HOWTO: 启用本地 Windows Autopilot 重置设备

[ 2023/10/15 16:58 | by gOxiA ]

logo_intune

HOWTO: 启用本地 Windows Autopilot 重置设备

        Windows Autopilot Reset 是一种快速将设备恢复为就绪状态的部署方案,可以删除个人文件、应用以及设置;保留 Wi-Fi 连接以及用户的生物识别信息;确保设备在发起 Autopilot Reset 后在 OOBE 阶段重新自动执行 Autopilot 部署。Autopilot Reset 支持远程和本地发起重置,前者为模式配置,后者已需要另行下发设备配置文件。

        下图为远程发起重置的方法,可通过 Intune 设备管理中找到对应的设备,然后进行 Autopilot 重置。

Autpilot-reset

        如果基于本地发起重置,可在登录界面按下“Ctrl+Win+R”热键,下面将介绍如何启用本地 Windows Autpilot 重置(需要单独配置的主要原因是避免意外触发 Autopilot Reset)。

AutopilotReset-CTRL_WIN_R

AutopilotReset-CTRL_WIN_R-1

        首先,创建设备配置文件,平台选择“Windows 10 或更高版本”,配置文件类型选择“设备限制”。

DeviceProfile

        在设备限制策略中找到并启用 Autopilot 重置。在微软官方文档中提到也可以使用预配包(PPKG)中的“DisableAutomaticReDeploymentCredentials”,将其设置为“No”。

EnabledAutopilotReset

DisableAutomaticReDeploymentCredentials

        如果你习惯使用 CSP,没问题。

./Device/Vendor/MSFT/Policy/Config/CredentialProviders/DisableAutomaticReDeploymentCredentials

格式:Int

值:0(启用Autopilot重置凭据的可见性);1(Default,禁用)

        友情提示:

1. 首次登录时生物识别因为还未与账号PIN关联所以暂时不可用,需要重新设置PIN码即可。但设备之后重启会提示是否继续使用人脸或指纹登录,根据需要进行选择。

AutopilotReset-WinHello-Prompt

2. 本地发起的 Autopilot Reset 还需要确保本地管理员账号为启用状态,否则 CTRL+WIN+R 将无效。下一篇日志将会与大家分享通过 Intune 启用本地管理员账号的方法。

Microsoft Cloud | 评论(0) | 引用(0) | 阅读(757)

HOWTO: 为Autopilot设备取消分配用户

[ 2023/10/14 11:37 | by gOxiA ]

logo_intune

HOWTO: 为Autopilot设备取消用户分配

        在开始前,我们先了解一下为什么会将Autopilot设备分配给用户?!在设备注册到Autopilot后,默认情况下处于共享设备模式,即有权限的用户可以在 OOBE 阶段输入账号密码来准备设备(即:注册依据)。但如果 IT 管理员 在 Autopilot 设备管理中将其分配给用户,则在 OOBE 阶段的用户登录页面上会预先填充账号名称,我们仅输入密码进行验证即可,并且还会自动应用分配给用户的策略和应用程序,对于用户而言,以及已经在实施 Autopilot for pre-provisioning deployment 的组织,都将获得更好的体验。

oobe-login

        要将 Autopilot 设备分配给用户,可以通过 Intune 管理中心,进入“设备 - 注册设备 - Windows Autopilot 设备”,找到需要分配用户的设备,然后点击“分配用户”,跟随向导完成即可。注意:仅能将设备分配一个账号。

assignuserfromdevice

        如果需要在 Autopilot 注册设备时就标记分配用户信息,可以在 CSV 文件中添加“Assigned User”列。

        OK,从以上步骤中可以看出过程中的 UI 和操作逻辑还是比较清晰易用的。但是……如果我们现在需要取消分配用户呢?!你会发现很难找到这个选项。最后 gOxiA 没辙只能祭出“Microsoft Graph”。

        首先,我们先获取到 Autopilot 设备的 ID,可以使用“windowsAutopilotDeviceIdentities”,所需权限“DeviceManagementServiceConfig.Read.All”。即:“GET https://graph.microsoft.com/v1.0/deviceManagement/windowsAutopilotDeviceIdentities”,如果成功将会获得如下的视图和内容,将 ID 信息记录下来。

unassignuserfromdevice-1

windowsAutopilotDeviceIdentities

        之后,就可以使用“unassignUserFromDevice”进行取消分配用户的操作,所需权限“DeviceManagementServiceConfig.ReadWrite.All”。即“POST https://graph.microsoft.com/v1.0/deviceManagement/windowsAutopilotDeviceIdentities/{windowsAutopilotDeviceIdentity-id}/microsoft.graph.unassignUserFromDevice”,其中{}替换为前面获取到的 ID。如果成功将返回 OK - 200 响应。

unassignuserfromdevice-response

        搞定之后久久不能平静,总觉得在 UI 下应该会提供选项才对啊,开个 Case 才了解到原来“取消分配用户”的选项位于 Autopilot 设备列表中每个设备的最右边“”中,OMG!!!

unassignuserfromdevice

Microsoft Cloud | 评论(0) | 引用(0) | 阅读(721)

HOWTO: 通过 Intune 为 Windows 终结点设备配置应用自动更新

[ 2023/10/11 12:44 | by gOxiA ]

logo_intune

HOWTO: 为终结点设备配置应用自动更新

        如果你所在的组织已经逐步使用微软应用商店MS AppStore/MSStore)来为终结点设备部署应用程序,那么今天这个分享将会有一些启示或帮助。

        使用 MSStore 部署应用是一种推荐的现代应用管理手段,我个人认为具有以下优势和特点:

  1. 无需维护安装版本
  2. 无需额外的存储资源
  3. 安装源可靠安全

        作为应用生命周期管理中重要的一环 —— 应用更新,可以确保用户始终使用最新的,安全的应用程序。默认情况下MSStore会启用应用自动更新。但为了防止用户级别的误配置,设备管理员应当强制启用自动更新。

        对于 Windows 我们有三种可选的方式:

  1. CSP

在 ApplicationManagement中提供了 AllowAppStoreAutoUpdate配置,具体信息如下:

./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/AllowAppStoreAutoUpdate

格式:Int

值:0,不允许;1,允许;2(默认),未配置。

当未配置时,将使用MSStore的选项配置。

  1. 设备配置文件

为设备创建一个配置文件,平台:Windows 10 和更高版本,配置文件类型:设置目录。配置文件名称为必须。

1

配置设置页面中点击“添加设置”,在右侧列表中找到“Microsoft App Store”,并勾选“允许 Microsoft 应用商店中的应用自动更新”,之后将其配置为:0。

2

最后分配给所有设备即可。

3

  1. GPO

如果希望使用组策略进行配置,可在“计算机配置 - 管理模板 - Windows 组件 - 应用商店”,找到“关闭自动下载和安装更新”,将其设置为“已禁用”。

4

GPO 配置后对应的注册表位置信息如下:

Software\Policies\Microsoft\WindowsStore

AutoDownload, DWORD, 4(Enabled) or 2(Disabled)

Microsoft Cloud | 评论(0) | 引用(0) | 阅读(749)
分页: 2/21 第一页 上页 1 2 3 4 5 6 7 8 9 10 下页 最后页 [ 显示模式: 摘要 | 列表 ]