更新(2020年12月2日):现在有一种将设备添加到自动驾驶仪的更快的方法。此博客的步骤3可以替换为此博客中描述的新步骤: 如何更快地将Windows 10设备添加到Windows Autopilot
Windows 10现代管理很热。越来越多的公司正在寻找使用其企业移动性管理(EMM)产品管理Windows 10设备的可能性。这不仅意味着他们想要一个可以管理所有类型的设备(如iOS,Android和Windows)的工具,而且还提供了一种管理Windows 10设备的新方式。
通过这种新的管理方式,最终用户和管理员变得更加灵活。设备的位置已变得无关紧要,并且不再需要本地域加入或到公司位置的VPN连接以接收最新更新,应用程序和策略。
直到最近,仍然存在自动化注册过程的挑战。使用传统的PC管理,您可以使用Microsoft SCCM之类的工具来部署完整的映像并使用自定义脚本自动执行本地域联接。通过将Windows 10与Modern Management结合使用,不再需要映像部署。对于自动注册,我们现在有Windows 自动驾驶仪。
什么是Windows 自动驾驶仪?
使用Windows 自动驾驶仪,您可以控制开箱即用的体验(OOBE)。您可以为最终用户隐藏问题,例如“接受Eula”,“个人或公司设备所有者”和隐私设置。用户唯一要做的事情(此刻)是连接到Wi-Fi,选择其键盘布局并使用公司凭据登录,就是这样!其余的是自动化的,包括Azure AD加入和MDM / EMM产品的注册(最后一个是可选的)。一旦注册了MDM / EMM解决方案,即可将应用程序和策略完全自动发布到设备。
它是如何工作的?
每次Windows 10设备首次启动时(或在恢复出厂设置后),它将运行OOBE安装程序。在此安装过程中,设备将检查是否在任何Azure租户中都知道该设备的设备ID。如果是这样,将加载由相应公司自定义的配置文件(在此博客中,我将向您展示如何执行此操作)。
这为IT管理员提供了极大的可能性。他不再需要为最终用户准备新设备,IT管理员甚至可以直接在工厂将设备交付到最终用户的家庭住址,而无需他的任何努力。
最终用户启动设备,使用公司凭据登录,几分钟后,设备即可使用已应用的公司策略。如果一段时间后设备由于某种原因变得不稳定,请恢复出厂设置或擦拭设备。清理并重新安装Windows 10(全自动)后,设备将再次运行OOBE安装程序,并且用户可以使用全新的Windows 10安装(应用了公司策略)登录。
如何在Azure中获取设备ID?
对于Microsoft,Dell和HP等硬件供应商的每笔新订单,您都可以指定您使用Windows 自动驾驶仪。他们会为您添加设备ID到您的Azure,或者交付包含所有新设备ID的文件,您可以自己将它们导入到Azure租户。
And what about 现有设备? That’s also possible 至 add them 至 your 蔚蓝 Tenant, it requires some manual steps, as I show you in this blog.
执照
Windows 自动驾驶仪是Azure AD Premium功能。这意味着,如果您还希望通过Microsoft管理Windows 10设备,则每个需要使用此功能的用户都至少需要Azure AD Premium P1许可证或Microsoft 企业移动性+安全性(EM + S)E3或E5许可证。 音调,就像在这个博客中一样。
在这个博客中
在此博客中,我将逐步向您展示如何配置Windows 自动驾驶仪,以及如何按照我的个人最佳实践以最快的方式添加现有设备。我将结合Microsoft 音调来配置Windows 自动驾驶仪和MDM部分。请注意,Microsoft 音调是可选的,可以替换为其他MDM供应商,例如AirWatch,XenMobile或MobileIron。
在此博客中,我将介绍以下内容;
- 配置Windows 自动驾驶仪的先决条件
- 配置Windows 自动驾驶仪配置文件和自动分配
- 将现有的Windows 10设备添加到Windows 自动驾驶仪
- 测试结果
1.配置Windows 自动驾驶仪的先决条件
