Windows Autopilot-apparaatvoorbereiding door de gebruiker gestuurde Microsoft Entra join: een apparaatgroep maken
Windows Autopilot-apparaatvoorbereiding door gebruikersgestuurde Microsoft Entra joinstappen:
- Stap 1: Automatische Intune-inschrijving voor Windows instellen
- Stap 2: gebruikers toestaan apparaten toe te voegen aan Microsoft Entra ID
- Stap 3: een apparaatgroep maken
- Stap 4: een gebruikersgroep maken
- Stap 5: Toepassingen en PowerShell-scripts toewijzen aan apparaatgroep
- Stap 6: Windows Autopilot-apparaatvoorbereidingsbeleid maken
- Stap 7: Windows-bedrijfs-id toevoegen aan apparaat
Zie Windows Autopilot device preparation user-driven Microsoft Entra join overview (Overzicht van windows Autopilot-apparaatvoorbereiding op basis van gebruikersgestuurde Microsoft Entra join) voor een overzicht van de windows Autopilot-apparaatvoorbereiding door de gebruiker.
Opmerking
De apparaatgroep die in deze stap is gemaakt, is specifiek voor windows Autopilot-apparaatvoorbereiding. Microsoft raadt aan een apparaatgroep te maken die specifiek is bedoeld voor windows Autopilot-apparaatvoorbereiding in plaats van bestaande apparaatgroepen te hergebruiken die in andere Autopilot-scenario's worden gebruikt.
Een apparaatgroep maken
Apparaatgroepen zijn een verzameling apparaten die zijn ingedeeld in een Microsoft Entra groep. Apparaatgroepen kunnen dynamisch of toegewezen zijn:
- Dynamische groepen : apparaten worden automatisch aan de groep toegevoegd op basis van regels.
- Toegewezen groepen : apparaten worden handmatig toegevoegd aan de groep en zijn statisch.
Windows Autopilot-apparaatvoorbereiding maakt gebruik van een apparaatgroep als onderdeel van het windows Autopilot-apparaatvoorbereidingsbeleid. De apparaatgroep die is opgegeven in het windows Autopilot-apparaatvoorbereidingsbeleid, is de apparaatgroep waarin apparaten automatisch worden toegevoegd tijdens de implementatie van het Windows Autopilot-apparaatvoorbereiding. De apparaatgroep die is opgegeven in het windows Autopilot-apparaatvoorbereidingsbeleid moet een toegewezen beveiligingsgroep zijn.
Voer de volgende stappen uit om een toegewezen beveiligingsapparaatgroep te maken voor gebruik met Windows Autopilot-apparaatvoorbereiding:
Meld u aan bij het Microsoft Intune-beheercentrum.
Selecteer in het startschermGroepen in het linkerdeelvenster.
In de Groepen | Scherm Alle groepen, controleer of Alle groepen is geselecteerd en selecteer vervolgens Nieuwe groep.
In het scherm Nieuwe groep dat wordt geopend:
Bij Groepstype selecteert u Beveiliging.
Voer bij Groepsnaam een naam in voor de apparaatgroep, zoals Apparaatgroep windows Autopilot-apparaatvoorbereiding.
Voer bij Groepsbeschrijving een beschrijving in voor de apparaatgroep.
Selecteer Nee voor Microsoft Entra rollen kunnen worden toegewezen aan de groep.
Bij Lidmaatschapstype selecteert u Toegewezen.
Selecteer bij Eigenaren de koppeling Geen eigenaren geselecteerd .
In het scherm Eigenaren toevoegen wordt het volgende geopend:
Blader door de lijst met objecten en selecteer de service-principal Intune Inrichtingsclient met AppId van f1346770-5b25-470b-88bd-d5744ab7952c. U kunt ook de zoekbalk gebruiken om Intune Inrichtingsclient te zoeken en te selecteren.
Opmerking
In sommige tenants heeft de service-principal mogelijk de naam van Intune Autopilot ConfidentialClient in plaats van Intune Inrichtingsclient. Zolang de AppID van de service-principal f1346770-5b25-470b-88bd-d5744ab7952c is, is dit de juiste service-principal.
Als de Intune Provisioning Client of Intune Autopilot ConfidentialClient-service-principal met AppId van f1346770-5b25-470b-88bd-d5744ab7952c niet beschikbaar is in de lijst met objecten of tijdens het zoeken, raadpleegt u De service-principal van Intune Provisioning Client toevoegen.
Zodra Intune Inrichtingsclient is geselecteerd als eigenaar, selecteert u Selecteren.
