Windows Autopilot für vorab bereitgestellte Bereitstellung
Windows Autopilot unterstützt Organisationen beim einfachen Bereitstellen neuer Geräte mithilfe des vorinstallierten OEM-Images und der treiber. Diese Funktionalität ermöglicht es Endbenutzern, ihre Geräte mithilfe eines einfachen Prozesses geschäftsfähig zu machen.
Windows Autopilot kann auch einen Vorabbereitstellungsdienst bereitstellen, der Partnern oder IT-Mitarbeitern hilft, einen vollständig konfigurierten und geschäftsbereiten Windows-PC vorab bereitzustellen. Aus Sicht des Endbenutzers ist die benutzergesteuerte Benutzeroberfläche von Windows Autopilot unverändert, aber es ist schneller, das Gerät in einen vollständig bereitgestellten Zustand zu versetzen.
Mit Windows Autopilot für die vorab bereitgestellte Bereitstellung wird der Bereitstellungsprozess aufgeteilt. Die zeitaufwändigen Teile werden von der IT, Partnern oder OEMs erledigt. Der Endbenutzer schließt einfach einige erforderliche Einstellungen und Richtlinien aus und kann dann mit der Verwendung seines Geräts beginnen.
Vorab bereitgestellte Bereitstellungen verwenden Microsoft Intune in derzeit unterstützten Versionen von Windows. Solche Bereitstellungen bauen auf vorhandenen benutzergesteuerten Windows Autopilot-Szenarien auf und unterstützen Szenarien im benutzergesteuerten Modus für Microsoft Entra und Microsoft Entra hybrid eingebundenen Geräten.
Anforderungen
Wichtig
Ein Gerät kann nach einer ersten Bereitstellung im Vorabbereitstellungsmodus nicht automatisch über Windows Autopilot erneut registriert werden. Löschen Sie stattdessen den Gerätedatensatz im Microsoft Intune Admin Center. Wählen Sie im Microsoft Intune Admin Center Geräte>Alle Geräte> aus, die gelöscht > werden sollen Löschen. Weitere Informationen finden Sie unter Änderungen am Windows Autopilot-Anmelde- und Bereitstellungsablauf.
Zusätzlich zu den Windows Autopilot-Anforderungen erfordert Windows Autopilot für die vorab bereitgestellte Bereitstellung auch Folgendes:
- Eine derzeit unterstützte Version von Windows.
- Windows Pro-, Enterprise- oder Education-Editionen.
- Ein Intune-Abonnement.
- Physische Geräte, die TPM 2.0 (Trusted Platform Module) und Gerätenachweis unterstützen. Virtuelle Computer werden nicht unterstützt. Der Vorabbereitstellungsprozess verwendet Windows Autopilot-Selbstbereitstellungsfunktionen, sodass TPM 2.0 erforderlich ist. Der TPM-Nachweisprozess erfordert auch Zugriff auf eine Reihe von HTTPS-URLs, die für jeden TPM-Anbieter eindeutig sind. Weitere Informationen finden Sie im Eintrag für den Autopilot-Selbstbereitstellungsmodus und die Autopilot-Vorabbereitstellung in den Netzwerkanforderungen.
- Netzwerkverbindung. Die Verwendung der drahtlosen Konnektivität erfordert die Auswahl von Region, Sprache und Tastatur, bevor sie eine Verbindung herstellen und mit der Bereitstellung beginnen können.
- Ein ESP-Profil (Enrollment status Page) muss auf das Gerät ausgerichtet sein.
Wichtig
Da der OEM oder Anbieter den Vorabbereitstellungsprozess durchführt, ist für diesen Prozess kein Zugriff auf die lokale Domäneninfrastruktur eines Endbenutzers erforderlich. Der Vorabbereitstellungsprozess unterscheidet sich von einem typischen Microsoft Entra hybrid eingebundenen Szenario, da der Neustart des Geräts verschoben wird. Das Gerät wird erneut versiegelt, bevor eine Verbindung mit einem Domänencontroller erwartet wird. Stattdessen wird das Domänennetzwerk kontaktiert, wenn das Gerät vom Endbenutzer lokal entpackt wird.
