Režim Windows Autopilot řízený uživatelem

Režim Windows Autopilot řízený uživatelem umožňuje nakonfigurovat nové zařízení s Windows tak, aby ho automaticky transformoval z továrního stavu do stavu připraveného k použití. Tento proces nevyžaduje, aby se pracovníci IT dotýkali zařízení.

Proces je jednoduchý. Zařízení je možné dodávat nebo distribuovat koncovému uživateli přímo podle následujících pokynů:

  1. Rozbalte zařízení, zapojte ho a zapněte ho.
  2. Pokud používá více jazyků, vyberte jazyk, národní prostředí a klávesnici.
  3. Připojte ho k bezdrátové nebo kabelové síti s přístupem k internetu. Pokud používáte bezdrátovou síť, nejprve se připojte k wi-fi síti.
  4. Zadejte účet e-mailové adresy a heslo pro organizaci.

Zbytek procesu je automatizovaný. Zařízení provede následující kroky:

  1. Připojte se k organizaci.
  2. Zaregistrujte se do Microsoft Intune nebo jiné služby správy mobilních zařízení (MDM).
  3. Proveďte konfiguraci tak, jak ji definuje organizace.

Další výzvy je možné potlačit během počátečního nastavení počítače(OOBE). Další informace o dostupných možnostech najdete v tématu Konfigurace profilů Autopilotu.

Důležité

Pokud se používá služba Ad FS (Active Directory Federation Services), existuje známý problém , který může koncovému uživateli umožnit přihlášení pomocí jiného účtu, než je účet přiřazený k tomuto zařízení.

Režim Windows Autopilot řízený uživatelem podporuje zařízení s hybridním připojením Microsoft Entra Join a Microsoft Entra. Další informace o těchto dvou možnostech spojení najdete v následujících článcích:

Kroky procesu řízeného uživatelem jsou následující:

  1. Jakmile se zařízení připojí k síti, stáhne profil Windows Autopilotu. Profil definuje nastavení použitá pro zařízení. Definujte například výzvy potlačené během počátečního nastavení počítače.

  2. Systém Windows kontroluje důležité aktualizace OOBE. Pokud jsou k dispozici aktualizace, nainstalují se automaticky. V případě potřeby se zařízení restartuje.

  3. Uživateli se zobrazí výzva k zadání přihlašovacích údajů Microsoft Entra. Toto přizpůsobené uživatelské prostředí zobrazuje název tenanta Microsoft Entra, logo a přihlašovací text.

  4. Zařízení se připojí k Microsoft Entra ID nebo Active Directory v závislosti na nastavení profilu Windows Autopilot.

  5. Zařízení se zaregistruje do Intune nebo jiné nakonfigurované služby MDM. V závislosti na potřebách organizace k této registraci dochází buď:

    • Během procesu připojení k Microsoft Entra pomocí automatické registrace MDM.

    • Před procesem připojení ke službě Active Directory.

  6. Pokud je tato konfigurace nakonfigurovaná, zobrazí se stránka stavu registrace (ESP).

  7. Po dokončení úloh konfigurace zařízení se uživatel přihlásí k Windows pomocí přihlašovacích údajů, které zadal dříve. Pokud se zařízení během procesu ESP zařízení restartuje, musí uživatel znovu zadat svoje přihlašovací údaje. Tyto podrobnosti se po restartování nezachovají.

  8. Po přihlášení se zobrazí stránka stavu registrace pro úlohy konfigurace cílené na uživatele.

Pokud se během tohoto procesu najdou nějaké problémy, přečtěte si téma Řešení potíží s Windows Autopilotem – přehled.

Další informace o dostupných možnostech spojení najdete v následujících částech:

Režim řízený uživatelem pro připojení k Microsoft Entra

Pokud chcete dokončit nasazení řízené uživatelem pomocí Windows Autopilotu, postupujte následovně:

  1. Ujistěte se, že uživatelé, kteří provádějí nasazení v režimu řízeném uživatelem, můžou zařízení připojit k Microsoft Entra ID. Další informace najdete v tématu Konfigurace nastavení zařízení v dokumentaci Microsoft Entra.

  2. Vytvořte profil Autopilotu pro režim řízený uživatelem s požadovaným nastavením.

    • V Intune se tento režim explicitně zvolí při vytvoření profilu.

    • V Microsoft Storu pro firmy a Partnerském centru je výchozí režim řízený uživatelem.

  3. Pokud používáte Intune, vytvořte skupinu zařízení v Microsoft Entra ID a přiřaďte k této skupině profil Autopilotu.

Pro každé zařízení nasazené pomocí nasazení řízeného uživatelem jsou potřeba tyto další kroky:

  • Přidejte zařízení do Windows Autopilotu. Tento krok je možné provést dvěma způsoby:

  • Přiřaďte k zařízení profil Autopilotu:

    • Pokud používáte dynamické skupiny zařízení Intune a Microsoft Entra, můžete toto přiřazení provést automaticky.

