現有裝置的 Windows Autopilot 部署

• 適用於:

  ✅ Windows 11, ✅ Windows 10

使用 Windows Autopilot 的新式桌面部署可協助您輕鬆地將最新版本的 Windows 部署到現有的裝置。 組織所使用的應用程式可以自動安裝。 如果 Windows 用戶數據是使用 OneDrive 進行公司或學校管理，則數據會同步處理，讓使用者可以立即繼續工作。

適用現有裝置的 Windows Autopilot 允許使用單一原生 Configuration Manager 工作順序，針對 Autopilot 使用者驅動模式重新安裝 Windows 裝置並加以佈建。 現有的裝置可以已加入內部部署網域。 最終結果是 Windows 裝置已加入 Microsoft Entra ID 或 Active Directory (Microsoft Entra 混合式加入) 。

注意事項

適用於 適用現有裝置的 Windows Autopilot 的 JSON 檔案僅支援使用者驅動 Microsoft Entra ID 和使用者驅動的混合式 Microsoft Entra Autopilot 配置檔。 JSON 檔案不支援自我部署和預先布建 Autopilot 配置文件，因為這些案例需要 TPM 證明。

不過，在 適用現有裝置的 Windows Autopilot 部署期間，如果下列條件成立：

• 在開始部署之前，裝置已經是 Windows Autopilot 裝置
• 裝置已指派 Autopilot 配置檔給它

接著，指派的 Autopilot 配置檔優先於工作順序所安裝的 JSON 檔案。 在此案例中，如果指派的 Autopilot 配置檔是自我部署或預先布建的 Autopilot 配置檔，則支援自我部署和預先布建案例。

提示

針對現有裝置使用 Autopilot 可用來將現有的混合式 Microsoft Entra 裝置轉換成 Microsoft Entra 裝置。 使用 [在 Autopilot 配置檔中將所有目標裝置轉換為 Autopilot] 設定，並不會自動將指派群組中的現有混合式 Microsoft Entra 裝置轉換成 Microsoft Entra 裝置。 此設定只會在 Autopilot 服務的指派群組中註冊裝置。

必要條件

• 目前支援的 Microsoft Configuration Manager 最新分支版本。

• 指派 Microsoft Intune 授權。

• Microsoft Entra ID P1 或 P2。

• 以OS映像方式匯入 Configuration Manager 支援的 Windows 版本。

• 執行安裝必要模組的 PowerShell 命令和腳本時，Windows Server 2012/2012 R2 需要 Windows Management Framework。

• 註冊限制不會設定為封鎖個人裝置。 如需詳細資訊，請 參閱什麼是註冊限制？：封鎖個人 Windows 裝置。

設定 [註冊狀態] 頁面 (選用)

如有需要，您可以使用 Intune 來設定適用於 Autopilot 的 ESP) 註冊狀態頁面 (。

1. 開啟 Microsoft Intune 系統管理中心。

2. 移至 [裝置註冊裝置>>] [Windows 註冊>狀態] 頁面，然後設定 [註冊狀態] 頁面。

   

3. 移至 Microsoft Entra ID > 行動 (MDM 和 MAM) Microsoft Intune > 並啟用 Windows 自動註冊。 設定部分或所有使用者的 MDM 用戶範圍。

   

安裝必要的模組

注意事項

本節中的 PowerShell 代碼段已在 2023 年 7 月更新為使用 Microsoft Graph PowerShell 模組，而不是已淘汰的 AzureAD Graph PowerShell 模組。 Microsoft Graph PowerShell 模組在第一次使用時，可能需要核准 Microsoft Entra ID 的其他許可權。 它也會更新為使用 WindowsAutoPilot 模組的更新版本強制執行。 如需詳細資訊，請參閱 AzureAD 和 重要事項：Azure AD Graph 淘汰和 PowerShell 模組淘汰。

1. 在連線到因特網的 Windows 電腦或伺服器上，開啟提升許可權的 Windows PowerShell 命令視窗。

2. 輸入下列命令來安裝和匯入必要的模組：

   Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force
   Install-Module WindowsAutopilotIntune -MinimumVersion 5.4.0 -Force
   Install-Module Microsoft.Graph.Groups -Force
   Install-Module Microsoft.Graph.Authentication -Force
   Install-Module Microsoft.Graph.Identity.DirectoryManagement -Force
   
   Import-Module WindowsAutopilotIntune -MinimumVersion 5.4
   Import-Module Microsoft.Graph.Groups
   Import-Module Microsoft.Graph.Authentication
   Import-Module Microsoft.Graph.Identity.DirectoryManagement
   

