Gebruikersgestuurde Windows Autopilot-modus

Met de gebruikersgestuurde windows-modus van Windows Autopilot kunt u nieuwe Windows-apparaten configureren om ze automatisch te transformeren van hun fabrieksstatus naar een gebruiksklare status. Voor dit proces hoeft IT-personeel het apparaat niet aan te raken.

Het proces is eenvoudig. Apparaten kunnen rechtstreeks naar de eindgebruiker worden verzonden of gedistribueerd met de volgende instructies:

  1. Verwijder het postvak van het apparaat, sluit het aan en schakel het in.
  2. Als er meerdere talen worden gebruikt, kiest u een taal, landinstelling en toetsenbord.
  3. Maak verbinding met een draadloos of bekabeld netwerk met internettoegang. Als u draadloos gebruikt, maakt u eerst verbinding met het wi-fi-netwerk.
  4. Geef uw e-mailadres en wachtwoord op voor uw organisatieaccount.

De rest van het proces wordt geautomatiseerd. Het apparaat voert de volgende stappen uit:

  1. Word lid van de organisatie.
  2. Inschrijven bij Microsoft Intune of een andere MDM-service.
  3. Configureer deze zoals gedefinieerd door de organisatie.

U kunt alle andere prompts onderdrukken tijdens de out-of-box experience (OOBE). Zie Autopilot-profielen configureren voor meer informatie over de beschikbare opties.

Belangrijk

Als u Active Directory Federation Services (ADFS) gebruikt, is er een bekend probleem waardoor de eindgebruiker zich kan aanmelden met een ander account dan het account dat is toegewezen aan dat apparaat.

De gebruikersgestuurde Windows Autopilot-modus ondersteunt Microsoft Entra join- en Microsoft Entra hybride gekoppelde apparaten. Zie de volgende artikelen voor meer informatie over deze twee joinopties:

De stappen van het gebruikersgestuurde proces zijn als volgt:

  1. Nadat het apparaat verbinding heeft gemaakt met een netwerk, downloadt het apparaat een Windows Autopilot-profiel. Het profiel definieert de instellingen die voor het apparaat worden gebruikt. Definieer bijvoorbeeld de prompts die tijdens OOBE worden onderdrukt.

  2. Windows controleert op essentiële OOBE-updates. Als er updates beschikbaar zijn, worden deze automatisch geïnstalleerd. Indien nodig wordt het apparaat opnieuw opgestart.

  3. De gebruiker wordt gevraagd om Microsoft Entra referenties. In deze aangepaste gebruikerservaring worden de Microsoft Entra tenantnaam, het logo en de aanmeldingstekst weergegeven.

  4. Het apparaat wordt gekoppeld aan Microsoft Entra ID of Active Directory, afhankelijk van de profielinstellingen van Windows Autopilot.

  5. Het apparaat wordt ingeschreven bij Intune of een andere geconfigureerde MDM-service. Afhankelijk van de behoeften van uw organisatie vindt deze inschrijving plaats:

    • Tijdens het Microsoft Entra joinproces met behulp van automatische inschrijving via MDM.

    • Vóór het active directory-joinproces.

  6. Als deze is geconfigureerd, wordt de pagina met de status van de inschrijving (ESP) weergegeven.

  7. Nadat de apparaatconfiguratietaken zijn voltooid, wordt de gebruiker aangemeld bij Windows met de referenties die ze eerder hebben opgegeven. Als het apparaat opnieuw wordt opgestart tijdens het ESP-proces van het apparaat, moet de gebruiker zijn referenties opnieuw invoeren. Deze details blijven niet behouden na het opnieuw opstarten.

  8. Na het aanmelden wordt de pagina registratiestatus weergegeven voor configuratietaken die op de gebruiker zijn gericht.

Als er tijdens dit proces problemen worden gevonden, raadpleegt u Probleemoplossing voor Windows Autopilot.

