Поделиться через

Массовая регистрация устройств Windows

  • Статья

Область применения

  • Windows 10
  • Windows 11

Присоединение новых устройств Windows к Microsoft Entra ID и Intune. Чтобы массово зарегистрировать устройства для клиента Microsoft Entra, создайте пакет подготовки с помощью приложения Designer конфигурации Windows (WCD). При применении пакета подготовки к корпоративным устройствам устройства присоединяются к клиенту Microsoft Entra и регистрируются для управления Intune. После применения пакета он будет готов для входа пользователей Microsoft Entra.

Microsoft Entra пользователи являются стандартными пользователями на этих устройствах и получают назначенные политики Intune и необходимые приложения. Устройства с Windows, зарегистрированные в Intune с помощью массовой регистрации Windows, могут использовать приложение "Корпоративный портал" для установки доступных приложений.

Роли и разрешения

Чтобы создать маркер массовой регистрации, необходимо иметь поддерживаемое назначение ролей Microsoft Entra и не должны быть ограничены административной единицей в Microsoft Entra ID. Microsoft Entra встроенные роли с разрешением на создание маркеров массовой регистрации:

  • Администратор облачных устройств
  • Администратор Intune
  • Администратор паролей

Дополнительные сведения об этих ролях см. в разделе Microsoft Entra встроенных ролей.

Предварительные условия

Кроме того, убедитесь, что субъект-служба для Microsoft.Azure.SyncFabric (AppID 00000014-0000-0000-c000-0000000000000) присутствует в клиенте Microsoft Entra. В командной строке Get-AzureADServicePrincipal используйте команду , чтобы проверка для субъекта-службы. Без субъекта-службы конфигурация Windows Designer не может получить маркер массовой регистрации, что приводит к ошибке.

Создание пакета подготовки

  1. Установите Designer конфигурации Windows (WCD) из Microsoft Store.

  2. Откройте приложение Конструктор конфигураций Windows и выберите пункт Подготовка компьютеров. Снимок экрана: выбор пункта

  3. Откроется окно Создать проект, в котором необходимо указать следующие сведения.

    • Имя — имя проекта.
    • Папка проекта — место хранения проекта.
    • Описание — необязательное описание проекта. Снимок экрана: указание имени, папки проекта и описания в приложении

  4. Введите уникальное имя устройства. Имена могут содержать серийный номер (%СЕРИЙНЫЙ НОМЕР%) или случайный набор символов. При необходимости также можно ввести ключ продукта, если вы обновляете выпуск Windows, настроить устройство для совместного использования или удалить предварительно установленное программное обеспечение.

    Снимок экрана: поле для имени и ключа продукта в приложении

  5. Дополнительно можно настроить подключение устройств к сети Wi-Fi при первом запуске. Если подключение к сети Wi-Fi не настроено, при первом запуске устройства потребуется подключение к проводной сети. Снимок экрана: включение Wi-Fi, включая параметры SSID сети и типа сети в приложении

  6. Выберите Регистрация в Azure AD, укажите дату Истечения срока действия массового токена, а затем нажмите кнопку Получить массовый токен. Срок действия токена — 180 дней.

    Примечание.

    После создания пакета подготовки его можно отозвать до истечения срока действия, удалив связанную учетную запись пользователя package_{GUID} из Microsoft Entra ID.

  7. Укажите учетные данные Microsoft Entra для получения массового маркера. Снимок экрана: вход в приложение

    Примечание.

    • Учетная запись, используемая для запроса массового маркера, должна быть включена в область пользователя MDM в Microsoft Entra ID. Если удалить эту учетную запись из группы, связанной с пользователем MDM область, массовая регистрация перестанет работать.
    • Массовое получение маркера не работает для федеративных учетных записей пользователей, включенных для поэтапного развертывания.

  8. На странице Не выходить из всех приложений выберите Нет, войти только в это приложение. Если оставить флажок и нажать кнопку "ОК", устройство будет управляться вашей организацией. Если вы не планируете управлять устройством, не забудьте выбрать Нет, войти только в это приложение.

  9. После получения массового токена нажмите кнопку Далее.

  10. При необходимости можно добавить приложения и добавить сертификаты. Эти приложения и сертификаты подготовлены на устройстве.

  11. При необходимости можно защитить пакет подготовки паролем. Щелкните Создать. Снимок экрана: защита пакетов в приложении

Подготовка устройств

  1. Откройте пакет подготовки в расположении, которое вы указали для папки проекта.

  2. Укажите, как вы хотите применить пакет установки к устройству. Пакет подготовки может быть применен к устройству одним из следующих способов.

    • Вы можете скопировать пакет подготовки на USB-накопитель, вставить USB-накопитель в устройство, которое вы хотите включить в массовую регистрацию, и применить пакет во время начальной настройки.
    • Поместите пакет подготовки в сетевую папку и примените его после первоначальной настройки

    Пошаговые инструкции по применению пакета подготовки см. в этом руководстве.

  3. Через одну минуту после применения пакета устройство автоматически перезагрузится. Снимок экрана: папка проекта с указанием имени и описанием в приложении

  4. При перезапуске устройство подключается к Microsoft Entra ID и регистрируется в Microsoft Intune.

Устранение неполадок с массовой регистрацией устройств Windows

Вопросы подготовки

Подготовку следует использовать на новых устройствах Windows. Если во время подготовки произойдет ошибка, может потребоваться очистить устройство или восстановить его из образа загрузки. В следующих примерах описываются некоторые причины сбоев при подготовке.

  • Пакет подготовки, который пытается присоединиться к домену Active Directory или Microsoft Entra арендатору, который не создает локальную учетную запись, может сделать устройство недоступным, если процесс присоединения к домену завершается сбоем из-за отсутствия сетевого подключения.
  • Сценарии, выполняемые пакетом подготовки, выполняются в системном контексте. Сценарии могут произвольно изменять файловую систему и конфигурацию устройства. Вредоносный или неправильный сценарий может привести устройство в состояние, которое можно будет исправить только с помощью повторного создания образа или очистки.

Вы можете проверить успешность или сбой задания параметров в пакете в журнале администратора Диагностика-подготовка-поставщик в средстве просмотра событий.

Примечание.

Массовая регистрация считается методом регистрации без пользователя, поэтому во время регистрации будет применяться только ограничение регистрации по умолчанию в Intune. Убедитесь, что в ограничении по умолчанию разрешена платформа Windows, иначе регистрация завершится ошибкой. Сравнение возможностей этого метода с другими методами регистрации Windows, см. в разделе Возможности метода регистрации Intune для устройств Windows.

Массовая регистрация с помощью сети Wi-Fi

Если вы не используете открытую сеть, для установки подключений необходимо применять сертификаты уровня устройства. При массовой регистрации устройств нельзя применять для доступа к сети сертификаты, предназначенные для пользователей.

Условный доступ

Условный доступ доступен для устройств, зарегистрированных с помощью массовой регистрации под управлением Windows 11 или Windows 10 версии 1803 и более поздних.