用户驱动Microsoft Entra混合加入:创建和分配用户驱动的Microsoft Entra混合加入 Autopilot 配置文件
Autopilot 用户驱动的Microsoft Entra混合加入步骤:
- 步骤 1:设置 Windows 自动Intune注册
- 步骤 2:安装Intune连接器
- 步骤 3: 提高组织单位中的计算机帐户限制 (OU)
- 步骤 4: 将设备注册为 Autopilot 设备
- 步骤 5: 创建设备组
- 步骤 6: 配置和分配 Autopilot 注册状态页 (ESP)
- 步骤 7:创建并分配Microsoft Entra混合加入 Autopilot 配置文件
- 步骤 8: 配置和分配域加入配置文件
- 步骤 9: 将 Autopilot 设备分配给用户 (可选)
- 步骤 10: 部署设备
有关 Windows Autopilot 用户驱动Microsoft Entra混合加入工作流的概述,请参阅 Windows Autopilot 用户驱动Microsoft Entra混合加入概述。
创建和分配用户驱动Microsoft Entra混合加入 Autopilot 配置文件
Autopilot 配置文件指定如何在 Windows 安装期间配置设备,以及 OOBE) (现用体验期间显示的内容。
当管理员为用户驱动方案创建 Autopilot 配置文件时,具有此 Autopilot 配置文件的设备与注册设备的用户相关联。 必须具备用户凭据,才能注册设备。
Microsoft Entra联接与Microsoft Entra混合联接的区别在于,Microsoft Entra混合联接方案在 Autopilot 期间同时加入本地域和Microsoft Entra ID。 用户驱动的Microsoft Entra加入方案仅在 Autopilot 期间加入Microsoft Entra ID。
提示
对于Configuration Manager管理员,Autopilot 配置文件类似于通过 unattend.xml 文件在任务序列期间发生的某些配置。 unattend.xml 文件是在“应用 Windows 设置”和“应用网络设置”步骤期间配置的。 但请注意,Autopilot 不使用 unattend.xml 文件。
若要创建用户驱动的Microsoft Entra混合加入 Autopilot 配置文件,请执行以下步骤:
在 “主页 ”屏幕中,选择左侧窗格中的“ 设备 ”。
在 设备中 |“概述 ”屏幕的“ 按平台”下,选择“ Windows”。
在 Windows 中 |Windows 设备 屏幕的“ 设备载入”下,选择“ 注册”。
在 Windows 中 |Windows 注册 屏幕的 “Windows Autopilot”下,选择“ 部署配置文件”。
在 “Windows Autopilot 部署配置文件” 屏幕中,选择“ 创建配置文件” 下拉菜单,然后选择“ Windows 电脑”。
此时会打开 “创建配置文件” 屏幕。 在 “基本信息 ”页中:
在 “名称”旁边,输入 Autopilot 配置文件的名称。
在 “说明”旁边输入说明。
选择 下一步。
注意
Microsoft建议将“ 将所有目标设备转换为 Autopilot ”选项设置为 “是”。 本教程重点介绍使用硬件哈希将设备手动导入为 Autopilot 设备的新设备。 但是,将 Autopilot 配置文件分配给包含现有设备的设备组时,此选项可能很有用。 例如,使用面向现有设备的 Windows Autopilot方案时,此选项非常有用。 使用 面向现有设备的 Windows Autopilot,在 Autopilot 部署完成后,可能需要将现有设备注册为 Autopilot 设备。 有关详细信息,请参阅 注册 Windows Autopilot 的设备。
在“ 开箱即用体验 (OOBE) ”页中:
对于 “部署模式”,请选择“ 用户驱动”。
对于“加入到Microsoft Entra ID为”,请选择“Microsoft Entra混合联接”。 选择此选项后,此选项下的多个选项将更改。
对于“跳过 AD 连接检查”,请选择“否”。 本教程的本部分假定进行 Windows Autopilot 的设备是与本地域和域控制器建立直接连接的本地内部客户端。 有关需要 VPN 连接的本地/Internet 方案,请参阅 本地/Internet 方案和 VPN 连接。
对于 Microsoft软件许可条款,请选择“ 隐藏 ”以跳过 EULA 页面。
对于 “隐私设置”,请选择“ 隐藏” 以跳过隐私设置。
对于 “隐藏更改帐户选项”,请选择“ 隐藏”。
对于 “用户帐户类型”,请选择 “管理员 ”或“ 标准 用户”,具体取决于该用户的所需帐户类型。 如果选择了 管理员 ,则用户将添加到设备上的本地管理员组。
对于 “允许预预配部署”,选择“ 否”。
注意
有关预预配部署的 Windows Autopilot Microsoft Entra混合联接方案,请参阅 Windows Autopilot 的分步教程,以便预预配部署Microsoft Entra混合联接Intune
对于 “语言 (区域) ”,选择“ 操作系统默认值 ”,以使用所配置的操作系统的默认语言。 如果需要其他语言,请从下拉列表中选择所需的语言。
对于 “自动配置键盘”,请选择“ 是 ”以跳过键盘选择页。
对于Microsoft Entra混合联接方案,应用设备名称模板灰显。 虽然不是那么可靠,但可以在 配置和分配域加入配置文件 步骤期间指定设备名称。
注意
选择上述设置以在设备设置期间最大程度地减少用户交互。 但是,某些设置为隐藏的选项可以改为根据需要显示。 例如,某些区域可能要求始终显示 隐私设置 。
注意