Selecteer Maken om het maken van de toegewezen apparaatgroep te voltooien.
Belangrijk
Apparaten worden automatisch toegevoegd aan deze apparaatgroep tijdens de implementatie van de windows Autopilot-apparaatvoorbereiding. Het handmatig toevoegen van apparaten als leden van de apparaatgroep die in deze stap is gemaakt, is niet nodig, maar dit heeft geen invloed op het voorbereidingsproces van het Windows Autopilot-apparaat.
De service-principal van de Intune Provisioning Client toevoegen
Als de service-principal Intune Inrichtingsclient met AppId f1346770-5b25-470b-88bd-d5744ab7952c niet beschikbaar is wanneer u de eigenaar van de apparaatgroep selecteert, volgt u deze stappen om de service-principal toe te voegen:
Op een apparaat waarop Microsoft Intune of Microsoft Entra ID normaal gesproken wordt beheerd, opent u een opdrachtprompt met verhoogde Windows PowerShell.
In het Windows PowerShell opdrachtpromptvenster:
Installeer de module Microsoft.Graph.Authentication door de volgende opdracht in te voeren:
Install-Module Microsoft.Graph.AuthenticationAls u hierom wordt gevraagd:
- Ga akkoord met de installatie van NuGet door Y of Ja in te voeren of de knop Ja te selecteren.
- Ga akkoord met installeren vanuit de niet-vertrouwde PSGallery-opslagplaats door Y of Ja in te voeren of de knop Ja te selecteren.
Zie Microsoft.Graph.Authentication en Set-PSRepository -InstallationPolicy voor meer informatie.
Installeer de module Microsoft.Graph.Applications door de volgende opdracht in te voeren:
Install-Module Microsoft.Graph.ApplicationsAls u hierom wordt gevraagd, gaat u akkoord met installeren vanuit de niet-vertrouwde PSGallery-opslagplaats door Y of Ja in te voeren of de knop Ja te selecteren.
Zie Microsoft.Graph.Applications en Set-PSRepository -InstallationPolicy voor meer informatie.
Zodra de modules Microsoft.Graph.Authentication en Microsoft.Graph.Applications zijn geïnstalleerd, maakt u verbinding met Microsoft Entra ID door de volgende opdracht in te voeren:
Connect-MgGraph -Scopes "Application.ReadWrite.All"Zie Connect-MgGraph voor meer informatie.
Als nog niet is geverifieerd bij Microsoft Entra ID, wordt het venster Aanmelden bij uw account weergegeven. Voer de referenties in van een Microsoft Entra ID-beheerder die machtigingen heeft om service-principals toe te voegen.
Als het venster Aangevraagde machtigingen wordt weergegeven, schakelt u het selectievakje Toestemming namens uw organisatie in en selecteert u vervolgens de knop Accepteren .
Zodra de verificatie is uitgevoerd voor Microsoft Entra ID en de juiste machtigingen zijn verleend, voegt u de Intune Provisioning Client-service-principal toe door de volgende opdracht in te voeren:
New-MgServicePrincipal -AppID f1346770-5b25-470b-88bd-d5744ab7952cZie New-MgServicePrincipal -BodyParameter voor meer informatie.
Opmerking
Het volgende foutbericht wordt weergegeven als de service-principal Intune Inrichtingsclient al in de tenant bestaat:
New-MgServicePrincipal : The service principal cannot be created, updated, or restored because the service principal name f1346770-5b25-470b-88bd-d5744ab7952c is already in use. Status: 409 (Conflict) ErrorCode: Request_MultipleObjectsWithSameKeyValueHet volgende foutbericht wordt weergegeven als aan een van de volgende voorwaarden wordt voldaan:
- Het account dat wordt gebruikt om u aan te melden met de
Connect-MgGraphopdracht, heeft geen machtigingen om een service-principal toe te voegen aan de tenant. - Het
-Scopes "Application.ReadWrite.All"argument wordt niet toegevoegd aan deConnect-MgGraphopdracht. - Het venster Aangevraagde machtigingen wordt niet geaccepteerd.
- Het selectievakje Toestemming namens uw organisatie is niet ingeschakeld in het venster Machtigingen aangevraagd .
New-MgServicePrincipal : Insufficient privileges to complete the operation. Status: 403 (Forbidden) ErrorCode: Authorization_RequestDenied- Het account dat wordt gebruikt om u aan te melden met de
Volgende stap: Een gebruikersgroep maken
Verwante onderwerpen
Zie de volgende artikelen voor meer informatie over het maken van groepen in Intune: