gOxiA=苏繁=SuFan Blog

使用 21v Microsoft Intune 部署 Windows 设备

        今天的分享不会涉及太多技术细节，之所以会聊到这个话题是因为有不少网友咨询“21v Intune 不支持 Autopilot，无法部署 Windows 设备”！！！gOxiA 认为这句话一半对，一半错。为什么会这么讲的？！首先我们先了解一下 21v Intune（由世纪互联运行的Intune）中的功能差异，官方的描述如下：

由于中国境内的服务由中国境内的合作伙伴运营，因此在 Intune 中存在一些功能差异。

• 由世纪互联运营的 Intune 仅支持独立部署。 客户可以使用共同管理将其现有 Configuration Manager 部署附加到 Microsoft Intune 云。
• 不支持从公有云迁移到主权云。 有兴趣迁移到由世纪互联运营的 Intune 的客户必须手动迁移。
• 目前不支持租户附加功能（无需注册即可将设备同步到 Intune 以支持云控制台方案）。
• 由世纪互联运营的 Intune 不支持派生凭据。
• 通过使用现代 MDM 渠道支持 Windows 10 的管理。
• 由世纪互联运营的 Intune 不支持本地 Exchange Connector。
• Windows Autopilot 和企业应用商店功能当前不可用。
• Microsoft Endpoint Manager 终结点分析和 Log Analytics 功能当前不可用。
• 由于 Google 移动服务在中国不可用，因此由世纪互联运营的 Intune 中的客户无法使用需要 Google 移动服务的功能。 这些功能包括：
• Google Play 保护机制功能（如 SafetyNet 设备证明）。
• 从 Google Play 商店管理应用。
• Android Enterprise 功能。 有关详细信息，请参阅此 Google 文档。
• 适用于 Android 的 Intune 公司门户 应用使用 Google 移动服务与Microsoft Intune服务进行通信。 由于 Google Play 服务在中国不可用，因此某些任务最长可能需要 8 小时才能完成。 有关详细信息，请参阅此文章。
• 为了遵守本地法规和提供改进的功能，Intune 客户端体验（公司门户应用）在中国可能有所不同。
• 隔离不可用。
• 移动应用管理 (MAM) 的可用性取决于这些应用在中华人民共和国的可用性。
• 由世纪互联运营的 Intune 不支持企业设备的 Android （AOSP） 管理。
• 由世纪互联运营的Intune不支持移动威胁防御 (MTD) 连接器，适用于 Android 和 iOS 设备的 MTD 供应商。
• 由世纪互联运营的Intune不支持合作伙伴设备管理与适用于 macOS 设备的 Jamf 集成。

原文来源：https://learn.microsoft.com/zh-cn/mem/intune/fundamentals/china | Microsoft Learn       

        gOxiA 特别对上文进行了标注，我们先来看 Windows Autopilot，这个功能其实理解起来还是比较难的，最终用户或企业IT会容易误解，甚至其内部人员恐怕也经常误解。从官方文档描述来看 Windows Autopilot 是一组用于设置和预配置新设备以让它们可供高效使用的技术，它为 IT 和最终用户简化了从初始部署到生命周期结束的 Windows 设备生命周期。其过程是最初部署新的 Windows 设备时，Windows Autopilot 使用 OEM 优化的 Windows 客户端版本。此版本预安装在设备上，因此无需为每个设备型号维护自定义映像和驱动程序。现有 Windows 安装可以转换为“业务就绪”状态，而不是重新映像设备，它可以：

• 应用设置和策略
• 安装应用
• 更改用于支持高级功能的 Windows 版本。例如，从 Windows Pro 到 Windows Enterprise。

        部署后，可以使用以下方法管理 Windows 设备：

• Microsoft Intune
• 适用于企业的 Windows 更新
• Microsoft Endpoint Configuration Manager
• 其他类似工具

原文来源：https://learn.microsoft.com/zh-cn/mem/autopilot/windows-autopilot | Microsoft Learn

        是否能理解 Windows Autopilot，比较抽象并且会先入为主出现一些误解！那再读读这篇 https://www.microsoft.com/zh-cn/microsoft-365/blog/2018/06/07/simplifying-it-with-the-latest-updates-from-windows-autopilot/

        如果还是没能理解，好吧！我们从 IT 桌面交付这个维度来看，Windows Autopilot 解决了我们桌面标准化过程中的设备交付流程问题，引导设备和用户按照企业标准进行配置。

        那回到我们的问题上来，21v Intune 没有 Windows Autopilot 是不是就无法做设备交付，或配置设备？不然，只是我们无法实现完整的，自动化的，引导式的交付流程。但对于我们的设备交付来讲，如果仅仅是为了满足能够基于 Internet 来推送 Windows 配置，安全策略，软件，甚至脚本……那么 21v Intune 完全可以支持，下面我们就用一张图来展示说明。

        如果您有什么想法或问题，欢迎来询！

Windows Autopilot for pre-provisioned deployment (Public preview)

