Windows Autopilot 设备准备用户驱动Microsoft Entra加入：创建分配的设备组

Windows Autopilot 设备准备用户驱动Microsoft Entra加入步骤：

• 步骤 1：设置 Windows 自动Intune注册
• 步骤 2：允许用户加入设备以Microsoft Entra ID

• 步骤 4： 创建用户组
• 步骤 5： 将应用程序和 PowerShell 脚本分配到设备组
• 步骤 6： 创建 Windows Autopilot 设备准备策略
• 步骤 7： 将 Windows 公司标识符添加到设备

有关 Windows Autopilot 设备准备用户驱动Microsoft Entra加入工作流的概述，请参阅 Windows Autopilot 设备准备用户驱动Microsoft Entra联接概述。

创建分配的设备组

设备组是组织成Microsoft Entra组的设备集合。 通常，设备组可以是分配的，也可以是动态的：

• 分配的组 - 设备手动添加到组，并且是静态的。 Windows Autopilot 设备准备仅使用分配的组。
• 动态组 - 设备根据规则自动添加到组。 Windows Autopilot 设备准备不使用动态组。

Windows Autopilot 设备准备使用 分配的设备组 作为 Windows Autopilot 设备准备策略的一部分。 Windows Autopilot 设备准备策略中指定的设备 组必须是分配的设备组。 然后，Windows Autopilot 设备准备过程会在 Windows Autopilot 设备准备部署期间自动将设备添加到此分配的设备组。

若要创建用于 Windows Autopilot 设备准备的已分配安全设备组，请执行以下步骤：

1. 登录到 Microsoft Intune 管理中心。

2. 在 “主页 ”屏幕中，选择左侧窗格中的“ 组 ”。

3. 在 组中 |“所有组” 屏幕，确保选中“ 所有组 ”，然后选择“ 新建组”。

4. 在打开 的“新建组” 屏幕中：

   1. 对于组类型，选择安全组。

   2. 对于 “组名称”，请输入设备组的名称，例如 Windows Autopilot 设备准备设备组。

   3. 对于 “组说明”，请输入设备组的说明。

   4. 对于Microsoft Entra角色可分配给组，请选择“否”。

   5. 对于 “成员身份类型”，选择“ 已分配”。

   6. 对于 “所有者”，请选择“ 未选择所有者” 链接。

   7. 在打开的 “添加所有者” 屏幕中：

      1. 滚动浏览对象列表，选择 AppId 为 f1346770-5b25-470b-88bd-d5744ab7952c 的服务主体Intune预配客户端。 或者，使用搜索栏搜索并选择“Intune预配客户端”。

         注意

         • 在某些租户中，服务主体的名称可能是 Intune Autopilot ConfidentialClient，而不是Intune预配客户端。 只要服务主体的 AppID 为 f1346770-5b25-470b-88bd-d5744ab7952c，它就是正确的服务主体。

         • 如果 appId 为 f1346770-5b25-470b-88bd-d5744ab7952c 的 Intune预配客户端或 Intune Autopilot ConfidentialClient 服务主体在对象列表中或搜索时不可用，请参阅添加Intune预配客户端服务主体。

      2. 选择Intune预配客户端作为所有者后，选择“选择”。

   8. 选择“ 创建 ”以完成创建分配的设备组。

   重要

   在 Windows Autopilot 设备准备部署期间，设备会自动添加到此设备组。 不需要手动将设备添加为此步骤中创建的设备组的成员，但这样做不会影响 Windows Autopilot 设备准备过程。

添加Intune预配客户端服务主体

如果在选择设备组的所有者时无法使用 AppId f1346770-5b25-470b-88bd-d5744ab7952c 的Intune预配客户端服务主体，请按照以下步骤添加服务主体：

1. 在通常管理Microsoft Intune或Microsoft Entra ID的设备上，打开提升的Windows PowerShell命令提示符。

2. 在“Windows PowerShell命令提示符”窗口中：

   1. 通过输入以下命令安装 Microsoft.Graph.Authentication 模块：

      Install-Module Microsoft.Graph.Authentication
      

      如果系统提示执行此作：

      • 输入“Y”或“是”，或选择“是”按钮，同意安装 NuGet。
      • 通过输入“Y”或“是”，或选择“是”按钮，同意从 PSGallery 不受信任的存储库进行安装。

      有关详细信息，请参阅 Microsoft.Graph.Authentication 和 Set-PSRepository -InstallationPolicy。

   2. 通过输入以下命令安装 Microsoft.Graph.Applications 模块：

      Install-Module Microsoft.Graph.Applications
      

      如果系统提示执行此作，请通过输入“Y”或“是”或选择“是”按钮，同意从 PSGallery 不受信任的存储库进行安装。

      有关详细信息，请参阅 Microsoft.Graph.Applications 和 Set-PSRepository -InstallationPolicy。

   3. 安装 Microsoft.Graph.Authentication 和 Microsoft.Graph.Applications 模块后，通过输入以下命令连接到 Microsoft Entra ID：

      Connect-MgGraph -Scopes "Application.ReadWrite.All"
      

      有关详细信息，请参阅 Connect-MgGraph。

   4. 如果尚未对Microsoft Entra ID进行身份验证，则会显示“登录到帐户”窗口。 输入有权添加服务主体的Microsoft Entra ID管理员的凭据。

   5. 如果显示 “请求的权限” 窗口，请选中“ 代表组织同意 ”复选框，然后选择“ 接受 ”按钮。

   6. 向Microsoft Entra ID进行身份验证并授予适当的权限后，通过输入以下命令添加Intune预配客户端服务主体：

      New-MgServicePrincipal -AppID f1346770-5b25-470b-88bd-d5744ab7952c
      

      有关详细信息，请参阅 New-MgServicePrincipal -BodyParameter。

      注意

      • 如果租户中已存在Intune预配客户端服务主体，将显示以下错误消息：

        New-MgServicePrincipal : The service principal cannot be created, updated, or restored because the service principal name
        f1346770-5b25-470b-88bd-d5744ab7952c is already in use.
        Status: 409 (Conflict)
        ErrorCode: Request_MultipleObjectsWithSameKeyValue
        

      • 如果满足以下条件之一，将显示以下错误消息：

        • 用于使用 命令登录的 Connect-MgGraph 帐户无权将服务主体添加到租户。
        • 参数 -Scopes "Application.ReadWrite.All" 不会添加到 命令中 Connect-MgGraph 。
        • 不接受 “请求的权限” 窗口。
        • “请求的权限”窗口中未选中“代表组织同意”复选框。

        New-MgServicePrincipal : Insufficient privileges to complete the operation.
        Status: 403 (Forbidden)
        ErrorCode: Authorization_RequestDenied
        

下一步：创建用户组

相关内容

有关在 Intune 中创建组的详细信息，请参阅以下文章：

• 创建设备组。
• 添加组以组织用户和设备。
• 管理Microsoft Entra组和组成员身份。
• Microsoft Entra ID中组的动态成员身份规则。