Windows Autopilot

Endpoint Manager 2021.1 SU1 加入了全新、更簡化且更強大的 Windows Autopilot 體驗。Windows Autopilot 會協助您設定新裝置或重新指派現有裝置。Autopilot 並不是一種完全佈建工具。它需要 Windows 10/11 已完成安裝,且 Windows 全新體驗 (OOBE) 安裝程式已就緒,可在下一次裝置開啟時執行。

當 Windows Autopilot 佈建裝置時會經過兩個主要階段:

  1. 自動套用選取的設定選項,這些都是一般使用者會看到的選項,例如地區或鍵盤配置選擇。

  2. 在 Windows MDM 中註冊裝置、安裝任何已設定的應用程式、套用原則並將裝置加入 Active Directory。

在您完成先決條件與安裝中的步驟後,就可以開始使用 Endpoint Manager 對於 Autopilot 的支援。運作方式如下:

  1. 建立 Azure AD 群組,其中包含要進行 Autopilot 部署的目標裝置。若您要以所有裝置為 Autopilot 的目標,則可以略過此步驟。

  2. 建立部署設定檔,用於定義網域聯結類型、裝置佈建方式、一般使用者體驗及 AD 群組指派之設定。

  3. 若您想要隨部署設定檔一併部署應用程式,請建立應用程式定義

  4. 匯入裝置,您可以取得一個包含裝置硬體雜湊的 .CSV 檔案,或者讓 OEM 合作夥伴直接將裝置雜湊輸入組織的 Azure AD 租用戶。將匯入的裝置新增至已具有部署設定檔的 Azure AD 裝置群組。

  5. 與 Azure AD 同步您的變更。裝置與 AD 同步後,便已準備好可進行部署。

在使用 Endpoint Manager 對 Autopilot 的支援之前,您的組織會需要 Azure Active Directory P1 或權限更高的授權,您也必須完成以下組態步驟: 開始使用 Windows 裝置管理

在 Azure 中,請確保並未啟用 Intune MDM。若要進行確認,您可以在行動性 (MDM 與 MAM) 下方的 Azure Active Directory 中檢查並按一下 Microsoft IntuneMDM 使用者範圍MAM 使用者範圍應設為

Endpoint Manager 的 Autopilot 實作不需要將 Microsoft Intune 授權用於應用程式部署。請注意,由於 Endpoint Manager Autopilot 會與 Microsoft 進行整合,因此您不能使用 Intune 使用者介面來修改 Endpoint Manager Autopilot 組態。

在完成 Azure AD 設定之後,您將需要提供 Microsoft Azure 租用戶認證,其中包含目錄 (租用戶) ID應用程式 (用戶端) ID用戶端密碼

若您要與為您預先佈建 (白手套) 新裝置的 OEM 合作,您還需要提供 MDM 應用程式 ID。在 Azure 中,您必須使用已透過應用程式 ID URI 驗證的網域,且此網域只能屬於一個 Azure 租用戶。

尋找您的 MDM 應用程式 ID
  1. 在瀏覽器內登入 Azure AD 入口網站。
  2. 使用畫面左側可展開的功能表,瀏覽至 Azure Active Directory
  3. 選取左側功能表中的 Mobility (MDM 和 MAM)
  4. 按一下您的 Ivanti MDM 應用程式。
  5. 按一下內部部署 MDM 應用程式設定
  6. 應用程式 (用戶端) ID 欄位包含 MDM 應用程式 ID

必須同時連線到內部部署 Active Directory 和 Azure Active Directory 的裝置會需要混合聯結組態。在此情況下,您還需要為內部部署 Active Directory 帳戶提供認證,以賦予其權限在部署設定檔指定的 OU (組織單位) 中建立電腦帳戶。

