Подготовка устройства Windows Autopilot на основе пользовательского Microsoft Entra присоединения: создание группы устройств

• Применяется к:

  ✅ Windows 11

Этапы подготовки устройств Windows Autopilot, управляемые пользователем Microsoft Entra присоединения:

• Шаг 1. Настройка автоматической регистрации windows Intune
• Шаг 2. Разрешить пользователям присоединяться к устройствам Microsoft Entra ID

• Шаг 3. Создание группы устройств

• Шаг 4 . Создание группы пользователей
• Шаг 5 . Назначение приложений и сценариев PowerShell группе устройств
• Шаг 6 . Создание политики подготовки устройств Windows Autopilot
• Шаг 7 . Добавление корпоративного идентификатора Windows на устройство

Общие сведения о рабочем процессе подготовки устройств Windows Autopilot, управляемом пользователем Microsoft Entra присоединения, см. в статье Общие сведения о подготовке устройств Windows Autopilot на основе пользовательского Microsoft Entra присоединения.

Примечание.

Группа устройств, созданная на этом шаге, связана с подготовкой устройства Windows Autopilot. Корпорация Майкрософт рекомендует создать группу устройств специально для использования с подготовкой устройств Windows Autopilot вместо повторного использования существующих групп устройств, используемых в других сценариях Autopilot.

Создание группы устройств

Группы устройств — это коллекция устройств, упорядоченных в группу Microsoft Entra. Группы устройств могут быть динамическими или назначенными:

• Динамические группы . Устройства автоматически добавляются в группу на основе правил.
• Назначенные группы . Устройства добавляются в группу вручную и являются статическими.

Для подготовки устройств Windows Autopilot используется группа устройств в рамках политики подготовки устройств Windows Autopilot. Группа устройств, указанная в политике подготовки устройств Windows Autopilot, — это группа устройств, в которой устройства добавляются автоматически во время развертывания подготовки устройств Windows Autopilot. Группа устройств, указанная в политике подготовки устройств Windows Autopilot, должна быть назначенной группой безопасности.

Чтобы создать назначенную группу устройств безопасности для использования с подготовкой устройства Windows Autopilot, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Intune.

2. На начальном экране выберите Группы в области слева.

3. В Группы | На экране Все группы убедитесь, что выбраны все группы, а затем выберите Создать группу.

4. На открываемом экране New Group (Новая группа ) выполните следующие действия:

   1. В поле Тип группы выберите Безопасность.

   2. В поле Имя группы введите имя группы устройств, например группа устройств подготовки устройств Windows Autopilot.

   3. В поле Описание группы введите описание группы устройств.

   4. Чтобы Microsoft Entra роли можно назначить группе, выберите Нет.

   5. В поле Тип членства выберите Назначено.

   6. В поле Владельцы выберите ссылку Нет выбранных владельцев .

   7. На открываемом экране Добавление владельцев :

      1. Прокрутите список объектов и выберите субъект-службу Intune Клиент подготовки с идентификатором AppId f1346770-5b25-470b-88bd-d57444ab7952c. Кроме того, используйте панель поиска, чтобы найти и выбрать клиент подготовки Intune.

         Примечание.

         • В некоторых клиентах субъект-служба может иметь имя Intune Autopilot ConfidentialClient вместо клиента подготовки Intune. Если appID субъекта-службы имеет значение f1346770-5b25-470b-88bd-d5744ab7952c, это правильный субъект-служба.

         • Если Intune клиент подготовки или Intune субъект-служба Autopilot ConfidentialClient с идентификатором AppId f1346770-5b25-470b-88bd-d57444ab7952c недоступен ни в списке объектов, ни при поиске, см. статью Добавление субъекта-службы Intune подготовки клиента.

      2. После того как Intune клиент подготовки будет выбран в качестве владельца, нажмите кнопку Выбрать.

   8. Нажмите кнопку Создать , чтобы завершить создание назначенной группы устройств.

   Важно!