    • Pokud používáte statické skupiny zařízení Intune a Microsoft Entra, přidejte zařízení do skupiny zařízení ručně.

    • Pokud používáte jiné metody, jako je Microsoft Store pro firmy nebo Partnerské centrum, přiřaďte ručně k zařízení profil Autopilotu.

Tip

Pokud je zamýšleným koncovým stavem zařízení spoluspráva, můžete registraci zařízení nakonfigurovat v Intune tak, aby umožňovala spolusprávu, ke které dochází během procesu Autopilotu. Toto chování směruje autoritu úlohy orchestrovaným způsobem mezi Configuration Managerem a Intune. Další informace najdete v tématu Postup registrace pomocí Autopilotu.

Režim řízený uživatelem pro hybridní připojení k Microsoft Entra

Důležité

Microsoft doporučuje nasadit nová zařízení jako nativní pro cloud pomocí připojení k Microsoft Entra. Nasazení nových zařízení jako zařízení Microsoft Entra hybrid join se nedoporučuje, a to ani prostřednictvím Autopilotu. Další informace najdete v tématu Microsoft Entra join vs. Microsoft Entra hybrid join in cloud-native endpoints: Which option is right for your organization.

Windows Autopilot vyžaduje, aby zařízení byla připojená k Microsoft Entra. V prostředí místní služby Active Directory je možné zařízení připojit k místní doméně. Pokud chcete zařízení připojit, nakonfigurujte zařízení Autopilot tak, aby byla hybridně připojená k Microsoft Entra ID.

Tip

Když Microsoft komunikuje se zákazníky, kteří k nasazení, správě a zabezpečení svých klientských zařízení používají Microsoft Intune a Microsoft Configuration Manager, často dostáváme dotazy týkající se spolusprávy zařízení a hybridních připojených zařízení Microsoft Entra. Mnoho zákazníků si tato dvě témata plete. Spoluspráva je možnost správy, zatímco Microsoft Entra ID je možnost identity. Další informace najdete v tématu Principy hybridních scénářů microsoft Entra a spolusprávy. Cílem tohoto blogového příspěvku je vysvětlit hybridní připojení a spolusprávu Microsoft Entra, jak fungují společně, ale nejsou to stejné věci.

Klienta nástroje Configuration Manager nelze nasadit při zřizování nového počítače v režimu Windows Autopilot řízeném uživatelem pro hybridní připojení Microsoft Entra. Toto omezení je způsobeno změnou identity zařízení během procesu připojení k Microsoft Entra. Po dokončení procesu Autopilotu nasaďte klienta nástroje Configuration Manager. Alternativní možnosti instalace klienta najdete v tématu Metody instalace klienta v nástroji Configuration Manager .

Požadavky na režim řízený uživatelem s hybridním ID Microsoft Entra

  • Vytvořte profil Windows Autopilotu pro režim řízený uživatelem.

    V profilu Autopilot v části Připojit k Microsoft Entra ID jako vyberte Microsoft Entra hybrid join.

  • Pokud používáte Intune, je potřeba skupina zařízení v Microsoft Entra ID. Přiřaďte ke skupině profil Windows Autopilot.

  • Pokud používáte Intune, vytvořte a přiřaďte profil připojení k doméně. Konfigurační profil připojení k doméně obsahuje informace o místní doméně Active Directory.

  • Zařízení musí mít přístup k internetu. Další informace najdete v tématu Požadavky na síť.

  • Nainstalujte intune Connector pro Active Directory.

    Poznámka

    Intune Connector připojí zařízení k místní doméně. Uživatelé nepotřebují oprávnění k připojení zařízení k místní doméně. Toto chování předpokládá, že konektor je nakonfigurovaný pro tuto akci jménem uživatele. Další informace najdete v tématu Zvýšení limitu účtu počítače v organizační jednotce.

  • Pokud používáte proxy server, povolte a nakonfigurujte možnost nastavení proxy serveru WPAD (Web Proxy Auto-Discovery Protocol).

Kromě těchto základních požadavků na hybridní připojení Microsoft Entra řízené uživatelem platí pro místní zařízení následující dodatečné požadavky:

  • Zařízení má aktuálně podporovanou verzi Windows.

  • Zařízení je připojené k interní síti a má přístup k řadiči domény služby Active Directory.

    • Potřebuje přeložit záznamy DNS pro doménu a řadiče domény.

    • Aby bylo možné uživatele ověřit, musí komunikovat s řadičem domény.

