预预配Microsoft Entra混合联接:创建和分配预预配Microsoft Entra混合联接 Autopilot 配置文件
用于预预配部署的 Windows Autopilot Microsoft Entra混合联接步骤:
- 步骤 1:设置 Windows 自动Intune注册
- 步骤 2:安装Intune连接器
- 步骤 3: 提高组织单位中的计算机帐户限制 (OU)
- 步骤 4: 将设备注册为 Autopilot 设备
- 步骤 5: 创建设备组
- 步骤 6: 配置和分配 Autopilot 注册状态页 (ESP)
- 步骤 7:创建并分配Microsoft Entra混合加入 Autopilot 配置文件
- 步骤 8: 配置和分配域加入配置文件
- 步骤 9: 将 Autopilot 设备分配给用户 (可选)
- 步骤 10: 技术人员流
- 步骤 11: 用户流
有关预预配部署Microsoft Entra混合加入工作流的 Windows Autopilot 概述,请参阅 Windows Autopilot for pre-provisioned deployment Microsoft Entra混合联接概述。
创建并分配预预配Microsoft Entra混合加入 Autopilot 配置文件
Autopilot 配置文件指定如何在 Windows 安装期间配置设备,以及 OOBE) (现用体验期间显示的内容。
Microsoft Entra联接与Microsoft Entra混合联接的区别在于,Microsoft Entra混合联接方案在 Autopilot 期间同时加入本地域和Microsoft Entra ID。 预预配的Microsoft Entra联接方案仅在 Autopilot 期间联接Microsoft Entra ID。
提示
对于Configuration Manager管理员,Autopilot 配置文件类似于在任务序列期间通过文件进行的一unattend.xml
些配置。 unattend.xml 文件是在“应用 Windows 设置”和“应用网络设置”步骤期间配置的。 但请注意,Autopilot 不使用 unattend.xml
文件。
若要创建预预配Microsoft Entra混合加入 Autopilot 配置文件,请执行以下步骤:
在 “主页 ”屏幕中,选择左侧窗格中的“ 设备 ”。
在 设备中 |“概述 ”屏幕的“ 按平台”下,选择“ Windows”。
在 Windows 中 |Windows 设备 屏幕的“ 设备载入”下,选择“ 注册”。
在 Windows 中 |Windows 注册 屏幕的 “Windows Autopilot”下,选择“ 部署配置文件”。
在 “Windows Autopilot 部署配置文件” 屏幕中,选择“ 创建配置文件” 下拉菜单,然后选择“ Windows 电脑”。
此时会打开 “创建配置文件” 屏幕。 在 “基本信息 ”页中:
在 “名称”旁边,输入 Autopilot 配置文件的名称。
在 “说明”旁边输入说明。
选择 下一步。
注意
Microsoft建议将“ 将所有目标设备转换为 Autopilot ”选项设置为 “是”。 本教程重点介绍使用硬件哈希将设备手动导入为 Autopilot 设备的新设备。 但是,将 Autopilot 配置文件分配给包含现有设备的设备组时,此选项可能很有用。 例如,使用面向现有设备的 Windows Autopilot方案时,此选项非常有用。 使用 面向现有设备的 Windows Autopilot,在 Autopilot 部署完成后,可能需要将现有设备注册为 Autopilot 设备。 有关详细信息,请参阅 注册 Windows Autopilot 的设备。
在“ 开箱即用体验 (OOBE) ”页中:
对于 “部署模式”,请选择“ 用户驱动”。
对于“加入到Microsoft Entra ID为”,请选择“Microsoft Entra混合联接”。 选择此选项后,此选项下的多个选项将更改。
对于“跳过 AD 连接检查”,请选择“否”。 本教程的这一部分假定进行 Autopilot 的设备是本地内部客户端,并且具有与本地域和域控制器的直接连接。 有关需要 VPN 连接的本地/Internet 方案,请参阅 本地/Internet 方案和 VPN 连接。
对于 Microsoft软件许可条款,请选择“ 隐藏 ”以跳过 EULA 页面。
对于 “隐私设置”,请选择“ 隐藏” 以跳过隐私设置。
对于 “隐藏更改帐户选项”,请选择“ 隐藏”。
对于 “用户帐户类型”,请选择用户 (管理员 或 标准 用户) 所需的帐户类型。 如果选择了管理员,则会将用户添加到本地管理员组。
对于 “允许预预配部署”,选择“ 是”。
对于 “语言 (区域) ”,选择“ 操作系统默认值 ”,以使用所配置的操作系统的默认语言。 如果需要其他语言,请从下拉列表中选择所需的语言。
对于 “自动配置键盘”,请选择“ 是 ”以跳过键盘选择页。
对于Microsoft Entra混合联接方案,应用设备名称模板灰显。 虽然不是那么可靠,但可以在 配置和分配域加入配置文件 步骤期间指定设备名称。
注意
选择上述设置以最大程度地减少设备设置期间所需的用户交互。 但是,某些隐藏的设置可以改为根据需要显示。 例如,某些区域可能要求始终显示 隐私设置 。
注意
如果语言/区域和键盘屏幕设置为隐藏,如果 Autopilot 部署开始时没有网络连接,它们可能仍会显示。 当部署开始时没有网络连接时,尚未下载 Autopilot 配置文件(其中定义了用于隐藏这些屏幕的设置)。 建立网络连接后,将下载 Autopilot 配置文件,任何其他屏幕设置都应按预期工作。
根据需要配置“ 现成体验 (OOBE) ”页中的选项后,选择“ 下一步”。
在 “分配”页中 :
- 在 “包含的组”下,选择“ 添加组”。
注意
请确保在 “包含 的组”下而不是“排除的组”下添加正确的设备 组。 意外添加“ 已排除 的组”下的所需设备组会阻止这些设备组中的设备接收 Autopilot 配置文件。
在打开 的“选择要包含的组” 窗口中,选择 Windows Autopilot 配置文件应分配到的组。 这些设备组通常是在上一个创建设备组步骤中创建 的设备组 。 完成后,选择“ 选择”。
在“包含的组>”下组,确保选择了正确的组,然后选择“下一步”。
在“ 查看 + 创建 ”页中,验证是否已正确设置所有设置,然后选择“ 创建 ”以创建 Autopilot 配置文件。
验证设备是否为其分配了 Autopilot 配置文件
在部署设备之前,请确保将 Autopilot 配置文件分配给设备所属的设备组。 将 Autopilot 配置文件分配给设备组或将设备添加到设备组后,向设备分配 Autopilot 配置文件可能需要一些时间。 若要验证配置文件是否已分配给设备,请执行以下步骤:
在 “主页 ”屏幕中,选择左侧窗格中的“ 设备 ”。
在 设备中 |“概述 ”屏幕的“ 按平台”下,选择“ Windows”。
在 Windows 中 |Windows 设备 屏幕的“ 设备载入”下,选择“ 注册”。
在 Windows 中 |Windows 注册 屏幕的 “Windows Autopilot”下,选择“ 设备”。
在打开的 Windows Autopilot 设备 屏幕中:
查找需要检查 Autopilot 部署配置文件分配状态的所需设备。
找到设备后,其当前状态将列在 “配置文件状态” 列下。 状态具有以下值之一:
未分配:Autopilot 部署配置文件未分配给设备。
分配:正在将 Autopilot 部署配置文件分配给设备。
已分配:向设备分配 Autopilot 部署配置文件。
修复挂起:当设备上发生硬件更改时,Intune尝试注册新硬件时会显示此状态。 选择 “修复挂起 状态”的链接时,将显示以下消息:
我们已在此设备上检测到硬件更改。 我们尝试自动注册新硬件。 现在无需执行任何操作;状态将在下一检查与结果一起更新。
如果Intune能够成功注册新硬件,Intune设备下次签入Intune时更新配置文件状态。 有关 修复挂起 状态的详细信息,请参阅以下文章:
需要注意:如果Intune在设备上发生硬件更改后无法注册新硬件,则在重置设备并重新注册设备之前,设备无法接收 Autopilot 配置文件。 有关此状态以及如何取消注册/重新注册设备的详细信息,请参阅以下文章:
在设备上启动 Autopilot 部署过程之前,请确保在 Windows Autopilot 设备 页中:
- 设备的 配置文件状态 为 “已分配”。
- 在设备的属性中, 分配的日期 具有一个值。
- 在设备的属性中, 分配的配置文件 显示预期的 Autopilot 配置文件。
注意
Intune定期检查分配的设备组中是否有新设备,然后开始向这些设备分配配置文件的过程。 由于 Autopilot 配置文件分配过程中涉及多种不同因素,因此分配的估计时间可能因方案而异。 这些因素可能包括Microsoft Entra组、成员身份规则、设备的哈希、Intune和 Autopilot 服务以及 Internet 连接。 分配时间因特定方案中涉及的所有因素和变量而异。
本地/Internet 方案和 VPN 连接
预配置Microsoft Entra混合加入的 Windows Autopilot 支持无法直接连接到 Active Directory 和域控制器的本地/Internet 方案。 但是,非本地/Internet 方案不会消除在加入域期间连接到 Active Directory 和域控制器的需要。 在非本地/Internet 方案中,可以在 Autopilot 过程中通过 VPN 连接建立与 Active Directory 和域控制器的连接。
对于需要 VPN 连接的本地/Internet 方案,Autopilot 配置文件中的唯一更改是设置“跳过 AD 连接检查”。 在“创建和分配预预配Microsoft Entra混合加入 Autopilot 配置文件”部分中,“跳过 AD 连接检查”设置应设置为“是”,而不是设置为“否”。 将此选项设置为 “是 ”可防止部署失败,因为在建立 VPN 连接之前,与 Active Directory 和域控制器没有直接连接。
除了在 Autopilot 配置文件中将“跳过 AD 连接检查”设置为“是”之外,VPN 支持还依赖于以下要求:
- 可以使用 Intune 部署和安装 VPN 解决方案。
- VPN 解决方案需要支持以下选项之一:
- 允许用户从 Windows 登录屏幕手动建立 VPN 连接。
- 根据需要自动建立 VPN 连接。
在 Autopilot 过程中,需要通过Intune安装和配置 VPN 解决方案。 配置需要包括部署任何所需的设备证书(如果 VPN 解决方案需要)。 在设备上安装并配置 VPN 解决方案后,用户可自动或手动建立 VPN 连接,此时可能会发生域加入。 有关 Autopilot 期间 VPN 解决方案的详细信息和支持,请咨询相应的 VPN 供应商。
注意
某些 VPN 配置不受支持,因为在用户登录到 Windows 之前不会启动连接。 不支持的 VPN 配置包括:
- 使用用户证书的 VPN 解决方案
- Windows 应用商店中的非Microsoft UWP VPN 插件
下一步:配置和分配域加入配置文件
相关内容
有关配置 Autopilot 配置文件的详细信息,请参阅以下文章: