HOWTO: 在 Intune 中创建 Windows Autopilot 配置文件
HOWTO: 在 Intune 中创建 Windows Autopilot 配置文件
回顾:
“HOWTO: 收集 DeviceID 用于测试 Windows Autopilot”
"HOWTO: 将收集的 Windows Autopilot DeviceID 添加到 Intune"
"HOWTO: 在 Intune 中为 Windows Autopilot 部署创建设备组"
在之前我们已经了解了如何在 Intune 中 为 Windows Autopilot 部署创建设备组,当基本工作完成后,我们也将进入 Windows Autopilot 配置主要环节 —— 创建和分配 Deployment Profiles,当这一步完成后,我们便可以通过 Windows 10 客户端来体验 Windows Autopilot。
首先,登录 Azure Portal,在 Intune 中找到 Device enrollment,进入后便能看到一系列的注册项,选择 Windows enrollment,就能看到位于"Windows Autopilot Deployment Program" 下方的 "Deployment Profiles"。
点击"Create profile",开始创建 Windows Autopilot 的配置文件。
因为改版,配置文件的创建页面改为了引导式,对于用户来说虽然步骤显得繁琐,但更为清晰明了。首先我们需要输入配置文件的名称,本例命名为 UserDriven。
目前 Windows Autopilot 提供了两种部署模式:User Driven(用户驱动)和 Self-Deploying(自助部署),简单理解后者的自动化程度更高,将会自动跳过"工作或家庭使用选项","OEM注册和OneDrive配置",以及"OOBE 中的用户身份验证",此外还可自动配置语言及键盘等设置。但是自助部署的需求也更高,从目前最新的文档看需要 Windows 10 的 1903,之前 gOxiA 在实际测试时发现 1809 对一些设备的 TPM 设备证明存在支持问题,并得到了产品组的证实。所以如果你打算测试自助部署还需要了解更多的先决条件,本例我们将使用“用户驱动”模式。
在"User Driven"下我们可以隐藏软件许可条款,以及隐私设置等需要人工干预的界面,我们还可以指定登录到设备上的用户账户类型,例如将其分配为标准用户权限。
在当前更新版本中还提供了"Allow White Glove OOBE"的选项,允许 IT 人员在不使用用户账号配置和登录的情况下对设备进行 Windows Autopilot 预配。只需要在配置阶段按下 5次 Windows 键即可激活该功能选项。
此外,我们还可以配置设备名称模板,通过一系列变量生成有序的计算机名。
配置文件的选项设置完毕后,就需要将其分配给指定组,还记得我们在之前创建的组吗,参考下图找到并选择这个 UserDriven 组。
最后在 Review 界面可以对配置进行确认,无误后可点击“Create”确定创建。
Windows Autopilot 配置文件创建后便可在之前已经添加到 Intune 中的设备上,使用 1903 的 Windows 10 进行测试。
HOWTO: 在 Intune 中为 Windows Autopilot 部署创建设备组
HOWTO: 在 Intune 中为 Windows Autopilot 部署创建设备组
回顾:
“HOWTO: 收集 DeviceID 用于测试 Windows Autopilot”
"HOWTO: 将收集的 Windows Autopilot DeviceID 添加到 Intune"
如果之前跟随 gOxiA 完成了上面的学习和动手操作,可以继续跟随 gOxiA 完成今天的内容,否则建议您从头开始了解。今天的内容将会非常轻松,会了解如何在 Intune 中创建“设备组”,这部分虽然很轻松,但它也是重点之一,因为在实施 Autopilot 部署时配置文件只能分配给组。
我们可以创建两种类型的设备组,即:动态设备组 和 静态设备组,两者区别在于前者可通过定义规则自动将设备加入到组,或从组删除;而后者则需要由管理员进行分配。
要为 Windows Autopilot 创建设备组,可登录 Auzre门户,定位到“Intune”,会看到“Group”,如下图所示:
进入 “Group” 后在 “All groups” 下点击 “New group”。