在我们开始使用Windows 自动驾驶仪之前,必须先配置一些先决条件。我将在此博客中指导您完成这些步骤。预先,我创建了一个安全组,其中包括将使用AutoPilot和Microsoft 音调的所有用户。该组还链接到Azure AD中的正确许可证。我还创建了一个名为“ localadmin”的Azure AD用户。这将是一个本地管理员,将在Azure AD Join / 自动驾驶仪期间在每个Windows 10设备上本地创建。
对于以下步骤,以全局管理员身份登录到Azure门户(//portal.azure.com)。
去 蔚蓝活动目录 然后打开 设备 页
打开 设备设置 页。在此页面上,您可以配置哪个用户以及Azure AD可以哪种方式加入Windows 10设备。
就个人而言,我始终将其限制为安全组的成员。我分配许可证的同一组。这样,只有拥有正确许可证的用户才能通过Microsoft 音调中的自动注册将其设备加入Azure AD(请参阅以下步骤)。所以,我设定 用户可以将设备加入Azure AD 至 已选 并选择安全组。
以下设置是 蔚蓝 AD加入的设备上的其他本地管理员。我总是添加其他本地管理员(在本例中为“ localadmin”用户)。请记住,使用Azure AD加入Windows 10设备的用户始终是管理员(除了分配了AutoPilot配置文件以指示该用户必须是普通用户之外)。所有其他登录到该设备的用户都具有普通用户权限。因此,与其他本地管理员建立后门以进行故障排除始终是一件好事。
以所需方式配置其他设置,然后单击 保存
回去 蔚蓝活动目录 然后打开 移动性(MDM和MAM) 页。
点击 微软Intune
在此页面上,您可以配置允许哪些人通过Azure AD Join在Microsoft 音调中注册设备。如前所述,我总是添加一个安全组来确定可以注册其设备的用户的范围。因此,在这种情况下,我还将AutoPilotBlog安全组添加到 MDM用户范围。将其他所有设置都保留为默认设置(如果不确定所有配置是否正确,也可以点击 恢复默认的MDM URL).
请点击 保存.
回去 蔚蓝活动目录 然后打开 公司品牌 页。
为了使AutoPilot正常工作,必须使用公司品牌。因此,我们需要建立新的公司品牌(如果尚未建立)。点击 配置 按钮。
配置所需的设置,例如背景图像,横幅徽标和方形徽标图像,然后单击 保存
回去 蔚蓝活动目录 然后打开 物产 页。
配置先决条件的最后一步更像是检查。确保所有信息正确。 Windows 自动驾驶仪注册期间,它将显示在设备上。
2.配置Windows 自动驾驶仪配置文件和自动分配
在下一步中,我将向您展示如何配置Windows 自动驾驶仪配置文件以及如何将其分配给设备。可以为设备自动分配一个AutoPilot配置文件,这样您就不必在每次添加新设备时都手动进行配置。为此,需要创建一个动态组,因为我将在后续步骤中向您展示。
回去 蔚蓝活动目录 然后打开 团体 页。
请点击 +新组
填写以下信息;
群组类型: 安全
组名: 所有AutoPilot设备(或您喜欢的其他设备)
团体简介: 所有AutoPilot设备(或您喜欢的其他设备)
会员类型: 动态设备
点击 添加动态查询
选择 进阶规则 并添加以下规则;
(device.devicePhysicalIDs -any _ -contains "[ZTDId]")
有关更多信息,请参见Microsoft文档(链接)。
请点击 添加查询 和 创造
在此博客中,我不会介绍如何设置Microsoft 音调,例如策略,应用程序,Windows 你好 for Business和CNAME配置。我将在另一个博客中介绍。我将仅介绍与Windows 自动驾驶仪 / 蔚蓝 AD Join相关的步骤。
导航 音调 > 设备注册> Windows注册 >注册状态页面
“注册状态页面”是一项新功能,在撰写此博客时处于“预览”状态。它允许管理员在注册使用Azure AD / Windows 自动驾驶仪之后立即阻止设备,并且此刻尚未应用所有策略和/或尚未安装应用程序。对于AutoPilot配置,此步骤是可选的。
点击 默认 个人资料。
请点击 设定值。对于此博客,我将启用“注册状态”页面,并使用户能够关闭它,以便他们可以立即在其设备上工作。请点击 保存。
回去 Windows注册 然后打开 部署配置文件 页。
请点击 +创建个人资料
如下配置配置文件;
名称: 你喜欢的都可以
