关于 Autopilot 窗口

要查看此窗口,请点击工具 > 现代设备管理 > Windows Autopilot

关于“创建 Azure AD 组”页面

  • 名称描述:这些项目显示在主列表视图中和 Azure 中。它们有助于组织各个组。

  • 邮件昵称:Microsoft 要求每个 Azure AD 组具备唯一的邮件昵称。昵称不能以句点字符开头。有关昵称处理方式的信息,请参阅 microsoft.com 上的这篇文章

  • 组成员身份类型:可以是已分配动态:用户动态:设备。如果选择已分配,则表示会在部署配置文件中手动将设备分配到新组。如果选择动态类型,则会显示动态成员身份规则生成器,需要在其中配置各种规则,用于确定将属于该组的设备。

  • 组分类:可以是安全Microsoft365。Autopilot 仅支持安全组(默认)。

关于“创建部署配置文件 > 基本信息”页面

  • 名称描述:这些项目显示在部署配置文件主列表视图中和 Azure 中。它们有助于组织各个部署配置文件。

  • 将所有目标设备转换成 Autopilot:如果设备尚未通过 Autopilot 注册,并且满足 Autopilot 系统要求,则此操作将注册设备。注册后,如果公司重置该设备,就可使用全新体验 Autopilot。

关于“创建部署配置文件 >全新体验 (OOBE)”页面

OOBE 页面可对典型 Windows 设置体验期间显示的每个用户界面选项的设置进行预配置。

  • 已预配置的部署(白手套):指定设备映像已由 OEM 进行预配置。如果未在凭据设置页面中输入 MDM 应用程序 ID,则会禁用此选项。

  • Active Directory 加入类型:可以是仅 Azure AD 已加入混合 Azure AD 已加入。创建部署配置文件后,將不再能编辑此选项。

    如果选择了“混合”,请提供计算机名称前缀域名组织单位。提供的前缀将作为所有已配置的计算机名称的前缀。其余的字符将以随机方式指定。

  • 隐藏 Microsoft 软件许可条款 (EULA):隐藏最终用户许可协议。

  • 隐藏隐私设置:隐藏隐私设置。

  • 隐藏更改帐户选项:隐藏在登录期间或域错误页面上用于更改帐户的选项。

  • 用户帐户类型:选择要将登录用户的帐户配置为标准用户还是管理员

  • 语言(区域):默认设置是让操作系统根据所在位置自动选择区域。也可以选择用户选择或自行指定区域。

  • 如果设置了语言则跳过键盘选择页面:如果选择了语言(区域),则可通过此选项在设置期间跳过 Windows 键盘选择界面。

  • 使用设备命名模板:选择此选项可打开设备名称模板字段(可能必须向下滚动才能看到)。按照字段上方显示的模板命名准则进行操作。此字段将覆盖在混合加入的计算机名称前缀中进行的任何更改。

关于“创建部署配置文件 > 最终用户状态”页面

在最初的设备设置期间和用户首次登录期间,会显示“最终用户状态”页面。Endpoint Manager Autopilot 始终显示此页面。如果在部署期间发生故障,可以使用以下选项。

  • 在安装用时超过指定的分钟数时显示错误:选择后,用户将看到默认的 Windows 消息:“安装用时超过您的组织设置的时间限制。请重试,或者联系 IT 支持人员寻求帮助。”我们建议将此时间设置为至少 60 分钟。如果配置时间超过您设置的时间,即使再多用一点时间就能成功完成配置,也会显示此错误消息。

  • 在发生时间限制错误时显示自定义消息:如果希望用户看到自定义消息,而不是上述默认消息,请在此输入自定义消息。此文本会显示在窗口底部。

  • 在发生时间限制错误时允许用户收集日志:选择后,在配置期间出现问题时,此选项会向用户显示收集日志按钮。点击此按钮,将提示用户保存 MDMDiagReport.cab 日志文件。

  • 在发生应用程序安装错误时允许使用设备:选择后,在配置期间出现问题时,用户可以按下仍然继续按钮。

  • 在应用程序安装失败时允许设备重置:选择后,在应用程序安装失败时,用户可以点击重置设备按钮。

  • 阻止最终用户设备设置重试:选择后,在配置出于某种原因而失败时,不会显示重试按钮。我们建议选择此选项,以便用户无法使用重试,因为重试可能会产生不可预料的结果。

关于“创建部署配置文件 > 组分配”页面

要将部署配置文件发送到设备,请将其分配到组。该组中的所有设备都将收到配置文件。在组具有配置文件并向该组分配了一个或多个设备之后,Azure 会将配置文件分配到设备。

  • 无设备:不会将部署配置文件分配到组。需要将配置文件分配到组,才能部署配置文件。

  • 所有设备:部署配置文件适用于所有设备。如果选择此选项,则不需要配置组,但也意味着租户只能有一个活动的部署配置文件。

  • 所选组:选择此选项可显示已包括的组列表。点击要包括的组旁边的框。

关于“创建部署配置文件 > 概述”页面

“概述”页面总结了部署配置文件配置。在审查之后,点击创建配置文件以保存更改并创建配置文件。已创建的配置文件显示在部署配置文件主页面中。

关于“应用程序 > 基本信息”页面

在此处创建的应用程序会上传到 Azure Blob 存储。

应用程序文件必须位于核心服务器上的 ManagementSuite\landesk\files 文件夹中。支持的格式为 .exe、.msi 和 .intunewin。

上传流程还要求 Microsoft Win32 内容准备工具 IntuneWinAppUtil.exe 也位于该文件夹中。可以在此处下载 IntuneWinAppUtil.exe:https://github.com/microsoft/Microsoft-Win32-Content-Prep-Tool

  • 名称描述:这些项目显示在应用程序主列表视图中。它们有助于组织各个应用程序。

  • 选择程序包文件:点击此选项可选择用于安装所配置的应用程序的程序包文件。

在编辑现有应用程序时,无法修改程序包文件或路径。要更改这些内容,需要创建新的应用程序。

关于“应用程序 > 安装行为”页面

  • 安装命令:默认设置是程序包文件的文件名。根据需要添加其他命令参数

  • 安装行为:程序包可以通过系统帐户或登录用户帐户来安装。

  • 在安装之后强制重新启动:如果应用程序需要重新启动,则选择此选项。

关于“应用程序 > 要求”页面

(此页面还用于创建 Microsoft 365 应用程序 > 要求规则。)

使用此页面来定义关于安装此程序包的 PowerShell 或注册表项要求。

例如,可能要创建一项注册表要求来检测是否已经安装该程序包。在这种情况下,需要提供应用程序创建的唯一注册表项路径,并将注册表项要求类型设置为该项不存在

要求规则为可选。如果不指定任何要求规则,则始终会安装应用程序。如果未满足任何要求规则,则不会安装应用程序。

创建 PowerShell 规则

  • 脚本文件:浏览此规则要使用的 PowerShell 脚本文件。所选择的脚本必须生成输出。
  • 输出类型:选择该规则需要的 PowerShell 脚本输出类型。可以是布尔日期时间浮点型整数字符串版本
  • 运算符:选择该规则需要输出的值是等于还是不等于
  • 值:输入要匹配的输出值。

创建注册表规则

  • 在 64 位客户端上使用 32 位注册表配置单元:如果要专门检查 32 位注册表项,则选择此选项。32 位和 64 位配置单元中可能存在相同的项,但值可能不同。在大多数情况下,可以不选择此选项。

  • 注册表项路径:完整的项路径,可以 HKLM、COMPUTER\HKEY_LOCAL_MACHINE 或 HKEY_LOCAL_MACHINE 开头。

  • 注册表项值:可选,只有在查找特定的值时才需要提供。

  • 注册表项要求类型:可以是项存在该项不存在字符串比较整数比较版本比较。[什么是版本比较]

创建要求

  1. 输入注册表项路径注册表项要求类型。可以选择输入注册表项值

  2. 点击添加要求

  3. 为其他要求重复该过程。

关于“应用程序 > 检测规则”页面

(此页面还用于创建 Microsoft 365 应用程序 > 检测规则。)

