关于 Autopilot 窗口

要查看此窗口,请点击工具 > 现代设备管理 > Windows Autopilot

关于“创建 Azure AD 组”页面

  • 名称描述:这些项目显示在主列表视图中和 Azure 中。 它们有助于组织各个组。

  • 邮件昵称:Microsoft 要求每个 Azure AD 组具备唯一的邮件昵称。 昵称不能以句点字符开头。 有关昵称处理方式的信息,请参阅 microsoft.com 上的这篇文章

  • 组成员身份类型:可以是已分配动态:用户动态:设备。 如果选择已分配,则表示会在部署配置文件中手动将设备分配到新组。 如果选择动态类型,则会显示动态成员身份规则生成器,需要在其中配置各种规则,用于确定将属于该组的设备。

  • 组分类:可以是安全Microsoft365。 Autopilot 仅支持安全组(默认)。

关于“创建部署配置文件 > 基本信息”页面

  • 名称描述:这些项目显示在部署配置文件主列表视图中和 Azure 中。 它们有助于组织各个部署配置文件。

  • 将所有目标设备转换成 Autopilot:如果设备尚未通过 Autopilot 注册,并且满足 Autopilot 系统要求,则此操作将注册设备。 注册后,如果公司重置该设备,就可使用全新体验 Autopilot。

关于“创建部署配置文件 >全新体验 (OOBE)”页面

OOBE 页面可对典型 Windows 设置体验期间显示的每个用户界面选项的设置进行预配置。

  • 已预配置的部署(白手套):指定设备映像已由 OEM 进行预配置。 如果未在凭据设置页面中输入 MDM 应用程序 ID,则会禁用此选项。

  • Active Directory 加入类型:可以是仅 Azure AD 已加入混合 Azure AD 已加入。 创建部署配置文件后,將不再能编辑此选项。

    如果选择了“混合”,请提供计算机名称前缀域名组织单位。 提供的前缀将作为所有已配置的计算机名称的前缀。 其余的字符将以随机方式指定。

  • 隐藏 Microsoft 软件许可条款 (EULA):隐藏最终用户许可协议。

  • 隐藏隐私设置:隐藏隐私设置。

  • 隐藏更改帐户选项:隐藏在登录期间或域错误页面上用于更改帐户的选项。

  • 用户帐户类型:选择要将登录用户的帐户配置为标准用户还是管理员

  • 语言(区域):默认设置是让操作系统根据所在位置自动选择区域。 也可以选择用户选择或自行指定区域。

  • 如果设置了语言则跳过键盘选择页面:如果选择了语言(区域),则可通过此选项在设置期间跳过 Windows 键盘选择界面。

  • 使用设备命名模板:选择此选项可打开设备名称模板字段(可能必须向下滚动才能看到)。 按照字段上方显示的模板命名准则进行操作。 此字段将覆盖在混合加入的计算机名称前缀中进行的任何更改。

关于“创建部署配置文件 > 最终用户状态”页面

在最初的设备设置期间和用户首次登录期间,会显示“最终用户状态”页面。 Endpoint Manager Autopilot 始终显示此页面。 如果在部署期间发生故障,可以使用以下选项。

  • 在安装用时超过指定的分钟数时显示错误: 选择后,用户将看到默认的 Windows 消息:“安装用时超过您的组织设置的时间限制。 请重试,或者联系 IT 支持人员寻求帮助。”我们建议将此时间设置为至少 60 分钟。 如果配置时间超过您设置的时间,即使再多用一点时间就能成功完成配置,也会显示此错误消息。

  • 在发生时间限制错误时显示自定义消息:如果希望用户看到自定义消息,而不是上述默认消息,请在此输入自定义消息。 此文本会显示在窗口底部。

  • 在发生时间限制错误时允许用户收集日志:选择后,在配置期间出现问题时,此选项会向用户显示收集日志按钮。 点击此按钮,将提示用户保存 MDMDiagReport.cab 日志文件。

  • 在发生应用程序安装错误时允许使用设备:选择后,在配置期间出现问题时,用户可以按下仍然继续按钮。

  • 在应用程序安装失败时允许设备重置:选择后,在应用程序安装失败时,用户可以点击重置设备按钮。

  • 阻止最终用户设备设置重试:选择后,在配置出于某种原因而失败时,不会显示重试按钮。 我们建议选择此选项,以便用户无法使用重试,因为重试可能会产生不可预料的结果。