   Устройства автоматически добавляются в эту группу устройств во время развертывания подготовки устройств Windows Autopilot. Вручную добавлять устройства в качестве членов группы устройств, созданной на этом шаге, не требуется, но это не влияет на процесс подготовки устройств Windows Autopilot.

Добавление субъекта-службы клиента подготовки Intune

Если Intune субъект-служба "Подготовка клиента" с AppId f1346770-5b25-470b-88bd-d5744ab7952c недоступен при выборе владельца группы устройств, выполните следующие действия, чтобы добавить субъект-службу:

1. На устройстве, где обычно администрируются Microsoft Intune или Microsoft Entra ID, откройте командную строку с повышенными Windows PowerShell.

2. В окне командной строки Windows PowerShell выполните следующие действия:

   1. Установите модуль Microsoft.Graph.Authentication , введя следующую команду:

      Install-Module Microsoft.Graph.Authentication
      

      Если появится запрос на это, выполните приведенные далее действия.

      • Примите решение установить NuGet , введя Y или Да или нажав кнопку Да .
      • Подтвердите установку из недоверенного репозитория PSGallery , введя Y или Да или нажав кнопку Да .

      Дополнительные сведения см. в разделах Microsoft.Graph.Authentication и Set-PSRepository -InstallationPolicy.

   2. Установите модуль Microsoft.Graph.Applications , введя следующую команду:

      Install-Module Microsoft.Graph.Applications
      

      При появлении запроса на установку из недоверенного репозитория PSGallery введите Y или Да или нажмите кнопку Да .

      Дополнительные сведения см. в разделах Microsoft.Graph.Applications и Set-PSRepository -InstallationPolicy.

   3. После установки модулей Microsoft.Graph.Authentication и Microsoft.Graph.Applications подключитесь к Microsoft Entra ID, введя следующую команду:

      Connect-MgGraph -Scopes "Application.ReadWrite.All"
      

      Дополнительные сведения см. в разделе Connect-MgGraph.

   4. Если еще не прошел проверку подлинности в Microsoft Entra ID, откроется окно Вход в учетную запись. Введите учетные данные администратора Microsoft Entra ID, имеющего разрешения на добавление субъектов-служб.

   5. Если появится окно Запрошенные разрешения , установите флажок Согласие от имени организации , а затем нажмите кнопку Принять .

   6. После проверки подлинности для Microsoft Entra ID и предоставления необходимых разрешений добавьте субъект-службу Intune Provisioning Client, введя следующую команду:

      New-MgServicePrincipal -AppID f1346770-5b25-470b-88bd-d5744ab7952c
      

      Дополнительные сведения см. в разделе New-MgServicePrincipal -BodyParameter.

      Примечание.

      • Если субъект-служба клиента подготовки Intune уже существует в клиенте, отображается следующее сообщение об ошибке:

        New-MgServicePrincipal : The service principal cannot be created, updated, or restored because the service principal name 
        f1346770-5b25-470b-88bd-d5744ab7952c is already in use.
        Status: 409 (Conflict)
        ErrorCode: Request_MultipleObjectsWithSameKeyValue
        

      • Если выполняется одно из следующих условий, отображается следующее сообщение об ошибке:

        • Учетная запись, используемая для входа с помощью Connect-MgGraph команды , не имеет разрешений на добавление субъекта-службы в клиент.
        • Аргумент -Scopes "Application.ReadWrite.All" не добавляется в Connect-MgGraph команду .
        • Окно запрошенных разрешений не принимается.
        • Флажок Согласие от имени вашей организации не установлен в окне Запрашиваемые разрешения .

        New-MgServicePrincipal : Insufficient privileges to complete the operation.
        Status: 403 (Forbidden)
        ErrorCode: Authorization_RequestDenied
        

Следующий шаг. Создание группы пользователей

Шаг 4. Создание группы пользователей

Связанные материалы

Дополнительные сведения о создании групп в Intune см. в следующих статьях:

• Создание групп устройств.
• Добавление групп для организации пользователей и устройств.
• Управление группами Microsoft Entra и членством в группах.
• Правила динамического членства для групп в Microsoft Entra ID.