune этот режим явно выбирается при создании профиля.

    • В Microsoft Store для бизнеса и Центре партнеров по умолчанию используется управляемый пользователем режим.

  3. При использовании Intune создайте группу устройств в Microsoft Entra ID и назначьте ей профиль Autopilot.

Для каждого устройства, развернутого с помощью пользовательского развертывания, необходимы следующие дополнительные действия:

  • Добавьте устройство в Windows Autopilot. Этот шаг можно выполнить двумя способами:

  • Назначьте профиль Autopilot устройству:

    • При использовании Intune и динамических групп устройств Microsoft Entra это назначение можно выполнить автоматически.

    • При использовании Intune и статических групп устройств Microsoft Entra добавьте устройство в группу устройств вручную.

    • При использовании других методов, таких как Microsoft Store для бизнеса или Центр партнеров, вручную назначьте профиль Autopilot устройству.

Совет

Если предполагаемое конечное состояние устройства — совместное управление, регистрацию устройства можно настроить в Intune, чтобы включить совместное управление, что происходит во время процесса Autopilot. Это поведение управляет центром рабочей нагрузки совместно с Configuration Manager и Intune. Дополнительные сведения см. в разделе Как зарегистрироваться с помощью Autopilot.

Режим на основе пользователя для гибридного присоединения к Microsoft Entra

Важно!

Корпорация Майкрософт рекомендует развертывать новые устройства как облачные с помощью присоединения к Microsoft Entra. Развертывание новых устройств в качестве устройств гибридного соединения Microsoft Entra не рекомендуется, в том числе с помощью Autopilot. Дополнительные сведения см . в статье Присоединение к Microsoft Entra и гибридное присоединение к Microsoft Entra в облачных конечных точках: какой вариант подходит для вашей организации.

Для Windows Autopilot требуется присоединение устройств к Microsoft Entra. Для локальной среды Active Directory устройства можно присоединить к локальному домену. Чтобы присоединить устройства, настройте гибридное присоединение устройств Autopilot к Идентификатору Microsoft Entra.

Совет

В беседах с клиентами, которые используют Microsoft Intune и Microsoft Configuration Manager для развертывания, управления и защиты своих клиентских устройств, мы часто получаем вопросы о совместном управлении устройствами и устройствами с гибридным присоединением к Microsoft Entra. Многие клиенты путают эти две темы. Совместное управление — это вариант управления, а Идентификатор Microsoft Entra — это параметр удостоверения. Дополнительные сведения см. в статье Общие сведения о гибридных сценариях Microsoft Entra и совместного управления. Эта запись блога содержит сведения о гибридном присоединении и совместном управлении Microsoft Entra, о том, как они работают вместе, но не являются одним и тем же.

Клиент Configuration Manager не может быть развернут при подготовке нового компьютера в управляемом пользователем режиме Windows Autopilot для гибридного присоединения к Microsoft Entra. Это ограничение связано с изменением удостоверения устройства во время процесса присоединения к Microsoft Entra. Разверните клиент Configuration Manager после процесса Autopilot. Альтернативные варианты установки клиента см. в разделе Методы установки клиента в Configuration Manager .

Требования к пользовательскому режиму с гибридным идентификатором Microsoft Entra

  • Создайте профиль Windows Autopilot для пользовательского режима.

    В профиле Autopilot в разделе Присоединение к Microsoft Entra ID as выберите Гибридное присоединение к Microsoft Entra.

  • При использовании Intune группа устройств требуется в идентификаторе Microsoft Entra. Назначьте профиль Windows Autopilot группе.

  • При использовании Intune создайте и назначьте профиль присоединения к домену. Профиль конфигурации присоединения к домену включает сведения о локальном домене Active Directory.

  • Устройство должно иметь доступ к Интернету. Дополнительные сведения см. в разделе Требования к сети.

  • Установите соединитель Intune для Active Directory.

    Примечание.

    Соединитель Intune присоединяет устройство к локальному домену. Пользователям не требуются разрешения для присоединения устройств к локальному домену. Это поведение предполагает, что соединитель настроен для этого действия от имени пользователя. Дополнительные сведения см. в разделе Увеличение предельного количества учетных записей компьютеров в подразделении

  • При использовании прокси-сервера включите и настройте параметр Параметры прокси-сервера WPAD.

В дополнение к этим основным требованиям для гибридного присоединения к Microsoft Entra на основе пользователя к локальным устройствам применяются следующие дополнительные требования:

  • Устройство имеет поддерживаемую в настоящее время версию Windows.

  • Устройство подключено к внутренней сети и имеет доступ к контроллеру домена Active Directory.

