用戶驅動 Microsoft Entra 混合式聯結：建立並指派用戶驅動 Microsoft Entra 混合式聯結 Autopilot 配置檔

• 適用於:

  ✅ Windows 11, ✅ Windows 10

Autopilot 用戶驅動 Microsoft Entra 混合式聯結步驟：

• 步驟 1：設定 Windows 自動 Intune 註冊
• 步驟 2：安裝 Intune 連接器
• 步驟 3： 增加組織單位 (OU) 中的電腦帳戶限制
• 步驟 4： 將裝置註冊為 Autopilot 裝置
• 步驟 5： 建立裝置群組
• 步驟 6： 設定及指派 Autopilot 註冊狀態頁面 (ESP)

• 步驟 7：建立和指派 Microsoft Entra 混合式聯結 Autopilot 配置檔

• 步驟 8： 設定及指派網域加入配置檔
• 步驟 9： 將 Autopilot 裝置指派給使用者 (選擇性)
• 步驟 10： 部署裝置

如需 Windows Autopilot 使用者驅動 Microsoft Entra 混合式聯結工作流程的概觀，請參閱 Windows Autopilot 使用者驅動 Microsoft Entra 混合式聯結概觀

建立並指派用戶驅動 Microsoft Entra 混合式聯結 Autopilot 配置檔

Autopilot 配置檔會指定如何在 Windows 安裝期間設定裝置，以及 OOBE) (現成體驗期間所顯示的內容。

當系統管理員為用戶驅動案例建立 Autopilot 配置檔時，具有此 Autopilot 配置檔的裝置會與註冊裝置的使用者相關聯。 註冊裝置需要使用者認證。

Microsoft Entra 加入與 Microsoft Entra 混合式加入之間的差異在於，Microsoft Entra 混合式加入案例會在 Autopilot 期間同時加入內部部署網域和 Microsoft Entra ID。 用戶驅動 Microsoft Entra 聯結案例只會在 Autopilot 期間聯結 Microsoft Entra ID。

提示

對於 Configuration Manager 系統管理員而言，Autopilot 配置檔類似於透過 unattend.xml 檔案在工作順序期間發生的一些設定。 unattend.xml 檔案是在 [套用 Windows 設定 ] 和 [套用網络設定] 步驟期間 設定的 。 不過請注意，Autopilot 不會使用 unattend.xml 檔案。

若要建立使用者驅動 Microsoft Entra 混合式聯結 Autopilot 配置檔，請遵循下列步驟：

1. 登入 Microsoft Intune 系統管理中心。

2. 在 [ 首頁] 畫面中，選取左側窗格中的 [ 裝置 ]。

3. 在 [ 裝置] 中 |概觀 畫面， 在 [依平臺] 底下，選取 [Windows]。

4. 在 Windows 中 |Windows 裝置 畫面，選取 [Windows 註冊]。

5. 在 [Windows Autopilot Deployment 程式] 底下，選取 [部署配置檔]。

6. 在 [Windows Autopilot 部署配置檔] 畫面中 ，選取 [ 建立配置檔>Windows 計算機]。

7. [ 建立配置檔 ] 畫面隨即開啟。 在 [ 基本] 頁面中：

   1. 在 [ 名稱] 旁，輸入 Autopilot 配置檔的名稱。

   2. 在 [ 描述] 旁，輸入描述。

   3. 選取 [下一步]。

      注意事項

      將 [ 將所有目標裝置轉換為 Autopilot ] 選項設定為 [是]。 雖然本教學課程著重於使用硬體哈希手動將裝置匯入為 Autopilot 裝置的新裝置，但將 Autopilot 配置檔指派給包含現有裝置的裝置群組時，此選項會很有説明。 例如，此選項在使用 適用現有裝置的 Windows Autopilot 案例時很有説明，因為在 Autopilot 部署完成之後，現有的裝置可能需要註冊為 Autopilot 裝置。 如需詳細資訊，請 參閱註冊 Windows Autopilot 的裝置。

8. 在 [ 全新體驗 (OOBE) 頁面中：

   • 針對 [部署模式]，選取 [用戶驅動]。

   • 針對 [加入 Microsoft Entra ID 身分]，選取 [Microsoft Entra 混合式聯結]。 選取此選項之後，此選項下方的數個選項將會變更。

   • 針對 [略過 AD 連線能力檢查]，選取 [ 否]。 本教學課程的這一節假設正在執行 Autopilot 的裝置是內部部署內部用戶端，可直接連線到內部部署網域和域控制器。 如需需要 VPN 連線的內部部署/因特網案例，請參閱 內部部署/因特網案例和 VPN 連線。

   • 針對 [Microsoft 軟體授權條款]，選取 [隱藏 ] 以略過 [EULA] 頁面。

   • 針對 [隱私權設定]，選取 [隱藏 ] 以略過隱私權設定。

   • 針對 [隱藏變更帳戶選項]，選取 [ 隱藏]。

   • 針對 [用戶帳戶類型]，選取使用者 (系統 管理員 或 標準 使用者) 所需的帳戶類型。 如果選擇 [系統管理員]，則會將使用者新增至本機 管理員 群組。

   • 針對 [允許預先布建的部署]，選取 [ 否]。

     注意事項

     如需適用於預先布建部署 Microsoft Entra 混合式聯結案例的 Windows Autopilot，請參閱 Windows Autopilot 的逐步教學課程，以在 Intune 中預先布建部署 Microsoft Entra 混合式聯結

   • 針對 [語言 (區域) ，選取 [ 操作系統預設值 ] 以使用所設定操作系統的默認語言。 如果需要另一種語言，請從下拉式清單中選取所需的語言。

   • 針對 [自動設定鍵盤]，選取 [ 是 ] 略過鍵盤選取頁面。

   • 針對混合式聯結案例，[套用裝置名稱] 範本會呈現灰色 Microsoft Entra。 雖然不是那麼強固，但是可以在設定 和指派網域加入配置檔 步驟期間指定裝置名稱。

   注意事項

   已選取上述設定，以將裝置設定期間所需的用戶互動降至最低。 不過，某些隱藏的設定可以視需要顯示。 例如，某些區域可能需要一律顯示 隱私權設定 。

   注意事項

   如果將語言/地區和鍵盤畫面設定為隱藏，如果 Autopilot 部署開始時沒有網路連線，則可能仍會顯示它們。 這些畫面會顯示，因為部署開始時沒有網路連線，無法下載 Autopilot 配置檔，其中已指定隱藏這些畫面的設定。 建立網路連線后，就會下載 Autopilot 配置檔，而且任何其他畫面設定應該如預期般運作。

9. 在 [全新 體驗] ([OOBE ) ] 頁面中的選項依需要設定之後，請選取 [ 下一步]。

10. 在 [ 指派] 頁面中 ：

    1. 在 [ 包含的群組] 下，選擇 [ 新增群組]。

    注意事項

    請務必在 [ 包含的群組 ] 下新增正確的裝置群組，而不是在 [ 排除的群組] 下新增。 不小心在 [ 排除的群組 ] 下新增所需的裝置群組，可防止這些裝置群組中的裝置接收 Autopilot 配置檔。

    1. 在 [ 選取要包含的群組] 視窗中，選取應該指派 Autopilot 配置檔的群組。 此裝置群組 (的) 通常是 在上一 個建立裝置群組步驟中建立的裝置群組 () 。 完成後，選取 [選取]。

    2. 在 [包含的群組群組>] 底下，確定已選取正確的群組 (的) ，然後選取 [下一步]。

11. 在 [ 檢閱 + 建立] 頁面中，檢閱並確認已視需要設定所有設定，然後選擇 [ 建立 ] 以建立 Autopilot 配置檔。

確認裝置已指派 Autopilot 配置檔給它

部署裝置之前，請確定已將 Autopilot 配置檔指派給裝置所屬的裝置群組。 在 Autopilot 配置檔指派給裝置群組之後，或在裝置新增至裝置群組之後，將 Autopilot 配置檔指派給裝置可能需要一些時間。 若要確認配置檔已指派給裝置，請遵循下列步驟：

1. 登入 Microsoft Intune 系統管理中心。

2. 在 [ 首頁] 畫面中，選取左窗格中的 [ 裝置 ]。

3. 在 [ 裝置] 中 |概觀 畫面， 在 [依平臺] 底下，選取 [Windows]。

4. 在 Windows 中 |Windows 裝置 畫面，選取 [Windows 註冊]。

5. 在 [Windows Autopilot Deployment 程式] 底下，選取 [裝置]。

6. 在開啟的 Windows Autopilot 裝置 畫面中：

   1. 尋找需要檢查 Autopilot 部署配置檔指派狀態所需的裝置。

   2. 找到裝置之後，其目前的狀態會列在 [ 配置文件狀態] 數據 行底下。 狀態具有下列其中一個值：

      • 未指派：Autopilot 部署配置檔未指派給裝置。

      • 指派：將 Autopilot 部署配置檔指派給裝置。

      • 指派：Autopilot 部署配置檔會指派給裝置。

      • 修正擱置中：當裝置發生硬體變更時，此狀態會在 Intune 嘗試註冊新硬體時顯示。 選取 [ 修正暫止 狀態] 的連結時，會出現下列訊息：

        我們在此裝置上偵測到硬體變更。 我們正嘗試自動註冊新的硬體。 您現在不需要執行任何動作;下次簽入結果時，狀態將會更新。

        如果 Intune 能夠成功註冊新的硬體，Intune 會在裝置下次簽入 Intune 時更新配置文件狀態。 如需 修正擱置 狀態的詳細資訊，請參閱下列文章：

        • 重新建立映像至較舊的OS版本之後，不會套用 Autopilot 配置檔。
        • 傳回 Windows Autopilot 登入和部署體驗的重要功能。
        • Windows Autopilot 主機板更換案例指引

      • 需要注意：如果 Intune 在裝置上發生硬體變更之後無法註冊新的硬體，則在裝置重設並重新註冊裝置之前，裝置無法接收 Autopilot 配置檔。 如需此狀態以及如何取消註冊/重新註冊裝置的詳細資訊，請參閱下列文章：

        • 重新建立映像至較舊的OS版本之後，不會套用 Autopilot 配置檔。
        • 傳回 Windows Autopilot 登入和部署體驗的重要功能。
        • Windows Autopilot 主機板更換案例指引
        • 取消註冊裝置

      在裝置上啟動 Autopilot 部署程式之前，請確定在 [Windows Autopilot 裝置 ] 頁面中：

      • 裝置的 配置檔狀態 為 [已指派]。
      • 在裝置的屬性中， 指派的日期 具有值。
      • 在裝置的屬性中， 指派的配置檔 會顯示預期的 Autopilot 配置檔。

注意事項

Intune 定期檢查指派裝置群組中的新裝置，然後開始將配置檔指派給這些裝置的程式。 由於 Autopilot 配置檔指派程式涉及數個不同的因素，因此指派的估計時間可能會因案例而異。 這些因素可能包括 Microsoft Entra 群組、成員資格規則、裝置哈希、Intune 和 Autopilot 服務，以及因特網連線。 指派時間會根據特定案例中涉及的所有因素和變數而有所不同。

內部部署/因特網案例和 VPN 連線能力

Windows Autopilot 使用者驅動 Microsoft Entra 混合式加入支持無法直接連線到 Active Directory 和域控制器的外部部署/因特網案例。 不過，外部部署/因特網案例並不會消除在加入網域期間連線到 Active Directory 和域控制器的需求。 在非部署/因特網案例中，可以在 Autopilot 程式期間透過 VPN 連線建立對 Active Directory 和域控制器的連線。

對於需要 VPN 連線的內部部署/因特網案例，Autopilot 配置檔中唯一的變更是略過 AD 連線檢查設定。 在 [建立並指派使用者驅動 Microsoft Entra 混合式聯結 Autopilot 配置檔] 區段中，[略過 AD 連線能力] 檢查設定應設定為 [是]，而不是 [否]。 將此選項設定為 [是 ] 可防止部署失敗，因為在建立 VPN 連線之前，不會直接連線到 Active Directory 和域控制器。

除了在 Autopilot 配置檔中將 [略過 AD 連線能力檢查 ] 設定變更為 [ 是 ] 之外，VPN 支援也依賴下列必要條件：

• 您可以使用 Intune 部署和安裝 VPN 解決方案。
• VPN 解決方案必須支援下列其中一個選項：
  • 讓使用者從 Windows 登入畫面手動建立 VPN 連線。
  • 視需要自動建立 VPN 連線。

VPN 解決方案必須在 Autopilot 程式期間透過 Intune 安裝和設定。 如果 VPN 解決方案需要，設定必須包含部署任何必要的裝置憑證。 在裝置上安裝並設定 VPN 解決方案之後，使用者就可以自動或手動建立 VPN 連線，此時可能會發生網域加入。 如需有關 Autopilot 期間 VPN 解決方案的詳細資訊和支援，請參閱個別的 VPN 廠商。

注意事項

不支援某些 VPN 組態，因為在使用者登入 Windows 之前，不會起始連線。 不支援的 VPN 設定包括：

• 使用用戶憑證的 VPN 解決方案
• 來自 Windows 市集的非 Microsoft UWP VPN 外掛程式

下一個步驟：設定和指派網域加入配置檔

步驟 8：設定及指派網域加入配置檔

其他相關資訊

如需設定 Autopilot 配置檔的詳細資訊，請參閱下列文章 (的) ：

• 設定 Autopilot 設定檔

• 使用 VPN 支援 Microsoft Entra 混合式加入的用戶驅動模式
• BYO VPN