Требования к подготовке устройства Windows Autopilot

Требования к программному обеспечению

Подготовка устройства Windows Autopilot зависит от конкретных функций, доступных в клиенте Windows, Идентификаторе Microsoft Entra и службе управления мобильными устройствами (MDM), например Microsoft Intune. Чтобы использовать подготовку устройств Windows Autopilot и получить доступ к этим функциям, необходимо выполнить некоторые требования к программному обеспечению.

Windows 11

• Windows 11 версии 23H2 с KB5035942 или более поздней — установочный носитель Windows с апреля 2024 г. или более поздней версии KB5035942 включен.
• Windows 11 версии 22H2 с KB5035942 или более поздней — установочный носитель Windows с апреля 2024 года или более поздней версии KB5035942 включен.

Поддерживаются следующие выпуски:

• Windows 11 Профессиональная
• Windows 11 Pro для образовательных учреждений
• Windows 11 Pro для рабочих станций
• Windows 11 Корпоративная
• Windows 11 для образовательных учреждений

Требования к сети

Подготовка устройства Windows Autopilot зависит от различных интернет-служб. Для правильной работы устройства Windows Autopilot необходимо предоставить доступ к этим службам. В простейшем случае обеспечить правильную функциональность можно с помощью следующих условий:

• Убедитесь, что доменные имена служб (DNS) разрешают dns-имена в Интернете.
• Разрешите доступ ко всем узлам через порты 80 (HTTP), 443 (HTTPS) и 123 (UDP/NTP).

Для предоставления доступа к требуемым службам в средах может потребоваться дополнительная настройка, которая:

• Более строгий доступ в Интернет.
• Перед получением доступа к Интернету требуется проверка подлинности.

Требования к службе

Подготовка устройства Windows Autopilot зависит от нескольких типов служб для правильной работы. Для правильной работы этих служб может потребоваться выполнить определенные конфигурации сети. Ниже перечислены эти службы и необходимые конфигурации сети.

Служба развертывания подготовки устройств Windows Autopilot

После установки сетевого подключения каждое устройство Windows будет обращаться в службу развертывания подготовки устройств Windows Autopilot. Используются следующие URL-адреса:

• https://ztd.dds.microsoft.com
• https://cs.dds.microsoft.com
• https://login.live.com

Активация Windows

Для подготовки устройства Windows Autopilot требуются службы активации Windows. Дополнительные сведения о URL-адресах, которые должны быть доступны для служб активации, см. в статье Сбой активации или проверки Windows с кодом ошибки 0x8004FE33.

Microsoft Entra ID

Идентификатор Microsoft Entra проверяет учетные данные пользователя. Кроме того, устройство присоединяется к Microsoft Entra ID во время подготовки устройства Windows Autopilot. Дополнительные сведения см. в статье Веб-служба IP-адресов и URL-адресов в Office 365.

Microsoft Intune

После проверки подлинности Идентификатор Microsoft Entra активирует регистрацию устройства в службе управления мобильными устройствами Intune (MDM). Дополнительные сведения о требованиях Intune к сетевому обмену данными см. в следующих статьях:

• Требования к конфигурации сети Intune и ее пропускная способность.
• Конечные точки сети для Microsoft Intune.

Сбор автоматической диагностики устройств для подготовки устройств Windows Autopilot

Чтобы диагностика могла успешно отправлять данные из клиента, убедитесь, что URL-адрес lgmsapeweu.blob.core.windows.net не заблокирован в сети. Диагностика доступна в течение 28 дней, прежде чем они будут удалены.

Дополнительные сведения см. в статье Сбор диагностики с устройства Windows.

Центр обновления Windows

Во время процесса запуска (OOBE) и после настройки ОС Windows служба Центра обновления Windows извлекает необходимые обновления. При возникновении проблем с подключением к Центру обновления Windows см. статью Устранение неполадок Центра обновления Windows.

Если Центр обновления Windows недоступен, процесс подготовки устройства Windows Autopilot по-прежнему продолжается, но критические обновления недоступны.

Оптимизация доставки

Подготовка устройства Windows Autopilot связывается со службой оптимизации доставки при скачивании приложений и обновлений. Этот контакт устанавливает одноранговый общий доступ к содержимому, чтобы только нескольким устройствам было необходимо скачать его из Интернета.

• Обновления Windows.
• Приложения и обновления приложений Microsoft Store.
• Обновления Office.
• Приложения Win32 Intune.