描述: 你喜欢的都可以
部署方式: 用户驱动
以以下方式加入Azure AD: 蔚蓝 AD加入
请点击 开箱即用的体验(OOBE)
配置所需的设置。就我而言 最终用户许可协议(EULA) 和 隐私设置 并授予用户管理员权限。
请点击 保存 和 创造
单击刚刚创建的配置文件。
请点击 作业 然后点击 +选择组
选择 所有AutoPilot设备 在先前步骤中创建的组,然后单击 选择 和 保存
3.将现有的Windows 10设备添加到Windows 自动驾驶仪
通过Microsoft,Dell,HP和其他一些大型供应商订购新设备时,您可以表明您正在使用Windows 自动驾驶仪,并希望为其启用新功能。供应商可以将这些新设备添加到Windows 自动驾驶仪租户中。非常有用且省时!但是,已经交付给您但未添加到AutoPilot的新设备呢?好的,您可以运行一个PowerShell脚本来获取这些设备的硬件ID。将硬件ID上传到Azure租户并分配给AutoPilot配置文件后,设备就启用了AutoPilot。
如果您有尚未启用Windows 自动驾驶仪的新设备,例如我的新Microsoft Surface Pro设备,则很容易获得硬件ID。首次打开预装有Windows 10的新设备时, 您不必运行完整的OOBE设置即可随后运行PowerShell脚本并恢复出厂设置。 这将花费大量时间!在接下来的几个步骤中,我将向您展示更快的方法。
注意: 后续步骤仅适用于物理设备, 不 虚拟机…
启动设备并等待几秒钟,直到您可以选择您的区域。
按下以下组合键 SHIFT + F10
将出现一个CMD提示,键入 电源外壳 并击中 输入
在接下来的步骤中,我将在C驱动器上创建一个scripts文件夹,并使PowerShell能够运行脚本。运行以下命令;
光盘\
md脚本
cd脚本
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
运行以下命令;
保存脚本-名称Get-WindowsAutoPilotInfo-路径c:\ 剧本
此操作需要NuGet提供程序。按 Y 和 输入。 NuGet将自动下载并安装。
跑过 目录 命令以查看PowerShell脚本是否已下载到 剧本 夹。
运行以下命令;
Get-WindowsAutoPilotInfo.ps1 -OutputFile c:\ 剧本 \ robinhobo.csv
用您选择的名称替换“ robinhobo.csv”。当您现在运行 目录 再次执行命令,您会看到有一个robinhobo.csv文件。此文件需要上载到Microsoft 音调。
我使用以下命令将csv文件复制到USB驱动器; 复制robinhobocom.csv d:\
之后运行; 关机/ p
这将关闭设备。
回去 the 微软Intuneportal 和 navigate 至 ; 微软Intune> 设备注册> Windows注册 > 设备
请点击 进口
单击蓝色文件夹图标,然后上传刚刚创建的csv文件。
After a few minutes the imported devise shows up. Notes that it is automatically 已分配 至 a 个人资料。
4.测试结果
在此博客的最后一步中,我将向您展示先前进行的配置的结果。
在导出设备ID的位置再次启动设备。
选择您的区域并单击 是
选择键盘布局,然后单击 是
请点击 跳跃
如您所见,AutoPilot正在运行,并且已应用公司品牌。填写用户的电子邮件地址,然后单击 下一页
输入用户的密码,然后单击 下一页
这是我们在步骤2中配置的“注册状态”页面。 仍然继续
几分钟后,即可使用新的Windows 10设备。
如您所见 上班或上学 设置设备是否已加入Azure AD。
And also in 微软Intunethe devices is enrolled successful.
27条评论。 离开新的
你好
我按照您的描述设置了自动驾驶仪,并尝试进行测试。当我尝试登录Azure时,出现错误消息:
看起来我们可以’连接到您组织的网址’s mdm使用条款。我用谷歌搜索,发现其中一个方面拥有Azure AD高级许可证,我已为其分配了许可证。天蓝色广告中是否有一个字段可以放置该网址?