Zie de volgende secties voor meer informatie over de beschikbare joinopties:

  • Microsoft Entra join is beschikbaar als apparaten geen lid hoeven te worden van een on-premises Active Directory domein.
  • Microsoft Entra hybrid join is beschikbaar voor apparaten die lid moeten worden van zowel Microsoft Entra ID als uw on-premises Active Directory domein.

Gebruikersgestuurde modus voor Microsoft Entra join

Volg deze voorbereidingsstappen om een gebruikersgestuurde implementatie met Windows Autopilot te voltooien:

  1. Zorg ervoor dat de gebruikers die gebruikersgestuurde modusimplementaties uitvoeren, apparaten kunnen koppelen aan Microsoft Entra ID. Zie Apparaatinstellingen configureren in de documentatie voor Microsoft Entra voor meer informatie.

  2. Maak een Autopilot-profiel voor de gebruikersgestuurde modus met de gewenste instellingen.

    • In Intune wordt deze modus expliciet gekozen wanneer u het profiel maakt.

    • In Microsoft Store voor Bedrijven en partnercentrum is de gebruikersgestuurde modus de standaardmodus.

  3. Als u Intune gebruikt, maakt u een apparaatgroep in Microsoft Entra ID en wijst u het Autopilot-profiel toe aan die groep.

Voor elk apparaat dat wordt geïmplementeerd met behulp van een gebruikersgestuurde implementatie, zijn deze extra stappen nodig:

  • Voeg het apparaat toe aan Windows Autopilot. U kunt deze stap op twee manieren uitvoeren:

  • Wijs een Autopilot-profiel toe aan het apparaat:

    • Als u Intune en Microsoft Entra dynamische apparaatgroepen gebruikt, kan deze toewijzing automatisch worden uitgevoerd.

    • Als u Intune en Microsoft Entra statische apparaatgroepen gebruikt, voegt u het apparaat handmatig toe aan de apparaatgroep.

    • Als u andere methoden gebruikt, zoals Microsoft Store voor Bedrijven of Partnercentrum, wijst u handmatig een Autopilot-profiel toe aan het apparaat.

Tip

Als de beoogde eindstatus van het apparaat co-beheer is, kunt u apparaatinschrijving in Intune configureren om co-beheer mogelijk te maken. Dit gebeurt tijdens het Autopilot-proces. Dit gedrag leidt de workloadinstantie op een ingedeelde manier tussen Configuration Manager en Intune. Zie Inschrijven met Autopilot voor meer informatie.

Gebruikersgestuurde modus voor Microsoft Entra hybride join

Belangrijk

Microsoft raadt aan om nieuwe apparaten te implementeren als cloudeigen met behulp van Microsoft Entra join. Het implementeren van nieuwe apparaten als Microsoft Entra hybride join-apparaten wordt afgeraden, ook niet via Autopilot. Zie Microsoft Entra gekoppeld versus Microsoft Entra hybride gekoppeld in cloudeigen eindpunten: welke optie is geschikt voor uw organisatie voor meer informatie.

Windows Autopilot vereist dat apparaten worden Microsoft Entra gekoppeld. Als u een on-premises Active Directory-omgeving hebt, kunt u apparaten toevoegen aan uw on-premises domein. Als u de apparaten wilt koppelen, configureert u Autopilot-apparaten om hybride te worden gekoppeld aan Microsoft Entra ID.

Tip

Terwijl Microsoft praat met klanten die Microsoft Intune en Microsoft Configuration Manager gebruiken om hun clientapparaten te implementeren, beheren en beveiligen, krijgen we vaak vragen over co-beheer van apparaten en Microsoft Entra hybride gekoppelde apparaten. Veel klanten verwarren deze twee onderwerpen. Co-beheer is een beheeroptie, terwijl Microsoft Entra ID een identiteitsoptie is. Zie Scenario's voor hybride Microsoft Entra en co-beheer voor meer informatie. Dit blogbericht is bedoeld om te verduidelijken Microsoft Entra hybride join en co-beheer, hoe ze samenwerken, maar niet hetzelfde zijn.

