Windows Autopilot voor vooraf ingerichte implementatie
Met Windows Autopilot kunnen organisaties eenvoudig nieuwe apparaten inrichten met behulp van de vooraf geïnstalleerde OEM-installatiekopieën en stuurprogramma's. Met deze functionaliteit kunnen eindgebruikers hun apparaten bedrijfsklaar maken met behulp van een eenvoudig proces.
Windows Autopilot kan ook een pre-inrichtingsservice bieden waarmee partners of IT-medewerkers vooraf een volledig geconfigureerde en bedrijfsklare Windows-pc kunnen inrichten. Vanuit het perspectief van de eindgebruiker is de gebruikersgestuurde ervaring van Windows Autopilot ongewijzigd, maar is het sneller om hun apparaat naar een volledig ingerichte status te krijgen.
Met Windows Autopilot voor vooraf ingerichte implementatie wordt het inrichtingsproces gesplitst. De tijdrovende gedeelten worden uitgevoerd door IT, partners of OEM's. De eindgebruiker voltooit eenvoudig een paar benodigde instellingen en beleidsregels en kan vervolgens aan de slag met het gebruik van het apparaat.
Vooraf ingerichte implementaties gebruiken Microsoft Intune in momenteel ondersteunde versies van Windows. Dergelijke implementaties bouwen voort op bestaande gebruikersgestuurde Windows Autopilot-scenario's en ondersteunen scenario's voor gebruikersgestuurde modus voor zowel Microsoft Entra gekoppelde als Microsoft Entra hybride gekoppelde apparaten.
Vereisten
Belangrijk
Een apparaat kan niet automatisch opnieuw worden ingeschreven via Windows Autopilot na een eerste implementatie met de pre-inrichtingsmodus. Verwijder in plaats daarvan de apparaatrecord in het Microsoft Intune-beheercentrum. Selecteer in het Microsoft Intune-beheercentrum Apparaten>Alle apparaten> selecteer de apparaten die u wilt verwijderen>. Zie Updates de aanmeldings- en implementatieervaring van Windows Autopilot voor meer informatie.
Naast de Vereisten voor Windows Autopilot vereist Windows Autopilot voor vooraf ingerichte implementatie ook het volgende:
- Een momenteel ondersteunde versie van Windows.
- Windows Pro-, Enterprise- of Education-edities.
- Een Intune-abonnement.
- Fysieke apparaten die ondersteuning bieden voor Trusted Platform Module (TPM) 2.0 en apparaatattest. Virtuele machines worden niet ondersteund. Het pre-inrichtingsproces maakt gebruik van zelf-implementerende mogelijkheden van Windows Autopilot, dus TPM 2.0 is vereist. Het TPM-attestationproces vereist ook toegang tot een set HTTPS-URL's die uniek zijn voor elke TPM-provider. Zie voor meer informatie de vermelding voor autopilot zelf-implementerende modus en Autopilot pre-provisioning in Netwerkvereisten.
- Netwerkverbinding. Voor het gebruik van draadloze connectiviteit moet u regio, taal en toetsenbord selecteren voordat u verbinding kunt maken en beginnen met inrichten.
- Een esp-profiel (statuspagina voor inschrijving) moet worden gericht op het apparaat.
Belangrijk
Omdat de OEM of leverancier het pre-inrichtingsproces uitvoert, vereist dit proces geen toegang tot de on-premises domeininfrastructuur van een eindgebruiker. Het pre-inrichtingsproces is in tegenstelling tot een typisch scenario Microsoft Entra hybride gekoppeld, omdat het opnieuw opstarten van het apparaat wordt uitgesteld. Het apparaat wordt opnieuw verzegeld voordat verbinding met een domeincontroller wordt verwacht. In plaats hiervan wordt contact opgenomen met het domeinnetwerk wanneer het apparaat on-premises wordt uitgepakt door de eindgebruiker.
Zie Bekende problemen met Windows Autopilot en Problemen met het importeren en inschrijven van Windows Autopilot-apparaten oplossen om bekende problemen en hun oplossingen te bekijken.
Voorbereiding
Apparaten die zijn gepland voor pre-inrichting, worden geregistreerd voor Autopilot via het normale registratieproces.
Als u klaar bent om Windows Autopilot uit te proberen voor vooraf ingerichte implementatie, moet u ervoor zorgen dat bestaande gebruikersgestuurde Windows Autopilot-scenario's kunnen worden gebruikt:
Door de gebruiker gestuurde Microsoft Entra join. Zorg ervoor dat apparaten kunnen worden geïmplementeerd met Windows Autopilot en voeg ze toe aan een Microsoft Entra ID-tenant.