提前致谢
aya屋
Hi aya屋, you can configure that in the 蔚蓝 Portal under:? 蔚蓝活动目录 > 移动性(MDM和MAM) > 音调
这些步骤效果很好,但是背景和横幅徽标从何而来?我只在OOBE安装过程中看到了方形徽标。
正确,目前这是设计使然。
不错的文章,但我遇到了一个困惑点
您提到了这一点:
对于Microsoft,Dell和HP等硬件供应商的每笔新订单,您都可以指定您使用Windows 自动驾驶仪。他们会为您添加设备ID到您的Azure,或者交付包含所有新设备ID的文件,您可以自己将它们导入到Azure租户。
但是,当我最近就硬件购买问题与戴尔联系时,我们的销售代表就开始了。不知道什么是自动驾驶仪,当他们查看那里的东西后,他们说他们无法提供这样的文件。
您是否知道某种特殊的方法可从他们那里获取此信息?
谢谢!
嗨,布雷特,据我所知,他们可以在您的Azure租户中为您添加设备。另外,您也可以自己导入电子表格文档。您可以使用戴尔“专业部署服务”(服务部门)来完成此任务。问候,罗宾
[…]几周前,我写了一个博客,主题是“如何最快地设置Windows 自动驾驶仪并添加现有设备”。当时我的意思是“existing devices”,尚未使用但[…]
太棒了!
你刚刚解决了我的问题’数天来,我一直在桌子上敲打我的头。我的自动驾驶仪设备安全组设置不正确“assigned”而不是带有A至Z标签的动态设备。
很棒的教程,非常感谢。
很高兴听到!
所有步骤均已完成,我的设备已成功注册自动驾驶仪,并已分配配置文件。唯一的问题是,当我重新启动设备时,OOBE永远不会显示。我需要重设PC并删除所有东西,然后才能正常工作吗?
注意:这是我的IT组织给我的Windows 10 1803预安装。
嗨,Ash,是的,AutoPilot仅在“factory reset”Windows 10设备
首先,谢谢你’真的很好。其次,您是否看到过重新开始不会擦除任何用户帐户的情况?
嗨,约翰,谢谢!我从未见过完全擦除后用户帐户仍留在设备上的情况。您执行了哪些操作?
不适合擦拭,而是重新启动功能,这是一种“kind of wipe” as I understand it.
约翰
优秀的文章。我能够为我的设备完成所有这些操作。但是,当我将用户设置为标准用户而不是管理员时,没有管理员帐户,bitlocker不会运行。关于此的任何想法或建议
谢谢鲍比,关于问题。这是旧版Windows 10的问题。您是否尝试过使用最新的Windows 10版本?
嗨,罗宾·霍博(Robin Hobo),您好,首先,我有一个简单的问题:如何创建一个本地管理员帐户,该帐户将在Azure AD Join / 自动驾驶仪期间在每个Windows 10设备上本地创建?
Thanks 阿莫迪普, you can configure this on the following blade; 蔚蓝活动目录 >设备 > Device 设定值. And then “Additional local administrators on 蔚蓝 AD加入 devices”
嗨,您对使用硬件ID合并多个.csv文件以导入多个设备(不是一一导入)有任何建议吗?当有100台设备时,您会感到有点沮丧,您每15分钟只能导入一台设备。
顺便说一句伟大的文章!
我目前正在高低寻找一种检索硬件ID的方法’网络上每台PC的数量。我不想去每台机器,我想从域控制器运行它。有了这些,我们将在所有Windows 10上安装Windows 10,并使用自动驾驶仪对其进行设置,以便我们可以删除内部部署的域控制器。你能建议吗?
Thank you robin, Setting up Windows 自动驾驶仪 和 add 现有设备 the quickest way your blog was really helpful.
谢谢!
嘿罗宾!
这个博客非常有用,但是我有一个问题
Win 32应用程序将如何与新设备同步?
我需要下载intune公司门户并下载应用程序还是
在Windows Autopilot中注册设备后,这些应用程序是否已预安装?
嗨,Hari,如果将Win32应用程序设置为强制性(必需)应用程序,它将自动部署到Windows 10设备。
嗨罗宾·霍博,
感谢您所做的所有工作,并与我们分享-我关注您很多时间。
关于AutoPilot,
我尝试在带有连接器的前提下使用AutoPilot,intune和活动目录进行混合配置。其实吧’只能在没有任何代理的情况下使用。我们尝试了许多例外,但没有成功。请问您是否有例外或魔术解决方案的大师列表? ^^
问候,
[…] my previous blog 我带您完成了与Microsoft结合配置Windows 自动驾驶仪的步骤[…]