Informationen zu bekannten Problemen und deren Lösungen finden Sie unter Bekannte Problemein Windows Autopilot und Problembehandlung beim Importieren und Registrieren von Windows Autopilot-Geräten .
Vorbereitung
Geräte, die für die Vorabbereitstellung vorgesehen sind, werden über den normalen Registrierungsprozess für Autopilot registriert.
Um windows Autopilot für die vorab bereitgestellte Bereitstellung auszuprobieren, stellen Sie sicher, dass vorhandene benutzergesteuerte Windows Autopilot-Szenarien erfolgreich verwendet werden können:
Benutzergesteuerte Microsoft Entra Join. Stellen Sie sicher, dass Geräte mithilfe von Windows Autopilot bereitgestellt werden können, und fügen Sie sie einem Microsoft Entra ID Mandanten hinzu.
Benutzergesteuert mit Microsoft Entra Hybridjoin. Um die Features von Microsoft Entra Hybridjoin zu aktivieren, stellen Sie sicher, dass die folgenden Aktionen ausgeführt werden können:
- Stellen Sie Geräte mithilfe von Windows Autopilot bereit.
- Fügen Sie die Geräte einer lokales Active Directory Domäne hinzu.
- Registrieren Sie die Geräte bei Microsoft Entra ID.
Wichtig
Microsoft empfiehlt die Bereitstellung neuer Geräte als cloudnativ mithilfe Microsoft Entra Joins. Die Bereitstellung neuer Geräte als Microsoft Entra Hybrid Join-Geräten wird nicht empfohlen, auch nicht über Autopilot. Weitere Informationen finden Sie unter Microsoft Entra und Microsoft Entra hybrid eingebundenen cloudnativen Endpunkten: Welche Option eignet sich für Ihre organization?
Wenn diese Szenarien nicht abgeschlossen werden können, ist Windows Autopilot für die vorab bereitgestellte Bereitstellung ebenfalls nicht erfolgreich, da es auf diesen Szenarien basiert.
Bevor der Vorabbereitstellungsprozess in der Bereitstellungsdiensteinrichtung gestartet werden kann, muss eine weitere Autopilot-Profileinstellung konfiguriert werden. Ein ausführliches Tutorial zum Konfigurieren eines Autopilot-Profils für die Vorabbereitstellung finden Sie in den folgenden Artikeln:
- Schritt-für-Schritt-Tutorial für Windows Autopilot für die vorab bereitgestellte Bereitstellung Microsoft Entra Teilnahme an Intune
- Schritt-für-Schritt-Tutorial für Windows Autopilot für die vorab bereitgestellte Bereitstellung Microsoft Entra Hybrideinbindung in Intune
Der Vorabbereitstellungsprozess wendet alle Geräterichtlinien aus Intune an. Diese Richtlinien umfassen Zertifikate, Sicherheitsvorlagen, Einstellungen, Apps und vieles mehr – alles, was auf das Gerät abzielt. Darüber hinaus werden alle Win32- oder Branchen-Apps installiert, wenn sie die folgenden Bedingungen erfüllen:
- Für die Installation im Gerätekontext konfiguriert.
- Wird entweder dem Gerät oder dem Benutzer zugewiesen, der dem Autopilot-Gerät vorab zugewiesen ist.
Wichtig
Stellen Sie sicher, dass Sie nicht sowohl Win32- als auch BRANCHEN-Apps auf dasselbe Gerät ausrichten. Wenn sowohl Win32- als auch BRANCHEN-Apps auf das Gerät ausgerichtet werden müssen, sollten Sie die Windows Autopilot-Gerätevorbereitung in Betracht ziehen. Weitere Informationen finden Sie unter Hinzufügen einer branchenspezifischen Windows-App zu Microsoft Intune.
