Режим Windows Autopilot, управляемый пользователем

  • Статья
  • Применяется к:
    Windows 11, ✅ Windows 10

Режим Windows Autopilot, управляемый пользователем, позволяет настроить новые устройства Windows для автоматического преобразования их из состояния фабрики в состояние готовности к использованию. Для этого процесса не требуется, чтобы ИТ-специалисты касались устройства.

Это простой процесс. Устройства могут быть отправлены или распространены для конечного пользователя напрямую с помощью следующих инструкций:

  1. Распакуйте устройство, подключите его к питанию и включите его.
  2. Если используется несколько языков, выберите язык, языковой стандарт и клавиатуру.
  3. Подключите устройство к беспроводной или проводной сети с доступом к Интернету. При использовании беспроводной сети сначала подключитесь к сети Wi-Fi.
  4. Укажите свой адрес электронной почты и пароль для учетной записи своей организации.

Остальная часть процесса автоматизирована. Устройство выполняет следующие действия.

  1. Присоединение к организации.
  2. Регистрация в Microsoft Intune или другой службе MDM.
  3. Настройка согласно определению организации.

Вы можете отключить любые другие запросы во время работы с встроенным интерфейсом (OOBE). Дополнительные сведения о доступных параметрах см. в разделе Настройка профилей Autopilot.

Важно!

Если вы используете службы федерации Active Directory (AD FS) (ADFS), существует известная проблема, которая может позволить конечному пользователю войти с учетной записью, отличной от учетной записи, назначенной этому устройству.

Режим Windows Autopilot, управляемый пользователем, поддерживает Microsoft Entra присоединение и Microsoft Entra гибридных устройств. Дополнительные сведения об этих двух вариантах соединения см. в следующих статьях:

Действия процесса, управляемого пользователем:

  1. После подключения устройства к сети устройство скачивает профиль Windows Autopilot. Профиль определяет параметры, используемые для устройства. Например, вы можете определить запросы, которые подавляются во время запуска при первом включении.

  2. Windows проверяет наличие критических обновлений запуска при первом включении. Если обновления доступны, они устанавливаются автоматически. При необходимости устройство перезапускается.

  3. Пользователю будет предложено ввести Microsoft Entra учетные данные. В этом настроенном пользовательском интерфейсе отображается Microsoft Entra имя клиента, логотип и текст для входа.

  4. Устройство присоединяется к Microsoft Entra ID или Active Directory в зависимости от параметров профиля Windows Autopilot.

  5. Устройство регистрируется в Intune или другой настроенной службе MDM. В зависимости от потребностей вашей организации эта регистрация выполняется следующим образом:

    • Во время Microsoft Entra процесса присоединения с помощью автоматической регистрации MDM.

    • Перед присоединением к Active Directory.

  6. Если это настроено, отображается страница состояния регистрации (ESP).

  7. После завершения задач настройки устройства пользователь выполняет вход в Windows с использованием предоставленных ранее учетных данных. Если устройство перезапускается во время процесса ESP устройства, пользователь должен повторно введите свои учетные данные. Эти сведения не сохраняются после перезапуска.

  8. После входа отображается страница состояния регистрации для задач конфигурации, предназначенных для пользователя.

Если во время этого процесса возникают какие-либо проблемы, см. раздел об устранении неполадок Windows Autopilot.

Дополнительные сведения о доступных вариантах присоединения см. в следующих разделах.

Управляемый пользователем режим для Microsoft Entra присоединения

Чтобы завершить управляемое пользователем развертывание с помощью Windows Autopilot, выполните следующие действия по подготовке:

  1. Убедитесь, что пользователи, выполняющие развертывания в управляемом пользователем режиме, могут присоединять устройства к Microsoft Entra ID. Дополнительные сведения см. в разделе Настройка параметров устройства в документации по Microsoft Entra.

  2. Создайте профиль Autopilot для управляемого пользователем режима с нужными параметрами.

    • В Intune этот режим явно выбирается при создании профиля.

    • В Microsoft Store для бизнеса и Центре партнеров по умолчанию используется управляемый пользователем режим.

  3. Если вы используете Intune, создайте группу устройств в Microsoft Entra ID и назначьте ей профиль Autopilot.

Для каждого устройства, развернутого с помощью пользовательского развертывания, необходимы следующие дополнительные действия:

  • Добавьте устройство в Windows Autopilot. Этот шаг можно выполнить двумя способами:

  • Назначьте профиль Autopilot устройству:

    • Если вы используете Intune и Microsoft Entra динамических групп устройств, это назначение можно выполнить автоматически.

