Windows Autopilot voor vooraf ingerichte implementatie

Met Windows Autopilot kunnen organisaties eenvoudig nieuwe apparaten inrichten met behulp van de vooraf geïnstalleerde OEM-installatiekopieën en stuurprogramma's. Met deze functionaliteit kunnen eindgebruikers hun apparaten bedrijfsklaar maken met behulp van een eenvoudig proces.

Diagram van het OEM-proces.

Windows Autopilot kan ook een pre-inrichtingsservice bieden waarmee partners of IT-medewerkers vooraf een volledig geconfigureerde en bedrijfsklare Windows-pc kunnen inrichten. Vanuit het perspectief van de eindgebruiker is de gebruikersgestuurde ervaring van Windows Autopilot ongewijzigd, maar is het sneller om hun apparaat naar een volledig ingerichte status te krijgen.

Met Windows Autopilot voor vooraf ingerichte implementatie wordt het inrichtingsproces gesplitst. De tijdrovende gedeelten worden uitgevoerd door IT, partners of OEM's. De eindgebruiker voltooit eenvoudig een paar benodigde instellingen en beleidsregels en kan vervolgens aan de slag met het gebruik van het apparaat.

Diagram van het OEM-proces met partner.

Vooraf ingerichte implementaties gebruiken Microsoft Intune in momenteel ondersteunde versies van Windows. Dergelijke implementaties bouwen voort op bestaande gebruikersgestuurde Windows Autopilot-scenario's en ondersteunen scenario's voor gebruikersgestuurde modus voor zowel Microsoft Entra gekoppelde als Microsoft Entra hybride gekoppelde apparaten.

Voorwaarden

Naast de Vereisten voor Windows Autopilot vereist Windows Autopilot voor vooraf ingerichte implementatie ook het volgende:

  • Een momenteel ondersteunde versie van Windows.
  • Windows Pro-, Enterprise- of Education-edities.
  • Een Intune-abonnement.
  • Fysieke apparaten die ondersteuning bieden voor Trusted Platform Module (TPM) 2.0 en apparaatattest. Virtuele machines worden niet ondersteund. Het pre-inrichtingsproces maakt gebruik van zelf-implementerende mogelijkheden van Windows Autopilot, dus TPM 2.0 is vereist. Het TPM-attestationproces vereist ook toegang tot een set HTTPS-URL's die uniek zijn voor elke TPM-provider. Zie voor meer informatie de vermelding voor autopilot zelf-implementerende modus en Autopilot pre-provisioning in Netwerkvereisten.
  • Netwerkverbinding. Voor het gebruik van draadloze connectiviteit moet u regio, taal en toetsenbord selecteren voordat u verbinding kunt maken en beginnen met inrichten.
  • Een esp-profiel (statuspagina voor inschrijving) moet worden gericht op het apparaat.

Belangrijk

  • Omdat de OEM of leverancier het pre-inrichtingsproces uitvoert, vereist dit proces geen toegang tot de on-premises domeininfrastructuur van een eindgebruiker. Het pre-inrichtingsproces is in tegenstelling tot een typisch scenario Microsoft Entra hybride gekoppeld, omdat het opnieuw opstarten van het apparaat wordt uitgesteld. Het apparaat wordt opnieuw verzegeld voordat verbinding met een domeincontroller wordt verwacht en er wordt contact opgenomen met het domeinnetwerk wanneer het apparaat on-premises door de eindgebruiker wordt uitgeschakeld.

  • Zie Bekende problemen met Windows Autopilot en Problemen met het importeren en inschrijven van Autopilot-apparaten oplossen om bekende problemen en hun oplossingen te bekijken.

Voorbereiding

Apparaten die zijn gepland voor pre-inrichting, worden geregistreerd voor Autopilot via het normale registratieproces.