Hinweis
Um einen einfachen Zugriff auf den Vorabbereitstellungsmodus sicherzustellen, wählen Sie den Sprachmodus wie in Autopilot-Profilen angegeben aus. In der Phase des Technikers vor der Bereitstellung werden alle gerätebezogenen Apps und alle benutzerspezifischen Gerätekontext-Apps installiert, die für den zugewiesenen Benutzer bestimmt sind. Wenn kein zugewiesener Benutzer vorhanden ist, werden nur die gerätebezogenen Apps installiert. Andere benutzerorientierte Richtlinien werden erst angewendet, wenn sich der Benutzer beim Gerät anmeldet. Um diese Verhaltensweisen zu überprüfen, müssen Sie geeignete Apps und Richtlinien erstellen, die auf Geräte und Benutzer ausgerichtet sind.
Szenarien
Windows Autopilot für die Bereitstellung mit Vorabbereitstellung unterstützt zwei verschiedene Szenarien:
Benutzergesteuerte Bereitstellungen mit Microsoft Entra Join. Das Gerät ist mit einem Microsoft Entra Mandanten verknüpft.
Benutzergesteuerte Bereitstellungen mit Microsoft Entra Hybridjoin. Das Gerät ist mit einer lokales Active Directory Domäne verknüpft und separat bei Microsoft Entra ID registriert.
Wichtig
Microsoft empfiehlt die Bereitstellung neuer Geräte als cloudnativ mithilfe Microsoft Entra Joins. Die Bereitstellung neuer Geräte als Microsoft Entra Hybrid Join-Geräten wird nicht empfohlen, auch nicht über Autopilot. Weitere Informationen finden Sie unter Microsoft Entra und Microsoft Entra hybrid eingebundenen cloudnativen Endpunkten: Welche Option eignet sich für Ihre organization?
Jedes dieser Szenarien besteht aus zwei Teilen: einem Technikerflow und einem Benutzerflow. Im Allgemeinen sind diese Teile für Microsoft Entra Join und Microsoft Entra HybridJoin identisch. Die Unterschiede werden vom Endbenutzer in erster Linie in den Authentifizierungsschritten bemerkt.
Technikerfluss
Nachdem der Kunde oder die IT-Admin alle Apps und Einstellungen, die er für seine Geräte über Intune verwenden möchte, verwendet hat, kann der Vorbereitstellungstechniker mit dem Vorbereitstellungsprozess beginnen. Der Techniker kann ein Mitglied des IT-Personals, ein Servicepartner oder ein OEM sein – jeder organization kann entscheiden, wer diese Aktivitäten ausführen soll. Unabhängig vom Szenario ist der Prozess, der vom Techniker ausgeführt wird, identisch:
Starten Sie das Gerät.
Wählen Sie auf dem ersten OOBE-Bildschirm (Out-of-Box Experience) (bei dem es sich um eine Sprachauswahl, einen Gebietsschemaauswahlbildschirm oder die Microsoft Entra Anmeldeseite handelt) nicht Weiter aus. Drücken Sie stattdessen fünfmal die WINDOWS-TASTE, um ein weiteres Optionsdialogfeld anzuzeigen. Wählen Sie auf diesem Bildschirm die Bereitstellungsoption Windows Autopilot und dann Weiter aus.
Auf dem Bildschirm Windows Autopilot-Konfiguration werden die folgenden Informationen zum Gerät angezeigt:
Das dem Gerät zugewiesene Autopilot-Profil.
Der Organisationsname für das Gerät.
Der Benutzer, der dem Gerät zugewiesen ist (sofern vorhanden).
Ein QR-Code, der einen eindeutigen Bezeichner für das Gerät enthält. Dieser Code kann verwendet werden, um das Gerät in Intune nachzuschlagen, das möglicherweise erforderlich ist, um Konfigurationsänderungen vorzunehmen. Weisen Sie beispielsweise einen Benutzer zu, oder fügen Sie das Gerät gruppen hinzu, die für die App- oder Richtlinienadressierung erforderlich sind.
Hinweis
Die QR-Codes können mit einer Begleit-App gescannt werden. Die App konfiguriert das Gerät auch so, dass angegeben wird, zu wem es gehört. Das Autopilot-Team hat ein Open-Source-Beispiel einer Begleit-App erstellt, die mithilfe der Graph-API in Intune integriert werden kann. Sie ist auf GitHub verfügbar.
Validieren Sie die angezeigten Informationen. Wenn Änderungen erforderlich sind, nehmen Sie die Änderungen vor, und wählen Sie dann Aktualisieren aus, um die aktualisierten Autopilot-Profildetails erneut herunterzuladen.
Wählen Sie Bereitstellen aus, um den Bereitstellungsprozess zu starten.
Wenn der Vorbereitstellungsprozess erfolgreich abgeschlossen wurde:
Es wird status Bildschirm mit Informationen zum Gerät angezeigt, einschließlich der zuvor dargestellten Details. Beispiel: Autopilot-Profil, Organisationsname, zugewiesener Benutzer und QR-Code. Die verstrichene Zeit für die Vorbereitstellungsschritte wird ebenfalls bereitgestellt.
Wählen Sie Erneut versiegeln aus, um das Gerät herunterzufahren. An diesem Punkt kann das Gerät an den Endbenutzer gesendet werden.
Hinweis
Der Technikerflow erbt das Verhalten vom Selbstbereitstellungsmodus. Self-Deploying Modus verwendet die Registrierungsstatusseite, um das Gerät in einem Bereitstellungszustand zu halten. Das Gerät, das sich in einem Bereitstellungszustand befindet, verhindert, dass der Benutzer nach der Registrierung zum Desktop fortschreitet, aber bevor software- und konfigurationsseitig angewendet werden. Wenn die Seite "Registrierungsstatus" deaktiviert ist, kann daher die Schaltfläche zum erneuten Versiegeln angezeigt werden, bevor die Anwendung von Software und Konfiguration abgeschlossen ist. Dieses Verhalten kann es ermöglichen, mit dem Benutzerflow fortzufahren, bevor die Bereitstellung des Technikerflows abgeschlossen ist. Der Erfolgsbildschirm überprüft, ob die Registrierung erfolgreich war, nicht, dass der Technikerflow unbedingt abgeschlossen ist.
Wenn der Vorabbereitstellungsprozess fehlschlägt:
- Ein Fehler status Bildschirm mit Informationen zum Gerät angezeigt wird, einschließlich der zuvor dargestellten Details. Beispiel: Autopilot-Profil, Organisationsname, zugewiesener Benutzer und QR-Code. Die verstrichene Zeit für die Vorbereitstellungsschritte wird ebenfalls bereitgestellt.
- Diagnoseprotokolle können vom Gerät gesammelt und dann zurückgesetzt werden, um den Prozess erneut zu starten.
Benutzerflow
Wichtig
Um sicherzustellen, dass Token zwischen dem Technikerflow und dem Benutzerflow ordnungsgemäß aktualisiert werden, warten Sie mindestens 90 Minuten nach dem Ausführen des Technikerflows, bevor Sie den Benutzerflow ausführen. Dieses Szenario wirkt sich hauptsächlich auf Lab- und Testszenarien aus, wenn der Benutzerflow innerhalb von 90 Minuten nach Abschluss des Technikerflows ausgeführt wird.
Der Benutzerflow sollte innerhalb von sechs Monaten nach Abschluss des Technikerflows ausgeführt werden. Das Warten von mehr als sechs Monaten kann dazu führen, dass die von der Intune Management Engine (IME) verwendeten Zertifikate nicht mehr gültig sind, was zu Fehlern wie den folgenden führt:
Error code: [Win32App][DetectionActionHandler] Detection for policy with id: <policy_id> resulted in action status: Failed and detection state: NotComputed.
