Windows 设备的批量注册
适用对象
- Windows 10
- Windows 11
将新的 Windows 设备加入到Microsoft Entra ID和Intune。 若要为 Microsoft Entra 租户批量注册设备,请使用 Windows 配置Designer (WCD) 应用创建预配包。 将预配包应用于公司拥有的设备会将设备加入Microsoft Entra租户,并注册它们进行Intune管理。 应用包后,即可让Microsoft Entra用户登录。
Microsoft Entra用户是这些设备上的标准用户,并接收分配Intune策略和所需的应用。 使用 Windows 批量注册注册到 Intune 的 Windows 设备可以使用公司门户应用安装可用的应用。
角色和权限
若要创建批量注册令牌,必须具有受支持的Microsoft Entra角色分配,并且不能限定为 Microsoft Entra ID 中的管理单元。 有权创建批量注册令牌的Microsoft Entra内置角色包括:
- 云设备管理员
- Intune管理员
- 密码管理员
有关这些角色的详细信息,请参阅Microsoft Entra内置角色。
先决条件
- 设备必须运行Windows 11或Windows 10 Creator 更新 (内部版本 1709) 或更高版本。
- 启用 Windows 自动注册。
此外,请确保 Microsoft.Azure.SyncFabric (AppID 00000014-0000-0000-c000-00000000000000) 的服务主体Microsoft Entra租户中存在。 在命令行中,使用 Get-AzureADServicePrincipal
命令为服务主体检查。 如果没有服务主体,Windows 配置Designer无法检索批量注册令牌,从而导致错误。
创建预配包
从 Microsoft 应用商店安装 Windows 配置Designer (WCD ) 。
打开“Windows 配置设计器”应用,然后选择“预配桌面设备”。
将打开“新项目”窗口,在其中指定以下信息:
- 名称 - 你的项目的名称
- 项目文件夹 - 项目的保存位置
- 说明 - 项目的可选说明
输入设备的唯一名称。 名称可以包含序列号 (%SERIAL%) 或一组随机字符。 (可选)如果正在升级 Windows 版本,还可以输入产品密钥、配置设备以用于共享和删除预安装的软件。
(可选)可以配置设备首次启动时所连接到的 Wi-Fi 网络。 如果未配置网络设备,则在设备首次启动时必须建立有线网络连接。
选择“在 Azure AD 中注册”,输入 批量令牌到期 日期,然后选择“获取批量令牌”。 令牌有效期为 180 天。
注意
创建预配包后,可以通过从Microsoft Entra ID中删除关联的 package_{GUID} 用户帐户,在预配包过期之前将其撤销。
提供Microsoft Entra凭据以获取批量令牌。
注意
- 用于请求批量令牌的帐户必须包含在 Microsoft Entra ID 的 MDM 用户范围中。 如果从绑定到 MDM 用户范围的组中删除此帐户,批量注册将停止工作。
- 批量令牌检索不适用于为分阶段推出启用的联合用户帐户。
在“保持登录到所有应用”页上,选择“否,仅登录到此应用”。 如果保持选中此复选框并按“确定”,所用设备将由你的组织进行管理。 如果你不打算托管设备,请确保选择“否,仅登录到此应用”。
成功提取“批量令牌”后,单击“下一步”。
(可选)可以“添加应用程序”和“添加证书”。 将在此设备上配置应用和证书。
(可选)还可以使用密码保护你的配置包。 单击“创建”。
预配设备
访问在应用中指定的“项目文件夹”中指定位置中的预配包。
选择向设备应用预配程序包的方式。 可使用以下方法之一向设备应用预配包:
- 将预配程序包置于 USB 驱动器中,将 USB 驱动器插入要进行批量注册的设备,并在初始设置时应用它
- 将预配包置于网络文件夹中,并在初始设置后应用它
有关应用预配包的分步说明,请参阅 应用预配包。
在应用了包后,设备将在一分钟内自动重启。
设备重启时,它会连接到Microsoft Entra ID并在Microsoft Intune中注册。
Windows 批量注册的疑难解答
设置问题
预配旨在用于新的 Windows 设备上。 预配失败可能需要对擦除设备或通过启动映像来恢复设备。 这些示例描述了预配失败的一些原因:
- 尝试加入 Active Directory 域或未创建本地帐户Microsoft Entra租户的预配包可能会使设备无法访问(如果域加入过程由于缺少网络连接而失败)。
- 预配包运行的脚本在系统上下文中运行。 脚本能够对设备文件系统和配置进行任意更改。 恶意或不正确的脚本可将设备置于仅能通过重置映像或擦除才能将其恢复的状态。
可以在“事件查看器”中的“预配-诊断-提供程序”管理日志中查看包中的设置的成功/失败。
注意
批量注册被视为一种无用户注册方法,因此,只有 Intune 中的“默认”注册限制将在注册期间应用。 请确保默认限制允许 Windows 平台,否则注册将失败。 若要检查其他 Windows 注册方法的功能,请参阅适用于 Windows 设备的 Intune 注册方法功能。
批量注册到 Wi-Fi
如果未使用开放网络,则必须使用设备级证书来启动连接。 批量注册的设备无法使用面向用户的证书来访问网络。
条件访问
条件访问适用于通过批量注册运行 Windows 11 或 Windows 10 版本 1803 及更高版本的设备。