Associação de Microsoft Entra orientada pelo utilizador para a preparação de dispositivos do Windows Autopilot: Criar um grupo de dispositivos

• Aplica-se a:

  ✅ Windows 11

Passos de associação de Microsoft Entra orientadas pelo utilizador para a preparação de dispositivos do Windows Autopilot:

• Passo 1: Configurar a inscrição automática de Intune do Windows
• Passo 2: permitir que os utilizadores associem dispositivos a Microsoft Entra ID

• Passo 3: criar um grupo de dispositivos

• Passo 4: criar um grupo de utilizadores
• Passo 5: atribuir aplicações e scripts do PowerShell ao grupo de dispositivos
• Passo 6: Criar a política de preparação de dispositivos do Windows Autopilot
• Passo 7: Adicionar o identificador empresarial do Windows ao dispositivo (opcional)

Para obter uma descrição geral do fluxo de trabalho de associação de Microsoft Entra orientada pelo utilizador da preparação de dispositivos do Windows Autopilot, veja Descrição geral da associação de Microsoft Entra orientada pelo utilizador para a preparação de dispositivos do Windows Autopilot.

Observação

O grupo de dispositivos criado neste passo é específico da preparação de dispositivos do Windows Autopilot. A Microsoft recomenda a criação de um grupo de dispositivos especificamente para utilização com a preparação de dispositivos Windows Autopilot em vez de reutilizar grupos de dispositivos existentes utilizados noutros cenários do Autopilot.

Criar um grupo de dispositivos

Os grupos de dispositivos são uma coleção de dispositivos organizados num grupo Microsoft Entra. Os grupos de dispositivos podem ser dinâmicos ou atribuídos:

• Grupos dinâmicos – os dispositivos são adicionados automaticamente ao grupo com base nas regras.
• Grupos atribuídos – os dispositivos são adicionados manualmente ao grupo e são estáticos.

A preparação de dispositivos windows Autopilot utiliza um grupo de dispositivos como parte da política de preparação de dispositivos do Windows Autopilot. O grupo de dispositivos especificado na política de preparação de dispositivos do Windows Autopilot é o grupo de dispositivos onde os dispositivos são adicionados automaticamente durante a implementação de preparação de dispositivos do Windows Autopilot. O grupo de dispositivos especificado na política de preparação de dispositivos do Windows Autopilot tem de ser um grupo de segurança atribuído.

Para criar um grupo de dispositivos de segurança atribuído para utilização com a preparação do dispositivo Windows Autopilot, siga estes passos:

1. Entre no Centro de administração do Microsoft Intune.

2. No ecrã Principal, selecione Grupos no painel esquerdo.

3. Na Grupos | Ecrã Todos os grupos, certifique-se de que Todos os grupos estão selecionados e, em seguida, selecione Novo grupo.

4. No ecrã Novo Grupo que é aberto:

   1. Para Tipo de grupo, selecione Segurança.

   2. Em Nome do grupo, introduza um nome para o grupo de dispositivos, como Grupo de dispositivos de preparação de dispositivos do Windows Autopilot.

   3. Em Descrição do grupo, introduza uma descrição para o grupo de dispositivos.

   4. Para Microsoft Entra funções podem ser atribuídas ao grupo, selecione Não.

   5. Em Tipo de associação, selecione Atribuído.

   6. Para Proprietários, selecione a ligação Sem proprietários selecionados .

   7. No ecrã Adicionar proprietários que é aberto:

      1. Percorra a lista de objetos e selecione o principal de serviço Intune Cliente de Aprovisionamento com AppId de f1346770-5b25-470b-88bd-d5744ab7952c. Em alternativa, utilize a Barra de pesquisa para procurar e selecionar Intune Cliente de Aprovisionamento.

         Observação

         • Em alguns inquilinos, o principal de serviço pode ter o nome Intune Autopilot ConfidentialClient em vez de Intune Cliente de Aprovisionamento. Desde que o AppID do principal de serviço seja f1346770-5b25-470b-88bd-d5744ab7952c, é o principal de serviço correto.

         • Se o Intune Cliente de Aprovisionamento ou Intune principal de serviço Do Autopilot ConfidentialClient com AppId de f1346770-5b25-470b-88bd-d5744ab7952c não estiver disponível na lista de objetos ou ao procurar, consulte Adicionar o principal de serviço do Cliente de Aprovisionamento de Intune.

      2. Assim que Intune Cliente de Aprovisionamento estiver selecionado como proprietário, selecione Selecionar.

   8. Selecione Criar para concluir a criação do grupo de dispositivos atribuído.

   Importante

   Os dispositivos são adicionados automaticamente a este grupo de dispositivos durante a implementação de preparação de dispositivos do Windows Autopilot. A adição manual de dispositivos como membros do grupo de dispositivos criado neste passo não é necessária, mas fazê-lo não tem qualquer impacto no processo de preparação de dispositivos do Windows Autopilot.

Adicionar o principal de serviço do Cliente de Aprovisionamento Intune

Se o principal de serviço do Cliente de Aprovisionamento Intune com AppId f1346770-5b25-470b-88bd-d5744ab7952c não estiver disponível ao selecionar o proprietário do grupo de dispositivos, siga estes passos para adicionar o principal de serviço:

1. Num dispositivo onde o Microsoft Intune ou Microsoft Entra ID é normalmente administrado, abra uma linha de comandos Windows PowerShell elevada.

2. Na janela da linha de comandos Windows PowerShell:

   1. Instale o módulo Microsoft.Graph.Authentication ao introduzir o seguinte comando:

      Install-Module Microsoft.Graph.Authentication
      

      Se lhe for pedido para o fazer:

      • Aceite instalar o NuGet ao introduzir Y ou Sim ou ao selecionar o botão Sim .
      • Aceite instalar a partir do repositório não fidedigno PSGallery ao introduzir Y ou Sim ou ao selecionar o botão Sim .

      Para obter mais informações, consulte Microsoft.Graph.Authentication e Set-PSRepository -InstallationPolicy.

   2. Instale o módulo Microsoft.Graph.Applications ao introduzir o seguinte comando:

      Install-Module Microsoft.Graph.Applications
      

      Se lhe for pedido para o fazer, aceite instalar a partir do repositório não fidedigno PSGallery ao introduzir Y ou Sim ou ao selecionar o botão Sim .

      Para obter mais informações, consulte Microsoft.Graph.Applications e Set-PSRepository -InstallationPolicy.

   3. Assim que os módulos Microsoft.Graph.Authentication e Microsoft.Graph.Applications estiverem instalados, ligue-se a Microsoft Entra ID ao introduzir o seguinte comando:

      Connect-MgGraph -Scopes "Application.ReadWrite.All"
      

      Para obter mais informações, veja Connect-MgGraph.

   4. Se ainda não estiver autenticado no Microsoft Entra ID, é apresentada a janela Iniciar sessão na sua conta. Introduza as credenciais de um administrador Microsoft Entra ID que tenha permissões para adicionar principais de serviço.

   5. Se for apresentada a janela Permissões pedidas , selecione a caixa de verificação Consentimento em nome da sua organização e, em seguida, selecione o botão Aceitar .

   6. Depois de autenticado para Microsoft Entra ID e forem concedidas as permissões adequadas, adicione o principal de serviço do Cliente de Aprovisionamento Intune ao introduzir o seguinte comando:

      New-MgServicePrincipal -AppID f1346770-5b25-470b-88bd-d5744ab7952c
      

      Para obter mais informações, veja New-MgServicePrincipal -BodyParameter.

      Observação

      • A seguinte mensagem de erro é apresentada se o principal de serviço do Cliente de Aprovisionamento Intune já existir no inquilino:

        New-MgServicePrincipal : The service principal cannot be created, updated, or restored because the service principal name 
        f1346770-5b25-470b-88bd-d5744ab7952c is already in use.
        Status: 409 (Conflict)
        ErrorCode: Request_MultipleObjectsWithSameKeyValue
        

      • A seguinte mensagem de erro é apresentada se uma das seguintes condições for verdadeira:

        • A conta utilizada para iniciar sessão com o Connect-MgGraph comando não tem permissões para adicionar um principal de serviço ao inquilino.
        • O -Scopes "Application.ReadWrite.All" argumento não é adicionado ao Connect-MgGraph comando .
        • A janela Permissões pedidas não é aceite.
        • A caixa de verificação Consentimento em nome da sua organização não está selecionada na janela Permissões pedidas .

        New-MgServicePrincipal : Insufficient privileges to complete the operation.
        Status: 403 (Forbidden)
        ErrorCode: Authorization_RequestDenied
        

Passo seguinte: Criar um grupo de utilizadores

Passo 4: criar um grupo de utilizadores

Conteúdo relacionado

Para obter mais informações sobre como criar grupos no Intune, consulte os seguintes artigos:

• Criar grupos de dispositivos.
• Adicione grupos para organizar utilizadores e dispositivos.
• Gerir grupos de Microsoft Entra e associação a grupos.
• Regras de associação dinâmicas para grupos no Microsoft Entra ID.