Windows Autopilot 设备准备用户驱动Microsoft Entra加入:创建设备组
Windows Autopilot 设备准备用户驱动Microsoft Entra加入步骤:
- 步骤 3:创建设备组
- 步骤 4: 创建用户组
- 步骤 5: 将应用程序和 PowerShell 脚本分配到设备组
- 步骤 6: 创建 Windows Autopilot 设备准备策略
- 步骤 7: 将 Windows 公司标识符添加到设备 (可选)
有关 Windows Autopilot 设备准备用户驱动Microsoft Entra加入工作流的概述,请参阅 Windows Autopilot 设备准备用户驱动Microsoft Entra联接概述。
注意
此步骤中创建的设备组特定于 Windows Autopilot 设备准备。 Microsoft建议创建专用于 Windows Autopilot 设备准备的设备组,而不是重复使用其他 Autopilot 方案中使用的现有设备组。
创建设备组
设备组是组织成Microsoft Entra组的设备集合。 设备组可以是动态的,也可以是分配的:
- 动态组 - 设备根据规则自动添加到组。
- 分配的组 - 设备手动添加到组,并且是静态的。
Windows Autopilot 设备准备使用设备组作为 Windows Autopilot 设备准备策略的一部分。 Windows Autopilot 设备准备策略中指定的设备组是在 Windows Autopilot 设备准备部署期间自动添加设备的设备组。 Windows Autopilot 设备准备策略中指定的设备组必须是分配的安全组。
若要创建用于 Windows Autopilot 设备准备的已分配安全设备组,请执行以下步骤:
在“主页”屏幕中,选择左侧窗格中的“组”。
在组 |“所有组”屏幕,确保选中“所有组”,然后选择“新建组”。
在打开 的“新建组” 屏幕中:
对于组类型,选择安全组。
对于 “组名称”,请输入设备组的名称,例如 Windows Autopilot 设备准备设备组。
对于 “组说明”,请输入设备组的说明。
对于Microsoft Entra角色可分配给组,请选择“否”。
对于 “成员身份类型”,选择“ 已分配”。
对于 “所有者”,请选择“ 未选择所有者” 链接。
在打开的 “添加所有者” 屏幕中:
滚动浏览对象列表,选择 AppId 为 f1346770-5b25-470b-88bd-d5744ab7952c 的服务主体Intune预配客户端。 或者,使用搜索栏搜索并选择“Intune预配客户端”。
注意
在某些租户中,服务主体的名称可能是 Intune Autopilot ConfidentialClient,而不是Intune预配客户端。 只要服务主体的 AppID 为 f1346770-5b25-470b-88bd-d5744ab7952c,它就是正确的服务主体。
如果 appId 为 f1346770-5b25-470b-88bd-d5744ab7952c 的 Intune预配客户端或 Intune Autopilot ConfidentialClient 服务主体在对象列表中或搜索时不可用,请参阅添加Intune预配客户端服务主体。
选择Intune预配客户端作为所有者后,选择“选择”。
选择“ 创建 ”以完成创建分配的设备组。
重要
在 Windows Autopilot 设备准备部署期间,设备会自动添加到此设备组。 不需要手动将设备添加为此步骤中创建的设备组的成员,但这样做不会影响 Windows Autopilot 设备准备过程。
添加Intune预配客户端服务主体
如果在选择设备组的所有者时无法使用 AppId f1346770-5b25-470b-88bd-d5744ab7952c 的Intune预配客户端服务主体,请按照以下步骤添加服务主体:
在通常管理Microsoft Intune或Microsoft Entra ID的设备上,打开提升的Windows PowerShell命令提示符。
在“Windows PowerShell命令提示符”窗口中:
通过输入以下命令安装 Microsoft.Graph.Authentication 模块:
Install-Module Microsoft.Graph.Authentication如果系统提示执行此操作:
- 输入“Y”或“是”,或选择“是”按钮,同意安装 NuGet。
- 通过输入“Y”或“是”,或选择“是”按钮,同意从 PSGallery 不受信任的存储库进行安装。
有关详细信息,请参阅 Microsoft.Graph.Authentication 和 Set-PSRepository -InstallationPolicy。
通过输入以下命令安装 Microsoft.Graph.Applications 模块:
Install-Module Microsoft.Graph.Applications如果系统提示执行此操作,请通过输入“Y”或“是”或选择“是”按钮,同意从 PSGallery 不受信任的存储库进行安装。
有关详细信息,请参阅 Microsoft.Graph.Applications 和 Set-PSRepository -InstallationPolicy。
安装 Microsoft.Graph.Authentication 和 Microsoft.Graph.Applications 模块后,通过输入以下命令连接到 Microsoft Entra ID:
Connect-MgGraph -Scopes "Application.ReadWrite.All"有关详细信息,请参阅 Connect-MgGraph。
如果尚未对Microsoft Entra ID进行身份验证,则会显示“登录到帐户”窗口。 输入有权添加服务主体的Microsoft Entra ID管理员的凭据。
如果显示 “请求的权限” 窗口,请选中“ 代表组织同意 ”复选框,然后选择“ 接受 ”按钮。
向Microsoft Entra ID进行身份验证并授予适当的权限后,通过输入以下命令添加Intune预配客户端服务主体:
New-MgServicePrincipal -AppID f1346770-5b25-470b-88bd-d5744ab7952c有关详细信息,请参阅 New-MgServicePrincipal -BodyParameter。
注意
如果租户中已存在Intune预配客户端服务主体,将显示以下错误消息:
New-MgServicePrincipal : The service principal cannot be created, updated, or restored because the service principal name f1346770-5b25-470b-88bd-d5744ab7952c is already in use. Status: 409 (Conflict) ErrorCode: Request_MultipleObjectsWithSameKeyValue如果满足以下条件之一,将显示以下错误消息:
- 用于使用 命令登录的
Connect-MgGraph帐户无权将服务主体添加到租户。 - 参数
-Scopes "Application.ReadWrite.All"不会添加到 命令中Connect-MgGraph。 - 不接受 “请求的权限” 窗口。
- “请求的权限”窗口中未选中“代表组织同意”复选框。
New-MgServicePrincipal : Insufficient privileges to complete the operation. Status: 403 (Forbidden) ErrorCode: Authorization_RequestDenied- 用于使用 命令登录的
下一步:创建用户组
相关内容
有关在 Intune 中创建组的详细信息,请参阅以下文章: