共用方式為

Windows Autopilot 裝置準備使用者驅動 Microsoft Entra 加入:建立裝置群組

  • 發行項
  • 適用於:
    Windows 11

Windows Autopilot 裝置準備使用者驅動 Microsoft Entra 加入步驟:

  • 步驟 3:建立裝置群組

如需 Windows Autopilot 裝置準備使用者驅動 Microsoft Entra 加入工作流程的概觀,請參閱 Windows Autopilot 裝置準備使用者驅動 Microsoft Entra 加入概觀

注意事項

在此步驟中建立的裝置群組專屬於 Windows Autopilot 裝置準備。 Microsoft建議建立專門用於 Windows Autopilot 裝置準備的裝置群組,而不是重複使用其他 Autopilot 案例中使用的現有裝置群組。

建立裝置群組

裝置群組是組織成 Microsoft Entra 群組的裝置集合。 裝置群組可以動態或指派:

  • 動態群組 - 裝置會根據規則自動新增至群組。
  • 指派的群組 - 裝置會手動新增至群組,且為靜態。

Windows Autopilot 裝置準備會使用裝置群組作為 Windows Autopilot 裝置準備原則的一部分。 Windows Autopilot 裝置準備原則中指定的裝置群組是在 Windows Autopilot 裝置準備部署期間自動新增裝置的裝置群組。 Windows Autopilot 裝置準備原則中指定的裝置群組必須是指派的安全組。

若要建立指派的安全性裝置群組以與 Windows Autopilot 裝置準備搭配使用,請遵循下列步驟:

  1. 登入 Microsoft Intune 系統管理中心

  2. 在 [首頁] 畫面中,選取左側窗格中的 [群組]。

  3. 群組 |[所有群組] 畫面,確定已選取 [所有群組],然後選取 [新增群組]

  4. 在開啟的 [ 新增群組 ] 畫面中:

    1. 針對 [群組類型],選取 [ 安全性]

    2. 針對 [組名],輸入裝置群組的名稱,例如 Windows Autopilot 裝置準備裝置群組

    3. 針對 [群組描述],輸入裝置群組的描述。

    4. 針對 Microsoft Entra 角色可以指派給群組,請選取 [否]

    5. 針對 [成員資格類型],選 取 [已指派]

    6. 針對 [擁有者],選 取 [沒有擁有者選取] 連結。

    7. 在開啟的 [ 新增擁有者] 畫面中:

      1. 捲動物件清單,然後選取服務主體 Intune 布建客戶端,AppId 為 f1346770-5b25-470b-88bd-d5744ab7952c。 或者,使用 [搜尋] 列來搜尋並選取 [Intune 布建用戶端]

        注意事項

        • 在某些租使用者中,服務主體的名稱可能是 Intune Autopilot ConfidentialClient,而不是 Intune 布建用戶端。 只要服務主體的AppID是 f1346770-5b25-470b-88bd-d5744ab7952c,就是正確的服務主體。

        • 如果 Intune 布建客戶端或 Intune AppId 為 f1346770-5b25-470b-88bd-d5744ab7952cAutopilot ConfidentialClient 服務主體無法在物件清單中使用,或在搜尋時,請參閱新增 Intune 布建用戶端服務主體

      2. 一旦 Intune [布建用戶端] 選取為擁有者,請選取 [選取]

    8. 取 [建立 ] 以完成建立指派的裝置群組。

    重要事項

    請勿藉由選取 [成員] 下方的 [未選取成員] 連結,將任何裝置手動新增至在此步驟中建立的裝置群組。 在 Windows Autopilot 裝置準備部署期間,裝置會自動新增至此裝置群組。

新增 Intune 布建用戶端服務主體

如果 Intune 使用 AppId f1346770-5b25-470b-88bd-d5744ab7952c 布建客戶端服務主體,則在選取裝置群組的擁有者時,請遵循下列步驟來新增服務主體:

  1. 在通常會管理 Microsoft Intune 或 Microsoft Entra ID 的裝置上,開啟提升權限的 Windows PowerShell 命令提示字元。

  2. 在 Windows PowerShell 命令提示字元視窗中:

    1. 輸入下列命令 來安裝 Microsoft.Graph.Authentication 模組:

      Install-Module Microsoft.Graph.Authentication

      如果系統提示您這麼做:

      • 輸入 Y 或是,或選取 [] 按鈕,以同意安裝 NuGet
      • 輸入 Y 或是,或選取 [] 按鈕,以同意從 PSGallery 不受信任的存放庫安裝。

      如需詳細資訊, 請參閱 Microsoft.Graph.AuthenticationSet-PSRepository -InstallationPolicy

    2. 輸入下列命令來安裝 Microsoft.Graph.Applications 模組:

      Install-Module Microsoft.Graph.Applications

      如果系統提示您這麼做,請輸入 Y或 Yes,或選取 [] 按鈕,以同意從 PSGallery 不受信任的存放庫進行安裝。

      如需詳細資訊, 請參閱 Microsoft.Graph.ApplicationsSet-PSRepository -InstallationPolicy

    3. 安裝 Microsoft.Graph.AuthenticationMicrosoft.Graph.Applications 模組之後,請輸入下列命令來連線到 Microsoft Entra ID:

      Connect-MgGraph -Scopes "Application.ReadWrite.All"

      如需詳細資訊,請 參閱 Connect-MgGraph

    4. 如果尚未向 Microsoft Entra ID 驗證,[登入您的帳戶] 視窗隨即出現。 輸入有權新增服務主體之 Microsoft Entra ID 系統管理員的認證。

    5. 如果出現 [ 許可權要求] 視窗,請選取 [ 代表您的組織 同意] 複選框,然後選取 [ 接受 ] 按鈕。

    6. 一旦驗證為 Microsoft Entra ID 並授與適當的許可權,請輸入下列命令來新增 Intune 布建客戶端服務主體:

      New-MgServicePrincipal -AppID f1346770-5b25-470b-88bd-d5744ab7952c

      如需詳細資訊,請參閱 New-MgServicePrincipal -BodyParameter

      注意事項

      • 如果租使用者中已有 Intune 布建用戶端服務主體,則會顯示下列錯誤訊息:

        New-MgServicePrincipal : The service principal cannot be created, updated, or restored because the service principal name 
f1346770-5b25-470b-88bd-d5744ab7952c is already in use.
Status: 409 (Conflict)
ErrorCode: Request_MultipleObjectsWithSameKeyValue

      • 如果下列其中一個條件成立,則會顯示下列錯誤訊息:

        • 用來使用 命令登入的 Connect-MgGraph 帳戶沒有將服務主體新增至租用戶的許可權。
        • -Scopes "Application.ReadWrite.All" 變數不會新增至 Connect-MgGraph 命令。
        • 不接受 [ 許可權要求 ] 視窗。
        • [要求的許可權] 視窗中未選取 [代表貴組織同意] 複選框。
        New-MgServicePrincipal : Insufficient privileges to complete the operation.
Status: 403 (Forbidden)
ErrorCode: Authorization_RequestDenied

下一個步驟:建立使用者群組

步驟 4:建立使用者群組

相關內容

如需在 Intune 中建立群組的詳細資訊,請參閱下列文章: