Подписка Windows Autopilot
Этот раздел относится к ПО Endpoint Manager версии 2021.1 SU1 и новее. Клиенты, использующие более ранние версии, должны перейти сюда: Подписка Azure AD.
Связав Azure Active Directory и ваше устройство CSA, вы можете автоматически выполнять подписку корпоративных устройств Windows 10/11 во время их настройки, а также предварительно сконфигурировать с помощью политик и настроек, необходимых для выполнения особых действий. Вы также можете в любое время выполнять подписку устройств, принадлежащих пользователям, которые присутствуют в Azure AD.
NOTE: Устройство CSA может быть подключено только с помощью одной учетной записи Azure AD. Если у вас несколько учетных записей Azure AD, которые вам бы хотелось использовать с ПО Autopilot, вам нужно установить дополнительные CSA для каждой учетной записи.
Для конфигурации подписки Autopilot:
1.В браузере откройте портал Azure AD (portal.azure.com), используя учетную запись глобального администратора.
2.Используйте раскрывающееся меню на левой стороне экрана для перехода в Azure Active Directory.
3.Выберите Регистрация приложений (App registrations) в левом меню.
4.Нажмите Новая регистрации (New registration). Достаточно ввести значение по умолчанию Один Tenant (Single tenant) без указания URI-адреса переназначения. [[Add details, not sure what to enter/click here]]
5.Нажмите имя созданного приложения для Autopilot.
6.Нажмите Сертификат и секреты (Certificate & secrets) в левом меню.
7.Скопируйте в безопасное место ваш ИД приложения (клиент) и ИД каталога (tenant), так как они потребуются для ввода в ПО Endpoint Manager.
8.В меню рядом с названием вашего приложения нажмите ссылку меню Сертификат и секреты (Certificate & secrets) и создайте Секрет клиента (Client secret). Его тоже запишите для дальнейшего использования.
9.Выберите Разрешения API (API permissions) в левом меню.
10.Выберите Изменить (MDM и MAM) (Mobility (MDM and MAM)) в левой стороне меню.
11.Нажмите Добавить разрешение (Add a permission) и нажмите поле Microsoft Graph.
12.На странице Запросить разрешения API (Request API permissions) нажмите поле Разрешения приложений (Application permissions).
13.Для каждого из представленных далее разрешений в строке поиска введите имя запрашиваемого разрешения и выберите версию разрешения '.ReadWrite.All'. Нажмите Добавить разрешение (Add permission) в нижней части страницы. После добавления всех разрешений нажмите кнопку Дать согласие администратора для <domain> (Grant admin consent for) (справа от кнопки Добавить разрешение (Add a permission)) для согласия на предоставление разрешений.
Group: Чтение, запись
Directory: Чтение, запись
DeviceManagementApps: Чтение, запись
DeviceManagementConfiguration: Чтение, запись
DeviceManagementServiceConfig: Чтение, запись
DeviceManagementManagedDevices: Чтение, запись
Applications: Чтение, запись
Для получения информации о развертывании агента после подписки MDM см. раздел Установка агента для гибридного управления.
Использование
•Готовые настройки. Во время начальной настройки устройства пользователь должен ввести свои корпоративные учетные данные на экране Вход с корпоративными или школьными учетными данными Microsoft (Sign in with Microsoft work or school account). Они продемонстрируют соглашение о подписке, сконфигурированное в Endpoint Manager. Если пользователь примет условия соглашения, устройство выполнит подписку и завершит процесс установки в ОС Windows.
•Использование вашего личного устройства. Пользователь должен перейти в Настройки Windows > Учетные записи > Открыть для работы или для школы (Windows Settings > Accounts > Access work or school). Затем он должен нажать Подключить (Connect) и ввести корпоративные учетные данные. Они продемонстрируют соглашение о подписке, сконфигурированное в Endpoint Manager. Если условия будут приняты, устройство выполнит подписку.