以無訊息方式設定使用者帳戶

本文適用于 IT 系統管理員,當部署新的 OneDrive 同步處理應用程式時,想要以無訊息方式設定使用者帳戶 (OneDrive.exe) 于其企業中的受管理 Windows 電腦。 這項功能適用于已加入 Azure Active Directory (Azure AD) 的電腦。

如果您啟用這項功能,OneDrive.exe 會嘗試以無訊息的方式 (,而不使用使用者互動) 登入 Windows 的「公司或學校」使用者帳戶, (稱為 Windows 主要帳戶) 。 該 Windows 帳戶必須是 Azure Active Directory (AAD) 帳戶或透過混合式驗證設定連結到 AAD 帳戶 (請參閱下列必要條件) 。

在 OneDrive.exe 開始同步之前,它會檢查可用的磁碟空間。 若同步處理使用者的整個 OneDrive 會導致可用空間降至低於 1 GB,或者大小超過您在 [未啟用檔案隨選即用的裝置]) 中 (設定的閾值,OneDrive 將會提示使用者選擇要同步處理的資料夾。如需使用群組原則設定這個閥值的詳細資訊,請參閱設定可自動下載之使用者的 OneDrive 大小上限。 

當使用者在同步處理應用程式中設定時,如果相同的使用者帳戶正在同步處理檔案與舊版的商務用 OneDrive 同步處理應用程式 (Groove.exe) ,則新的同步處理應用程式 (OneDrive.exe) 會嘗試對這些檔案進行同步處理。

重要

我們建議您在設定同步處理應用程式時啟用無訊息帳戶組態。 請參閱所有設定同步處理應用程式的建議

必要條件

您必須先將裝置加入 Azure AD,才可啟用無提示帳戶設定。 您可以加入執行 Windows 10 的裝置,並直接 Windows Server 2016 至 Azure AD。 若要深入瞭解,請參閱將 您的工作裝置加入您的組織網路

如果您有使用 Active Directory 的內部部署環境,您可以啟用 混合 AZURE ad 聯結裝置 ,將網域上的裝置加入至 Azure AD。 裝置必須執行下列其中一個作業系統:

  • Windows 10 
  • Windows 8.1 
  • Windows 7 
  • Windows Server 2019
  • Windows Server 2016 
  • Windows Server 2012 R2 
  • Windows Server 2012 
  • Windows Server 2008 R2

如果您要將內部部署的 Active Directory 與 Azure AD 同盟,您必須使用 AD FS 來啟用此功能。 如需使用 Azure AD 連線的相關資訊,請參閱使用 express 設定連線使用 AZURE ad 的快速入門

注意

如需詳細資訊,請參閱 how to configure 混合 Azure Active Directory join 裝置。 若要檢查加入狀態和修正問題,請參閱 疑難排解混合式 AZURE AD join 裝置

啟用無訊息設定

如果網路上的電腦已加入至內部部署 Active Directory,您可以使用網域群組原則設定無提示的帳戶設定。

使用群組原則:

  1. 啟用無提示帳戶設定。 如需詳細資訊,請參閱以無訊息方式登入使用者的 OneDrive 同步處理 app 與其 Windows 認證

  2. (選用)指定將會自動在無訊息設定中下載的 OneDrive 大小上限。 如需詳細資訊,請參閱設定可自動下載之使用者的 OneDrive 大小上限。 如果您根據需要啟用檔案,OneDrive 將會略過大小上限值。

  3. (選用)設定 OneDrive 資料夾的預設位置。 如需詳細資訊,請參閱設定 OneDrive 資料夾的預設位置

提示

請參閱下列的 驗證 SilentAccountConfig 一節,以驗證及疑難排解您的設定。

注意

對於需要多重要素驗證的使用者,無訊息帳戶組態無法在裝置上運作。 選取協力廠商身分識別提供者 (IdPs) 支援,但有警告。 如需詳細資訊,請務必檢查 AZURE AD federation 相容性清單

如果網路上的電腦未連線至 Active Directory 內部部署,但只是 Azure AD,我們建議使用 Intune 和 Microsoft PowerShell 腳本,設定啟用無提示帳戶設定所需的登錄機碼。 請確定您已設定 Windows 10 裝置的自動註冊

使用腳本:

$HKLMregistryPath = 'HKLM:\SOFTWARE\Policies\Microsoft\OneDrive'##Path to HKLM keys
$DiskSizeregistryPath = 'HKLM:\SOFTWARE\Policies\Microsoft\OneDrive\DiskSpaceCheckThresholdMB'##Path to max disk size key
$TenantGUID = 'xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx'

if(!(Test-Path $HKLMregistryPath)){New-Item -Path $HKLMregistryPath -Force}
if(!(Test-Path $DiskSizeregistryPath)){New-Item -Path $DiskSizeregistryPath -Force}

New-ItemProperty -Path $HKLMregistryPath -Name 'SilentAccountConfig' -Value '1' -PropertyType DWORD -Force | Out-Null ##Enable silent account configuration
New-ItemProperty -Path $DiskSizeregistryPath -Name $TenantGUID -Value '102400' -PropertyType DWORD -Force | Out-Null ##Set max OneDrive threshold before prompting

Windows影像準備需求

SilentAccountConfig 會在 SilentAccountConfig 成功布建 OneDrive.exe 中的使用者之後,建立 SilentBusinessConfigCompleted 登錄專案一次。 這樣可避免 SilentAccountConfig 在使用者手動停止同步處理時,在 OneDrive.exe 中 reprovisioning 使用者。

如果 SilentAccountConfig 已在您要用來建立 Windows 部署映射的主機電腦上成功完成,則 (例如 SysPrep) ,您必須先確定此登錄機碼已移除,再準備映射。 您可以執行下列命令來執行此動作:

reg delete HKCU\Software\Microsoft\OneDrive /v SilentBusinessConfigCompleted /f

驗證 SilentAccountConfig

Microsoft 365 中 SharePoint 的指示:

  1. 在 OneDrive 中取消連結所有的現有商務實例。

  2. 清除以前成功之任何無提示商務 Config 執行的登錄:

    reg delete HKCU\Software\Microsoft\OneDrive /v SilentBusinessConfigCompleted /f
    
  3. 設定無提示的 Config 原則登錄專案 (必須從管理員 CMD 視窗執行) :

    reg add HKLM\SOFTWARE\Policies\Microsoft\OneDrive /v SilentAccountConfig /t REG_DWORD /d 0x1 /f
    
  4. 登出 Windows (Ctrl + Alt + Delete 登出) 。

  5. 登入 Windows。

  6. 不久您應該會在工作列的通知區域看到藍色的雲端圖示。 選取此圖示應該會顯示活動中心快顯視窗,顯示來自第一個同步處理的現行/最近活動。如果是的話,SilentAccountConfig 已正確運作。

  7. 如果您看到「設定 OneDrive」畫面,SilentAccountConfig 無法以無訊息方式登入或失敗,原因是另一個原因。 重複執行這些步驟,以確認您是否正確完成這些步驟。 遵循本文稍後的「 驗證單一登入 (SSO) 步驟,確認 SSO 不是問題。 收集同步應用程式記錄以傳送給工程小組以尋求進一步的協助。

SharePoint Server 2019 的指示

  1. 在繼續之前,請確定您可以手動取得 OneDrive 同步處理應用程式,以將內容與您的內部部署 SharePoint Server 2019 同步處理。 如需詳細資訊,請參閱Configure sync app for sync with SharePoint Server 進行同步處理

  2. 將 SharePointOnPremPrioritization 登錄機碼值設為 1 (這可確保 SharePoint 伺服器優先于 Microsoft 365 中的 SharePoint,刪除登錄機碼,以在 SharePoint Microsoft 365 中還原為) :

    reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\OneDrive /v SharePointOnPremPrioritization /t REG_DWORD /d 0x1 /f
    
  3. 針對 Microsoft 365 中的 SharePoint,遵循先前程式中的步驟1到6。

  4. 若改為,您會看到「設定 OneDrive」畫面,SilentAccountConfig 無法以無訊息方式登入或失敗的另一個原因。 重複執行這些步驟,確認您是否已正確完成。 收集同步應用程式記錄以傳送給工程小組以尋求進一步的協助。

若要防止無訊息的商務用 Config:

reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\OneDrive /v SilentAccountConfig /f

驗證單一登入 (SSO) 是否正常運作

SilentAccountConfig 失敗的最常見原因是,不會有使用者互動的認證 OneDrive.exe。 請遵循下列步驟,判斷是否為案例中的問題。

如果您有電腦,則假設應該與 SilentAccountConfig 搭配使用,您可以手動驗證 SSO 運作是否正確,以確保已正確設定環境。

  1. 執行下列命令,暫時強制 ADAL 開啟:

    reg add HKCU\Software\Microsoft\OneDrive /v EnableADAL /t REG_DWORD /d 1 /f
    
  2. 在 [工作管理員] 的 [詳細資料] 索引標籤中關閉任何執行中的 OneDrive.exe 程式 (確認],以 Ctrl + Shift + Esc)

  3. [開始] 功能表 OneDrive,您應該會看到 [設定 OneDrive ] 畫面 ((如果不取消連結/停止同步處理任何業務帳戶及從) 開始)。

  4. 輸入使用者用來登入 Windows 的相同電子郵件地址 (try alias@domain 和 domain\alias forms) 。

  5. 選取 [登入] 按鈕。

  6. 對話方塊應切換至具有旋轉圖示的「登入」頁面,幾秒內。 然後,它應該繼續前往嚮導的下一個部分,而不要求密碼。

  7. 如果未出現密碼提示,則表示您的授權環境已正確設定,且 SilentAccountConfig 應為您的使用者運作。

  8. 如果您看到密碼提示,環境並未正確設定為無訊息登錄。 這可能是因為電腦已加入網域的方式 (問題。例如,信任關係問題) 、ADFS 設定的問題,以及要求使用者互動的 Azure AD 條件式存取原則,您未提供用來登入 Windows 的使用者電子郵件地址,或其他一些原因。 您必須先解決任何封鎖無提示之開啟的情況,SilentAccountConfig 才能為您運作。

  9. 移除您在步驟1中新增的 EnableADAL 機碼:

    reg delete HKCU\Software\Microsoft\OneDrive /v EnableADAL /f
    

注意

使用 SilentAccountConfig 時,您不需要指定 EnableADAL = 1。 這只是在上述步驟中手動測試 SSO 時所需要,我們會以手動方式登入 (,而不是使用 SilentAccountConfig 登入) 。 不過,如果您想要讓手動設定 OneDrive 同步處理的使用者受益于 SSO,以最小化輸入同步處理密碼的頻率,您可以在使用者的電腦上部署 EnableADAL 機碼。