Als u klaar wilt zijn om Windows Autopilot uit te proberen voor vooraf ingerichte implementatie, moet u ervoor zorgen dat u eerst bestaande windows Autopilot-scenario's kunt gebruiken die door gebruikers worden gestuurd:

  • Door de gebruiker gestuurde Microsoft Entra join. Zorg ervoor dat u apparaten kunt implementeren met Windows Autopilot en deze kunt toevoegen aan een Microsoft Entra ID-tenant.

  • Gebruikersgestuurd met Microsoft Entra hybrid join. Als u de functies van Microsoft Entra hybrid join wilt inschakelen, moet u het volgende doen:

    • Apparaten implementeren met Windows Autopilot.
    • Voeg de apparaten toe aan een on-premises Active Directory domein.
    • Registreer de apparaten bij Microsoft Entra ID.

    Belangrijk

    Microsoft raadt aan om nieuwe apparaten te implementeren als cloudeigen met behulp van Microsoft Entra join. Het implementeren van nieuwe apparaten als Microsoft Entra hybride join-apparaten wordt afgeraden, ook niet via Autopilot. Zie Microsoft Entra gekoppeld versus Microsoft Entra hybride gekoppeld in cloudeigen eindpunten: welke optie is geschikt voor uw organisatie voor meer informatie.

Als deze scenario's niet kunnen worden voltooid, slaagt Windows Autopilot voor vooraf ingerichte implementatie ook niet omdat deze zich op deze scenario's voortbouwt.

Voordat u het pre-inrichtingsproces in de inrichtingsservicefaciliteit start, moet u een andere Autopilot-profielinstelling configureren met behulp van uw Intune-account. Een gedetailleerde zelfstudie over het configureren van een Autopilot-profiel voor het vooraf inrichten is beschikbaar in de volgende artikelen:

Tijdens het pre-inrichtingsproces worden alle apparaatgerichte beleidsregels van Intune toegepast. Dit beleid omvat certificaten, beveiligingssjablonen, instellingen, apps en meer, alles wat op het apparaat is gericht. Bovendien worden Win32- of LOB-apps geïnstalleerd als ze voldoen aan de volgende voorwaarden:

  • Geconfigureerd voor installatie in de apparaatcontext.
  • Toegewezen aan het apparaat of aan de gebruiker die vooraf is toegewezen aan het Autopilot-apparaat.

Belangrijk

Zorg ervoor dat u niet zowel Win32- als LOB-apps op hetzelfde apparaat richt. Zie Een Windows Line-Of-Business-app toevoegen aan Microsoft Intune voor meer informatie.

Opmerking

Selecteer de taalmodus zoals de gebruiker die is opgegeven in Autopilot-profielen om eenvoudige toegang tot de pre-inrichtingsmodus te garanderen. De fase van de technicus vóór het inrichten installeert alle apparaatgerichte apps en alle door de gebruiker gerichte, apparaatcontext-apps die zijn gericht op de toegewezen gebruiker. Als er geen toegewezen gebruiker is, worden alleen de apparaatgerichte apps geïnstalleerd. Andere door gebruikers gerichte beleidsregels worden pas toegepast wanneer de gebruiker zich aanmeldt bij het apparaat. Als u dit gedrag wilt controleren, moet u de juiste apps en beleidsregels maken die zijn gericht op apparaten en gebruikers.

Scenario's

Windows Autopilot voor vooraf ingerichte implementatie ondersteunt twee verschillende scenario's:

  • Gebruikersgestuurde implementaties met Microsoft Entra join. Het apparaat is gekoppeld aan een Microsoft Entra-tenant.

  • Gebruikersgestuurde implementaties met Microsoft Entra hybride join. Het apparaat is gekoppeld aan een on-premises Active Directory domein en afzonderlijk geregistreerd bij Microsoft Entra ID.

    Belangrijk

    Microsoft raadt aan om nieuwe apparaten te implementeren als cloudeigen met behulp van Microsoft Entra join. Het implementeren van nieuwe apparaten als Microsoft Entra hybride join-apparaten wordt afgeraden, ook niet via Autopilot. Zie Microsoft Entra gekoppeld versus Microsoft Entra hybride gekoppeld in cloudeigen eindpunten: welke optie is geschikt voor uw organisatie voor meer informatie.