3. 輸入下列命令，並提供 Intune 系統管理認證：

   請確定指定的使用者帳戶有足夠的系統管理許可權。

   Connect-MgGraph -Scopes "Device.ReadWrite.All", "DeviceManagementManagedDevices.ReadWrite.All", "DeviceManagementServiceConfig.ReadWrite.All", "Domain.ReadWrite.All", "Group.ReadWrite.All", "GroupMember.ReadWrite.All", "User.Read"
   

   Windows 會要求具有標準 Microsoft Entra ID 窗體之帳戶的使用者名稱和密碼。 輸入使用者名稱和密碼，然後選取 [ 登入]。

   

   第一次 Intune 圖形 API 在裝置上使用時，會提示您啟用 Microsoft Intune PowerShell 讀取和寫入許可權。 若要啟用這些許可權，請 選取 [代表或您的組織同意] ，然後選取 [ 接受]。

取得現有裝置的 Autopilot 配置檔

取得 Intune 租使用者中所有可用的 Autopilot 配置檔，並以 JSON 格式顯示它們：

Get-AutopilotProfile | ConvertTo-AutopilotConfigurationJSON

請參閱下列範例輸出：

PS C:\> Get-AutopilotProfile | ConvertTo-AutopilotConfigurationJSON
{
    "CloudAssignedTenantId": "1537de22-988c-4e93-b8a5-83890f34a69b",
    "CloudAssignedForcedEnrollment": 1,
    "Version": 2049,
    "Comment_File": "Profile Autopilot Profile",
    "CloudAssignedAadServerData": "{\"ZeroTouchConfig\":{\"CloudAssignedTenantUpn\":\"\",\"ForcedEnrollment\":1,\"CloudAssignedTenantDomain\":\"M365x373186.onmicrosoft.com\"}}",
    "CloudAssignedTenantDomain": "M365x373186.onmicrosoft.com",
    "CloudAssignedDomainJoinMethod": 0,
    "CloudAssignedOobeConfig": 28,
    "ZtdCorrelationId": "7F9E6025-1E13-45F3-BF82-A3E8C5B59EAC"
}

每個配置檔都會封裝在 () { } 大括弧內。 上一個範例會顯示單一配置檔。

JSON 檔案屬性

屬性	類型	必要	描述
版本	數字	選用	識別 JSON 檔案格式的版本號碼。
CloudAssignedTenantId	GUID	必要項目	應該使用的 Microsoft Entra 租用戶標識碼。 此屬性是租使用者的 GUID，而且可以在租用戶的屬性中找到。 值不應該包含大括號。
CloudAssignedTenantDomain	String	必要項目	應該使用的 Microsoft Entra 租用戶名稱。 例如：tenant.onmicrosoft.com。
CloudAssignedOobeConfig	數字	必要項目	此屬性是位圖，顯示已設定的 Autopilot 設定。 1：SkipCortanaOptIn 2：OobeUserNotLocalAdmin 4：SkipExpressSettings 8：SkipOemRegistration 16：SkipEula
CloudAssignedDomainJoinMethod	數字	必要項目	此屬性會指定裝置應該加入 Microsoft Entra ID 或 Active Directory (Microsoft Entra 混合式加入) 。 0：Microsoft Entra 聯結 1：Microsoft Entra 混合式聯結
CloudAssignedForcedEnrollment	數字	必要項目	指定裝置應該需要 Microsoft Entra 加入和 MDM 註冊。 0：不需要 1：必要
ZtdCorrelationId	GUID	必要項目	唯一的 GUID (沒有大括弧，) 在註冊過程中提供給 Intune。 這個識別元包含在註冊訊息中做 OfflineAutopilotEnrollmentCorrelator為 。 只有在透過離線註冊向零觸控布建註冊的裝置上進行註冊時，才會出現此屬性。
CloudAssignedAadServerData	編碼的 JSON 字串	必要項目	用於商標的內嵌 JSON 字串。 它需要啟用 Microsoft Entra 組織商標。 例如： "CloudAssignedAadServerData": "{\"ZeroTouchConfig\":{\"CloudAssignedTenantUpn\":\"\",\"CloudAssignedTenantDomain\":\"tenant.onmicrosoft.com\"}}
CloudAssignedDeviceName	String	選用	名稱會自動指派給計算機。 此名稱遵循 Intune Autopilot 設定檔中設定的命名模式慣例。 也可以指定明確名稱。