    • Если вы используете Intune и Microsoft Entra статические группы устройств, добавьте устройство в группу устройств вручную.

    • Если вы используете другие методы, такие как Microsoft Store для бизнеса или Центр партнеров, вручную назначьте профиль Autopilot устройству.

Совет

Если предполагаемое конечное состояние устройства — совместное управление, можно настроить регистрацию устройства в Intune, чтобы включить совместное управление, что происходит во время процесса Autopilot. Это поведение управляет центром рабочей нагрузки совместно с Configuration Manager и Intune. Дополнительные сведения см. в разделе Как зарегистрироваться с помощью Autopilot.

Режим на основе пользователя для гибридного Microsoft Entra присоединения

Важно!

Корпорация Майкрософт рекомендует развертывать новые устройства как облачные с помощью Microsoft Entra присоединения. Развертывание новых устройств как Microsoft Entra устройств гибридного соединения не рекомендуется, в том числе с помощью Autopilot. Дополнительные сведения см. в разделе Microsoft Entra присоединение и Microsoft Entra гибридное присоединение в облачных конечных точках: какой вариант подходит для вашей организации.

Windows Autopilot требует, чтобы устройства были Microsoft Entra присоединены. Если у вас есть локальная среда Active Directory, вы можете присоединить устройства к своему локальному домену. Чтобы присоединить устройства, настройте гибридное присоединение устройств Autopilot к Microsoft Entra ID.

Совет

В то время как корпорация Майкрософт беседует с клиентами, которые используют Microsoft Intune и Microsoft Configuration Manager для развертывания, управления и защиты своих клиентских устройств, мы часто получаем вопросы о совместном управлении устройствами и Microsoft Entra устройствами с гибридным присоединением. Многие клиенты путают эти две темы. Совместное управление — это вариант управления, а Microsoft Entra ID — это параметр удостоверения. Дополнительные сведения см. в статье Общие сведения о гибридных сценариях Microsoft Entra и совместного управления. Эта запись блога направлена на уточнение Microsoft Entra гибридного присоединения и совместного управления, как они работают вместе, но не одно и то же.

Вы не можете развернуть клиент Configuration Manager при подготовке нового компьютера в управляемом пользователем режиме Windows Autopilot для Microsoft Entra гибридного присоединения. Это ограничение связано с изменением удостоверения устройства в процессе присоединения Microsoft Entra. Разверните клиент Configuration Manager после процесса Autopilot. Альтернативные варианты установки клиента см. в разделе Методы установки клиента в Configuration Manager.

Требования к пользовательскому режиму с гибридным Microsoft Entra ID

  • Создайте профиль Windows Autopilot для пользовательского режима.

    В профиле Autopilot в разделе Присоединение к Microsoft Entra ID как выберите Microsoft Entra гибридное присоединение.

  • Если вы используете Intune, вам потребуется группа устройств в Microsoft Entra ID. Назначьте профиль Windows Autopilot группе.

  • Если вы используете Intune, создайте и назначьте профиль присоединения к домену. Профиль конфигурации присоединения к домену включает сведения о локальном домене Active Directory.

  • Устройство должно иметь доступ к Интернету. Дополнительные сведения см. в разделе Требования к сети.

  • Установите соединитель Intune для Active Directory.

    Примечание.

    Соединитель Intune присоединяет устройство к локальному домену. Пользователям не требуются разрешения для присоединения устройств к локальному домену. При таком поведении предполагается, что вы настраиваете соединитель для этого действия от имени пользователя. Дополнительные сведения см. в разделе Увеличение предельного количества учетных записей компьютеров в подразделении

  • Если вы используете прокси-сервер, включите и настройте параметр Параметры прокси-сервера WPAD.

В дополнение к этим основным требованиям для управляемого пользователем Microsoft Entra гибридного присоединения к локальным устройствам применяются следующие дополнительные требования:

  • Устройство имеет поддерживаемую в настоящее время версию Windows.

  • Устройство подключено к внутренней сети и имеет доступ к контроллеру домена Active Directory.

    • Ему необходимо разрешить записи DNS для домена и контроллеров домена.

    • Он должен взаимодействовать с контроллером домена для проверки подлинности пользователя.