关于“创建部署配置文件 > 组分配”页面

要将部署配置文件发送到设备,请将其分配到组。 该组中的所有设备都将收到配置文件。 在组具有配置文件并向该组分配了一个或多个设备之后,Azure 会将配置文件分配到设备。

  • 无设备:不会将部署配置文件分配到组。 需要将配置文件分配到组,才能部署配置文件。

  • 所有设备:部署配置文件适用于所有设备。 如果选择此选项,则不需要配置组,但也意味着租户只能有一个活动的部署配置文件。

  • 所选组:选择此选项可显示已包括的组列表。 点击要包括的组旁边的框。

关于“创建部署配置文件 > 概述”页面

“概述”页面总结了部署配置文件配置。 在审查之后,点击创建配置文件以保存更改并创建配置文件。 已创建的配置文件显示在部署配置文件主页面中。

关于“应用程序 > 基本信息”页面

在此处创建的应用程序会上传到 Azure Blob 存储。

应用程序文件必须位于核心服务器上的 ManagementSuite\landesk\files 文件夹中。 支持的格式为 .exe、.msi 和 .intunewin。

上传流程还要求 Microsoft Win32 内容准备工具 IntuneWinAppUtil.exe 也位于该文件夹中。 可以在此处下载 IntuneWinAppUtil.exe:https://github.com/microsoft/Microsoft-Win32-Content-Prep-Tool

  • 名称描述:这些项目显示在应用程序主列表视图中。 它们有助于组织各个应用程序。

  • 选择程序包文件:点击此选项可选择用于安装所配置的应用程序的程序包文件。

在编辑现有应用程序时,无法修改程序包文件或路径。 要更改这些内容,需要创建新的应用程序。

关于“应用程序 > 安装行为”页面

  • 安装命令:默认设置是程序包文件的文件名。 根据需要添加其他命令参数

  • 安装行为:程序包可以通过系统帐户或登录用户帐户来安装。

  • 在安装之后强制重新启动:如果应用程序需要重新启动,则选择此选项。

关于“应用程序 > 要求”页面

(此页面还用于创建 Microsoft 365 应用程序 > 要求规则。)

使用此页面来定义关于安装此程序包的 PowerShell 或注册表项要求。

例如,可能要创建一项注册表要求来检测是否已经安装该程序包。 在这种情况下,需要提供应用程序创建的唯一注册表项路径,并将注册表项要求类型设置为该项不存在

要求规则为可选。 如果不指定任何要求规则,则始终会安装应用程序。 如果未满足任何要求规则,则不会安装应用程序。

创建 PowerShell 规则

  • 脚本文件:浏览此规则要使用的 PowerShell 脚本文件。 所选择的脚本必须生成输出。
  • 输出类型:选择该规则需要的 PowerShell 脚本输出类型。 可以是布尔日期时间浮点型整数字符串版本
  • 运算符:选择该规则需要输出的值是等于还是不等于
  • 值:输入要匹配的输出值。

创建注册表规则

  • 在 64 位客户端上使用 32 位注册表配置单元:如果要专门检查 32 位注册表项,则选择此选项。 32 位和 64 位配置单元中可能存在相同的项,但值可能不同。 在大多数情况下,可以不选择此选项。

  • 注册表项路径:完整的项路径,可以 HKLM、COMPUTER\HKEY_LOCAL_MACHINE 或 HKEY_LOCAL_MACHINE 开头。

  • 注册表项值:可选,只有在查找特定的值时才需要提供。

  • 注册表项要求类型:可以是项存在该项不存在字符串比较整数比较版本比较。 [什么是版本比较]

创建要求

  1. 输入注册表项路径注册表项要求类型。 可以选择输入注册表项值

  2. 点击添加要求

  3. 为其他要求重复该过程。

关于“应用程序 > 检测规则”页面

(此页面还用于创建 Microsoft 365 应用程序 > 检测规则。)