輸入 Azure AD 組態資訊

  1. 按一下工具 > 現代化裝置管理 > Windows Autopilot

  2. 按一下認證設定

  3. 認證設定頁面上,輸入您的認證。使用檢查認證按鈕以確認認證是否可用以及權限是否正確。

Autopilot 佈建設定檔會指派至 Azure AD 群組。或者,如果您計劃讓所有裝置都有一個佈建設定檔,則可以選擇所有裝置作為目標,因此將不需要設定群組。

群組頁面會顯示 Azure 中可用的群組,使您可以在此頁面中新增或移除群組。

若您要建立用於部署設定檔的群組,則必須使用安全性群組類型。群組成員必須在 Azure 中具有裝置硬體雜湊才能接收部署設定檔。

若您使用的是單一部署設定檔,就不需要建立或設定群組。您可以在建立部署設定檔 > 群組指派中選取所有裝置選項。

群組清單最多可顯示 100 個群組。若可供顯示的群組超過 100 個,按一下底部的載入更多。這樣便會將下 100 個群組加至清單中。使用尋找方塊即可篩選可見群組。若您要尋找特定群組,請輸入群組名稱並按一下搜尋全部

建立 Azure AD 群組

  1. Autopilot 視窗中,按一下群組

  2. 按一下建立。如需有關此處選項的詳細資訊,請參閱關於「建立 Azure AD 群組」頁面

  3. 建立 Azure AD 群組頁面上,輸入您要使用的 AD 群組名稱。此為必要動作。

  4. 輸入群組說明

  5. 輸入郵件暱稱

  6. 選取群組成員資格類型:

  • 若您要為每個使用者個別指派成員資格和權限,請使用已指派

  • 若您要根據裝置規則自動指派成員資格,請使用動態裝置。此選項會開啟動態成員資格規則建立器。

  • 若您要根據使用者規則自動指派成員資格,請使用動態使用者。此選項會開啟動態成員資格規則建立器。

  1. 若您選擇動態群組成員資格類型,請使用動態成員資格規則建立器

  2. 按一下儲存

部署設定檔會佈建範本以定義以下設定:

  • 網域聯結類型

  • 裝置佈建過程

  • 一般使用者體驗

  • 群組指派

建立部署設定檔

  1. Autopilot 視窗中,按一下部署設定檔

  2. 按一下建立

  3. 基本頁面上,輸入設定檔名稱說明。按下一步

  4. 全新體驗頁面中,設定部署類型、帳戶類型和語言/地區偏好設定。按下一步

  5. 一般使用者狀態頁面中,設定狀態頁面行為和錯誤處理。按下一步

  6. 群組指派頁面中,選擇要將設定檔指派至無裝置所有裝置還是選取的群組。按下一步

  7. 概觀頁面中,檢閱您的選擇並按一下建立設定檔

有多種方式可以將裝置硬體雜湊資訊匯入 Endpoint Manager 的 Autopilot。

  • 使用 PowerShell 指令碼,擷取裝置資訊並以 .CSV 格式保存。例如,在 Microsoft 文件的此頁面中查看指令碼連結。

  • 依照此處的描述,直接從裝置手動擷取裝置資訊。

  • OEM 合作夥伴會為您提供所購裝置資訊的 .CSV 檔案。

  • OEM 合作夥伴會將裝置雜湊直接輸入您組織的 Azure AD 租用戶。

Autopilot 視窗中,按一下裝置

只有在按一下裝置頁面的同步按鈕後,您對於群組成員資格進行的任何變更才會生效。視 Azure 處理變更的速度而定,每個裝置會需要 15 分鐘或更久時間。按一下重新整理按鈕以更新 Azure 的清單。

按一下清單中的裝置以查看詳細資訊以及裝置所屬的群組清單。顯示 Autopilot 裝置選項會顯示匯入的 Autopilot 裝置。顯示 Azure 裝置選項會顯示您在 Azure 裝置檢視中看見的裝置。

在 2022 SU3 版及更新版本中,按一下清單中的裝置時,可以編輯該裝置的 Azure 群組標籤顯示名稱。如果編輯裝置,該裝置會以綠色文字顯示,直到相應變更與 Azure 同步為止。

您可以隨部署設定檔一併安裝應用程式。將應用程式指派至裝置時,必須將部署設定檔指派至該裝置所屬的 Azure Active Directory 群組。您新增的應用程式會上傳至 Azure Blob 儲存體。

