Användardrivet läge för Windows Autopilot
Med användardrivet läge i Windows Autopilot kan en ny Windows-enhet konfigureras för att automatiskt omvandla dem från fabrikstillståndet till ett läge som är redo att användas. Den här processen kräver inte att IT-personal rör enheten.
Processen är enkel. Enheter kan levereras eller distribueras direkt till slutanvändaren med följande instruktioner:
- Packa upp enheten, anslut den och aktivera den.
- Om det använder flera språk väljer du ett språk, nationella inställningar och tangentbord.
- Anslut den till ett trådlöst eller kabelanslutet nätverk med Internetåtkomst. Om du använder trådlöst ansluter du först till wi-fi-nätverket.
- Ange ett e-postadresskonto och lösenord för organisationen.
Resten av processen automatiseras. Enheten utför följande steg:
- Gå med i organisationen.
- Registrera i Microsoft Intune eller en annan MDM-tjänst (hantering av mobila enheter).
- Konfigureras enligt organisationens definition.
Andra prompter kan ignoreras under OOBE (Out-of-Box Experience). Mer information om tillgängliga alternativ finns i Konfigurera Autopilot-profiler.
Viktigt
Om Active Directory Federation Services (ADFS) används finns det ett känt problem som kan göra det möjligt för slutanvändaren att logga in med ett annat konto än det som tilldelats till enheten.
Användardrivet Läge för Windows Autopilot stöder Microsoft Entra-anslutning och Hybridanslutna Microsoft Entra-enheter. Mer information om dessa två kopplingsalternativ finns i följande artiklar:
- Vad är en enhetsidentitet?.
- Läs mer om molnbaserade slutpunkter.
- Microsoft Entra-ansluten jämfört med Microsoft Entra-hybrid som är ansluten till molnbaserade slutpunkter.
- Självstudie: Konfigurera en molnbaserad Windows-slutpunkt med Microsoft Intune.
- Anvisningar: Planera implementeringen av Din Microsoft Entra-anslutning.
- Ett ramverk för transformering av Windows-slutpunktshantering.
- Lyckades med fjärranslutning med Windows Autopilot och Microsoft Entra hybridanslutning.
Stegen i den användardrivna processen är följande:
När enheten har anslutit till ett nätverk laddar enheten ned en Windows Autopilot-profil. Profilen definierar de inställningar som används för enheten. Definiera till exempel de prompter som undertrycks under OOBE.
Windows söker efter kritiska OOBE-uppdateringar. Om uppdateringar är tillgängliga installeras de automatiskt. Om det behövs startas enheten om.
Användaren uppmanas att ange Microsoft Entra-autentiseringsuppgifter. Den här anpassade användarupplevelsen visar Microsoft Entra-klientorganisationens namn, logotyp och inloggningstext.
Enheten ansluter till Microsoft Entra-ID eller Active Directory, beroende på profilinställningarna för Windows Autopilot.
Enheten registreras i Intune eller en annan konfigurerad MDM-tjänst. Beroende på organisationens behov sker den här registreringen antingen:
Under Microsoft Entra-anslutningsprocessen använder du automatisk MDM-registrering.
Före Active Directory-anslutningsprocessen.
Om det här är konfigurerat visas registreringsstatussidan (ESP).
När enhetskonfigurationsuppgifterna har slutförts loggas användaren in i Windows med de autentiseringsuppgifter som de tidigare angav. Om enheten startas om under enhetens ESP-process måste användaren ange sina autentiseringsuppgifter igen. Den här informationen bevaras inte efter omstart.
Efter inloggningen visas registreringsstatussidan för användarriktade konfigurationsuppgifter.
Om det finns några problem under den här processen kan du läsa Felsöka Översikt över Windows Autopilot.
Mer information om tillgängliga kopplingsalternativ finns i följande avsnitt:
- Microsoft Entra-anslutning är tillgängligt om enheter inte behöver ansluta till en lokal Active Directory-domän.
- Microsoft Entra-hybridanslutning är tillgängligt för enheter som behöver ansluta till både Microsoft Entra-ID och den lokala Active Directory-domänen.
Användardrivet läge för Microsoft Entra-anslutning
Följ dessa förberedelsesteg för att slutföra en användardriven distribution med Hjälp av Windows Autopilot:
Kontrollera att de användare som utför distributioner i användardrivet läge kan ansluta enheter till Microsoft Entra-ID. Mer information finns i Konfigurera enhetsinställningar i Microsoft Entra-dokumentationen.
Skapa en Autopilot-profil för användardrivet läge med önskade inställningar.
I Intune väljs det här läget uttryckligen när en profil skapas.
I Microsoft Store för företag och Partnercenter är användardrivet läge standardläget.
Om du använder Intune skapar du en enhetsgrupp i Microsoft Entra-ID och tilldelar Autopilot-profilen till den gruppen.
För varje enhet som distribueras med hjälp av användardriven distribution krävs följande extra steg:
Lägg till enheten i Windows Autopilot. Det här steget kan göras på två sätt:
Automatiskt av en OEM-tillverkare eller partner när enheten köps.