在 “New Group” 中,会看到一些选项,带有 * 号的是必须填写的信息。其中“Group Type”表示组的类型,在预定义中包括了“Security” 和 “Office 365”。
- Security,它通常用于管理用户和设备的共享资源的访问权限,也可以为特定的策略创建安全组,这样一来我们就不用为每个成员单独设置权限。
- Office 365,主要是提供对共享邮箱,日历,文件以及SharePoint站点等的访问权限。
本例中,我们要为 Windows Autopilot 创建设备组,所以这里的类型应该是“Security”。“Group name”很好理解,这里命名为了“UserDriven”。“Membership type”便是我们前面提到的静态和动态的组类型,包含了“Assigned”、“Dynanmic User” 和 “Dynamic Device”,是的动态组除了支持设备外,也适用于账户。
当我们选择“Assigned”后,就可以手动添加账户或设备,这里我将添加之前导入的设备。
我们也可以使用动态组,利用一些规则自动将设备添加到组中,这样就不需要手动添加那么麻烦。动态成员规则非常强大,提供了多种属性,可利用各种运算符,根据属性的值,创建具有多个表达式的规则。
来看一个简单的例子“(device.accountEnabled -eq true)”,还是很容易理解的,当设备账户启用状态是“真”时,那么便会设备便会自动加入到这个组,如果组中的设备账户启用状态为“假”时会将设备从组中删除。下图可看到当前动态设备组提供的可用属性。
有关动态组的详细规则,强烈推荐学习官方文档:https://docs.microsoft.com/zh-cn/azure/active-directory/users-groups-roles/groups-dynamic-membership/?WT.mc_id=WDIT-MVP-4000544,随着准备工作的就绪,我们离正式实施 Windows Autopilot 也越来越近!
HOWTO: 将收集的 Windows Autopilot DeviceID 添加到 Intune
HOWTO: 将收集的 Windows Autopilot DeviceID 添加到 Intune
在 6月份 gOxiA 分享了“HOWTO: 收集 DeviceID 用于测试 Windows Autopilot”,如果您已经学习了这篇日志,会发现收集硬件标识信息其实是非常简单的事情,但是需要注意它并不适用在生产环境,应仅用于评估和测试。
今天要分享的是如何将收集的 Windows Autopilot DeviceID 添加到 Intune 中,因为后续我们将实践 Windows Autopliot 的用户驱动模式和自部署模式,所以需要将 DeivceID 事先添加到 Intune 的设备列表中,为此我们需要执行下述的操作步骤:
1. 首先访问 Azure Portal,使用拥有权限的账号密码登录。
2. 在左侧的导航列表中点击“Dashboard”,搜索 Intune,可以将其收藏到导航列表中便于后续访问。
3. 进入 Microsoft Intune 后,点击“Device enrollment”
4. 在“Deive enrollment”下点击“Windows enrollment”,并选择“Windows Autopilot Deployment Program”下的“Devices”,它便是我们要导入 DeviceID 的位置。
5. 进入“Deives”后,点击“Import”来导入我们之前拿到的硬件标识信息文件,它是一个 CSV 格式的文件,在上传后 Intune 会进行校验,如果格式无误便可以导入。
DevicesID 的 CSV 格式应该遵循如下格式内容:
<Serial NUmber>,<Windows Product ID>,<Hardware Hash>,(optional <Group Tag>)
至此,DeviceID 便添加到了 Intune,在设备还没有注册到 Autopilot 上时设备使用序列号作为设备名称,我们可以在 “ Azure Active Driectory”中的“Devices - All devices”下找到它们。
虽然我们在 Intune 中添加了设备的硬件标识信息,但是该设备还未受当前 Intune 的管控,也就是如果我们开机进入 OOBE 阶段,仍可以进行自定义的配置,或者使用其他组织的账号绑定设备。
