本站域名:http://goxia.maytide.net or http://sufan.maytide.net
移动设备请访问:http://goxia.maytide.net/m转载文章,请务必保留出处与作者信息,未经许可严禁用于商业用途!
M365 Apps for enterprise 预安装要点
M365 Apps for enterprise 预安装要点
当企业 IT 需要将 Microsoft 365 Apps(以下简称 Office365)作为标准化映像的一部分,就需要进行预安装。很多 IT 都会产生疑问,对于 Click-to-Run 模式的 Office 该如何进行预安装呢?今天 gOxiA 将快速与大家分享其中的一个要点。
首先我们先回顾一下 Office365 的安装方式,OEM 设备通常会预装 Office365,其运行模式为 Click-to-Run,对于 OEM 如果要在设备预装系统中集成 Office365 则需要使用 OPK,该工具包需要微软授权。另一种方式,是用户访问 Office365 网站下载 Setup.exe 在线安装,其运行模式同样为 Click-to-Run。对于企业,会由 IT 人员通过 ODT(Office Deployment Tool)下载 Office365 安装源,然后生成安装配置文件,格式为 XML,然后使用 ODT 为设备端安装,其运行模式同样为 Click-to-Run。
回到正题!
1. Office365 支持作为操作系统映像的一部分。
2. 需要通过 ODT 进行安装,不支持从 Office365 门户下载 Setup.exe 工具进行安装。
3. 需要事先通过 ODT 将安装源下载到本地进行安装。
4. 为防止安装期间尝试自动激活,需要修改 Office365 的安装配置文件,确保如下设置。
5. 可以静默安装
6. Office365 安装完毕后请勿打开任何 Office 程序(PS:一旦打开会安装临时密钥),可以使用如下命令检测密钥。
7. 请勿保存测试计算机的映像。
Intune 下发 OneDrive 配置文件错误 65000
Intune 下发 OneDrive 配置文件错误 65000
更多的企业开始采用 Intune 基于现代部署和管理模式去运维组织内的客户端设备,虽然 Intune 不断在完善,但生态内相关产品的支持或者说可用性方面还是有些小小的延迟,并且给出的问题说明也不是非常容易理解,就需要一系列的排查验证。例如今天要分享的内容,当为一个设备组下发了一个 OneDrive 的配置文件后,出现了问题!在 Intune Portal 中排查配置文件,发现了错误。如下图所示,给出了 UnknownSetting 的提示,错误代码为65000。
看起来像个未知设置,但错误代码 65000 搜到任何线索,初步判断可能是配置文件中的策略不被目标系统所支持,为了进一步的确认,只能在目标设备上排查事件日志,找到了五条事件记录。
在以上两条记录中可以看到为 OneDrive 配置的两个带宽限制策略,结果都为:系统找不到指定文件,看似CSP URI路径无效。继续看其他几条事件可以注意到ADMX引入时遭到拒绝,明确给出了0x80070005代码,而ADMX在引入时是被阻止了。结合目标设备上的系统 SKU,可确认 OneDrive 的策略目前不受支持。
HOWTO: 在 Windows 11 上体验 Android 应用
❤️ 
HOWTO: 在 Windows 11 上体验 Android 应用
微软公司合乎情理,但出乎意料的公众发布了 Windows 11,除了界面发生了巨大的改变外,在一些功能特性上也做出了创新,更加包容,更加开放。现在除了可以在 Windows 平台上运行 Subsystem for Linux 以及支持 GUI,现在更是带来了 Subsystem for Android,也就是说我们可以在 Windows 11 平台上运行 Android 系统环境,这也意味着我们可以在 Windows 11 平台上直接运行 Android Apps。到目前为止,微软已经面向 Dev 和 Beta 通道的美国区域用户开放了 Subsystem for Android 体验(以下简称:WSA)。如果您当前正在运行其中一个版本并且区域位于美国,那么可以直接通过 Microsoft Store 应用搜索 Amazon Appstore,来安装体验 WSA,如果无法搜到也不要着急,可以通过下面的网址获取。
是的,您没有看错,WSA 将会通过 Amazon Appstore 来发布应用供 Windows 用户安装使用,当前也通过安装 Amazon Appstore 来准备 WSA 环境。如下图所示跟随向导完成设置并安装,之后会提示重启系统。
重启系统后就能在所有应用列表中看到已经安装的Amazon Appstore,启动该应用后会提示输入一些信息,这里请务必选择“United States”,这样会使用“Amazon.com”账号登录到有效的市场。如果您没有该区域的 Amazon 账号可以在接下来的界面中注册新的账号。
接下来登录账号,一旦完成登录就会看到 amazon AppStore preview 的等待界面,但可惜的是目前 Amazon AppStore 里仅发布了针对 WSA 的有限数量的游戏,还没有常用的应用。
虽然 Amazon AppStore 满足不了我们的需要,但还好 WSA 提供了环境设置工具,我们可以运行 Windows Subsystem for Android 打开这个配置工具,然后启用“开发人员模式”,再刷新一下 IP,如果有防火墙提示,请勾选所有选项即允许应用通过网络,之后就能看到获取到的 IP 地址。
有了 IP 地址,我们就可以使用 Android SDK Platform-Tools 在开发模式下安装 APK。方法也很简单,使用 Platform-Tools 中的 ADB 工具就可以连接到 WSA,如 adb connect ipaddress,然后通过 adb install c:wsaname.apk 安装应用即可。
蓝屏排错 PNP_DETECTED_FATAL_ERROR (0xCA)
蓝屏排错 PNP_DETECTED_FATAL_ERROR (0xCA)
PNP_DETECTED_FATAL_ERROR 即 0xCA,从官方解释可以了解到这表明即插即用管理器遇到了严重的错误,参数1表明了错误类型,本例是发生了无效的 PDO,或未能初始化 PDO。这个 Bugcheck 并不常见,但好在排查起来并不困难。
在分析中可看到两个设备对象,发生错误的模块是disk.sys,该模块是一个系统文件,所以本身有问题的几率不大,处理进程为 ccSvcHst.exe 它是一个三方进程,往下看 Stack,在 nt!IoInvalidateDeviceState 这里发生了 BugCheck,我们可以从 MSDN 了解这个函数的相关说明,而它的上一个 Stack 是 SyDvCtrl64,事件目前比较清晰!
接下来我们看一下设备对象,如下可看到在插入一个三星的固态移动硬盘时 SyDvCtrl 返回了一个空的 DeviecNode 值,导致 PDO 异常。
最后,查询了 SyDvCtrl 这个模块发现版本比较老,去其官网查到此本版仅支持到 1909 系统,而在新版中也明确了这个蓝屏问题,并得到了修复。
WDS 变更部署支持
WDS 变更部署支持
在 Windows 11 发布后,微软也公布了 Windows 部署服务(WDS)的最新支持说明 - https://docs.microsoft.com/zh-cn/windows/deployment/wds-boot-support ,大致意思是通过 WDS 的 PXE 加载 Windows 11 的 Boot.wim 来实施 Windows Setup 时,该方案将不再受支持。 如下图所示,进入 PE 环境后会有一个否决通知,且无法跳过,只能重启动。(PS:通过测试在此界面下仍能调出 CMD)
在说明文档中提给出了详细的受影响的部署方案,说实话看了半天也没完全理解,尤其是在做过实验之后。
gOxiA 的实验是这样的,以 VM 方式安装了一台 Windows Server 2022,然后分别导入了 Win 10、11 和 2022 的 Boot.wim,然后又分别导入了它们的 Install.wim,执行部署测试。
如果选择 Windows 11 的 Boot.wim 启动,会出现文章前面提到的的“否决通知”;选择 Windows 10 的 Boot.wim 启动,则如以往一样正常安装映像。
但选择 Windows Server 2022 的 Boot.wim 启动虽然也会显示“否决通知”,但仍可以通过点击“下一页”跳过,并正常安装映像。
从目前的测试看,限制仅仅是 Boot.wim 中的 Setup 程序会检测是否基于 WDS PXE 启动,并给出对应的“否则通知”,还并没有基于 WDS 本身进行限制,还允许一段时间的过渡期。但从另一篇文档(Windows Server 2022 已删除或不再开发的功能)中可以了解到,WDS 的操作系统部署功能将逐渐弃用,并建议企业 IT 桌面交付部门尽快使用 Configuration Manager 或 MDT 进行桌面系统的交付。
HOWTO: 离线方式安装 WSL2 Ubuntu
HOWTO: 离线方式安装 WSL2 Ubuntu
离线方式安装 WSL2 Ubuntu 只是一种比较极端的场景,使用的方案是从一台已安装了 WSL2 Ubuntu 的设备上使用 WSL 的导出功能将其导出为一个 tar 文件,然后再导入到目标设备上。当然,我们也可以先下载好 WSL 的 Linux 发行版,然后使用 Add-AppxPackage 安装。例如:
以下是目前支持的 WSL 发行版:
- Ubuntu 20.04
- Ubuntu 20.04 ARM
- Ubuntu 18.04
- Ubuntu 18.04 ARM
- Ubuntu 16.04
- Debian GNU/Linux
- Kali Linux
- SUSE Linux Enterprise Server 12
- SUSE Linux Enterprise Server 15 SP2
- openSUSE Leap 15.2
- Fedora Remix for WSL
要从设备上导出已安装的发行版,可以使用 WSL 的 --export 参数,例如:
要将导出的发行版成功安装并运行在目标计算机上,还需要做一些额外的准备。首先,启用“适用于 Linux 的 Windows 子系统”,可使用命令行或图形界面。
因为我们的目标是要运行 WSL2 模式,所以还需要启用“虚拟机平台”,也可以使用命令行。
Windows 功能层面准备完毕后还没有完,因为目标设备不能联网,还需要手动下载和安装 Linux 内核更新包,以便能够支持 WSL2。
现在准备工作完毕,我们可以打开 CMD,将 WSL2 设置为默认版本。
至此,我们可以开始导入 Linux 发行包,使用 --import 参数,需提供发行名称,要安装到的路径,导出的发行包所在路径,以及指定为 WSL2 版本。
HOWTO: 通过 Intune 分发 WinGet 测试版
HOWTO: 通过 Intune 分发 WinGet 测试版
WinGet 即 Windows 程序包管理器,官方解释为一个综合的程序包管理解决方案,由一个命令行工具和一组用于在 Windows 10 上安装应用程序的服务组成,主要面向开发人员或 ISV。对于企业 ITer 来说,如果你使用过这个工具就会发现它有无限潜能,因为我们可以利用 WinGet 实现应用程序的自动安装、升级等管理功能。如果希望了解 WinGet 的有关资讯,可以参考 gOxiA 之前的分享 “体验新的 Windows 程序包管理器”。
由于 WinGet 还处于预览版阶段,所以并不是每一台 Windows 10 计算机都具备这个功能。根据微软官方目前的介绍,有三种方案可以获取到 WinGet:
1. 参加 Windows 程序包管理器预览体验计划,然后从 微软应用商店 下载 Windows 应用安装程序,即可开始体验 WinGet。
2. 参加 Windows Insider 项目,只要升级到了 Insider 版本,系统会内置 WinGet 可直接使用。
3. 下载 WinGet 安装包,手动安装 WinGet。
本次分享将基于第三个方案,即下载 WinGet 安装包,然后通过 Intune 分发给 Windows 客户端,这样就能很轻松的部署或安装应用程序。首先访问 WinGet 项目页面,下载 msixbundle 格式的安装包。
接下来,通过 Microsoft Endpoint Manager 管理中心(Intune Portal)添加应用,应用类型为“LOB”即“业务线应用”,此类型可用于分发 msi、appx、appxbundle、msix 和 msixbundle 安装包。在选择应用包文件后,向导会执行依赖检测,如下图所示,要成功安装该应用,客户端计算机上必须已经安装 VCLibs 组件。如果无法确认客户端的组件安装情况,可手动上传这些组件。
对于 Microsoft VCLibs 可以从下面的网页获取上传即可。
C++ Runtime framework packages for Desktop Bridge:https://docs.microsoft.com/en-us/troubleshoot/cpp/c-runtime-packages-desktop-bridge
应用信息中根据实际需求填写相关信息即可,没有特别之处。
在 分配应用 这里,考虑到是面向系统层面的应用,且希望所有设备都安装,所以采用了“Required”选项,分配给了所有设备。
至此,配置结束!非常期待 Windows 11 里的 NewStore 尽快开放,因为预示着 Android 应用的到来!!!
HOWTO: 通过 Intune 为客户端配置以无提示方式登录 OneDrive
HOWTO: 通过 Intune 为客户端配置以无提示方式登录 OneDrive
如果企业客户端已经通过 Intune 来管理有一段时间,可能会注意到当用户完成 Autopilot,登录系统会发现 OneDrive 并没有自动配置,处于未登录状态,客户如果启动 OneDrive 会出现配置向导,需要完成账户登录验证等一系列的配置。早先有热心的 ITer 分享了一些经验,例如通过修改注册表或使用脚本来实现自动配置。随着微软不断完善 Intune 中的配置文件,现在终于原生支持配置 OneDrive 了!
如果你正打算为客户端实现以无提示方式登录 OneDrive,那么今天这篇分享将揭晓答案。在 Intune 设备配置文件中微软已经在“模板 - 管理模板”中添加了对“OneDrive”的支持。
在“计算机配置 - OneDrive”下,请启用“让客户使用 Windows 凭据以无提示方式登录 OneDrive 同步应用”,并根据需要启用“使用 OneDrive文件随选”,这个功能在启用后会仅以联机模式运行,可以避免将所有 OneDrive 文件同步回本地所引发的一些连锁问题。
相信随着 Intune 的不断完善,可令 ITer 更轻松快速的将基于本地管理的客户端切换至云端。如果你希望了解 GPO 在 Intune 下的支持情况,可以参考这篇文档 https://goxia.maytide.net/read.php/2003.htm,其中有提及如何利用 Intune 的 “组策略分析”功能来确认 Intune 当前对 GPO的支持情况和进度。如果你在关注 Intune 的发展或功能更新,推荐收藏并定期浏览 “Intune 新增功能”。
Windows 11 启用或删除的功能
Windows 11 弃用或删除的功能
微软在公布 Windows 11 后,用户可以通过 Windows Insider 获取到开发测试版以体验这个全新的操作系统。对于企业 IT 桌面的交付人员,他们更关注的是 Windows 11 带来了哪些改变?!因为需要确保在持续的交付过程中不会严重影响到最终用户。接下来快速了解一下在 Windows 11中哪些功能会被弃用或删除,以评估我们可能受影响的使用中的关键功能。
- Cortana 将不再包含在 OOBE 过程中,以及固定在任务栏中。
- 使用 MSA (Microsoft Account)登录时,桌面壁纸将不会再同步或从其他设备上同步回来。
- Internet Explorer 已禁用,默认推荐为 Microsoft Edge,如果网站需要 IE 访问可考虑使用 Edge 中的 IE Mode。
- 数学输入面板已删除。数学识别器可通过按需安装,包括数学输入控制和识别器。对于 OneNote 等应用中的数学模拟不会受到此更改影响。
- 新闻和兴趣已经演变为小组件,默认可在任务栏左侧找到该图标。
- 锁屏中的“快速状态”和相关设置已被删除。
- S Mode仅适用于 Windows 11 的家庭版。
- “开始”在 Windows 11 中显著更改,不再支持命名应用组和文件夹,布局当前无法重新部署。从Windows 10 升级时,固定的应用和站点不会迁移。实时磁贴特性不再可用。
- 平板电脑模式已删除。
- 任务栏功能已更改,不再包含人脉;某些图标不再出现在系统栏;任务栏只支持屏幕底部停靠;应用不能再自定义任务栏区域。
- 时间线 已被删除
- 以下应用在升级时不会删除,但将不再安装在新设备上,或在执行全新安装的 Windows 11 上,但可以从应用商店下载它们。
详情也可参考官方文档:https://www.microsoft.com/en-us/windows/windows-11-specifications#primaryR4
如果您仍在继续关注 Windows 10,也可以从以下文档了解其不再开发的功能或删除的功能。
HOWTO:解决基于 Intune 管理的 Bitlocker 无法创建恢复密码和密钥
HOWTO:解决基于 Intune 管理的 Bitlocker 无法创建恢复密码和密钥
通过 Intune 我们可以在 Endpoint Manager 管理中心的“终结点安全性”下对客户端的“磁盘加密”进行管理。目前支持固定驱动器、可移动驱动器、OS 驱动器,以及基本设置的管理配置。
但不当的配置也会对客户端的正常部署造成困扰,正如本例所要分享的,IT人员希望借助“磁盘加密”策略实现客户端自动化静默启用 Bitlocker,但结果并不如人意。你可以看到如下图所示,设备在经历 Autopilot 配置进入系统桌面后,系统栏弹出磁盘加密的需求提示,当点击这个通知会弹出“是否已准备好开始加密?”的向导。
根据提示,确认没有安装和使用第三方的加密软件,但执行结果却失败了!提示“无法创建恢复密码和恢复密钥……”。此时,我们可以通过“事件查看器”,在“应用程序和服务日志 - Microsoft - Windows - Bitlocker-API - Management”下找到线索,可从下方截图中看到 ID 4103 的记录,Error Message 为“组策略设置不允许创建恢复密码”!!!既然是组策略的问题,且客户端是基于 Intune 管理的,那就要回到 Endpoint Manager 管理中心来排查。
检查磁盘加密策略,在“Bitlocker - OS 驱动器设置”下找到“系统驱动器恢复” - “恢复密码创建”,确认该配置为“允许”。
这是一个典型的配置问题,为避免不必要的错误发生,我们还是需要预先阅读各选项的详细说明,了解其设计意图和使用条件。