Если служба оптимизации доставки недоступна, процесс Autopilot по-прежнему продолжается с загрузкой оптимизации доставки из облака без однорангового подключения.

Синхронизация протокола NTP

Когда устройство Windows запускается, оно взаимодействует с сервером сетевого времени, чтобы убедиться, что время на устройстве правильно. Убедитесь, что UDP-порт 123 to time.windows.com доступен.

Службы доменных имен (DNS)

Чтобы разрешить интернет-имена для всех служб, устройство взаимодействует с DNS-сервером, который обычно предоставляется через DHCP. Этот DNS-сервер должен иметь возможность разрешать имена в Интернете.

Данные диагностики

Сбор диагностических данных включен по умолчанию. Дополнительные сведения см. в разделе Управление диагностическими данными предприятия.

Если устройство не может отправить диагностические данные, процесс подготовки устройства Windows Autopilot продолжается. Однако службы, зависящие от диагностических данных, не работают.

Индикатор состояния сетевого подключения (NCSI)

Windows должна быть в состоянии сообщить, что устройство может получить доступ к Интернету. Дополнительные сведения см. в разделе Индикатор состояния сетевого подключения (NCSI).

*.msftconnecttest.com должен быть разрешаемым через DNS и доступен по протоколу HTTP.

Службы уведомлений Windows (WNS)

Эта служба используется для предоставления Windows возможности получать уведомления от приложений и служб. Дополнительные сведения см. в разделе Microsoft Store.

Если службы WNS недоступны, процесс подготовки устройства Windows Autopilot по-прежнему продолжается без уведомлений.

Microsoft Store

Приложения в Microsoft Store можно отправить на устройство, активировав их через Intune или другую службу MDM. При первом входе пользователя могут потребоваться обновления приложений и дополнительные приложения. Дополнительные сведения см. в статьях Обновление интеграции с Intune с Microsoft Store в Windows и Вопросы и ответы: Поддержка возможностей Microsoft Store на управляемых устройствах.

Если Microsoft Store недоступен, процесс Autopilot по-прежнему продолжается без приложений Microsoft Store.

Microsoft 365

В рамках конфигурации устройства Intune может потребоваться установка приложений Microsoft 365 для предприятий. Список, включающий все службы Office, DNS-имена, IP-адреса, включая Идентификатор Microsoft Entra и другие службы, которые могут перекрываться с перечисленными выше службами, см. в статье URL-адреса и диапазоны IP-адресов Office 365.

Списки отзыва сертификатов (CRL)

Некоторые из этих служб также должны проверять списки отзыва сертификатов (CRL) для сертификатов, используемых в службах. Полный список см. в статье URL-адреса и диапазоны IP-адресов Office 365 и цепочки сертификатов Office 365.

Параметры прокси-сервера

Развертывание параметров прокси-сервера для подготовки устройства Windows Autopilot должно быть настроено на самом прокси-сервере. Реализация параметров прокси-сервера с помощью политики Intune не полностью поддерживается, так как это может привести к проблемам и непредвиденному поведению при развертывании с привилегированным доступом.

Требования к лицензированию

Подготовка устройства Windows Autopilot зависит от конкретных возможностей, доступных в клиенте Windows и идентификаторе Microsoft Entra. Для этого также требуется служба управления мобильными устройствами (MDM), например Microsoft Intune. Эти возможности можно получить с помощью различных выпусков и программ подписки.

Для предоставления необходимых функций Microsoft Entra ID и MDM, включая автоматическую регистрацию MDM и функции фирменной символики компании, требуется одна из следующих подписок:

• Подписка Microsoft 365 бизнес премиум.
• Подписка Microsoft 365 F1 или F3.
• Подписка Microsoft 365 Academic A1, A3 или A5.
• Подписка Microsoft 365 корпоративная E3 или E5, которая включает все функции клиента Windows, Microsoft 365 и EMS (Идентификатор Microsoft Entra и Intune).
• Подписка Enterprise Mobility + Security E3 или E5, которая включает все необходимые функции Microsoft Entra ID и Intune.
• Подписка на Intune для образовательных учреждений, которая включает все необходимые функции Microsoft Entra ID и Intune.
• Подписка Microsoft Entra с идентификатором P1 или P2 и Microsoft Intune или альтернативная служба MDM.

Кроме того, также рекомендуется, но не обязательно:

• Приложения Microsoft 365 для предприятий . Приложения Microsoft 365 для предприятий можно легко развернуть с помощью Intune или другой службы MDM.
• Активация подписки На Windows — автоматический переход устройств с Windows Pro на Windows Enterprise.

Требования к конфигурации

Перед использованием подготовки устройств Windows Autopilot для поддержки распространенных сценариев Autopilot необходимо выполнить некоторые задачи конфигурации.

• Настройка автоматической регистрации Microsoft Entra. Сведения о Microsoft Intune см. в разделах Настройка автоматической регистрации Windows Intune и Включение автоматической регистрации Windows . При использовании другой службы управления мобильными устройствами (MDM) обратитесь к поставщику за конкретными URL-адресами или конфигурацией, необходимыми для этих служб.

• Первый пользователь, который выполняет вход, должен иметь разрешения на присоединение к Microsoft Entra. Дополнительные сведения см. в статье Разрешение пользователям присоединяться к устройствам с Идентификатором Microsoft Entra.

Следующие конфигурации являются необязательными, но рекомендуемыми. Они не требуются:

• Автоматический переход с Windows Pro на Windows Корпоративная. Дополнительные сведения см. в разделе Активация подписки Windows.

Нет дополнительных требований к оборудованию для использования Autopilot, кроме требований к оборудованию для запуска Windows. Дополнительные сведения см. в разделе:

• Сведения о спецификациях, функциях и требованиях к компьютерам в Windows 11.
• Минимальные требования к оборудованию Windows.
• Требования к Windows 11.

Необходимые разрешения RBAC

Следующие разрешения на управление доступом на основе ролей (RBAC) требуются в роли Intune, чтобы пользователь управлял подготовкой устройства Windows Autopilot:

• Конфигурации устройств

  • Чтение
  • Удалить
  • Назначение
  • Create
  • Update

• Программы регистрации

  • Назначение членства устройства во время регистрации

• Управляемые приложения

  • Чтение

• Мобильные приложения

  • Чтение

• Организация

  • Чтение

Чтобы создать настраиваемую роль с этими разрешениями для использования с подготовкой устройства Windows Autopilot, выполните следующие действия:

1. Войдите в Центр администрирования Microsoft Intune.

2. На начальном экране выберите Администрирование клиента в области слева.

3. В администраторе клиента | Экран состояния клиента , выберите Роли.

4. В ролях Endpoint Manager | На экране Все роли убедитесь, что в разделе Управление выбрано значение Все роли.

5. В раскрывающемся меню Создать выберите роль Intune. Откроется экран Добавление настраиваемой роли .

6. На экране Добавление настраиваемой роли выполните следующие действия.

   1. На странице Основные сведения :

      1. Имя — введите имя настраиваемой роли, например администратор подготовки устройства Windows Autopilot.

      2. Описание — введите описание настраиваемой роли.

   2. Нажмите кнопку Далее.

   3. На странице Разрешения в разделе Выберите категорию ниже для настройки параметров прокрутите список, чтобы найти следующие параметры. После того как параметр будет найден, разверните его, а затем измените на следующие разрешения:

      • Конфигурации устройств

        • Чтение: Да
        • Удалить: Да
        • Назначение: Да
        • Создать: Да
        • Обновление: Да

        Для просмотра отчетов можно оставить значение по умолчанию Нет.

      • Программы регистрации

        • Назначение членства устройства во время регистрации: Да

        Для всех остальных разрешений можно оставить значение по умолчанию No.

      • Управляемые приложения

        • Чтение: Да

        Для всех остальных разрешений можно оставить значение по умолчанию No.

      • Мобильные приложения

        • Чтение: Да

        Для всех остальных разрешений можно оставить значение по умолчанию No.

      • Организация

        • Чтение: Да

        Для всех остальных разрешений можно оставить значение по умолчанию No.

   4. После правильной настройки всех разрешений нажмите кнопку Далее.

   5. На странице Теги области нажмите кнопку Далее.

      Примечание.

      Теги области являются необязательными. Если необходимо указать настраиваемый тег области, сделайте это на этой странице. Дополнительные сведения о тегах области см. в статье Использование управления доступом на основе ролей и тегов области для распределенных ИТ-систем.

   6. На странице Просмотр и создание убедитесь, что все разрешения заданы правильно, а затем нажмите кнопку Создать.

7. Новая настраиваемая роль подготовки устройств Windows Autopilot теперь может быть назначена пользователям, которые управляют подготовкой устройств Windows Autopilot.

Дополнительные сведения см. в разделе Управление доступом на основе ролей (RBAC) с помощью Microsoft Intune.