本站域名:http://goxia.maytide.net or http://sufan.maytide.net
移动设备请访问:http://goxia.maytide.net/m转载文章,请务必保留出处与作者信息,未经许可严禁用于商业用途!
WDS 变更部署支持
WDS 变更部署支持
在 Windows 11 发布后,微软也公布了 Windows 部署服务(WDS)的最新支持说明 - https://docs.microsoft.com/zh-cn/windows/deployment/wds-boot-support ,大致意思是通过 WDS 的 PXE 加载 Windows 11 的 Boot.wim 来实施 Windows Setup 时,该方案将不再受支持。 如下图所示,进入 PE 环境后会有一个否决通知,且无法跳过,只能重启动。(PS:通过测试在此界面下仍能调出 CMD)
在说明文档中提给出了详细的受影响的部署方案,说实话看了半天也没完全理解,尤其是在做过实验之后。
gOxiA 的实验是这样的,以 VM 方式安装了一台 Windows Server 2022,然后分别导入了 Win 10、11 和 2022 的 Boot.wim,然后又分别导入了它们的 Install.wim,执行部署测试。
如果选择 Windows 11 的 Boot.wim 启动,会出现文章前面提到的的“否决通知”;选择 Windows 10 的 Boot.wim 启动,则如以往一样正常安装映像。
但选择 Windows Server 2022 的 Boot.wim 启动虽然也会显示“否决通知”,但仍可以通过点击“下一页”跳过,并正常安装映像。
从目前的测试看,限制仅仅是 Boot.wim 中的 Setup 程序会检测是否基于 WDS PXE 启动,并给出对应的“否则通知”,还并没有基于 WDS 本身进行限制,还允许一段时间的过渡期。但从另一篇文档(Windows Server 2022 已删除或不再开发的功能)中可以了解到,WDS 的操作系统部署功能将逐渐弃用,并建议企业 IT 桌面交付部门尽快使用 Configuration Manager 或 MDT 进行桌面系统的交付。
HOWTO: 离线方式安装 WSL2 Ubuntu
HOWTO: 离线方式安装 WSL2 Ubuntu
离线方式安装 WSL2 Ubuntu 只是一种比较极端的场景,使用的方案是从一台已安装了 WSL2 Ubuntu 的设备上使用 WSL 的导出功能将其导出为一个 tar 文件,然后再导入到目标设备上。当然,我们也可以先下载好 WSL 的 Linux 发行版,然后使用 Add-AppxPackage 安装。例如:
以下是目前支持的 WSL 发行版:
- Ubuntu 20.04
- Ubuntu 20.04 ARM
- Ubuntu 18.04
- Ubuntu 18.04 ARM
- Ubuntu 16.04
- Debian GNU/Linux
- Kali Linux
- SUSE Linux Enterprise Server 12
- SUSE Linux Enterprise Server 15 SP2
- openSUSE Leap 15.2
- Fedora Remix for WSL
要从设备上导出已安装的发行版,可以使用 WSL 的 --export 参数,例如:
要将导出的发行版成功安装并运行在目标计算机上,还需要做一些额外的准备。首先,启用“适用于 Linux 的 Windows 子系统”,可使用命令行或图形界面。
因为我们的目标是要运行 WSL2 模式,所以还需要启用“虚拟机平台”,也可以使用命令行。
Windows 功能层面准备完毕后还没有完,因为目标设备不能联网,还需要手动下载和安装 Linux 内核更新包,以便能够支持 WSL2。
现在准备工作完毕,我们可以打开 CMD,将 WSL2 设置为默认版本。
至此,我们可以开始导入 Linux 发行包,使用 --import 参数,需提供发行名称,要安装到的路径,导出的发行包所在路径,以及指定为 WSL2 版本。
HOWTO: 通过 Intune 分发 WinGet 测试版
HOWTO: 通过 Intune 分发 WinGet 测试版