    • Ему необходимо разрешить записи DNS для домена и контроллеров домена.

    • Он должен взаимодействовать с контроллером домена для проверки подлинности пользователя.

Режим на основе пользователя для гибридного присоединения к Microsoft Entra с поддержкой VPN

Устройствам, присоединенным к Active Directory, требуется подключение к контроллеру домена Active Directory для многих действий. Эти действия включают проверку учетных данных пользователя при входе и применение параметров групповой политики. Процесс, управляемый пользователем Autopilot для устройств с гибридным присоединением к Microsoft Entra, проверяет, может ли устройство связаться с контроллером домена, связавшись с этим контроллером домена.

Благодаря добавлению поддержки VPN для этого сценария процесс гибридного присоединения к Microsoft Entra можно настроить так, чтобы пропустить проверку подключения. Это изменение не устраняет необходимость в обмене данными с контроллером домена. Вместо этого, чтобы разрешить подключение к сети организации, Intune предоставляет необходимую конфигурацию VPN, прежде чем пользователь попытается войти в Windows.

Требования к пользовательскому режиму с гибридным идентификатором Microsoft Entra ID и VPN

Помимо основных требований к пользовательскому режиму с гибридным присоединением Microsoft Entra, к удаленному сценарию с поддержкой VPN применяются следующие дополнительные требования:

  • Поддерживаемая в настоящее время версия Windows.

  • В профиле гибридного присоединения Microsoft Entra для Autopilot включите следующий параметр: Пропустить проверку подключения к домену.

  • Конфигурация VPN с одним из следующих вариантов:

    • Может развертываться с помощью Intune и позволяет пользователю вручную установить VPN-подключение с экрана входа в Windows.

    • При необходимости автоматически устанавливает VPN-подключение.

Конкретная необходимая конфигурация VPN зависит от используемого программного обеспечения VPN и проверки подлинности. Для VPN-решений сторонних разработчиков эта конфигурация обычно включает развертывание приложения Win32 с помощью расширений управления Intune. Это приложение будет включать программное обеспечение VPN-клиента и любые конкретные сведения о подключении. Например, имена узлов конечных точек VPN. Сведения о конфигурации, характерные для этого поставщика, см. в документации поставщика VPN.

Примечание.

Требования к VPN не относятся к Autopilot. Например, если для удаленного сброса паролей реализована конфигурация VPN, эта же конфигурация может использоваться и с Windows Autopilot. Такая конфигурация позволяет пользователю входить в Windows с новым паролем, когда он не входит в сеть организации. После входа пользователя и кэширования его учетных данных последующие попытки входа не требуют подключения, так как Windows использует кэшированные учетные данные.

Если программному обеспечению VPN требуется проверка подлинности сертификата, используйте Intune, чтобы также развернуть необходимый сертификат устройства. Это развертывание можно выполнить с помощью возможностей регистрации сертификатов Intune, предназначенных для профилей сертификатов для устройства.

Некоторые конфигурации не поддерживаются, так как они не применяются до тех пор, пока пользователь не войдет в Windows:

  • Сертификаты пользователей
  • Сторонние подключаемые модули UWP VPN из Магазина Windows

Проверка

Перед попыткой гибридного соединения Microsoft Entra с помощью VPN важно убедиться, что управляемый пользователем режим гибридного присоединения Microsoft Entra работает во внутренней сети. Этот тест упрощает устранение неполадок, убедившись, что основной процесс работает перед добавлением конфигурации VPN.

Затем убедитесь, что Intune можно использовать для развертывания конфигурации VPN и ее требований. Протестируйте эти компоненты с помощью существующего устройства, к которому уже подключено гибридное подключение к Microsoft Entra. Например, некоторые VPN-клиенты создают VPN-подключение для каждого компьютера в процессе установки. Проверьте конфигурацию, выполнив следующие действия.

  1. Убедитесь, что создано по крайней мере одно VPN-подключение для каждого компьютера.

    Get-VpnConnection -AllUserConnection
    
  2. Попробуйте вручную запустить VPN-подключение.

    RASDIAL.EXE "ConnectionName"
    
  3. Выйдите из Windows. Убедитесь, что значок VPN-подключения отображается на странице входа в Windows.

  4. Переместите устройство из внутренней сети и попытайтесь установить подключение, используя значок на странице входа в Windows. Войдите в учетную запись без кэшированных учетных данных.

Для конфигураций VPN, которые автоматически подключаются, шаги проверки могут отличаться.

Примечание.

Для этого сценария можно использовать постоянную VPN-сеть. Дополнительные сведения см. в статье Развертывание always-on VPN.

Дальнейшие действия