U kunt de Configuration Manager-client niet implementeren tijdens het inrichten van een nieuwe computer in de gebruikersmodus van Windows Autopilot voor Microsoft Entra hybrid join. Deze beperking wordt veroorzaakt door de identiteitswijziging van het apparaat tijdens het Microsoft Entra joinproces. Implementeer de Configuration Manager-client na het Autopilot-proces. Zie Clientinstallatiemethoden in Configuration Manager voor alternatieve opties voor het installeren van de client.

Vereisten voor gebruikersgestuurde modus met hybride Microsoft Entra ID

  • Maak een Windows Autopilot-profiel voor de gebruikersmodus.

    Selecteer in het Autopilot-profiel onder Deelnemen aan Microsoft Entra ID alsde optie Microsoft Entra hybride gekoppeld.

  • Als u Intune gebruikt, hebt u een apparaatgroep nodig in Microsoft Entra ID. Wijs het Windows Autopilot-profiel toe aan de groep.

  • Als u Intune gebruikt, maakt en wijst u een domeindeelnameprofiel toe. Een configuratieprofiel voor domeindeelname bevat on-premises Active Directory domeingegevens.

  • Het apparaat moet toegang hebben tot internet. Zie de netwerkvereisten voor meer informatie.

  • Installeer de Intune-connector voor Active Directory.

    Opmerking

    De Intune-connector voegt het apparaat toe aan het on-premises domein. Gebruikers hebben geen machtigingen nodig om apparaten toe te voegen aan het on-premises domein. Bij dit gedrag wordt ervan uitgegaan dat u de connector voor deze actie namens de gebruiker configureert. Zie De limiet voor het computeraccount verhogen in de organisatie-eenheid voor meer informatie.

  • Als u een proxy gebruikt, schakelt u de optie WPAD-proxyinstellingen in en configureert u deze.

Naast deze kernvereisten voor gebruikersgestuurde Microsoft Entra hybride join, zijn de volgende extra vereisten van toepassing op on-premises apparaten:

  • Het apparaat heeft momenteel een ondersteunde versie van Windows.

  • Het apparaat is verbonden met het interne netwerk en heeft toegang tot een Active Directory-domeincontroller.

    • De DNS-records voor het domein en de domeincontrollers moeten worden omgezet.

    • Deze moet communiceren met de domeincontroller om de gebruiker te verifiëren.

Gebruikersgestuurde modus voor Microsoft Entra hybrid join met VPN-ondersteuning

Voor apparaten die zijn gekoppeld aan Active Directory, is voor veel activiteiten verbinding met een Active Directory-domeincontroller vereist. Deze activiteiten omvatten het valideren van de referenties van de gebruiker bij het aanmelden en het toepassen van groepsbeleidsinstellingen. Het Door de gebruiker gestuurde Autopilot-proces voor Microsoft Entra hybride gekoppelde apparaten valideert dat het apparaat contact kan maken met een domeincontroller door die domeincontroller te pingen.

Met de toevoeging van VPN-ondersteuning voor dit scenario kunt u het Microsoft Entra hybride joinproces configureren om de connectiviteitscontrole over te slaan. Met deze wijziging hoeft u niet te communiceren met een domeincontroller. Om verbinding met het netwerk van de organisatie toe te staan, levert Intune in plaats daarvan de benodigde VPN-configuratie voordat de gebruiker zich probeert aan te melden bij Windows.

Vereisten voor gebruikersgestuurde modus met hybride Microsoft Entra ID en VPN

Naast de kernvereisten voor de gebruikersgestuurde modus met Microsoft Entra hybrid join, zijn de volgende extra vereisten van toepassing op een extern scenario met VPN-ondersteuning:

  • Een momenteel ondersteunde ondersteunde versie van Windows.