Autopilot 将安装返回代码和您可以创建的检测规则结合使用,以确定应用程序是否成功安装。在 Autopilot 中,检测规则为可选,即使 Microsoft Intune 需要将检测规则用于部署也是如此。如果不希望依赖于应用程序安装的返回代码,请创建您自己的检测规则,以提高应用程序安装状态报告的准确度。

可以添加多个检测规则。并非必须匹配所有规则。

否则,此页面的作用将与上述要求页面相同。

MSI 检测规则

版本 2022 SU1 添加了对 MSI 检测规则的支持。MSI 程序包具有产品代码,此选项会自动检测在基本信息页面上所选文件的代码,并在规则中使用。如果在 Autopilot 配置过程结束时,在客户端设备的注册表中找到该产品代码,Endpoint Manager 将在 Autopilot 应用程序安装状态页面指出,该应用程序已安装。

如果该路径中不再有该文件,将显示一条消息,说明没有找到程序包文件,将无法创建 MSI 规则。但是,可以创建检测该产品代码的注册表规则。

如果初次添加该应用程序后更新过该路径中的文件,那么检索到的产品代码可能与原始文件不匹配,检测规则将不起作用。可以为更新后的 MSI 创建新应用程序,或者创建检测更新后的产品代码的注册表规则。

关于“应用程序 > 组分配”页面

(此页面还用于创建 Microsoft 365 应用程序 > 组分配。)

要将应用程序发送到设备,请将其分配到组。该组中的所有设备都将接收应用程序。

  • 无设备:不会将应用程序分配到组。需要将应用程序分配到组,才能部署应用程序。如果没有准备好部署应用程序,请使用此选项。

  • 所有设备:应用程序部署到所有设备。[[这是一个组吗?]]

  • 所选组:应用程序部署到所选组中的设备。选择此选项可显示已包括的组列表。点击要包括的组旁边的框。

关于“应用程序 > 概述”页面

概述页面总结了应用程序配置。在审查之后,点击创建应用程序以保存更改并创建应用程序。已创建的应用程序显示在应用程序主页面中。

使用动态成员身份规则生成器

使用动态成员身份规则生成器,为设备和用户创建 Active Directory 组成员身份规则。这些规则将确定会自动添加到您创建的 Active Directory 组的设备或用户。

每个规则最多包含五个规则表达式。每个规则表达式包含属性运算符

点击刷新规则按钮,使用对现有规则表达式进行的更改来更新规则文本框。每次点击添加其他规则链接,都会刷新规则文本框。

如果要手动输入规则,请使用编辑规则按钮。这样可以在规则文本框中进行编辑。最初可以将查询编辑器的规则与手动输入的规则编辑结合使用,但是在点击保存规则之后,查询编辑器将不再显示,必须手动进行任何后续更改。手动进行的任何更改都必须符合 Microsoft AD 规则语法。编辑器不会进行语法检查。

要保存在点击编辑规则按钮之后在规则文本框中进行的更改,请点击保存规则。如果未手动编辑规则,保存规则按钮将显示为灰色。在这种情况下,完成组属性和规则表达式的编辑后,点击页面中的保存按钮可保存所有更改。

手动提取 .CSV 设备信息

如果拥有设备的物理访问权限,则可以手动提取 .CSV 文件,以便导入到 Azure 中。

手动提取 .CSV 设备信息

  1. 启动新设备,在出现第一个等待用户输入的对话框时,按钮 <shift>-F10 调出命令提示符。在命令提示符中完成其余的步骤。

  2. 创建 C:\temp 文件夹。

  3. 运行以下命令。为 .CAB 文件选择适当的名称,以便持续跟踪与之关联的虚拟机或物理设备。

    mdmdiagnosticstool.exe -area Autopilot -cab c:\temp\device.cab

  4. 解压缩 .CAB 文件并检索 DeviceHash_<identifier>.csv 文件

  5. 将 .CSV 文件复制到 U 盘或映射的网络共享。

  6. 在 Endpoint Manager Autopilot 的设备页面中,点击上传 CSV 按钮并上传文件。

  7. 等待 Azure 处理更改,最多需要十五分钟,然后点击刷新按钮,查看设备是否已导入。因为这是新安装的操作系统,还没有计算机名称,所以列表中的设备名称要么是系列号,要么是序列号的某种变体。