Gebruikersgestuurd met Microsoft Entra hybrid join. Als u de functies van Microsoft Entra hybrid join wilt inschakelen, moet u ervoor zorgen dat de volgende acties kunnen worden uitgevoerd:
- Apparaten implementeren met Windows Autopilot.
- Voeg de apparaten toe aan een on-premises Active Directory domein.
- Registreer de apparaten bij Microsoft Entra ID.
Belangrijk
Microsoft raadt aan om nieuwe apparaten te implementeren als cloudeigen met behulp van Microsoft Entra join. Het implementeren van nieuwe apparaten als Microsoft Entra hybride join-apparaten wordt afgeraden, ook niet via Autopilot. Zie Microsoft Entra gekoppeld versus Microsoft Entra hybride gekoppeld in cloudeigen eindpunten: welke optie is geschikt voor uw organisatie voor meer informatie.
Als deze scenario's niet kunnen worden voltooid, slaagt Windows Autopilot voor vooraf ingerichte implementatie ook niet omdat deze zich op deze scenario's voortbouwt.
Voordat het pre-inrichtingsproces kan worden gestart in de inrichtingsservicefaciliteit, moet een andere Autopilot-profielinstelling worden geconfigureerd. Een gedetailleerde zelfstudie over het configureren van een Autopilot-profiel voor het vooraf inrichten is beschikbaar in de volgende artikelen:
- Stapsgewijze zelfstudie voor Windows Autopilot voor vooraf ingerichte implementatie Microsoft Entra deelnemen in Intune
- Stapsgewijze zelfstudie voor Windows Autopilot voor vooraf ingerichte implementatie Microsoft Entra hybride join in Intune
Tijdens het pre-inrichtingsproces worden alle apparaatgerichte beleidsregels van Intune toegepast. Dit beleid omvat certificaten, beveiligingssjablonen, instellingen, apps en meer, alles wat op het apparaat is gericht. Bovendien worden win32- of LOB-apps (Line-Of-Business) geïnstalleerd als ze aan de volgende voorwaarden voldoen:
- Geconfigureerd voor installatie in de apparaatcontext.
- Toegewezen aan het apparaat of aan de gebruiker die vooraf is toegewezen aan het Autopilot-apparaat.
Belangrijk
Zorg ervoor dat u niet zowel Win32- als LOB-apps op hetzelfde apparaat richt. Als zowel Win32- als LOB-apps moeten worden gericht op het apparaat, kunt u overwegen windows Autopilot-apparaatvoorbereiding te gebruiken. Zie Een Windows Line-Of-Business-app toevoegen aan Microsoft Intune voor meer informatie.
Opmerking
Voor eenvoudige toegang tot de pre-inrichtingsmodus selecteert u de taalmodus als gebruiker die is opgegeven in Autopilot-profielen. De fase van de technicus vóór het inrichten installeert alle apparaatgerichte apps en alle door de gebruiker gerichte, apparaatcontext-apps die zijn gericht op de toegewezen gebruiker. Als er geen toegewezen gebruiker is, worden alleen de apparaatgerichte apps geïnstalleerd. Andere door gebruikers gerichte beleidsregels worden pas toegepast wanneer de gebruiker zich aanmeldt bij het apparaat. Als u dit gedrag wilt controleren, moet u de juiste apps en beleidsregels maken die zijn gericht op apparaten en gebruikers.
Scenario's
Windows Autopilot voor vooraf ingerichte implementatie ondersteunt twee verschillende scenario's:
Gebruikersgestuurde implementaties met Microsoft Entra join. Het apparaat is gekoppeld aan een Microsoft Entra-tenant.
Gebruikersgestuurde implementaties met Microsoft Entra hybride join. Het apparaat is gekoppeld aan een on-premises Active Directory domein en afzonderlijk geregistreerd bij Microsoft Entra ID.
Belangrijk
Microsoft raadt aan om nieuwe apparaten te implementeren als cloudeigen met behulp van Microsoft Entra join. Het implementeren van nieuwe apparaten als Microsoft Entra hybride join-apparaten wordt afgeraden, ook niet via Autopilot. Zie Microsoft Entra gekoppeld versus Microsoft Entra hybride gekoppeld in cloudeigen eindpunten: welke optie is geschikt voor uw organisatie voor meer informatie.
Elk van deze scenario's bestaat uit twee delen, een technicusstroom en een gebruikersstroom. Op hoog niveau zijn deze onderdelen hetzelfde voor Microsoft Entra join en Microsoft Entra hybrid join. De verschillen worden voornamelijk door de eindgebruiker gezien in de verificatiestappen.
Stroom van technici
Nadat de klant of IT-Beheer alle gewenste apps en instellingen voor hun apparaten heeft bereikt via Intune, kan de pre-inrichtingstechnicus beginnen met het pre-inrichtingsproces. De technicus kan een lid van het IT-personeel, een servicepartner of een OEM zijn. Elke organisatie kan bepalen wie deze activiteiten moet uitvoeren. Ongeacht het scenario is het proces dat door de technicus wordt uitgevoerd, hetzelfde:
Start het apparaat op.
Selecteer volgende niet in het eerste OOBE-scherm (out-of-box experience) (dit kan een taalselectie, landinstellingsscherm of de Microsoft Entra aanmeldingspagina zijn. Druk in plaats daarvan vijf keer op de Windows-toets om een ander dialoogvenster met opties weer te geven. Selecteer in dat scherm de inrichtingsoptie Windows Autopilot en selecteer vervolgens Doorgaan.
In het scherm Windows Autopilot-configuratie wordt de volgende informatie over het apparaat weergegeven:
Het Autopilot-profiel dat is toegewezen aan het apparaat.
De naam van de organisatie voor het apparaat.
De gebruiker die is toegewezen aan het apparaat (indien aanwezig).
Een QR-code met een unieke id voor het apparaat. Deze code kan worden gebruikt om het apparaat op te zoeken in Intune, wat mogelijk nodig is om configuratiewijzigingen aan te brengen. Wijs bijvoorbeeld een gebruiker toe of voeg het apparaat toe aan groepen die nodig zijn voor app- of beleidstargeting.
Opmerking
De QR-codes kunnen worden gescand met behulp van een begeleidende app. De app configureert ook het apparaat om op te geven tot wie het behoort. Het Autopilot-team heeft een opensource-voorbeeld van een begeleidende app gemaakt die kan worden geïntegreerd met Intune met behulp van de Graph API. Deze is beschikbaar op GitHub.
Valideer de weergegeven informatie. Als er wijzigingen nodig zijn, breng je de wijzigingen aan en selecteer je vervolgens Vernieuwen om de bijgewerkte Autopilot-profieldetails opnieuw te downloaden.
Selecteer Inrichten om het inrichtingsproces te starten.
Als het pre-inrichtingsproces is voltooid:
Er wordt een scherm met geslaagde status weergegeven met informatie over het apparaat, met inbegrip van dezelfde details die eerder zijn weergegeven. Bijvoorbeeld Autopilot-profiel, organisatienaam, toegewezen gebruiker en QR-code. De verstreken tijd voor de pre-inrichtingsstappen wordt ook opgegeven.
Selecteer Opnieuw verzenden om het apparaat af te sluiten. Op dat moment kan het apparaat worden verzonden naar de eindgebruiker.
Opmerking
De technicusstroom neemt gedrag over van de zelf-implementerende modus. Self-Deploying-modus gebruikt de pagina Status van inschrijving om het apparaat in een inrichtingsstatus te houden. Het apparaat met een inrichtingsstatus voorkomt dat de gebruiker naar het bureaublad gaat na de inschrijving, maar voordat de software en configuratie zijn toegepast. Als de pagina Status van inschrijving is uitgeschakeld, kan de knop opnieuw worden weergegeven voordat de software en configuratie is voltooid. Dit gedrag kan het mogelijk maken om door te gaan naar de gebruikersstroom voordat de inrichting van de technicusstroom is voltooid. Het scherm met succes valideert dat de inschrijving is geslaagd, niet dat de stroom van de technicus noodzakelijkerwijs is voltooid.
Als het pre-inrichtingsproces mislukt:
- Er wordt een foutstatusscherm weergegeven met informatie over het apparaat, inclusief dezelfde details die eerder zijn weergegeven. Bijvoorbeeld Autopilot-profiel, organisatienaam, toegewezen gebruiker en QR-code. De verstreken tijd voor de pre-inrichtingsstappen wordt ook opgegeven.
- Diagnostische logboeken kunnen van het apparaat worden verzameld en vervolgens opnieuw worden ingesteld om het proces opnieuw te starten.
Gebruikersstroom
Belangrijk
Als u ervoor wilt zorgen dat tokens correct worden vernieuwd tussen de stroom Technicus en de gebruikersstroom, wacht u ten minste 90 minuten na het uitvoeren van de technicusstroom voordat u de gebruikersstroom uitvoert. Dit scenario is voornamelijk van invloed op lab- en testscenario's wanneer de gebruikersstroom wordt uitgevoerd binnen 90 minuten nadat de technicusstroom is voltooid.
De gebruikersstroom moet worden uitgevoerd binnen zes maanden nadat de technicusstroom is voltooid. Langer dan zes maanden wachten kan ertoe leiden dat de certificaten die worden gebruikt door de Intune Management Engine (IME) niet meer geldig zijn, wat kan leiden tot fouten zoals:
Error code: [Win32App][DetectionActionHandler] Detection for policy with id: <policy_id> resulted in action status: Failed and detection state: NotComputed.
Naleving in Microsoft Entra ID wordt opnieuw ingesteld tijdens de gebruikersstroom. Apparaten worden mogelijk weergegeven als compatibel in Microsoft Entra ID nadat de technicusstroom is voltooid, maar vervolgens als niet-compatibel worden weergegeven zodra de gebruikersstroom wordt gestart. Geef voldoende tijd nadat de gebruikersstroom is voltooid om de naleving opnieuw te evalueren en bij te werken.
Als het pre-inrichtingsproces is voltooid en het apparaat opnieuw is verzegeld, levert u het apparaat aan de eindgebruiker. De eindgebruiker voltooit het normale Windows Autopilot-proces dat door de gebruiker wordt gestuurd door de volgende stappen te volgen:
Schakel het apparaat in.
Selecteer de juiste taal, landinstelling en toetsenbordindeling.
Verbinding maken met een netwerk (als u Wi-Fi gebruikt). Internettoegang is altijd vereist. Als u Microsoft Entra hybrid join gebruikt, moet er ook verbinding zijn met een domeincontroller.
Als u Microsoft Entra join gebruikt, voert u op het aanmeldingsscherm van het merk de Microsoft Entra referenties van de gebruiker in.
Als u Microsoft Entra hybrid join gebruikt, wordt het apparaat opnieuw opgestart. Voer na het opnieuw opstarten de Active Directory-referenties van de gebruiker in.
Opmerking
In bepaalde omstandigheden kan er ook om Microsoft Entra referenties worden gevraagd tijdens een Microsoft Entra scenario voor hybride join. Bijvoorbeeld als ADFS niet wordt gebruikt.
Er worden meer beleidsregels en apps aan het apparaat geleverd, zoals wordt bijgehouden door de statuspagina van de inschrijving (ESP). Zodra dit is voltooid, heeft de gebruiker toegang tot het bureaublad.
De ESP van het apparaat wordt opnieuw uitgevoerd tijdens de gebruikersstroom, zodat zowel het esp van het apparaat als de gebruiker wordt uitgevoerd wanneer de gebruiker zich aanmeldt. Met dit gedrag kan de ESP andere beleidsregels installeren die aan het apparaat zijn toegewezen nadat het apparaat de technicusfase heeft voltooid.
Opmerking
Als de Microsoft Account Sign-In Assistant (wlidsvc) is uitgeschakeld tijdens de technicusstroom, wordt de Microsoft Entra aanmeldingsoptie mogelijk niet weergegeven. In plaats daarvan wordt gebruikers gevraagd de gebruiksrechtovereenkomst te accepteren en een lokaal account te maken, wat mogelijk niet het gewenste gedrag is.
Een apparaat implementeren
Voor meer informatie over het starten van een implementatie op een apparaat bij het gebruik van Windows Autopilot voor vooraf ingerichte, raadpleegt u de stappen voor de technicusstroom en de gebruikersstroom van de Zelfstudies voor vooraf ingerichte implementatie van Windows Autopilot:
Verwante onderwerpen
- Video vooraf inrichten.
- Wat is een apparaat-id?
- Meer informatie over cloudeigen eindpunten.
- Zelfstudie: Een cloudeigen Windows-eindpunt instellen en configureren met Microsoft Intune.
- Procedure: De implementatie van uw Microsoft Entra join plannen.
- Een framework voor transformatie van Windows-eindpuntbeheer.
- Inzicht in scenario's voor hybride Azure AD en co-beheer.
- Succes met externe Windows Autopilot en hybride Azure Active Directory-deelname.