  • Schakel in het Microsoft Entra hybrid join-profiel voor Autopilot de volgende optie in: Domeinverbindingscontrole overslaan.

  • Een VPN-configuratie met een van de volgende opties:

    • Kan worden geïmplementeerd met Intune en stelt de gebruiker in staat handmatig een VPN-verbinding tot stand te brengen vanuit het Windows-aanmeldingsscherm.

    • Automatisch een VPN-verbinding tot stand gebracht als dat nodig is.

De specifieke VPN-configuratie die is vereist, is afhankelijk van de VPN-software en verificatie die worden gebruikt. Voor VPN-oplossingen van derden omvat deze configuratie meestal het implementeren van een Win32-app via Intune-beheerextensies. Deze app bevat de VPN-clientsoftware en eventuele specifieke verbindingsgegevens. Bijvoorbeeld namen van VPN-eindpunthosts. Zie de documentatie van uw VPN-provider voor configuratiedetails die specifiek zijn voor die provider.

Opmerking

De VPN-vereisten zijn niet specifiek voor Autopilot. Als bijvoorbeeld een VPN-configuratie is geïmplementeerd om wachtwoordherstel op afstand mogelijk te maken, kan dezelfde configuratie worden gebruikt met Windows Autopilot. Met deze configuratie kan een gebruiker zich aanmelden bij Windows met een nieuw wachtwoord wanneer deze zich niet op het netwerk van de organisatie bevindt. Zodra de gebruiker zich aanmeldt en de referenties in de cache zijn opgeslagen, hoeven volgende aanmeldingspogingen geen verbinding meer te maken omdat Windows gebruikmaakt van de referenties in de cache.

Als voor de VPN-software certificaatverificatie is vereist, gebruikt u Intune om ook het vereiste apparaatcertificaat te implementeren. Deze implementatie kan worden uitgevoerd met behulp van de intune-mogelijkheden voor certificaatinschrijving, gericht op de certificaatprofielen op het apparaat.

Sommige configuraties worden niet ondersteund omdat ze pas worden toegepast als de gebruiker zich aanmeldt bij Windows:

  • Gebruikerscertificaten
  • NIET-Microsoft UWP VPN-invoegtoepassingen uit de Windows Store

Validatie

Voordat u een Microsoft Entra hybrid join probeert met behulp van VPN, is het belangrijk om te controleren of een gebruikersgestuurde modus voor Microsoft Entra hybride joinproces werkt op uw interne netwerk. Deze test vereenvoudigt het oplossen van problemen door ervoor te zorgen dat het kernproces werkt voordat de VPN-configuratie wordt toegevoegd.

Controleer vervolgens of u Intune kunt gebruiken om de VPN-configuratie en de bijbehorende vereisten te implementeren. Test deze onderdelen met een bestaand apparaat dat al Microsoft Entra hybride gekoppeld is. Sommige VPN-clients maken bijvoorbeeld een VPN-verbinding per machine als onderdeel van het installatieproces. Valideer de configuratie met behulp van de volgende stappen:

  1. Controleer of er ten minste één VPN-verbinding per machine is gemaakt.

    Get-VpnConnection -AllUserConnection
    
  2. Probeer de VPN-verbinding handmatig te starten.

    RASDIAL.EXE "ConnectionName"
    
  3. Meld u af bij Windows. Controleer of u het pictogram 'VPN-verbinding' ziet op de aanmeldingspagina van Windows.

  4. Verplaats het apparaat van het interne netwerk en probeer de verbinding tot stand te brengen met behulp van het pictogram op de aanmeldingspagina van Windows. Meld u aan bij een account dat geen referenties in de cache heeft.

Voor VPN-configuraties die automatisch verbinding maken, kunnen de validatiestappen afwijken.

Opmerking

U kunt een always-on VPN gebruiken voor dit scenario. Zie Always-on VPN implementeren voor meer informatie.

Volgende stappen