logo_intune

使用 21v Microsoft Intune 部署 Windows 设备

        今天的分享不会涉及太多技术细节,之所以会聊到这个话题是因为有不少网友咨询“21v Intune 不支持 Autopilot,无法部署 Windows 设备”!!!gOxiA 认为这句话一半对,一半错。为什么会这么讲的?!首先我们先了解一下 21v Intune(由世纪互联运行的Intune)中的功能差异,官方的描述如下:

由于中国境内的服务由中国境内的合作伙伴运营,因此在 Intune 中存在一些功能差异。

  • 由世纪互联运营的 Intune 仅支持独立部署。 客户可以使用共同管理将其现有 Configuration Manager 部署附加到 Microsoft Intune 云。
  • 不支持从公有云迁移到主权云。 有兴趣迁移到由世纪互联运营的 Intune 的客户必须手动迁移。
  • 目前不支持租户附加功能(无需注册即可将设备同步到 Intune 以支持云控制台方案)。
  • 由世纪互联运营的 Intune 不支持派生凭据。
  • 通过使用现代 MDM 渠道支持 Windows 10 的管理。
  • 由世纪互联运营的 Intune 不支持本地 Exchange Connector。
  • Windows Autopilot 和企业应用商店功能当前不可用
  • Microsoft Endpoint Manager 终结点分析和 Log Analytics 功能当前不可用。
  • 由于 Google 移动服务在中国不可用,因此由世纪互联运营的 Intune 中的客户无法使用需要 Google 移动服务的功能。 这些功能包括:
    • Google Play 保护机制功能(如 SafetyNet 设备证明)。
    • 从 Google Play 商店管理应用。
    • Android Enterprise 功能。 有关详细信息,请参阅此 Google 文档
  • 适用于 Android 的 Intune 公司门户 应用使用 Google 移动服务与Microsoft Intune服务进行通信。 由于 Google Play 服务在中国不可用,因此某些任务最长可能需要 8 小时才能完成。 有关详细信息,请参阅此文章
  • 为了遵守本地法规和提供改进的功能,Intune 客户端体验(公司门户应用)在中国可能有所不同。
  • 隔离不可用。
  • 移动应用管理 (MAM) 的可用性取决于这些应用在中华人民共和国的可用性。
  • 由世纪互联运营的 Intune 不支持企业设备的 Android (AOSP) 管理。
  • 由世纪互联运营的Intune不支持移动威胁防御 (MTD) 连接器,适用于 Android 和 iOS 设备的 MTD 供应商。
  • 由世纪互联运营的Intune不支持合作伙伴设备管理与适用于 macOS 设备的 Jamf 集成。

原文来源:https://learn.microsoft.com/zh-cn/mem/intune/fundamentals/china | Microsoft Learn       

        gOxiA 特别对上文进行了标注,我们先来看 Windows Autopilot,这个功能其实理解起来还是比较难的,最终用户或企业IT会容易误解,甚至其内部人员恐怕也经常误解。从官方文档描述来看 Windows Autopilot 是一组用于设置和预配置新设备以让它们可供高效使用的技术,它为 IT 和最终用户简化了从初始部署到生命周期结束的 Windows 设备生命周期。其过程是最初部署新的 Windows 设备时,Windows Autopilot 使用 OEM 优化的 Windows 客户端版本。此版本预安装在设备上,因此无需为每个设备型号维护自定义映像和驱动程序。现有 Windows 安装可以转换为“业务就绪”状态,而不是重新映像设备,它可以:

  • 应用设置和策略
  • 安装应用
  • 更改用于支持高级功能的 Windows 版本。例如,从 Windows Pro 到 Windows Enterprise。

进程概述。

        部署后,可以使用以下方法管理 Windows 设备:

  • Microsoft Intune
  • 适用于企业的 Windows 更新
  • Microsoft Endpoint Configuration Manager
  • 其他类似工具

原文来源:https://learn.microsoft.com/zh-cn/mem/autopilot/windows-autopilot | Microsoft Learn

        是否能理解 Windows Autopilot,比较抽象并且会先入为主出现一些误解!那再读读这篇 https://www.microsoft.com/zh-cn/microsoft-365/blog/2018/06/07/simplifying-it-with-the-latest-updates-from-windows-autopilot/

        如果还是没能理解,好吧!我们从 IT 桌面交付这个维度来看,Windows Autopilot 解决了我们桌面标准化过程中的设备交付流程问题,引导设备和用户按照企业标准进行配置。

        那回到我们的问题上来,21v Intune 没有 Windows Autopilot 是不是就无法做设备交付,或配置设备?不然,只是我们无法实现完整的,自动化的,引导式的交付流程。但对于我们的设备交付来讲,如果仅仅是为了满足能够基于 Internet 来推送 Windows 配置,安全策略,软件,甚至脚本……那么 21v Intune 完全可以支持,下面我们就用一张图来展示说明。

21v_intune

        如果您有什么想法或问题,欢迎来询!

logo_intune

Windows Autopilot for pre-provisioned deployment (Public preview)

        看到这个标题不要兴奋,不要慌张,Pre-Provisioned deployment(预先预配部署)虽然是个新名词,但内容还是老的,其实它就是过去我们讲的 Windows Autopilot 的 white glove(白手套)模式,还记得它的概念和功能吗?!我们来复习一下。

        过去我们要交付设备时,OEM 阶段仅会提供 Windows 映像和对应的设备驱动,此外可能会包含一些预装的应用软件,例如:Office 365,或其他第三方软件。在设备交付到企业最终用户前,会由企业 IT 桌面部门的人员进行标准化的配置,有些会利用传统的部署方式重灌映像;也有用动态部署方式基于 OEM 系统进行标准化的定制,例如在 OOBE 阶段加载 PPKG 完成标准化软件的安装以及系统环境的配置;目前更多的企业正利用现代部署方式 - Intune,来赋予 Internet 部署企业标准客户端的能力,利用 Intune 我们将 Internet 作为载体,运送企业的标准化应用和策略到设备端,利用 Intune 提供的 Windows Autopilot 还可以在 OOBE 阶段引导客户完成桌面环境的标准化部署。在这个场景下,我们通常会使用“用户驱动模式”来执行 Autopilot,但该方案有一个可能的问题会降低设备最终用户的部署体验,因为设备最终用户拿到设备开机进入 OOBE 执行 Autopilot 时会通过 Internet 获取所有设备所需的标准化软件安装源以及相关的策略配置,这会消耗不少的时间。

        如果我们能添加一个阶段,可以在 OOBE 阶段无需用户登录,而由 OEM 或 Partner 或 IT 人员发起一个预先配置操作,就可以提前将软件或策略下载并部署到设备上,这样一来交付到设备最终用户手上时,OOBE 和 Autopilot 就会大大的加快部署时间,减少了等待,从而提升了用户的体验。

        Pre-provisioned deployment 应运而生,它拆分了 Windows Autopilot 的预配过程,将耗时的部分由 OEM、Partner 或 IT 人员完成,最终用户只需完成一些必要的设置和策略。

image

        在 OOBE 阶段,按下五次 Windows 键即可激活 Pre-provisioned deployment,它将从 Intune 应用所有面向设备的策略,这包括:证书、安全模板、设置、应用等任何针对设备的内容;还将安装分配给设备上下文,以及已分配用户的应用(Win32或LOB)。

image

        要使用 Pre-provisioned deployment 也同样需要创建配置文件,它基于 User-Driven,只需要在配置中启用“Allow pre-provisioned deployment”即可,如下图所示:

image

        此外,Pre-provisioned deployment 对于设备终端也有一定的要求:

1. Windows 10 1903或更高版本

2. Windows 的专业版、企业版和教育版

3. Intune 订阅必不可少

4. 除了要支持 TPM 2.0 以外,还需要 TPM 支持“证明”(attestation),在证明过程中还需要访问一组对应特定的 HTTPS URL

image

5. 需要有线网络,不支持 Wi-Fi 连接(有 Workaround

        Pre-provisioned deployment 在成功执行后会有一个绿色的界面显示结果,否则将显示红色的界面,如果您所在的企业设备已经满足相关的要求,并在实施 Windows Autopilot,不妨考虑一下 Pre-provisioned deployment。

image

logo_intune

Intune Windows 功能更新部署 - 逐渐推出更新

        Intune 为 Windows 功能更新部署提供了一个新选项,即:逐渐推出更新Make updates available gradually),按照官方的解释是:“逐渐推出更新有助于在配置的一系列时间内分配更新的可用性,Windows 更新在不同时间向策略所针对的不同设备子集提供更新。与同时向所有设备提供更新相比,此选项可以降低对网络的影响。”那么我们该如何理解这个选项呢?!

如下图所示,我们在 Intune 中创建了一个 Windows 的功能更新策略,计划将设备系统升级到 Windows 11,因为选择了“逐渐推出更新”选项,我们需要指定“第一组可用性”,即向接收此策略的设备提供更新的第一天;还需要指定“最终组的可用性”,即最后一天;最后还要指定一个“组之间的天数”,这个可以理解为间隔期,本例设置为3天。

image

        这样配置之后,即2月14日到2月24日的11天中,每3天将被分割为1个组,这样就有了4个更新组。然后 Windows 更新会随机将目标设备分配给组,使组保持大小均匀进行更新。

        如果在下发策略后变更了日期,Windows 更新将根据需要重新计算要使用的组数;如果 最终组可用性 的日期变更为过去,则会尽快为所有剩余设备提供更新;如果 第一个组可用性 的日期变更为未来,则已提供更新的设备将保留更新内容,且新设备在该新的开始日期之前不会收到更新内容。

        如果策略分配变更为添加或删除设备,那新设备将分发到剩余的更新组中;对于不再被策略作为目标但已提供更新的设备,Windows 更新会尝试收回更新内容,但是如果设备已经开始处理该更新内容,则无法收回。

        最后,我们在快速看一下该策略下的其他两个选项,都是相对容易理解的。其中“尽快提供更新”即更新对设备没有延迟,为Windows更新的默认行为;“在特定日期提供更新”,即指定一个更新的日期,在此之前不会向设备推送更新。

分页: 10/23 第一页 上页 5 6 7 8 9 10 11 12 13 14 下页 最后页 [ 显示模式: 摘要 | 列表 ]