Manuellt enligt beskrivningen i Lägga till enheter i Windows Autopilot.
Tilldela en Autopilot-profil till enheten:
Om du använder dynamiska enhetsgrupper i Intune och Microsoft Entra kan den här tilldelningen utföras automatiskt.
Om du använder statiska enhetsgrupper i Intune och Microsoft Entra lägger du till enheten i enhetsgruppen manuellt.
Om du använder andra metoder, till exempel Microsoft Store för företag eller Partnercenter, tilldelar du en Autopilot-profil manuellt till enheten.
Tips
Om enhetens avsedda sluttillstånd är samhantering kan enhetsregistrering konfigureras i Intune för att aktivera samhantering, vilket sker under Autopilot-processen. Det här beteendet dirigerar arbetsbelastningsutfärdare på ett samordnat sätt mellan Configuration Manager och Intune. Mer information finns i Registrera med Autopilot.
Användardrivet läge för Microsoft Entra-hybridanslutning
Viktigt
Microsoft rekommenderar att du distribuerar nya enheter som molnbaserade med Hjälp av Microsoft Entra-anslutning. Distribution av nya enheter som Microsoft Entra-hybridanslutningsenheter rekommenderas inte, inklusive via Autopilot. Mer information finns i Microsoft Entra-ansluten jämfört med Microsoft Entra-hybrid som är ansluten i molnbaserade slutpunkter: Vilket alternativ är rätt för din organisation.
Windows Autopilot kräver att enheterna är Microsoft Entra-anslutna. För en lokal Active Directory-miljö kan enheter anslutas till den lokala domänen. Om du vill ansluta enheterna konfigurerar du Autopilot-enheter så att de är hybridanslutna till Microsoft Entra-ID.
Tips
När Microsoft pratar med kunder som använder Microsoft Intune och Microsoft Configuration Manager för att distribuera, hantera och skydda sina klientenheter får vi ofta frågor om samhantering av enheter och Hybrid-anslutna Microsoft Entra-enheter. Många kunder blandar ihop dessa två ämnen. Samhantering är ett hanteringsalternativ, medan Microsoft Entra-ID är ett identitetsalternativ. Mer information finns i Förstå hybridscenarier för Microsoft Entra och samhantering. Det här blogginlägget syftar till att klargöra Microsoft Entra-hybridanslutning och samhantering, hur de fungerar tillsammans, men inte är samma sak.
Configuration Manager-klienten kan inte distribueras när du etablerar en ny dator i användardrivet Windows Autopilot-läge för Microsoft Entra-hybridanslutning. Den här begränsningen beror på enhetens identitetsändring under Microsoft Entra-anslutningsprocessen. Distribuera Configuration Manager-klienten efter Autopilot-processen. Se Klientinstallationsmetoder i Configuration Manager för alternativa alternativ för att installera klienten.
Krav för användardrivet läge med Microsoft Entra-hybrid-ID
Skapa en Windows Autopilot-profil för användardrivet läge.
I Autopilot-profilen går du till Anslut till Microsoft Entra-ID som och väljer Microsoft Entra hybridansluten.
Om du använder Intune behövs en enhetsgrupp i Microsoft Entra-ID. Tilldela Windows Autopilot-profilen till gruppen.
Om du använder Intune skapar och tilldelar du en domänanslutningsprofil. En konfigurationsprofil för domänanslutning innehåller lokal Active Directory-domäninformation.
Enheten måste ha åtkomst till Internet. Mer information finns i nätverkskraven.
Installera Intune Connector för Active Directory.
Obs!
Intune Connector ansluter enheten till den lokala domänen. Användarna behöver inte behörighet att ansluta enheter till den lokala domänen. Det här beteendet förutsätter att anslutningsappen har konfigurerats för den här åtgärden för användarens räkning. Mer information finns i Öka gränsen för datorkonto i organisationsenheten.
Om du använder en proxy aktiverar och konfigurerar du alternativet WPAD-proxyinställningar (Web Proxy Auto-Discovery Protocol).
Utöver dessa grundläggande krav för användardriven Microsoft Entra-hybridanslutning gäller följande extra krav för lokala enheter:
Enheten har en version av Windows som stöds för närvarande.
Enheten är ansluten till det interna nätverket och har åtkomst till en Active Directory-domänkontrollant.
Den måste matcha DNS-posterna för domänen och domänkontrollanterna.
Den måste kommunicera med domänkontrollanten för att autentisera användaren.
Användardrivet läge för Microsoft Entra-hybridanslutning med VPN-stöd
Enheter som är anslutna till Active Directory kräver anslutning till en Active Directory-domänkontrollant för många aktiviteter. Dessa aktiviteter omfattar validering av användarens autentiseringsuppgifter när de loggar in och tillämpar grupprincipinställningar. Den användardrivna Autopilot-processen för Microsoft Entra-hybridanslutna enheter verifierar att enheten kan kontakta en domänkontrollant genom att pinga domänkontrollanten.