        看到这个标题不要兴奋，不要慌张，Pre-Provisioned deployment（预先预配部署）虽然是个新名词，但内容还是老的，其实它就是过去我们讲的 Windows Autopilot 的 white glove（白手套）模式，还记得它的概念和功能吗？！我们来复习一下。

        过去我们要交付设备时，OEM 阶段仅会提供 Windows 映像和对应的设备驱动，此外可能会包含一些预装的应用软件，例如：Office 365，或其他第三方软件。在设备交付到企业最终用户前，会由企业 IT 桌面部门的人员进行标准化的配置，有些会利用传统的部署方式重灌映像；也有用动态部署方式基于 OEM 系统进行标准化的定制，例如在 OOBE 阶段加载 PPKG 完成标准化软件的安装以及系统环境的配置；目前更多的企业正利用现代部署方式 - Intune，来赋予 Internet 部署企业标准客户端的能力，利用 Intune 我们将 Internet 作为载体，运送企业的标准化应用和策略到设备端，利用 Intune 提供的 Windows Autopilot 还可以在 OOBE 阶段引导客户完成桌面环境的标准化部署。在这个场景下，我们通常会使用“用户驱动模式”来执行 Autopilot，但该方案有一个可能的问题会降低设备最终用户的部署体验，因为设备最终用户拿到设备开机进入 OOBE 执行 Autopilot 时会通过 Internet 获取所有设备所需的标准化软件安装源以及相关的策略配置，这会消耗不少的时间。

        如果我们能添加一个阶段，可以在 OOBE 阶段无需用户登录，而由 OEM 或 Partner 或 IT 人员发起一个预先配置操作，就可以提前将软件或策略下载并部署到设备上，这样一来交付到设备最终用户手上时，OOBE 和 Autopilot 就会大大的加快部署时间，减少了等待，从而提升了用户的体验。

        Pre-provisioned deployment 应运而生，它拆分了 Windows Autopilot 的预配过程，将耗时的部分由 OEM、Partner 或 IT 人员完成，最终用户只需完成一些必要的设置和策略。

        在 OOBE 阶段，按下五次 Windows 键即可激活 Pre-provisioned deployment，它将从 Intune 应用所有面向设备的策略，这包括：证书、安全模板、设置、应用等任何针对设备的内容；还将安装分配给设备上下文，以及已分配用户的应用（Win32或LOB）。

        要使用 Pre-provisioned deployment 也同样需要创建配置文件，它基于 User-Driven，只需要在配置中启用“Allow pre-provisioned deployment”即可，如下图所示：

        此外，Pre-provisioned deployment 对于设备终端也有一定的要求：

1. Windows 10 1903或更高版本

2. Windows 的专业版、企业版和教育版

3. Intune 订阅必不可少

4. 除了要支持 TPM 2.0 以外，还需要 TPM 支持“证明”（attestation），在证明过程中还需要访问一组对应特定的 HTTPS URL

5. 需要有线网络，不支持 Wi-Fi 连接（有 Workaround）

        Pre-provisioned deployment 在成功执行后会有一个绿色的界面显示结果，否则将显示红色的界面，如果您所在的企业设备已经满足相关的要求，并在实施 Windows Autopilot，不妨考虑一下 Pre-provisioned deployment。

Intune Windows 功能更新部署 - 逐渐推出更新

        Intune 为 Windows 功能更新部署提供了一个新选项，即：逐渐推出更新（Make updates available gradually），按照官方的解释是：“逐渐推出更新有助于在配置的一系列时间内分配更新的可用性，Windows 更新在不同时间向策略所针对的不同设备子集提供更新。与同时向所有设备提供更新相比，此选项可以降低对网络的影响。”那么我们该如何理解这个选项呢？！

如下图所示，我们在 Intune 中创建了一个 Windows 的功能更新策略，计划将设备系统升级到 Windows 11，因为选择了“逐渐推出更新”选项，我们需要指定“第一组可用性”，即向接收此策略的设备提供更新的第一天；还需要指定“最终组的可用性”，即最后一天；最后还要指定一个“组之间的天数”，这个可以理解为间隔期，本例设置为3天。

        这样配置之后，即2月14日到2月24日的11天中，每3天将被分割为1个组，这样就有了4个更新组。然后 Windows 更新会随机将目标设备分配给组，使组保持大小均匀进行更新。

        如果在下发策略后变更了日期，Windows 更新将根据需要重新计算要使用的组数；如果 最终组可用性 的日期变更为过去，则会尽快为所有剩余设备提供更新；如果 第一个组可用性 的日期变更为未来，则已提供更新的设备将保留更新内容，且新设备在该新的开始日期之前不会收到更新内容。

        如果策略分配变更为添加或删除设备，那新设备将分发到剩余的更新组中；对于不再被策略作为目标但已提供更新的设备，Windows 更新会尝试收回更新内容，但是如果设备已经开始处理该更新内容，则无法收回。

        最后，我们在快速看一下该策略下的其他两个选项，都是相对容易理解的。其中“尽快提供更新”即更新对设备没有延迟，为Windows更新的默认行为；“在特定日期提供更新”，即指定一个更新的日期，在此之前不会向设备推送更新。