Elk van deze scenario's bestaat uit twee delen, een technicusstroom en een gebruikersstroom. Op hoog niveau zijn deze onderdelen hetzelfde voor Microsoft Entra join en Microsoft Entra hybrid join. De verschillen worden voornamelijk door de eindgebruiker gezien in de verificatiestappen.

Stroom van technici

Nadat de klant of IT-Beheer alle gewenste apps en instellingen voor hun apparaten heeft bereikt via Intune, kan de pre-inrichtingstechnicus beginnen met het pre-inrichtingsproces. De technicus kan een lid van het IT-personeel, een servicepartner of een OEM zijn. Elke organisatie kan bepalen wie deze activiteiten moet uitvoeren. Ongeacht het scenario is het proces dat door de technicus wordt uitgevoerd, hetzelfde:

  • Start het apparaat op.

  • Selecteer volgende niet in het eerste OOBE-scherm (out-of-box experience) (dit kan een taalselectie, landinstellingsscherm of de Microsoft Entra aanmeldingspagina zijn. Druk in plaats daarvan vijf keer op de Windows-toets om een ander dialoogvenster met opties weer te geven. Kies in dat scherm de optie Windows Autopilot-inrichting en selecteer vervolgens Doorgaan.

  • In het scherm Windows Autopilot-configuratie wordt de volgende informatie over het apparaat weergegeven:

    • Het Autopilot-profiel dat is toegewezen aan het apparaat.

    • De naam van de organisatie voor het apparaat.

    • De gebruiker die is toegewezen aan het apparaat (indien aanwezig).

    • Een QR-code met een unieke id voor het apparaat. U kunt deze code gebruiken om het apparaat op te zoeken in Intune, wat u mogelijk wilt doen om configuratiewijzigingen aan te brengen. Wijs bijvoorbeeld een gebruiker toe of voeg het apparaat toe aan groepen die nodig zijn voor app- of beleidstargeting.

      Opmerking

      De QR-codes kunnen worden gescand met behulp van een begeleidende app. De app configureert ook het apparaat om op te geven tot wie het behoort. Het Autopilot-team heeft een opensource-voorbeeld van een begeleidende app gemaakt die kan worden geïntegreerd met Intune met behulp van de Graph API. Deze is beschikbaar op GitHub.

  • Valideer de weergegeven informatie. Als er wijzigingen nodig zijn, breng je de wijzigingen aan en selecteer je vervolgens Vernieuwen om de bijgewerkte Autopilot-profieldetails opnieuw te downloaden.

  • Selecteer Inrichten om het inrichtingsproces te starten.

Als het pre-inrichtingsproces is voltooid:

  • Er wordt een scherm met geslaagde status weergegeven met informatie over het apparaat, met inbegrip van dezelfde details die eerder zijn weergegeven. Bijvoorbeeld Autopilot-profiel, organisatienaam, toegewezen gebruiker en QR-code. De verstreken tijd voor de pre-inrichtingsstappen wordt ook opgegeven.

  • Selecteer Opnieuw verzenden om het apparaat af te sluiten. Op dat moment kan het apparaat worden verzonden naar de eindgebruiker.

Opmerking

De technicusstroom neemt gedrag over van de zelf-implementerende modus. Self-Deploying-modus gebruikt de pagina Status van inschrijving om het apparaat in een inrichtingsstatus te houden. Het apparaat met een inrichtingsstatus voorkomt dat de gebruiker naar het bureaublad gaat na de inschrijving, maar voordat de software en configuratie zijn toegepast. Als de pagina Status van inschrijving is uitgeschakeld, kan de knop opnieuw worden weergegeven voordat de software en configuratie is voltooid. Dit gedrag kan het mogelijk maken om door te gaan naar de gebruikersstroom voordat de inrichting van de technicusstroom is voltooid. Het scherm met succes valideert dat de inschrijving is geslaagd, niet dat de stroom van de technicus noodzakelijkerwijs is voltooid.

Als het pre-inrichtingsproces mislukt:

  • Er wordt een foutstatusscherm weergegeven met informatie over het apparaat, inclusief dezelfde details die eerder zijn weergegeven. Bijvoorbeeld Autopilot-profiel, organisatienaam, toegewezen gebruiker en QR-code. De verstreken tijd voor de pre-inrichtingsstappen wordt ook opgegeven.
  • Diagnostische logboeken kunnen van het apparaat worden verzameld en vervolgens opnieuw worden ingesteld om het proces opnieuw te starten.

Gebruikersstroom

Belangrijk

  • Als u ervoor wilt zorgen dat tokens correct worden vernieuwd tussen de stroom Technicus en de gebruikersstroom, wacht u ten minste 90 minuten na het uitvoeren van de technicusstroom voordat u de gebruikersstroom uitvoert. Dit scenario is voornamelijk van invloed op lab- en testscenario's wanneer de gebruikersstroom wordt uitgevoerd binnen 90 minuten nadat de technicusstroom is voltooid.

  • Naleving in Microsoft Entra ID wordt opnieuw ingesteld tijdens de gebruikersstroom. Apparaten worden mogelijk weergegeven als compatibel in Microsoft Entra ID nadat de technicusstroom is voltooid, maar vervolgens als niet-compatibel worden weergegeven zodra de gebruikersstroom wordt gestart. Geef voldoende tijd nadat de gebruikersstroom is voltooid om de naleving opnieuw te evalueren en bij te werken.

Als het pre-inrichtingsproces is voltooid en het apparaat opnieuw is verzegeld, kunt u leveren aan de eindgebruiker. De eindgebruiker voltooit het normale Windows Autopilot-proces dat door de gebruiker wordt gestuurd door de volgende stappen te volgen:

  • Schakel het apparaat in.

  • Selecteer de juiste taal, landinstelling en toetsenbordindeling.

  • Verbinding maken met een netwerk (als u Wi-Fi gebruikt). Internettoegang is altijd vereist. Als u Microsoft Entra hybrid join gebruikt, moet er ook verbinding zijn met een domeincontroller.

  • Als u Microsoft Entra join gebruikt, voert u op het aanmeldingsscherm van het merk de Microsoft Entra referenties van de gebruiker in.

  • Als u Microsoft Entra hybrid join gebruikt, wordt het apparaat opnieuw opgestart. Voer na het opnieuw opstarten de Active Directory-referenties van de gebruiker in.

    Opmerking

    In bepaalde omstandigheden kunnen Microsoft Entra referenties ook worden gevraagd tijdens een Microsoft Entra scenario voor hybride join. Bijvoorbeeld als ADFS niet wordt gebruikt.

  • Er worden meer beleidsregels en apps aan het apparaat geleverd, zoals wordt bijgehouden door de statuspagina van de inschrijving (ESP). Zodra dit is voltooid, heeft de gebruiker toegang tot het bureaublad.

De ESP van het apparaat wordt opnieuw uitgevoerd tijdens de gebruikersstroom, zodat zowel het esp van het apparaat als de gebruiker wordt uitgevoerd wanneer de gebruiker zich aanmeldt. Met dit gedrag kan de ESP andere beleidsregels installeren die aan het apparaat zijn toegewezen nadat het apparaat de technicusfase heeft voltooid.

Opmerking

Als de Microsoft Account Sign-In Assistant (wlidsvc) is uitgeschakeld tijdens de technicusstroom, wordt de Microsoft Entra aanmeldingsoptie mogelijk niet weergegeven. In plaats daarvan wordt gebruikers gevraagd de gebruiksrechtovereenkomst te accepteren en een lokaal account te maken, wat mogelijk niet het gewenste gedrag is.