建立 JSON 檔案

以 ASCII 或 ANSI 格式將 Autopilot 配置檔儲存為 JSON 檔案。 Windows PowerShell 預設為 Unicode 格式。 如果將命令的輸出重新導向至檔案，也請指定檔案格式。 下列 PowerShell 範例會以 ASCII 格式儲存盤案。 Autopilot 設定檔會出現在變數所指定資料夾下的子資料夾中 $targetDirectory 。 根據預設，變數 $targetDirectory 為 C:\AutoPilot，但可視需要變更為另一個位置。 子資料夾具有來自 Intune 的 Autopilot 設定檔名稱。 如果有多個 Autopilot 配置檔，則每個配置檔都有自己的子資料夾。 在每個資料夾中，都有一個名為的 JSON 檔案 AutopilotConfigurationFile.json

Connect-MgGraph -Scopes "Device.ReadWrite.All", "DeviceManagementManagedDevices.ReadWrite.All", "DeviceManagementServiceConfig.ReadWrite.All", "Domain.ReadWrite.All", "Group.ReadWrite.All", "GroupMember.ReadWrite.All", "User.Read"
$AutopilotProfile = Get-AutopilotProfile
$targetDirectory = "C:\Autopilot"
$AutopilotProfile | ForEach-Object {
    New-Item -ItemType Directory -Path "$targetDirectory\$($_.displayName)"
    $_ | ConvertTo-AutopilotConfigurationJSON | Set-Content -Encoding Ascii "$targetDirectory\$($_.displayName)\AutopilotConfigurationFile.json"
}

提示

使用 PowerShell Cmdlet Out-File 將 JSON 輸出重新導向至檔案時，預設會使用 Unicode 編碼。 此 Cmdlet 可能也會截斷長行。 使用 Set-Content Cmdlet 搭配 -Encoding ASCII 參數來設定適當的文字編碼。

重要事項

檔名必須是 AutopilotConfigurationFile.json ，並編碼為 ASCII 或 ANSI。

配置檔也可以儲存至文字檔，並在記事本中編輯。 在記事本中，選擇 [另 存新檔] 時，選取 [另存新檔] 類型： [所有檔案]，然後選擇 [ANSI ] 進行 編碼。

儲存盤案之後，請將它移至 Microsoft Configuration Manager 封裝來源的位置。

重要事項

組態檔只能包含一個配置檔。 您可以使用多個 JSON 設定檔，但每個檔案都必須命名為 AutopilotConfigurationFile.json。 此需求是讓 OOBE 遵循 Autopilot 體驗。 若要使用多個 Autopilot 配置檔，請建立個別的 Configuration Manager 套件。

如果檔案是使用下列其中一個準則儲存：

• Unicode 編碼
• UTF-8 編碼
• 檔名以外的 AutopilotConfigurationFile.json

然後 Windows OOBE 不會遵循 Autopilot 體驗。

建立包含 JSON 檔案的套件

1. 在 Configuration Manager 控制台中，移至 [軟體連結庫] 工作區，展開 [應用程式管理]，然後選取 [套件] 節點。

2. 在功能區上，選取 [ 建立套件]。

3. 在 [建立套件和程序精靈] 中，輸入套件的下列詳細數據：

   • 名稱： 現有裝置設定的 Autopilot
   • 選 取 [此套件包含原始程序檔]
   • 來源資料夾：指定包含檔案的 AutopilotConfigurationFile.json UNC 網路路徑

   如需詳細資訊，請參閱 Configuration Manager 中的套件和程式。

4. 針對程式，選取 [程序類型： 不要建立程式]

5. 完成精靈。

注意事項

如果在日後變更 Intune 中的用戶驅動 Autopilot 配置檔設定，請務必重新建立並更新 JSON 檔案。 更新 JSON 檔案之後，重新發佈相關聯的 Configuration Manager 封裝。

建立目標集合

1. 在 Configuration Manager 控制台中，移至 [資產與兼容性] 工作區，然後選取 [裝置集合] 節點。

2. 在功能區上，選取 [ 建立]，然後選擇 [ 建立裝置集合]。 您也可以使用現有的集合。 如果使用現有的集合，請繼續進行 建立工作順序一 節。

3. 在 [建立裝置集合精靈] 中，輸入下列 [ 一般 ] 詳細數據：

   • 名稱： 現有裝置集合的 Autopilot
   • 批注：新增選擇性批注以進一步描述集合
   • 限制集合： 所有系統 或如有需要，則為替代集合。

4. 在 [ 成員資格規則] 頁面上，選取 [ 新增規則]。 指定直接或查詢式集合規則，以將目標 Windows 裝置新增至新的集合。

   例如，如果要抹除並重載之計算機的主機名是 PC-01，且 Name 是做為 屬性：

   1. 選 取 [新增規則]，選取 [直接規則] 以開啟 [建立直接成員資格規則精靈]，然後在 [歡迎] 頁面上選取 [ 下一步 ]。

   2. 在 [資源 搜尋] 頁面上，輸入PC-01作為 [值]。

   3. 選取 [下一步]，然後在 [資源] 中選取 [PC-01]。

5. 使用預設設定完成精靈。

如需詳細資訊，請參閱如何在 Configuration Manager 中建立集合。

建立工作順序

1. 在 Configuration Manager 控制台中，移至 [軟體連結庫] 工作區，展開 [操作系統]，然後選取 [工作順序] 節點。

2. 在 [ 常用] 功能區上，選取 [ 建立工作順序]。

3. 在 [建立新工作順序] 頁面上，選取 [部署 適用現有裝置的 Windows Autopilot] 選項。

4. 在 [ 工作順序資訊 ] 頁面上，指定下列資訊：

   • 工作順序的名稱。 例如， 現有裝置的 Autopilot。
   • 選擇性地新增描述，以更清楚地描述工作順序。
   • 選取開機映像。 如需支持開機映像版本的詳細資訊，請參閱在 Configuration Manager 中支援 Windows ADK。

5. 在 [ 安裝 Windows] 頁面上，選取 [Windows 映射] 套件。 然後設定下列設定：

   • 影像索引：依組織需求選取 [企業]、[教育] 或 [專業]。

   • 在 安裝作業系統之前，啟用 [分割並格式化目標計算機] 選項。

   • 設定工作順序以搭配 Bitlocker 使用：如果啟用此選項，工作順序會包含啟用 BitLocker 所需的步驟。

   • 產品金鑰：如果需要為 Windows 啟用指定產品金鑰，請在這裡輸入。

   • 選取下列其中一個選項，以在 Windows 中設定本機系統管理員帳戶：

     • 隨機產生本機系統管理員密碼，並在所有支援平臺上停用帳戶 (建議的)
     • 啟用帳戶並指定本機系統管理員密碼

6. 在 [ 設定網络 ] 頁面上，選取 [ 加入工作組] 選項。

   重要事項

   現有裝置的 Autopilot 工作順序會執行 準備 Windows 以進行擷取 步驟，其使用 Windows 系統準備工具 (Sysprep) 。 如果裝置已加入網域，此動作會失敗。

   Sysprep 會使用 /Generalize 參數執行，在目前支援的 Windows 版本上會刪除 Autopilot 配置檔檔案。 裝置接著會開機進入 OOBE 階段，而不是 Autopilot。 若要修正此問題，請參閱 Windows Autopilot - 已知問題：適用現有裝置的 Windows Autopilot 不適用於 Windows 10 版本 1903 或 1909。

7. 在 [ 安裝組態管理員] 頁面上，為環境新增任何必要的安裝屬性。

8. [ 包含更新] 頁面預設會選取 [不要安裝任何軟體更新] 選項。

9. 在 [ 安裝應用程式] 頁面上，可以選取要在工作順序期間安裝的應用程式。 不過，Microsoft 建議您使用此案例來鏡像簽章影像方法。 使用 Autopilot 布建裝置之後，請套用來自 Microsoft Intune 或 Configuration Manager 共同管理的所有應用程式和設定。 此程式可在接收新裝置的使用者與使用 適用現有裝置的 Windows Autopilot的用戶之間提供一致的體驗。

10. 在 [ 系統準備] 頁面上，選取包含 Autopilot 組態檔的套件。 根據預設，工作順序會在執行 Windows Sysprep 之後重新啟動電腦。 您也可以選取 [在此工作順序完成之後關閉計算機 ] 的選項。 此選項可讓您準備裝置，然後傳遞給使用者以獲得一致的 Autopilot 體驗。

11. 完成精靈。

適用現有裝置的 Windows Autopilot 工作順序會導致裝置加入 Microsoft Entra ID。

如需建立工作順序的詳細資訊，包括其他精靈選項的資訊，請參閱 建立工作順序以安裝OS。

如果檢視工作順序，則套用現有的OS映像類似於預設工作順序。 此工作順序包含下列額外步驟：

• 套用 Windows Autopilot 設定：此步驟會從指定的套件套用 Autopilot 組態檔。 這不是新類型的步驟，它是複製檔案的執行 命令行 步驟。

• 準備 Windows 以進行擷取：此步驟會執行 Windows Sysprep，並設定為在 執行此動作之後關閉電腦。 如需詳細資訊，請 參閱準備 Windows 以進行擷取。

如需編輯工作順序的詳細資訊，請 參閱使用工作順序編輯器 和 工作順序步驟。

注意事項

準備 Windows 以進行擷取步驟會AutopilotConfigurationFile.json刪除檔案。 如需詳細資訊和因應措施，請參閱 Windows Autopilot - 已知問題：適用現有裝置的 Windows Autopilot 不適用於 Windows 10 版本 1903 或 1909。

若要確定在 Windows 升級之前已備份用戶的數據，請使用 OneDrive 進行公司或學校 已知資料夾移動。

將內容發佈至發佈點

接下來，將工作順序所需的所有內容發佈至發佈點。

1. 選取 現有裝置的 Autopilot 工作順序，然後在功能區中選取 [ 發佈內容]。

2. 在 [ 指定內容目的地 ] 頁面上，選取 [ 新增 ] 以指定 發佈點 或 發佈點群組。

3. 指定可讓裝置取得內容的內容目的地。

4. 指定內容發佈之後，請完成精靈。

如需詳細資訊，請 參閱管理工作順序以自動化工作。

部署 Autopilot 工作順序

1. 選取 現有裝置的 Autopilot 工作順序，然後在功能區中選取 [ 部署]。

2. 在 [部署軟體精靈] 中，指定下列詳細數據：

   • 一般

     • 工作順序： 現有裝置的 Autopilot

     • 集合： 現有裝置集合的 Autopilot

   • 部署設定

     • 動作： 安裝。

     • 目的： 可用。

     • 可供下列專案使用：僅 Configuration Manager 用戶端。

       注意事項

       在這裡選擇與測試內容相關的選項。 如果目標用戶端未安裝 Configuration Manager 代理程式或 Windows，則必須透過 PXE 或開機媒體啟動工作順序。

   • 排程

     • 設定此部署可用的時間

   • 用戶體驗

     • 選 取 [顯示工作順序進度]

   • 發佈點

     • 部署選項： 在執行中工作順序需要時，於本機下載內容

3. 完成精靈。

完成部署程式

1. 在目標 Windows 裝置上，移至 [ 開始 ] 功能表，輸入 Software Center，然後開啟它。

2. 在 [軟體連結庫] 的 [ 操作系統] 下，選取 [現有裝置的 Autopilot]，然後選取 [ 安裝]。

工作順序會執行並執行下列動作：

1. 下載內容。

2. 將裝置重新啟動至 WinPE。

3. 格式化磁碟驅動器。

4. 從指定的OS映像安裝 Windows。

5. 準備 Autopilot。

6. 工作順序完成之後，裝置會開機進入 OOBE 以獲得 Autopilot 體驗：

注意事項

如果裝置需要加入 Active Directory 作為 Microsoft Entra 混合式聯結案例的一部分，請勿透過工作順序和套用網路設定工作來執行此動作。 請改為建立 網域加入 裝置組態配置檔。 由於沒有 Microsoft Entra 裝置物件可讓電腦執行群組型目標，因此請將配置檔的目標設為 [所有裝置]。 如需詳細資訊，請參閱 Microsoft Entra 混合式聯結的用戶驅動模式。

註冊 Windows Autopilot 的裝置

使用 Autopilot 布建的裝置只會在第一次開機時收到引導式 OOBE Autopilot 體驗。

在現有裝置上更新 Windows 之後，請務必註冊裝置，使其在電腦重設時具有 Autopilot 體驗。 您可以在指派給裝置所屬群組的 Autopilot 配置檔中，使用 [將 所有目標裝置轉換為 Autopilot ] 設定，為裝置啟用自動註冊。 如需詳細資訊，請 參閱建立 Autopilot 部署配置檔。

另請參閱 將裝置新增至 Windows Autopilot。

注意事項

一般而言，目標裝置不會向 Windows Autopilot 服務註冊。 如果裝置已註冊，則指派的配置檔優先。 現有裝置配置檔的 Autopilot 僅適用於在線配置檔逾時時。

如何加速部署程式

若要加速部署程式，請參閱 適用於現有裝置的 Windows Autopilot 部署：加速Autopilot 教學課程的部署程式一節。

教學課程

如需設定 適用現有裝置的 Windows Autopilot 的詳細教學課程，請參閱下列文章：

Intune 和 Configuration Manager 中現有裝置的 Windows Autopilot 部署逐步教學課程

相關文章

• 新的 Windows Autopilot 功能和擴充的合作夥伴支援可簡化新式裝置部署。