Compliance in Microsoft Entra ID wird während des Benutzerflows zurückgesetzt. Geräte werden möglicherweise in Microsoft Entra ID als konform angezeigt, nachdem der Technikerflow abgeschlossen ist, aber nach dem Start des Benutzerflows als nicht konform angezeigt. Planen Sie nach Abschluss des Benutzerflows genügend Zeit ein, um die Konformität neu zu bewerten und zu aktualisieren.
Wenn der Vorbereitstellungsprozess erfolgreich abgeschlossen wurde und das Gerät erneut gesiegelt wurde, übermitteln Sie das Gerät an den Endbenutzer. Der Endbenutzer führt den normalen benutzergesteuerten Windows Autopilot-Prozess aus, indem er die folgenden Schritte ausführt:
Schalten Sie das Gerät ein.
Wählen Sie die entsprechende Sprache, das Gebietsschema und das Tastaturlayout aus.
Stellen Sie eine Verbindung mit einem Netzwerk her (wenn Sie WLAN verwenden). Internetzugriff ist immer erforderlich. Wenn Sie Microsoft Entra Hybrideinbindung verwenden, muss auch eine Verbindung mit einem Domänencontroller vorhanden sein.
Wenn Sie Microsoft Entra Join verwenden, geben Sie auf dem Anmeldebildschirm mit Branding die Microsoft Entra Anmeldeinformationen des Benutzers ein.
Wenn Sie Microsoft Entra Hybrideinbindung verwenden, wird das Gerät neu gestartet. Geben Sie nach dem Neustart die Active Directory-Anmeldeinformationen des Benutzers ein.
Hinweis
Unter bestimmten Umständen kann Microsoft Entra Anmeldeinformationen auch während eines Microsoft Entra Hybrid Join-Szenarios zur Eingabe aufgefordert werden. Beispiel: ADFS wird nicht verwendet.
Weitere Richtlinien und Apps werden an das Gerät übermittelt, wie auf der Registrierungsstatusseite (ESP) nachverfolgt. Nach Abschluss des Vorgangs kann der Benutzer auf den Desktop zugreifen.
Die Geräte-ESP wird während des Benutzerflows erneut ausgeführt, sodass sowohl die Geräte- als auch die Benutzer-ESP ausgeführt werden, wenn sich der Benutzer anmeldet. Dieses Verhalten ermöglicht es dem ESP, andere Richtlinien zu installieren, die dem Gerät zugewiesen sind, nachdem das Gerät die Technikerphase abgeschlossen hat.
Hinweis
Wenn der Microsoft-Konto-Sign-In-Assistent (wlidsvc) während des Technikerflows deaktiviert ist, wird die Microsoft Entra Anmeldeoption möglicherweise nicht angezeigt. Stattdessen werden Die Benutzer aufgefordert, die Lizenzbedingungen zu akzeptieren und ein lokales Konto zu erstellen, was möglicherweise nicht das gewünschte Verhalten ist.
Bereitstellen eines Geräts
Weitere Informationen zum Starten einer Bereitstellung auf einem Gerät bei Verwendung von Windows Autopilot für vorab bereitgestellte Anwendungen finden Sie in den Tutorials zu Windows Autopilot für vorab bereitgestellte Bereitstellungen unter Technikerflow und Benutzerflow:
Verwandte Inhalte
- Video vor der Bereitstellung.
- Was ist eine Geräteidentität?.
- Erfahren Sie mehr über cloudnative Endpunkte.
- Tutorial: Einrichten und Konfigurieren eines cloudnativen Windows-Endpunkts mit Microsoft Intune.
- Vorgehensweise: Planen Der Implementierung von Microsoft Entra Join.
- Ein Framework für die Transformation der Windows-Endpunktverwaltung.
- Grundlegendes zu Azure AD-Hybrid- und Co-Verwaltungsszenarien.
- Erfolg bei remoter Windows Autopilot- und Azure Active Directory-Hybrideinbindung.