Autopilot 将安装返回代码和您可以创建的检测规则结合使用,以确定应用程序是否成功安装。 在 Autopilot 中,检测规则为可选,即使 Microsoft Intune 需要将检测规则用于部署也是如此。 如果不希望依赖于应用程序安装的返回代码,请创建您自己的检测规则,以提高应用程序安装状态报告的准确度。

可以添加多个检测规则。 并非必须匹配所有规则。

否则,此页面的作用将与上述要求页面相同。

MSI 检测规则

版本 2022 SU1 添加了对 MSI 检测规则的支持。 MSI 程序包具有产品代码,此选项会自动检测在基本信息页面上所选文件的代码,并在规则中使用。 如果在 Autopilot 配置过程结束时,在客户端设备的注册表中找到该产品代码,Endpoint Manager 将在 Autopilot 应用程序安装状态页面指出,该应用程序已安装。

如果该路径中不再有该文件,将显示一条消息,说明没有找到程序包文件,将无法创建 MSI 规则。 但是,可以创建检测该产品代码的注册表规则。

如果初次添加该应用程序后更新过该路径中的文件,那么检索到的产品代码可能与原始文件不匹配,检测规则将不起作用。 可以为更新后的 MSI 创建新应用程序,或者创建检测更新后的产品代码的注册表规则。

关于“应用程序 > 组分配”页面

(此页面还用于创建 Microsoft 365 应用程序 > 组分配。)

要将应用程序发送到设备,请将其分配到组。 该组中的所有设备都将接收应用程序。

  • 无设备:不会将应用程序分配到组。 需要将应用程序分配到组,才能部署应用程序。 如果没有准备好部署应用程序,请使用此选项。

  • 所有设备:应用程序部署到所有设备。 [[这是一个组吗?]]

  • 所选组:应用程序部署到所选组中的设备。 选择此选项可显示已包括的组列表。 点击要包括的组旁边的框。

关于“应用程序 > 概述”页面

概述页面总结了应用程序配置。 在审查之后,点击创建应用程序以保存更改并创建应用程序。 已创建的应用程序显示在应用程序主页面中。

使用动态成员身份规则生成器

使用动态成员身份规则生成器,为设备和用户创建 Active Directory 组成员身份规则。 这些规则将确定会自动添加到您创建的 Active Directory 组的设备或用户。

每个规则最多包含五个规则表达式。 每个规则表达式包含属性运算符

点击刷新规则按钮,使用对现有规则表达式进行的更改来更新规则文本框。 每次点击添加其他规则链接,都会刷新规则文本框。

如果要手动输入规则,请使用编辑规则按钮。 这样可以在规则文本框中进行编辑。 最初可以将查询编辑器的规则与手动输入的规则编辑结合使用,但是在点击保存规则之后,查询编辑器将不再显示,必须手动进行任何后续更改。 手动进行的任何更改都必须符合 Microsoft AD 规则语法。 编辑器不会进行语法检查。

要保存在点击编辑规则按钮之后在规则文本框中进行的更改,请点击保存规则。 如果未手动编辑规则,保存规则按钮将显示为灰色。 在这种情况下,完成组属性和规则表达式的编辑后,点击页面中的保存按钮可保存所有更改。

手动提取 .CSV 设备信息

如果拥有设备的物理访问权限,则可以手动提取 .CSV 文件,以便导入到 Azure 中。

手动提取 .CSV 设备信息

  1. 启动新设备,在出现第一个等待用户输入的对话框时,按钮 <shift>-F10 调出命令提示符。 在命令提示符中完成其余的步骤。

  2. 创建 C:\temp 文件夹。

  3. 运行以下命令。 为 .CAB 文件选择适当的名称,以便持续跟踪与之关联的虚拟机或物理设备。

    mdmdiagnosticstool.exe -area Autopilot -cab c:\temp\device.cab

  4. 解压缩 .CAB 文件并检索 DeviceHash_<identifier>.csv 文件

  5. 将 .CSV 文件复制到 U 盘或映射的网络共享。

  6. 在 Endpoint Manager Autopilot 的设备页面中,点击上传 CSV 按钮并上传文件。

  7. 等待 Azure 处理更改,最多需要十五分钟,然后点击刷新按钮,查看设备是否已导入。 因为这是新安装的操作系统,还没有计算机名称,所以列表中的设备名称要么是系列号,要么是序列号的某种变体。