Režim řízený uživatelem pro hybridní připojení Microsoft Entra s podporou sítě VPN

Zařízení připojená ke službě Active Directory vyžadují připojení k řadiči domény služby Active Directory pro mnoho aktivit. Mezi tyto aktivity patří ověřování přihlašovacích údajů uživatele při přihlašování a použití nastavení zásad skupiny. Proces Autopilotu řízený uživatelem pro zařízení připojená k hybridnímu připojení Microsoft Entra ověřuje, že zařízení může kontaktovat řadič domény příkazem ping na tento řadič domény.

S přidáním podpory sítě VPN pro tento scénář je možné proces hybridního připojení Microsoft Entra nakonfigurovat tak, aby přeskočí kontrolu připojení. Tato změna neodstraní potřebu komunikace s řadičem domény. Místo toho Intune před pokusem uživatele o přihlášení k Windows doručí potřebnou konfiguraci sítě VPN, aby umožnil připojení k síti organizace.

Požadavky na režim řízený uživatelem s hybridním ID Microsoft Entra a SÍTÍ VPN

Kromě základních požadavků na režim řízený uživatelem s hybridním spojením Microsoft Entra platí pro vzdálený scénář s podporou sítě VPN následující další požadavky:

  • Aktuálně podporovaná verze Windows.

  • V profilu hybridního připojení Microsoft Entra pro Autopilot povolte následující možnost: Přeskočit kontrolu připojení k doméně.

  • Konfigurace sítě VPN s jednou z následujících možností:

    • Dá se nasadit s Intune a umožní uživateli navázat připojení VPN ručně z přihlašovací obrazovky Windows.

    • Automaticky naváže připojení VPN podle potřeby.

Konkrétní požadovaná konfigurace sítě VPN závisí na použitém softwaru vpn a ověřování. U řešení VPN jiných společností než Microsoft tato konfigurace obvykle zahrnuje nasazení aplikace Win32 prostřednictvím rozšíření Intune Management Extensions. Tato aplikace by zahrnovala klientský software VPN a všechny konkrétní informace o připojení. Například názvy hostitelů koncových bodů VPN. Podrobnosti o konfiguraci specifické pro daného poskytovatele najdete v dokumentaci k poskytovateli VPN.

Poznámka

Požadavky na síť VPN nejsou specifické pro Autopilot. Pokud je například implementována konfigurace SÍTĚ VPN, která umožňuje vzdálené resetování hesel, lze stejnou konfiguraci použít se systémem Windows Autopilot. Tato konfigurace by uživateli umožnila přihlásit se k Windows pomocí nového hesla, když není v síti organizace. Jakmile se uživatel přihlásí a jeho přihlašovací údaje se ukládají do mezipaměti, následné pokusy o přihlášení nepotřebují připojení, protože Systém Windows používá přihlašovací údaje uložené v mezipaměti.

Pokud software VPN vyžaduje ověření certifikátu, nasaďte pomocí Intune také požadovaný certifikát zařízení. Toto nasazení je možné provést pomocí funkcí zápisu certifikátů Intune, které se zaměřují na profily certifikátů na zařízení.

Některé konfigurace nejsou podporované, protože se nepoužijí, dokud se uživatel nepřihlásí do Windows:

  • Uživatelské certifikáty
  • Moduly plug-in VPN pro UPW jiné společnosti než Microsoft z Windows Storu

Validace

Před pokusem o hybridní připojení Microsoft Entra pomocí sítě VPN je důležité ověřit, že režim řízený uživatelem pro proces hybridního připojení Microsoft Entra funguje v interní síti. Tento test zjednodušuje řešení potíží tím, že se před přidáním konfigurace SÍTĚ VPN ujistěte, že základní proces funguje.

Dále ověřte, že intune je možné použít k nasazení konfigurace sítě VPN a jejích požadavků. Otestujte tyto komponenty na existujícím zařízení, které je již připojeno k hybridnímu připojení Microsoft Entra. Někteří klienti VPN například v rámci procesu instalace vytvoří připojení VPN pro jednotlivé počítače. Pomocí následujících kroků ověřte konfiguraci:

  1. Ověřte, že se vytvořilo alespoň jedno připojení VPN pro každý počítač.

    Get-VpnConnection -AllUserConnection
    
  2. Pokuste se ručně spustit připojení VPN.

    RASDIAL.EXE "ConnectionName"
    
  3. Odhlaste se z Windows. Ověřte, že se na přihlašovací stránce Systému Windows zobrazuje ikona připojení VPN .

  4. Přesuňte zařízení mimo interní síť a pokuste se navázat připojení pomocí ikony na přihlašovací stránce windows. Přihlaste se k účtu, který nemá přihlašovací údaje uložené v mezipaměti.

U konfigurací VPN, které se připojují automaticky, se postup ověření může lišit.

Poznámka

Pro tento scénář je možné použít nepřetržitě zapnutou síť VPN. Další informace najdete v tématu Nasazení sítě VPN always-on.

Další kroky