虚拟环境下在  Windows 10 OOBE 阶段测试部署 PPKG

        当 IT 人员通过 PPKG (Provisioning Package - 预配包)来实现 Windows 10 的动态部署时,不免要对 PPKG 进行测试已验证是否达到预先设计的目标,通常我们会在管理员工作站上常见 PPKG,然后拷入到 U盘或网络共享中供目标设备测试或使用,但由于 PPKG 会对系统进行配置,虽然其提供了卸载功能,但一些特定的设置仍然会保留在系统中,如此反复会增加 IT 人员的成本。
         利用虚拟环境,如虚拟机能够很好的帮助我们来进行测试验证,我们可以创建一个干净的环境状态下创建一个检查点,然后再应用 PPKG,当需要的时候还原检查点便可以从头开始。
         但是,如果我们需要在 Windows 10 OOBE 阶段测试部署 PPKG 呢?常规的做法是将 PPKG 拷贝到可移动媒体,如 U盘上。(注意:PPKG必须存储在 U盘的根目录下),然后启动目标设备进入 OOBE,然后插入包含 PPKG 的 U盘,此时会自动开始应用 PPKG。当需要重复测试时,我们需要耗费大量的等待时间来重置 Windows 10 安装,使其恢复到最初的状态,重新开始 OOBE。
         你可能会想到利用虚拟机(Hyper-V)来实现方便快捷的测试,但接下来会发现由于不能添加虚拟的 USB存储设备,将导致无法检索到 PPKG。也许你也跟 gOxiA 有一样的想法,将 PPKG 拷贝到一个虚拟磁盘根目录下,并加载到虚拟机中,然后在 OOBE 界面上连续按下五次 Windows 键来激活配置选项,但结果并不能如尝所愿,因为“安装预配包”向导无法检索到这个 PPKG。或者,你会考虑使用 DISM 或 PowerShell 命令来应用 PPKG,但由于处于 OOBE 这个特殊阶段,将会无法正常应用 PPKG。
         难道,我们就没有办法了吗???!!!
         其实,在 OOBE 阶段除了能够自动识别 U盘和 SD卡这类的可移动媒体外,还支持光盘驱动器。没错,我们可以利用虚拟机中的虚拟光驱来实现我们的需求,只需要为 PPKG 创建一个 ISO,加载到虚拟机中便可以在 OOBE 阶段检索到 PPKG。
         为 PPKG 创建一个 ISO 有很多方法,除了第三方软件外,gOxiA 强烈建议你使用 Windows ADK 中自带的 Oscdimg.exe 工具,对于要跟桌面部署打交道的 IT 人员来说,相信每一位都会在管理员工作站上安装 Windows ADK。现在,我们只需要将 Oscdimg.exe 所在的目录位置添加到用户变量中即可在任意目录中执行该命令。

user_environment_variables

Oscdimg.exe 所在的目录位置是:

C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Deployment Tools\amd64\Oscdimg
         为 PPKG 生成 ISO 的命令行很简单,如下参考:

oscdimg -nt .\ .\ppkg_v1.iso

         在 OOBE 阶段,将生成的 ISO 加载到虚拟机中,然后连续按下五次 Windows 键,选择“安装预配包”,便会自动检索并应用这个 ISO 中的 PPKG。

2

3

4

        现在,我们就可以开始轻松的测试 PPKG 动态部署 Windows 10 了。文末,分享 PPKG 在 OOBE 阶段执行部署时的一些重点知识。

  • 配置引擎会始终应用保留在 C:\Revovery\Customizations 目录下的 PPKG。
  • PPKG 将会被复制到 %ProgramData%\Microsoft\Provisioning 目录下。
  • 在 OOBE 阶段可以直接应用未签名信任的 PPKG。
  • 当配置引擎在 OOBE 阶段应用 PPKG 时,仅将运行时设置从 PPKG 包中应用到设备。运行时设置可以是系统范围的配置设置,包括:安全策略、Windows应用程序安装和卸载,网络配置,引导 MDM 注册,账户和域配置,Windows 版本升级等。配置引擎还会检查设备上的配置设置(如:区域设置或 SIM 卡),并应用具有匹配条件的多变量设置。

官方参考:https://docs.microsoft.com/en-us/windows/configuration/provisioning-packages/provisioning-how-it-works

intune

HOWTO: 使用 Intune 远程停用设备

回顾:

"HOWTO: 使用 Intune 远程重启设备"

"Windows Autopilot 网络要求"

"HOWTO: 为现有设备添加 Windows Autopilot 配置支持"

HOWTO: 收集 DeviceID 用于测试 Windows Autopilot

"HOWTO: 将收集的 Windows Autopilot DeviceID 添加到 Intune"

"HOWTO: 在 Intune 中为 Windows Autopilot 部署创建设备组"

"HOWTO: 在 Intune 中创建 Windows Autopilot 配置文件"

"HOWTO: 使用 Intune 部署 Microsoft Edge"


        今天 gOxiA 将继续分享 Intune 中的设备管理功能 - 停用(Retire),使用“停用”可以删除托管设备上的应用数据、设置和电子邮件配置文件等内容,但是会将用户个人数据保留在设备上,整体的体验像是之前退域一样。当我们在 Intune 后台设备管理中点击“停用”后会显示停用设备的说明,其重点是此设备将不再由 Intune 托管,且不能再访问公司资源,由 Intune 部署的“现代应用”会被卸载,但不会卸载已经部署的 Win32 应用,Win32 应用包含的数据仍会保留在设备中,用户数据也不会被清理掉。

Intune_DeviceManager_retire

        即使 AAD 账号已经登录,也可以使用“停用”,当停用执行完毕后会看到如下图的通知,当打开 Outlook 时会遇到修复提示,如果此时重启系统你会发现登录界面将会显示最后一次登录的 AAD 账号名称,但是您无法使用密码登录,因为该计算机上的 AAD 账号已经被移除,此时如果用户希望登录系统必须进入 Windows 的安全模式,在 Windows 安全模式下可以使用本地管理员 - Administrator 账号登录(密码为空),进入系统后可以创建一个新的本地管理员账号,用于从正常启动环境登录系统桌面。

Intune_DeviceManager_retire1

Intune_DeviceManager_retire2

        登录系统后,你可以在 Users 目录中看到以往登录的用户账户目录,可以提取其中的用户数据。下表展示了“停用”后主要清理的内容:

Intune安装的公司应用和关联数据:卸载应用,删除bypass加载密钥,不会删除Office365专业版,不会卸载 Win32应用。

设置:不再强制实施 Intune 下发的策略。

WiFi和VPN配置文件设置:相关设置会被删除。

证书配置文件设置:删除并吊销证书。

电子邮件:删除已启用EFS的电子邮件及附件,并删除由 Intune 预配的邮件账户。

AzureAD脱离: 删除 AAD 记录。

        前面 gOxiA 说过停用会保留用户数据,其中就包括 OneDrive for Business 中的数据,所以组织 IT 人员在使用“停用”时一定要进行谨慎的评估,这意味着 AAD 用户的数据会被保留在设备上,但设备将不再受到组织管控。在停用设备后,用户可以重新加入到 AAD 并托管到 Intune 中,此时用 AAD 账号登录会继续使用之前匹配的用户目录。

intune

HOWTO: 使用 Intune 远程重启设备

我们继续 Intune 的相关知识学习,开始前也可通过以下链接回顾之前的内容。

"Windows Autopilot 网络要求"

"HOWTO: 为现有设备添加 Windows Autopilot 配置支持"

HOWTO: 收集 DeviceID 用于测试 Windows Autopilot

"HOWTO: 将收集的 Windows Autopilot DeviceID 添加到 Intune"

"HOWTO: 在 Intune 中为 Windows Autopilot 部署创建设备组"

"HOWTO: 在 Intune 中创建 Windows Autopilot 配置文件"

"HOWTO: 使用 Intune 部署 Microsoft Edge"


        今天 gOxiA 将介绍如何通过 Intune 远程重启设备。当组织的设备已经开始通过 Intune 管理,那么你会在设备概述中看到可管理的操作选项,如下图所示。

Intune_DeviceManager

        在顶部的选项中我们能看到支持的管理功能,其中“重启”功能很容易理解,当发起重启后客户端设备将会收到从 Intune 发来的重启指令,如果当前用户为锁定状态,那么当再次解锁登录到系统后会收到注销登录的提示,倒计时为2分钟,如下图所示。

Intune_DeviceManager_reboot

        如果当前用户为已登录状态,也会收到提示,如下图所示,大概3分钟后会收到如上一截图一样的通知,开始2分钟倒计时,之后强制重启。

Intune_DeviceManager_reboot_logon

        如果当前设备未有用户登录,当发起重启后,设备并不会立刻重启,当用户再次登录系统,才会收到注销通知,如果点击关闭则会等待3分钟出现2分钟倒计时,最后强制重启。

        但是……但是……重点提示来了!

        如果当前设备未有用户登录,或为锁定状态,那么在发起重启指令5分钟后,便会执行强制重启。

        以上这些测试结果与 Docs 上的介绍有所出入,在当前文档中介绍发出重启指令后设备端不会收到重启通知,且可能会导致当前工作内容丢失。也许正因为涉及数据的原因,重启机制才发生了变更,并未如文档描述的那样执行。

        不过现在这个重启功能其实也失去了它的真正意义,因为在某些特定场景下确实需要管理员立刻!马上!强制重启客户端设备。PS:或许这里的重启应该换个名字叫“紧急重启”!

        最后,再与大家分享的是由 Intune 发起重启指令后,是可以通过 shutdown /a 来取消重启的。

分页: 43/474 第一页 上页 38 39 40 41 42 43 44 45 46 47 下页 最后页 [ 显示模式: 摘要 | 列表 ]