應用程式檔案必須位於核心伺服器上的 ManagementSuite\landesk\files 資料夾中。支援的格式為 .exe、.msi 和 .intunewin。上傳程序也需要將 Microsoft 的 Win32 內容準備工具 IntuneWinAppUtil.exe 置於同一資料夾中。當您在精靈結束時儲存變更後,檔案就會開始上傳。

如需有關何處可下載內容準備工具的詳細資訊,請參閱關於「應用程式 > 基本」頁面

當 Autopilot 裝置開始佈建時,裝置會檢查它可能需要安裝的應用程式。若符合需求規則,它就會從 Azure Blob 儲存體下載應用程式、將其解密,並個別安裝每個應用程式。

隨部署設定檔一併安裝應用程式

  1. Autopilot 視窗中,按一下應用程式

  2. 按一下建立。如果您現正使用 2022 SU2 或更新版本,請按一下建立泛型應用程式按鈕。如果您想要安裝 Microsoft 365 應用程式,請參閱安裝 Microsoft 365 應用程式 (2022 SU2)

  3. 基本頁面上,輸入名稱說明

  4. 安裝行為頁面上,按一下選取套件檔案並瀏覽您需要的檔案。

  5. 視需要自訂安裝命令,並選擇要在系統帳戶還是已登入的使用者帳戶之下安裝應用程式。

  6. 根據應用程式的需要,選擇安裝後強制重新啟動按一下「下一步」

  7. 需求頁面中,您可以新增規則以決定是否應安裝應用程式。這些規則為選用。按下一步

  8. 偵測規則頁面中,您可以新增規則以協助判斷應用程式是否成功安裝。這些規則為選用。按下一步

  9. 群組指派頁面上,選取應接收應用程式的 Azure 群組。按下一步

  10. 概觀頁面中,檢閱您的組態並在準備好時按一下建立應用程式。監控應用程式主要頁面上的上傳進度。

Autopilot 視窗中,按一下應用程式安裝狀態

應用程式安裝狀態頁面會顯示每個裝置的安裝成功/失敗資訊。按一下此清單中的安裝會顯示詳細的安裝資訊,可協助您進行疑難排解。

應用程式的偵測規則可成為其組態的一部分。這些規則可用於判斷應用程式是否已成功安裝。若偵測規則和應用程式安裝程式傳回代碼都已標示為成功,則應用程式安裝狀態將為已安裝

若您已檢閱安裝狀態,就可以將您感到滿意的應用程式安裝標示為已解決。按一下套用已解決以套用您的選擇。然後就會從預設清單檢視中移除這些應用程式。將應用程式安裝標示為已解決或未解決只是為了協助您整理清單,若您對此不感興趣則不需要執行此動作。

若您之後想要變更安裝狀態,可將已解決的狀態篩選器變更為未解決,並清除已解決清單欄中的選擇。

預先佈建裝置可讓 IT 人員、裝置製造商或經銷商透過 Windows 安裝程式和 Autopilot 的裝置組態部分來執行裝置,並視需要預先安裝應用程式。在完成後,作業系統就會重新封裝並可將裝置交付至一般使用者。

當一般使用者開啟裝置並連線到網路時,系統會顯示 Windows 安裝程式介面,以便他們在部署設定檔允許的情況下選取鍵盤配置和可用的語言,然後他們在登入時將會看到一般使用者狀態頁面並完成使用者佈建階段。

使用者階段的時間長度取決於是否有待安裝的使用者應用程式以及安裝所需的時間。如果沒有任何應用程式正在進行安裝,則設定程序不會超過一分鐘。由於大部分的應用程式都已在預先佈建期間完成安裝,因此使用者應該很快就可以完成此程序。

預先佈建需要具有 TPM 2.0 的實體硬體。此外,您也需要依 Azure AD 註冊所述,輸入 Azure MDM 應用程式 ID。

有關技術人員預先佈建工作流程的資訊,請參閱此頁面: https://docs.microsoft.com/en-us/mem/autopilot/pre-provision#scenarios