Windows Autopilot

Endpoint Manager 2021.1 SU1 引入了简化的 Windows Autopilot 新体验,功能更强大。 Windows Autopilot 有助于设置新设备或者重新分配现有设备。 Autopilot 不是完全配置工具。 它需要设备已经安装 Windows 10/11,并且在下一次打开设备时准备好运行 Windows 全新体验 (OOBE) 设置。

在 Windows Autopilot 配置设备时,有两个主要阶段:

  1. 自动应用通常会向用户显示的选定设置,例如区域或键盘布局选择。

  2. 将设备注册到 Windows MDM 中,安装任何已配置的应用程序,应用各种策略,并将设备加入 Active Directory。

在完成先决条件和安装中的步骤之后,就可以开始使用 Endpoint Manager 对于 Autopilot 的支持。 工作原理如下:

  1. 创建 Azure AD 组,其中包含要作为 Autopilot 部署目标的设备。 如果要将所有设备作为 Autopilot 的目标,则可以跳过此步骤。

  2. 创建部署配置文件,用于定义域加入类型的设置、设备的配置方式、最终用户体验和 AD 组分配。

  3. 如果要在部署配置文件中部署应用程序,请创建应用程序定义

  4. 导入设备,方法是获取包含设备硬件哈希的 .CSV 文件,或者让 OEM 合作伙伴直接将设备哈希输入您组织的 Azure AD 租户。 将已导入的设备添加到具有部署配置文件的 Azure AD 设备组。

  5. 同步,将更改与 Azure AD 同步。 在设备与 AD 同步之后,即可部署设备。

在使用 Endpoint Manager 对 Autopilot 的支持之前,您的组织需要 Azure Active Directory P1 或更高级别的许可证,而您需要完成此处所述的配置步骤:Windows 设备管理入门

在 Azure 中,确保未启用 Intune MDM。 可以在 Azure Active Directory 中进行检查,方法是在移动性(MDM 和 MAM)下面点击 Microsoft IntuneMDM 用户范围MAM 用户范围应设置为

Endpoint Manager 的 Autopilot 实施不需要将 Microsoft Intune 许可证用于应用程序部署。 请注意,由于 Endpoint Manager Autopilot 与 Microsoft 集成的方式,不应该将 Intune 用户界面用于修改 Endpoint Manager Autopilot 配置。

在完成 Azure AD 设置之后,需要提供 Microsoft Azure 租户凭据,其中包含目录(租户)ID应用程序(客户端)ID客户端密码

如果要与为您预配置(白手套)新设备的 OEM 合作,则还需要提供 MDM 应用程序 ID。 在 Azure 中,必须在应用程序 ID URI 中使用经过验证的域,并且该域只能属于一个 Azure 租户。

查找 MDM 应用程序 ID
  1. 在浏览器中登录 Azure AD 门户。
  2. 使用屏幕左侧可展开的菜单,导航至 Azure Active Directory
  3. 在左侧菜单中选择移动性(MDM 和 MAM)
  4. 点击 Ivanti MDM 应用程序。
  5. 单击本地部署 MDM 应用程序设置
  6. 应用程序(客户端)ID 字段包含 MDM 应用程序 ID

凡是需要同时连接到本地 Active Directory 和 Azure Active Directory 的设备,都必须采用混合加入配置。 在这种情况下,还需要提供本地 Active Directory 帐户的凭据,该帐户应具有在部署配置文件的指定 OU(组织单位)中创建计算机帐户的权限。

输入 Azure AD 配置信息

  1. 点击工具 > 现代设备管理 > Windows Autopilot

  2. 点击凭据设置

  3. 凭据设置页面中输入凭据。 使用检查凭据按钮来确保凭据有效,权限正确无误。

Autopilot 设置配置文件分配到 Azure AD 组。 或者,如果计划将单个设置配置文件用于所有设备,则可以选择所有设备作为目标,而不需要配置组。

页面显示 Azure 中可用的组,可以在此页面中添加或移除组。

如果要创建用于部署配置文件的组,则必须使用安全组类型。 组成员必须具有 Azure 中的设备硬件哈希,才能接收部署配置文件。

如果要使用单个部署配置文件,则不需要创建或配置组。 相反,可以在创建部署配置文件 > 组分配中选择所有设备选项。

组列表最多显示 100 个组。 如果可以显示的组超过 100 个,请点击底部的加载更多。 这样会在列表中再添加 100 个组。 使用查找框对可见的组进行筛选。 如果要查找特定的组,请输入组名称,然后点击搜索全部

创建 Azure AD 组

  1. Autopilot 窗口中,点击

  2. 单击创建。 有关此处选项的更多信息,请参阅关于“创建 Azure AD 组”页面

  3. 创建 Azure AD 组页面中,输入所需的 AD 组名称。 此项为必填项。

  4. 输入组描述

  5. 输入邮件昵称

  6. 选择组成员身份类型

  • 如果要为每个用户单独分配成员身份和权限,请使用已分配

  • 如果要根据设备规则自动分配成员身份,请使用动态设备。 此选项会打开动态成员身份规则生成器。

  • 如果要根据用户规则自动分配成员身份,请使用动态用户。 此选项会打开动态成员身份规则生成器。

  1. 如果选择了动态组成员身份类型,请使用动态成员身份规则生成器

  2. 单击保存

部署配置文件是配置模板,用于定义以下各项的设置:

  • 域加入类型

  • 设备配置流程

  • 最终用户体验

  • 组分配

创建部署配置文件

  1. Autopilot 窗口中,点击部署配置文件

  2. 单击创建

  3. 基本信息页面中,输入配置文件名称描述。 单击下一步

  4. 即装即用体验页面中,配置部署类型、帐户类型和语言/区域首选项。 单击下一步

  5. 最终用户状态页面中,配置状态页面行为和错误处理。 单击下一步

  6. 组分配页面中,选择应将配置文件分配到无设备所有设备还是所选组。 单击下一步

  7. 概述页面中,审查您的选择,然后点击创建配置文件

可以通过多种方式将设备硬件哈希信息导入 Endpoint Manager 的 Autopilot。

  • 使用 PowerShell 脚本,提取设备信息并以 .CSV 格式保存。 有关示例,请在此页面参阅 Microsoft 文档中的脚本链接。

  • 直接从设备中手动提取设备信息,详情请见此处

  • OEM 合作伙伴会为您提供 .CSV 文件格式的所购设备信息。

  • OEM 合作伙伴直接将设备哈希输入您组织的 Azure AD 租户。

Autopilot 窗口中,点击设备

点击设备页面中的同步按钮之后,对组成员身份进行的任何更改才会生效。 在每台设备上,此过程可能需要 15 分钟或更久,具体取决于 Azure 处理更改的速度。 点击刷新按钮,从 Azure 更新列表。

点击列表中的设备,可查看详细信息,以及设备所属的组的列表。 显示 Autopilot 设备选项显示已导入的 Autopilot 设备。 显示 Azure 设备选项显示您会在 Azure 的“设备”视图中看到的设备。

在 2022 SU3 及更高版本中,点击列表中的设备后,可以编辑该设备的 Azure 组标签显示名称。 在编辑设备时,该设备将以绿色文本显示,直到您的更改已与 Azure 同步。

可以在部署配置文件中安装应用程序。 在将应用程序分配到设备时,必须将部署配置文件分配到设备所属的 Azure Active Directory 组。 添加的应用程序会上传到 Azure Blob 存储。

应用程序文件必须位于核心服务器上的 ManagementSuite\landesk\files 文件夹中。 支持的格式为 .exe、.msi 和 .intunewin。 上传流程还要求 Microsoft Win32 内容准备工具 IntuneWinAppUtil.exe 也位于该文件夹中。 在向导末尾保存更改时,会进行文件上传。

有关在何处下载内容准备工具的更多信息,请参阅关于“应用程序 > 基本信息”页面

在配置 Autopilot 设备时,设备会检查其可能需要安装的应用程序。 如果满足要求规则,设备会从 Azure Blob 存储下载应用程序,进行解密,然后逐一安装每个应用程序。

在部署配置文件中安装应用程序

  1. Autopilot 窗口中,点击应用程序

  2. 单击创建。 如果使用的是 2022 SU2 或更高版本,请点击创建通用应用程序按钮。 如果要安装 Microsoft 365 应用程序,请参阅安装 Microsoft 365 应用程序 (2022 SU2)

  3. 基本信息页面中,输入名称描述

  4. 安装行为页面中,点击选择程序包文件,然后浏览所需的文件。

  5. 如有需要,可自定义安装命令,同时选择应用程序应该在系统帐户下还是在登录用户帐户下安装。

  6. 如果应用程序需要重新启动,请选择在安装之后强制重新启动点击“下一步”

  7. 要求页面中,可以添加规则,用于确定是否应该安装应用程序。 这些规则为可选。 单击下一步

  8. 检测规则页面中,可以添加规则,帮助确定应用程序是否成功安装。 这些规则为可选。 单击下一步

  9. 组分配页面中,选择应该接收应用程序的 Azure 组。 单击下一步

  10. 概述页面中,审查您的配置,然后在准备就绪时点击创建应用程序。 在应用程序主页面中监控上传进度。

Autopilot 窗口中,点击应用程序安装状态

“应用程序安装状态”显示每个设备的应用程序安装成功/失败信息。 点击此列表中的安装,会显示可能有助于排除故障的详细安装信息。

应用程序可在其配置中包含检测规则。 这些规则有助于确定应用程序是否成功安装。 如果检测规则和应用程序安装程序返回代码都标记为“成功”,则应用程序安装状态将为已安装

在审查安装状态之后,可以将您感到满意的应用程序安装标记为已解决。 点击应用已解决以应用您的选择。 此操作会从默认列表视图中移除这些应用程序。 将应用程序安装标记为“已解决”或“未解决”,除了有助于保持列表井然有序之外,并无其他用处,如果对此不感兴趣,则不必进行此操作。

如果在以后改变对安装状态的想法,可以将已解决状态筛选器更改为未解决,同时清除已解决列表列中的选择。

通过预配置设备,IT 人员、设备制造商或经销商可以使设备运行 Autopilot 的 Windows 设置和设备配置部分,如有需要,还可以预安装应用程序。 完成此过程之后,操作系统即已重新封装,可将设备交付给最终用户。

最终用户在打开设备并连接到网络时将看到 Windows 设置界面,可以在其中选择键盘布局,如果部署配置文件允许,还可以选择语言;在登录后将看到“最终用户状态”页面,并完成配置的用户阶段。

用户阶段的时长取决于是否有需要安装的用户应用程序,以及这些应用程序的安装时间。 如果不安装任何应用程序,则设置过程可能只需一分钟不到。 预配置期间应该已经安装大多数应用程序,因此,用户的这个过程应该会很快。

预配置需要具有 TPM 2.0 的物理硬件。 还必须按照 Azure AD 注册中所述,输入 Azure MDM 应用程序 ID。

有关技术人员预配置工作流程的信息,请参阅此页面:https://docs.microsoft.com/en-us/mem/autopilot/pre-provision#scenarios