Управляемый пользователем режим для Microsoft Entra гибридного присоединения с поддержкой VPN

Устройствам, присоединенным к Active Directory, требуется подключение к контроллеру домена Active Directory для многих действий. Эти действия включают проверку учетных данных пользователя при входе и применение параметров групповой политики. Управляемый пользователем процесс Autopilot для Microsoft Entra гибридных присоединенных устройств проверяет, может ли устройство связаться с контроллером домена, связавшись с этим контроллером домена.

Благодаря добавлению поддержки VPN для этого сценария можно настроить Microsoft Entra гибридного присоединения, чтобы пропустить проверка подключения. Это изменение не устраняет необходимость в обмене данными с контроллером домена. Вместо этого, чтобы разрешить подключение к сети организации, Intune предоставляет необходимую конфигурацию VPN, прежде чем пользователь попытается войти в Windows.

Требования для управляемого пользователем режима с гибридным Microsoft Entra ID и VPN

В дополнение к основным требованиям для пользовательского режима с Microsoft Entra гибридного присоединения к удаленному сценарию с поддержкой VPN применяются следующие дополнительные требования:

  • Поддерживаемая в настоящее время версия Windows.

  • В профиле гибридного присоединения Microsoft Entra для Autopilot включите следующий параметр: Пропустить подключение к домену проверка.

  • Конфигурация VPN с одним из следующих вариантов:

    • Может развертываться с помощью Intune и позволяет пользователю вручную установить VPN-подключение с экрана входа в Windows.

    • При необходимости автоматически устанавливает VPN-подключение.

Конкретная необходимая конфигурация VPN зависит от используемого программного обеспечения VPN и проверки подлинности. Для сторонних РЕШЕНИЙ VPN эта конфигурация обычно включает развертывание приложения Win32 с помощью расширений управления Intune. Это приложение будет включать программное обеспечение VPN-клиента и любые конкретные сведения о подключении. Например, имена узлов конечных точек VPN. Сведения о конфигурации, характерные для этого поставщика, см. в документации поставщика VPN.

Примечание.

Требования к VPN не относятся к Autopilot. Например, если для удаленного сброса паролей реализована конфигурация VPN, эта же конфигурация может использоваться и с Windows Autopilot. Такая конфигурация позволяет пользователю входить в Windows с новым паролем, когда он не входит в сеть организации. После входа пользователя и кэширования его учетных данных последующие попытки входа не требуют подключения, так как Windows использует кэшированные учетные данные.

Если программному обеспечению VPN требуется проверка подлинности сертификата, используйте Intune, чтобы также развернуть необходимый сертификат устройства. Это развертывание можно выполнить с помощью возможностей регистрации сертификатов Intune, предназначенных для профилей сертификатов для устройства.

Некоторые конфигурации не поддерживаются, так как они не применяются до тех пор, пока пользователь не войдет в Windows:

  • Сертификаты пользователей
  • Сторонние подключаемые модули UWP VPN из Магазина Windows

Проверка

Перед попыткой Microsoft Entra гибридного соединения с помощью VPN важно убедиться, что во внутренней сети работает управляемый пользователем режим для Microsoft Entra процесса гибридного присоединения. Этот тест упрощает устранение неполадок, убедившись, что основной процесс работает перед добавлением конфигурации VPN.

Затем убедитесь, что вы можете использовать Intune для развертывания конфигурации VPN и ее требований. Протестируйте эти компоненты с помощью существующего устройства, которое уже Microsoft Entra гибридное присоединение. Например, некоторые VPN-клиенты создают VPN-подключение для каждого компьютера в процессе установки. Проверьте конфигурацию, выполнив следующие действия.

  1. Убедитесь, что создано по крайней мере одно VPN-подключение для каждого компьютера.

    Get-VpnConnection -AllUserConnection

  2. Попробуйте вручную запустить VPN-подключение.

    RASDIAL.EXE "ConnectionName"

  3. Выйдите из Windows. Убедитесь, что на странице входа Windows отображается значок "VPN-подключение".

  4. Переместите устройство из внутренней сети и попытайтесь установить подключение, используя значок на странице входа в Windows. Войдите в учетную запись без кэшированных учетных данных.

Для конфигураций VPN, которые автоматически подключаются, шаги проверки могут отличаться.

Примечание.

Для этого сценария можно использовать постоянную VPN- сеть. Дополнительные сведения см. в статье Развертывание always-on VPN.

Дальнейшие действия