WinGet 即 Windows 程序包管理器,官方解释为一个综合的程序包管理解决方案,由一个命令行工具和一组用于在 Windows 10 上安装应用程序的服务组成,主要面向开发人员或 ISV。对于企业 ITer 来说,如果你使用过这个工具就会发现它有无限潜能,因为我们可以利用 WinGet 实现应用程序的自动安装、升级等管理功能。如果希望了解 WinGet 的有关资讯,可以参考 gOxiA 之前的分享 “体验新的 Windows 程序包管理器”。
由于 WinGet 还处于预览版阶段,所以并不是每一台 Windows 10 计算机都具备这个功能。根据微软官方目前的介绍,有三种方案可以获取到 WinGet:
1. 参加 Windows 程序包管理器预览体验计划,然后从 微软应用商店 下载 Windows 应用安装程序,即可开始体验 WinGet。
2. 参加 Windows Insider 项目,只要升级到了 Insider 版本,系统会内置 WinGet 可直接使用。
3. 下载 WinGet 安装包,手动安装 WinGet。
本次分享将基于第三个方案,即下载 WinGet 安装包,然后通过 Intune 分发给 Windows 客户端,这样就能很轻松的部署或安装应用程序。首先访问 WinGet 项目页面,下载 msixbundle 格式的安装包。
接下来,通过 Microsoft Endpoint Manager 管理中心(Intune Portal)添加应用,应用类型为“LOB”即“业务线应用”,此类型可用于分发 msi、appx、appxbundle、msix 和 msixbundle 安装包。在选择应用包文件后,向导会执行依赖检测,如下图所示,要成功安装该应用,客户端计算机上必须已经安装 VCLibs 组件。如果无法确认客户端的组件安装情况,可手动上传这些组件。
对于 Microsoft VCLibs 可以从下面的网页获取上传即可。
C++ Runtime framework packages for Desktop Bridge:https://docs.microsoft.com/en-us/troubleshoot/cpp/c-runtime-packages-desktop-bridge
应用信息中根据实际需求填写相关信息即可,没有特别之处。
在 分配应用 这里,考虑到是面向系统层面的应用,且希望所有设备都安装,所以采用了“Required”选项,分配给了所有设备。
至此,配置结束!非常期待 Windows 11 里的 NewStore 尽快开放,因为预示着 Android 应用的到来!!!
HOWTO: 通过 Intune 为客户端配置以无提示方式登录 OneDrive
HOWTO: 通过 Intune 为客户端配置以无提示方式登录 OneDrive
如果企业客户端已经通过 Intune 来管理有一段时间,可能会注意到当用户完成 Autopilot,登录系统会发现 OneDrive 并没有自动配置,处于未登录状态,客户如果启动 OneDrive 会出现配置向导,需要完成账户登录验证等一系列的配置。早先有热心的 ITer 分享了一些经验,例如通过修改注册表或使用脚本来实现自动配置。随着微软不断完善 Intune 中的配置文件,现在终于原生支持配置 OneDrive 了!
如果你正打算为客户端实现以无提示方式登录 OneDrive,那么今天这篇分享将揭晓答案。在 Intune 设备配置文件中微软已经在“模板 - 管理模板”中添加了对“OneDrive”的支持。
在“计算机配置 - OneDrive”下,请启用“让客户使用 Windows 凭据以无提示方式登录 OneDrive 同步应用”,并根据需要启用“使用 OneDrive文件随选”,这个功能在启用后会仅以联机模式运行,可以避免将所有 OneDrive 文件同步回本地所引发的一些连锁问题。
相信随着 Intune 的不断完善,可令 ITer 更轻松快速的将基于本地管理的客户端切换至云端。如果你希望了解 GPO 在 Intune 下的支持情况,可以参考这篇文档 https://goxia.maytide.net/read.php/2003.htm,其中有提及如何利用 Intune 的 “组策略分析”功能来确认 Intune 当前对 GPO的支持情况和进度。如果你在关注 Intune 的发展或功能更新,推荐收藏并定期浏览 “Intune 新增功能”。
Windows 11 启用或删除的功能
Windows 11 弃用或删除的功能
微软在公布 Windows 11 后,用户可以通过 Windows Insider 获取到开发测试版以体验这个全新的操作系统。对于企业 IT 桌面的交付人员,他们更关注的是 Windows 11 带来了哪些改变?!因为需要确保在持续的交付过程中不会严重影响到最终用户。接下来快速了解一下在 Windows 11中哪些功能会被弃用或删除,以评估我们可能受影响的使用中的关键功能。
- Cortana 将不再包含在 OOBE 过程中,以及固定在任务栏中。
- 使用 MSA (Microsoft Account)登录时,桌面壁纸将不会再同步或从其他设备上同步回来。
- Internet Explorer 已禁用,默认推荐为 Microsoft Edge,如果网站需要 IE 访问可考虑使用 Edge 中的 IE Mode。
- 数学输入面板已删除。数学识别器可通过按需安装,包括数学输入控制和识别器。对于 OneNote 等应用中的数学模拟不会受到此更改影响。
- 新闻和兴趣已经演变为小组件,默认可在任务栏左侧找到该图标。
- 锁屏中的“快速状态”和相关设置已被删除。
- S Mode仅适用于 Windows 11 的家庭版。
- “开始”在 Windows 11 中显著更改,不再支持命名应用组和文件夹,布局当前无法重新部署。从Windows 10 升级时,固定的应用和站点不会迁移。实时磁贴特性不再可用。
- 平板电脑模式已删除。
- 任务栏功能已更改,不再包含人脉;某些图标不再出现在系统栏;任务栏只支持屏幕底部停靠;应用不能再自定义任务栏区域。
- 时间线 已被删除
- 以下应用在升级时不会删除,但将不再安装在新设备上,或在执行全新安装的 Windows 11 上,但可以从应用商店下载它们。
详情也可参考官方文档:https://www.microsoft.com/en-us/windows/windows-11-specifications#primaryR4
如果您仍在继续关注 Windows 10,也可以从以下文档了解其不再开发的功能或删除的功能。
HOWTO:解决基于 Intune 管理的 Bitlocker 无法创建恢复密码和密钥
HOWTO:解决基于 Intune 管理的 Bitlocker 无法创建恢复密码和密钥
通过 Intune 我们可以在 Endpoint Manager 管理中心的“终结点安全性”下对客户端的“磁盘加密”进行管理。目前支持固定驱动器、可移动驱动器、OS 驱动器,以及基本设置的管理配置。
但不当的配置也会对客户端的正常部署造成困扰,正如本例所要分享的,IT人员希望借助“磁盘加密”策略实现客户端自动化静默启用 Bitlocker,但结果并不如人意。你可以看到如下图所示,设备在经历 Autopilot 配置进入系统桌面后,系统栏弹出磁盘加密的需求提示,当点击这个通知会弹出“是否已准备好开始加密?”的向导。
根据提示,确认没有安装和使用第三方的加密软件,但执行结果却失败了!提示“无法创建恢复密码和恢复密钥……”。此时,我们可以通过“事件查看器”,在“应用程序和服务日志 - Microsoft - Windows - Bitlocker-API - Management”下找到线索,可从下方截图中看到 ID 4103 的记录,Error Message 为“组策略设置不允许创建恢复密码”!!!既然是组策略的问题,且客户端是基于 Intune 管理的,那就要回到 Endpoint Manager 管理中心来排查。
检查磁盘加密策略,在“Bitlocker - OS 驱动器设置”下找到“系统驱动器恢复” - “恢复密码创建”,确认该配置为“允许”。
这是一个典型的配置问题,为避免不必要的错误发生,我们还是需要预先阅读各选项的详细说明,了解其设计意图和使用条件。
HOWTO: 通过 Intune 解决 BitLocker 启用 PIN 支持时的 0x803100B5 问题
HOWTO: 通过 Intune 解决 BitLocker 启用 PIN 支持时的 0x803100B5 问题
早先 gOxiA 分享了"HOWTO: 解决 BitLocker 启用 PIN 时的 0x803100B5 问题",如果你所在的组织已经开始基于 Intune 实施现代管理,并希望借助 Intune 下发策略来为客户端 BitLocker 启用 PIN 支持,那么暂时可能会有些小问题,你会发现找遍所有配置文件类型都没有提供“启用 BitLocker 身份验证需要在平板电脑上预启动键盘输入”(Enable use of Bitlocker auth requiring preboot keyboard - OSEnablePrebootInputProtectorsOnSlates)这个配置选项,不论是现有的配置文件模板,还是管理模板,即使是可自定义的 CSP。
借助 Intune 提供的“组策略分析”功能,可以了解 Intune 当前对组织在应用的 GPO 的支持情况和进度,如下图所示,可确认 Intune 目前尚未提供 OSEnablePrebootInputProtectorsOnSlates 的支持。
解决方案
既然现有配置策略没有提供 OSEnablePrebootInputProtectorsOnSlates 的支持,那就只能使用下发 PowerShell 脚本实现。我们知道 GPO 配置对应相关注册表键值,我们只需要借助 PowerShell 向注册表写入键值即可,以下脚本可作为参考:
PowerShell 脚本文件准备完毕后便可转向 Intune 管理后台 Microsoft Endpoint Manager admin center,在“设备”下找到“脚本”即可添加。
需要注意的是因为注册表键值位于 HKLM 下,所以无需启用“使用已登录的凭据运行此脚本”,后面跟随向导完成即可,至此 BitLocker 启用 PIN 支持的 Intune 策略添加完毕,当我们使用 Intune 进行策略下发时如果没有可用的配置文件或 CSP,则需要借助 PowerShell 以脚本方式变通实现。
HOWTO: 解决 BitLocker 启用 PIN 时的 0x803100B5 问题
HOWTO: 解决 BitLocker 启用 PIN 时的 0x803100B5 问题
如果你所在的组织正在实施 BitLocker + TPM + PIN 的多验证方式来保护员工硬盘上的数据,可能会遇到如下图所展示的问题,在添加 PIN 时会发生一个错误,代码为:0x803100B5,即:“没有检测到预启动键盘。用户可能无法提供必要的输入来解锁卷。”
出现该问题的设备通常是平板二合一类型的 Windows PC,由于键盘能够被拆卸,预启动环境又没有提供虚拟触摸键盘的支持,可能会导致在解锁时用户无法输入密钥。要解决这个问题也非常简单,我们只需要修改组策略(GPO)即可。使用 gpedit.msc 或 gpmc.msc 打开组策略编辑器,定位至“ 计算机配置 - 策略 - 管理模板 - Windows 组件 - BitLocker 驱动器加密 - 操作系统驱动器 ”,“启用 BitLocker 身份验证需要在平板电脑上预启动键盘输入”。如下图所示:
如果需要通过注册表实现,可参考如下信息:
Key: HKLM\Software\Policies\Microsoft\FVE
Value: OSEnablePrebootInputProtectorsOnSlates
Type: DWORD
Enabled Value (decimal): 1
HOWTO: 使用 Intune 为 Windows PC 部署 LOB 应用
HOWTO: 使用 Intune 为 Windows PC 部署 LOB 应用
趁热打铁,昨天 gOxiA 分享了“HOWTO: 使用 Intune 为 Windows PC 部署 Microsoft Store 应用”,今天我们继续 Intune 部署应用的话题,来聊聊使用 Intune 来部署 LOB 应用。LOB 即 业务线(Line-of-business)应用,它通常是一个单独的安装/应用包,如 .msi、.appx、.appxbundle,或是 .msix 和 .msixbundle。其中 MSI 大家都应该很熟悉了,是 Windows 标准的安装包格式,它通常是所谓的 Win32 应用,支持静默安装和高级安装选项,非常适合于企业部署使用;而 appx 和 appxbundle 即 Microsoft Store 中的应用包,属于 UWP 类型应用程序,利用这种应用包文件,可离线安装或脱离 Microsoft Store 来安装 UWP 应用;后者的 msix 和 msixbundle 是微软最新推出的安装包格式。
本例 gOxiA 将会介绍分发 UWP 应用包(.appx & .appxbundle)的方法。首先您需要从组织的软件供应商那里获取到 appx 或 appxbundle 格式的应用包,如果它们已经发布到了 Microsoft Store 中,已经具有 MSfB 的 IT 管理员便可以从中下载这些应用包。(你可能觉得此举有些多余,其实在某些场景下确实需要通过这个 Workaround 来获取和分发 UWP 应用,这里就不点透了!)
获取到应用包后,便可以前往 Microsoft Endpoint Manager admin center 进行添加,如果你在持续关注 gOxiA 的 Intune 主题文章,应该已经对添加应用不再陌生,这里就不再复述步骤只提重点。在应用类型中选择“业务线应用”,然后上传应用包文件,此时你会看到如下图类似的界面,会提示此应用包还需要其他依赖项应用文件,需要逐个添加后才能确保该应用包安装完毕后可以正常运行。
应用包添加完毕后,就会看到应用信息的必填项都会自动带入,我们仅需要额外的配置其他信息,并添加应用 Logo 图片文件即可。
重点来了,在分配选项中,现在就能看到 Required 和 Available for enrolled devices 选项。
到这里,使用 Intune 分发应用的“道路”上又前进了一步。参考文档:Add a Windows line-of-business app to Microsoft Intune | Microsoft Docs
HOWTO: 使用 Intune 为 Windows PC 部署 Microsoft Store 应用
HOWTO: 使用 Intune 为 Windows PC 部署 Microsoft Store 应用
如果之前你阅读过“HOWTO: 从 Microsoft Store for Business 删除应用”,应该会对 Intune 部署 Microsoft Store for Business(以下简称MSfB)应用有一定的了解,而今天要与大家分享的是通过 Intune 部署 Microsoft Store 应用。两者的区别在于 MSfB 除了可以通过 Company Portal(公司门户)和 Microsoft Store 来获取安装外,还支持强制部署(Required),这样应用就可以直接推送安装给设备或用户,无需用户再去选择安装;而后者 Microsoft Store 应用仅支持用户选择安装(Available for enrolled devices),即发布的应用必须由用户通过 Company Portal 去触发安装。很显然 MSfB 更适用于企业,但该服务目前并不是在所有区域可用,所以折中的选择只有 Microsoft Store,当然如果你的企业已经获得了 LOB App(.appx, .appxbundle, .msix, .msixbundle, .msi),也将会支持 Required 模式,gOxiA 将在以后分享这些内容。
言归正传,要使用 Intune 部署 Microsoft Store 应用(以下简称:MSStore App)十分简单,首先要获取到 MSStore App 的 URL,如果你已经在一台 Windows PC 上安装了这款应用,则可以通过鼠标右键单击应用,然后选择“更多”下的“共享”。
之后系统会自动打开 Microsoft Store 应用并定位到这款应用信息页面,还会弹出共享对话框,在对话框中单击“复制链接”,此时并没有结束,必须要打开浏览器粘贴并访问此 URL,并获取浏览器地址栏中的 URL 才可以添加到 Intune 中,根据需要可以将应用的 Logo 图片保存到本地以备后用。
现在访问 Microsoft Endpoint Manager admin center,定位至 应用 - Windows 应用下,添加应用选择 Microsoft Store 应用 类型,标星号的文本框为必填项,名称和发行者可以根据应用实际信息填写,说明部分由于支持 Markdown 格式,所以需要先点击“编辑说明”才能输入内容;应用商店 URL 便是我们前面获取到的最终的应用 URL,如果输入错误的格式会有提示信息;这里还建议直接将应用归类,并根据需要设定为特色应用,这样当用户打开 Company Portal 时就能在醒目的位置看到它;还记得前面让保存的 Logo 图片吗,可以将其上传这样用户就能更直观的获取到应用的信息。
在“分配”配置页面中,我们会看到当前只有一个选项,即:可用于已注册的设备(Available for enrolled devices),并支持分配个特定组或所有用户。所以你会留意到 MSStore App 存在诸多限制,其实并不适合企业用户部署。
MSStore App 添加完毕后可以在应用列表中看到,下图中可以看到 MSStore App 和 MSfB App 两种类型。
现在用户就可以启动 Company Portal 来选择安装应用,如果在前面我们将它设定为特色应用,则会看到如下图类似的排版。