Med tillägg av VPN-stöd för det här scenariot kan Microsoft Entra-hybridanslutningsprocessen konfigureras för att hoppa över anslutningskontrollen. Den här ändringen eliminerar inte behovet av att kommunicera med en domänkontrollant. För att tillåta anslutning till organisationens nätverk levererar Intune i stället den VPN-konfiguration som krävs innan användaren försöker logga in i Windows.
Krav för användardrivet läge med Microsoft Entra-hybrid-ID och VPN
Utöver de grundläggande kraven för användardrivet läge med Microsoft Entra-hybridanslutning gäller följande extra krav för ett fjärrscenario med VPN-stöd:
En version av Windows som stöds för närvarande.
I Hybridanslutningsprofilen för Microsoft Entra för Autopilot aktiverar du följande alternativ: Hoppa över domänanslutningskontroll.
En VPN-konfiguration med något av följande alternativ:
Kan distribueras med Intune och låter användaren manuellt upprätta en VPN-anslutning från Windows-inloggningsskärmen.
Upprättar automatiskt en VPN-anslutning efter behov.
Den specifika VPN-konfiguration som krävs beror på vilken VPN-programvara och autentisering som används. För VPN-lösningar som inte kommer från Microsoft omfattar den här konfigurationen vanligtvis distribution av en Win32-app via Intune-hanteringstillägg. Den här appen skulle innehålla VPN-klientprogramvaran och all specifik anslutningsinformation. Till exempel namn på VPN-slutpunktsvärdar. Konfigurationsinformation som är specifik för providern finns i VPN-providerns dokumentation.
Obs!
VPN-kraven är inte specifika för Autopilot. Om en VPN-konfiguration till exempel implementeras för att aktivera fjärråterställning av lösenord kan samma konfiguration användas med Windows Autopilot. Den här konfigurationen skulle göra det möjligt för en användare att logga in på Windows med ett nytt lösenord när det inte finns i organisationens nätverk. När användaren loggar in och deras autentiseringsuppgifter cachelagras behöver efterföljande inloggningsförsök inte anslutning eftersom Windows använder de cachelagrade autentiseringsuppgifterna.
Om VPN-programvaran kräver certifikatautentisering använder du Intune för att även distribuera det enhetscertifikat som krävs. Den här distributionen kan göras med hjälp av intune-certifikatregistreringsfunktionerna som riktar sig mot certifikatprofilerna till enheten.
Vissa konfigurationer stöds inte eftersom de inte tillämpas förrän användaren loggar in i Windows:
- Användarcertifikat
- UWP VPN-plugin-program som inte kommer från Microsoft från Windows Store
Validering
Innan du försöker använda en Microsoft Entra-hybridanslutning med VPN är det viktigt att bekräfta att det användardrivna läget för Microsoft Entra-hybridanslutningsprocessen fungerar i det interna nätverket. Det här testet förenklar felsökningen genom att se till att kärnprocessen fungerar innan du lägger till VPN-konfigurationen.
Bekräfta sedan att Intune kan användas för att distribuera VPN-konfigurationen och dess krav. Testa dessa komponenter med en befintlig enhet som redan är hybridansluten till Microsoft Entra. Vissa VPN-klienter skapar till exempel en VPN-anslutning per dator som en del av installationsprocessen. Verifiera konfigurationen med hjälp av följande steg:
Kontrollera att minst en VPN-anslutning per dator har skapats.
Get-VpnConnection -AllUserConnectionFörsök att starta VPN-anslutningen manuellt.
RASDIAL.EXE "ConnectionName"Logga ut från Windows. Kontrollera att VPN-anslutningsikonen visas på inloggningssidan för Windows.
Flytta enheten från det interna nätverket och försök att upprätta anslutningen med hjälp av ikonen på Inloggningssidan för Windows. Logga in på ett konto som inte har cachelagrade autentiseringsuppgifter.
För VPN-konfigurationer som ansluter automatiskt kan verifieringsstegen vara olika.
Obs!
Ett vpn-nätverk med alltid aktiverat nätverk kan användas för det här scenariot. Mer information finns i Distribuera always-on VPN.
Nästa steg
- Distribuera Microsoft Entra Hybrid-anslutna enheter med Hjälp av Intune och Windows Autopilot.
- Så här registrerar du med Autopilot.
- Prova autopilothybridanslutning via VPN i ditt Azure-labb.
Relaterat innehåll
- Vad är en enhetsidentitet?.
- Läs mer om molnbaserade slutpunkter.
- Microsoft Entra-ansluten jämfört med Microsoft Entra-hybrid som är ansluten till molnbaserade slutpunkter.
- Självstudie: Konfigurera en molnbaserad Windows-slutpunkt med Microsoft Intune.
- Anvisningar: Planera implementeringen av Din Microsoft Entra-anslutning.
- Ett ramverk för transformering av Windows-slutpunktshantering.
- Förstå hybridscenarier för Azure AD och samhantering.
- Lyckades med windows Autopilot-fjärranslutning och Azure Active Directory-hybridanslutning.