如果语言/区域和键盘屏幕设置为隐藏,如果 Windows Autopilot 部署开始时没有网络连接,它们可能仍会显示。 如果部署开始时没有网络连接,则尚未下载 Windows Autopilot 配置文件(其中定义了用于隐藏这些屏幕的设置)。 建立网络连接后,将下载 Autopilot 配置文件,任何其他屏幕设置都应按预期工作。
根据需要配置“ 现成体验 (OOBE) ”页中的选项后,选择“ 下一步”。
在 “分配”页中 :
- 在 “包含的组”下,选择“ 添加组”。
注意
请确保在 “包含 的组”下而不是“排除的组”下添加正确的设备 组。 意外添加“ 已排除 的组”下的所需设备组会阻止这些设备组中的设备接收 Autopilot 配置文件。
在打开 的“选择要包含的组” 窗口中,选择 Windows Autopilot 配置文件应分配到的组。 这些设备组通常是在上一个创建设备组步骤中创建 的设备组 。 完成后,选择“ 选择”。
在“包含的组>”下组,确保选择了正确的组,然后选择“下一步”。
在“ 查看 + 创建 ”页中,验证是否已正确设置所有设置,然后选择“ 创建 ”以创建 Autopilot 配置文件。
验证设备是否为其分配了 Autopilot 配置文件
在部署设备之前,请确保将 Autopilot 配置文件分配给设备所属的设备组。 将 Autopilot 配置文件分配给设备组或将设备添加到设备组后,向设备分配 Autopilot 配置文件可能需要一些时间。 若要验证配置文件是否已分配给设备,请执行以下步骤:
在 “主页 ”屏幕中,选择左侧窗格中的“ 设备 ”。
在 设备中 |“概述 ”屏幕的“ 按平台”下,选择“ Windows”。
在 Windows 中 |Windows 设备 屏幕的“ 设备载入”下,选择“ 注册”。
在 Windows 中 |Windows 注册 屏幕的 “Windows Autopilot”下,选择“ 设备”。
在打开的 Windows Autopilot 设备 屏幕中:
查找需要检查 Autopilot 部署配置文件分配状态的所需设备。
找到设备后,其当前状态将列在 “配置文件状态” 列下。 状态具有以下值之一:
未分配:Autopilot 部署配置文件未分配给设备。
分配:正在将 Autopilot 部署配置文件分配给设备。
已分配:向设备分配 Autopilot 部署配置文件。
修复挂起:当设备上发生硬件更改时,Intune尝试注册新硬件时会显示此状态。 选择 “修复挂起 状态”的链接时,将显示以下消息:
我们已在此设备上检测到硬件更改。 我们尝试自动注册新硬件。 现在无需执行任何操作;状态将在下一检查与结果一起更新。
如果Intune能够成功注册新硬件,Intune设备下次签入Intune时更新配置文件状态。 有关 修复挂起 状态的详细信息,请参阅以下文章:
需要注意:如果Intune在设备上发生硬件更改后无法注册新硬件,则在重置设备并重新注册设备之前,设备无法接收 Autopilot 配置文件。 有关此状态以及如何取消注册/重新注册设备的详细信息,请参阅以下文章:
在设备上启动 Autopilot 部署过程之前,请确保在 Windows Autopilot 设备 页中:
- 设备的 配置文件状态 为 “已分配”。
- 在设备的属性中, 分配的日期 具有一个值。
- 在设备的属性中, 分配的配置文件 显示预期的 Autopilot 配置文件。
注意
Intune定期检查分配的设备组中是否有新设备,然后开始向这些设备分配配置文件的过程。 由于 Autopilot 配置文件分配过程中涉及多种不同因素,因此分配的估计时间可能因方案而异。 这些因素可能包括Microsoft Entra组、成员身份规则、设备的哈希、Intune和 Autopilot 服务以及 Internet 连接。 分配时间因特定方案中涉及的所有因素和变量而异。
本地/Internet 方案和 VPN 连接
Windows Autopilot 用户驱动的Microsoft Entra混合加入支持无法直接连接到 Active Directory 和域控制器的本地/Internet 方案。 但是,非本地/Internet 方案不会消除在加入域期间连接到 Active Directory 和域控制器的需要。 在非本地/Internet 方案中,可以在 Autopilot 过程中通过 VPN 连接建立与 Active Directory 和域控制器的连接。
对于需要 VPN 连接的本地/Internet 方案,Autopilot 配置文件中的唯一更改是设置“跳过 AD 连接检查”。 在“创建和分配用户驱动的Microsoft Entra混合加入 Autopilot 配置文件”部分中,“跳过 AD 连接检查”设置应设置为“是”而不是“否”。 将此选项设置为 “是 ”可防止部署失败,因为在建立 VPN 连接之前,与 Active Directory 和域控制器没有直接连接。
除了在 Autopilot 配置文件中将“跳过 AD 连接检查”设置为“是”之外,VPN 支持还依赖于以下要求:
- 可以使用 Intune 部署和安装 VPN 解决方案。
- VPN 解决方案需要支持以下选项之一:
- 允许用户从 Windows 登录屏幕手动建立 VPN 连接。
- 根据需要自动建立 VPN 连接。
在 Autopilot 过程中,需要通过Intune安装和配置 VPN 解决方案。 配置需要包括部署任何所需的设备证书(如果 VPN 解决方案需要)。 在设备上安装并配置 VPN 解决方案后,用户可自动或手动建立 VPN 连接,此时可能会发生域加入。 有关 Windows Autopilot 期间 VPN 解决方案的详细信息和支持,请咨询相应的 VPN 供应商。
注意
某些 VPN 配置不受支持,因为在用户登录到 Windows 之前不会启动连接。 不支持的 VPN 配置包括:
- 使用用户证书的 VPN 解决方案。
- 来自 Windows 应用商店的非Microsoft UWP VPN 插件。
下一步:配置和分配域加入配置文件
相关内容
有关配置 Autopilot 配置文件的详细信息,请参阅以下文章: