对 Windows Autopilot 进行故障排除时，应了解哪些概念？

Windows Autopilot 旨在简化 Windows 设备生命周期的所有部分，但始终会出现问题。 排查问题时，了解以下信息会很有帮助：

Windows Autopilot 进程流 。

如何下载 Windows Autopilot 设备配置文件 。

在故障排除期间要执行 的关键活动 。

什么是 Windows Autopilot 进程流？

无论是执行用户驱动部署还是自部署设备部署，故障排除过程都大致相同。 了解特定设备的流非常有用：

建立网络连接。 连接可以是无线 (Wi-fi) 或有线 (以太网) 连接。

下载 Windows Autopilot 配置文件。 使用有线连接或建立无线连接时，一旦网络连接到位，配置文件就会从 Windows Autopilot 部署服务下载。

发生用户身份验证。 在用户驱动的部署期间，用户输入其Microsoft Entra凭据，然后对其进行验证。

发生Microsoft Entra联接。 对于用户驱动的部署，使用指定的用户凭据将设备加入到Microsoft Entra ID。 对于自部署方案，无需指定任何用户凭据即可加入设备。

自动移动设备管理 (MDM) 注册。 作为Microsoft Entra加入过程的一部分，设备在Microsoft Entra ID (配置的 MDM 服务中注册，例如，Microsoft Intune) 。

应用设置。 如果配置了 注册状态页 ，则会在显示注册状态页时应用大多数设置。 如果未配置或可用，将在用户登录后应用设置。

如何下载 Windows Autopilot 设备配置文件？

连接 Internet 的 Windows 设备启动时，它会尝试连接到 Windows Autopilot 服务并下载 Windows Autopilot 配置文件。 Windows Autopilot 配置文件会尽快下载，并在每次重新启动后再次下载。

在此阶段，请务必在租户中存在 Windows Autopilot 配置文件，以便不会在设备上本地缓存空白配置文件。 如有必要，可以通过重新启动设备来检索新的 Windows Autopilot 配置文件。

如果在 Windows 全新体验期间需要重启计算机， (OOBE) 检索新的 Windows Autopilot 配置文件：

选择 Shift-F10 打开命令提示符窗口。

在命令提示符窗口中，输入以下两个命令之一：

shutdown.exe /r /t 0 以立即 重启 。

shutdown.exe /s /t 0 以立即 关闭 。

要执行的关键故障排除活动包括：

查看配置：Microsoft Entra ID和Microsoft Intune还是非Microsoft移动设备管理 (MDM) 服务配置 Windows Autopilot 配置要求 中指定的配置？

检查网络连接：设备是否可以访问 Windows Autopilot 网络要求 中所述的服务？

Windows 现 (OOBE) 行为体验：是否显示 预期的 OOBE 屏幕？ “Microsoft Entra凭据”页是否按预期使用特定于组织的详细信息进行自定义？

Microsoft Entra联接问题：设备能否 加入Microsoft Entra ID ？

MDM 注册问题：设备是否能够 注册Microsoft Intune 或非Microsoft MDM 服务？

查看在 Windows Autopilot 发生故障时自动收集的日志。 有关详细信息，请参阅 从 Windows 设备收集诊断 。

在Windows 11 ，可以打开 Windows Autopilot 诊断页，查看有关 Windows Autopilot 预配过程的其他详细故障排除信息。 若要启用 Windows Autopilot 诊断页面，请执行以下作：

转到需要启用 Windows Autopilot 诊断 页的 ESP 配置文件 。

请确保将 “显示应用和配置文件配置进度 ”选择为“ 是 ”。

确保“ 为最终用户启用日志收集和诊断页 ”已选择“ 是 ”。

若要在启用诊断页后访问任何诊断信息，请选择“ 查看诊断 ”按钮或输入击键 Ctrl + Shift + D 。在以下情况下，当前支持诊断页：

Windows 11.

Windows Autopilot 用户驱动模式。

使用工作或学校帐户登录时。 不支持个人Microsoft帐户。

默认情况下，诊断会在 Windows Autopilot 发生故障时自动收集。 有关详细信息，请参阅 从 Windows 设备收集诊断 。

要使诊断能够成功从客户端上传，请确保该 URL lgmsapeweu.blob.core.windows.net 未在网络上被阻止。

Windows Autopilot 记录到何处？

Windows Autopilot 将条目记录到事件日志中。 日志条目可用于查看与 Windows Autopilot 配置文件设置和 OOBE 流相关的详细信息。 可以使用 事件查看器 查看这些条目。 在 Application and Services Logs - Microsoft -> Windows -> ModernDeployment-Diagnostics-Provider ->> Autopilot 中查看事件查看器中的信息。

事件查看器中的 Windows Autopilot 事件日志条目中不同的事件 ID 是什么意思？

可能会记录以下事件，具体取决于方案和配置文件配置：

从 Windows Autopilot 部署服务接收的 Windows Autopilot 配置文件设置存储在何处？

从 Windows Autopilot 部署服务收到的 Windows Autopilot 配置文件设置存储在设备的注册表中。 可以在注册表中找到此信息，该注册表位于以下注册表项中：

HKLM\SOFTWARE\Microsoft\Provisioning\Diagnostics\Autopilot

可用的注册表项包括：

ETW 跟踪是否可以与 Windows Autopilot 配合使用？

ETW 跟踪可用于从 Windows Autopilot 和相关组件获取详细信息。 可以使用 Windows 性能分析器或类似工具查看 ETW 跟踪文件。 有关详细信息，请参阅 Windows Autopilot 疑难解答 。

为什么即使启用了日志记录，Intune连接器也未在 事件查看器 中日志记录？

适用于 Active Directory 的 Intune 连接器最初直接在“ 应用程序和服务日志 ”下的 事件查看器 中记录名为 ODJ 连接器服务的 日志中。 但是，Intune连接器 active Directory 的日志记录已移至 “应用程序和服务日志 > ”Microsoft > Intune > ODJConnectorService 的路径 。 如果原始位置的 ODJ 连接器服务 日志为空或未更新，请改为检查新的路径位置。

Windows Autopilot 设备导入和注册疑难解答

尝试重新注册以前注册的设备时，为什么会出现错误代码“0x80180014”？

在以下任一情况下，可能会出现错误代码 0x80180014 ：

Microsoft Intune更改了 Windows Autopilot 自部署模式和预预配模式体验。 若要重复使用设备，必须删除Intune创建的设备记录。

此更改会影响使用自部署或预预配模式的所有 Windows Autopilot 部署。 当设备被重用、重置或重新部署配置文件时，此更改会影响设备。

若要解决并修复此方案中的问题并使用 Windows Autopilot 重新部署设备，请执行以下步骤：

登录到 Microsoft Intune 管理中心 。

在 “主页 ”屏幕中，选择左侧窗格中的“ 设备 ”。

在 设备中 |“概述 ”屏幕的“ 按平台 ”下，选择“ Windows ”。

在 Windows 中 |Windows 设备 屏幕的“ 设备载入 ”下，选择“ 注册 ”。

在 Windows 中 |注册 屏幕的 “Windows Autopilot ”下，选择“ 设备 ”。

选择遇到错误的设备，然后在工具栏中选择“ 取消阻止设备 ”。

重新部署 Windows Autopilot 部署配置文件。

选择“ 取消阻止设备 ”后可能不会显示成功消息，但设备已准备好再次使用。

如果 Windows (MDM) 设置为 “阻止 ”，请将其更改为 “允许 ”。

选择“ 查看 + 保存 ”，然后选择“ 如果 设置已更改，则保存”或 “取消 ”（如果未更改设置）。

对于除 “所有用户 ”以外的 注册限制 屏幕中可能存在的任何其他限制，请重复上述步骤。 仅需要验证 Windows 平台的限制。

如果存在多个限制，则可能存在仅允许某些组 MDM 注册的限制。 根据限制分配到的组，阻止 MDM 注册的某些限制可能有效。 遇到此问题时，请验证设备是否不是阻止 MDM 注册的组之一的成员。 或者，如果适用，请将该限制的 MDM 注册设置更改为 “允许 ”。

在这两种情况下，除了发生错误 0x80180014 外，Windows (ETW) 日志的事件跟踪可能还会显示以下移动设备管理 (MDM) 错误：

MDM Enroll: Server Returned Fault/Code/Subcode/Value=(DeviceNotSupported) Fault/Reason/Text=(Enrollment blocked for AP device by SDM One Time Limit Check)

尝试导入具有设备硬件哈希的 CSV 文件时，为什么选择“导入”时不会发生任何作？

出现此问题的原因通常是 CSV 文件中的设备哈希格式不正确。 问题发生时，可以通过运行网络跟踪来确认问题。 如果网络跟踪中出现错误 400 ，则 CSV 文件中的设备哈希格式很可能不正确。 400 错误消息的消息正文显示：

Cannot convert the literal '[DEVICEHASH]' to the expected type 'Edm.Binary'

损坏所收集哈希的任何内容都可能导致此错误。 一种可能性是哈希本身无法解码，即使哈希有效。

设备哈希为 Base64。 在设备级别，它编码为未填充的 Base64，但 Windows Autopilot 需要填充 Base64。 通常，有效负载不需要填充，并且进程可以工作。 但是，有时有效负载不会完全对齐，因此需要填充。 在这种情况下，会出现 400 错误消息。 PowerShell 的 Base64 解码器还要求填充 Base64，因此此解码器可用于验证哈希是否已正确填充。

哈希末尾的“A”字符实际上是空数据。 Base64 中的每个字符均为 6 位。 Base64 中的 6 位等于 0。 在末尾删除或添加 A 不会更改实际有效负载数据。

若要解决此问题并解决此问题，需要修改哈希。 然后需要测试新值，直到 PowerShell 成功解码哈希。 结果大多难以辨认，只要不显示 错误 Base-64 字符数组或字符串的长度无效 ，就没问题。

若要测试 base64，请使用以下 PowerShell：

[System.Text.Encoding]::ascii.getstring( [System.Convert]::FromBase64String("DEVICE HASH"))
[System.Text.Encoding]::ascii.getstring( [System.Convert]::FromBase64String("Q29udG9zbwAAA"))
此特定示例不是设备哈希，而是未对齐的未装板 Base64，因此它适用于测试。
现在用于填充规则。 填充字符为“=”。 填充字符只能位于哈希的末尾，并且最多只能有两个填充字符。 下面是基本逻辑。
解码哈希是否失败？
是：最后两个字符是否为“=”？
是：将两个“=”替换为单个“A”字符，然后重试
否：在末尾添加另一个“=”字符，然后重试
此行为在意料之中。
消息 修复挂起 或 需要注意 可能还会显示在设备的 Windows Autopilot 设备 页中。 这些消息指示设备上发生了硬件更改。 选择 “修复挂起 状态”的链接时，将显示以下消息：
We've detected a hardware change on this device. We're trying to automatically register the new hardware. You don't need to do anything now; the status will be updated at the next check in with the result.
若要解决此问题并解决此问题，请注销并重新注册设备。 有关详细信息，包括如何取消注册设备，请参阅以下文章：
              取消注册设备。

返回 Windows Autopilot 登录和部署体验的关键功能 。

Windows Autopilot 主板更换方案指南 。

为什么设备的联接类型显示为“已注册Microsoft Entra”而不是“已加入Microsoft Entra”？

如果设备在加入Microsoft Entra ID之前已在 Microsoft Entra ID 中注册，则会出现此问题。 设备可能通过 工作区加入 等方式在 Microsoft Entra ID 中注册。 如果在将Microsoft Entra ID注册的设备加入到Microsoft Entra ID之前未从Microsoft Entra ID中删除，则以前的信任类型将保留在记录中。 将已注册的现有Microsoft Entra设备加入到Microsoft Entra ID会导致 Windows Autopilot 设备显示为 已注册Microsoft Entra ，而不是 Microsoft Entra加入 。

若要解决此问题并解决此问题，在将现有Microsoft Entra ID注册的设备注册为 Windows Autopilot 设备之前，应删除该设备的以下现有设备对象：

Microsoft Intune。

Microsoft Entra ID。

Windows Autopilot。

删除所有设备对象后，将设备重新注册为 Windows Autopilot 设备，然后重新注册设备。 有关正确删除所有设备对象的详细信息，请参阅 取消注册设备 。

为什么注册Microsoft Intune或非Microsoft MDM 解决方案失败并出现错误代码“80180018”？

若要排查Microsoft Intune中的注册问题，如“ 出错 ”页中的错误代码 80180018 ，请参阅 排查Intune中的 Windows 设备注册错误 。 常见问题可能包括：

分配给用户的许可证不正确或缺失。

为用户注册的设备过多。

为什么 Windows Autopilot 重置会立即失败并出现错误？

请参阅 Windows Autopilot 重置：故障排除以获取 更多帮助（如果 Windows Autopilot 重置立即失败并出现错误）：

Ran into trouble. Please sign in with an administrator account to see why and reset manually.

在 Windows Autopilot 期间排查 Windows OOBE 问题

为什么 OOBE (Windows 现成体验) 在 Windows Autopilot 期间未按预期运行？

如果设备收到了 Windows Autopilot 配置文件，检查非常有用。 如果设备确实收到 Windows Autopilot 配置文件，请验证配置文件中的设置是否正确。

错误消息“无法连接到组织的 MDM 使用条款的 URL”的原因是什么？

此错误消息通常指示许可问题。 完整的错误消息显示：

Something went wrong

Can't connect to the URL of your organization's MDM terms of use. Try again, or contact your system administrator with the problem information from this page.

验证登录设备的用户是否具有有效的 Intune、EMS 或 Microsoft 365 许可证。

排查Microsoft Entra联接问题

将设备加入到Microsoft Entra ID时最常见的问题是什么？

将设备加入到Microsoft Entra ID最常见的问题与Microsoft Entra权限有关。 请确保配置正确，以允许用户加入设备以Microsoft Entra ID。 有关详细信息，请参阅 配置要求 。

如果用户尝试将更多设备加入到Microsoft Entra ID然后允许，会发生什么情况？

如果用户超过允许加入的设备数，则会发生错误。 此默认限制为 50 台设备，但可以在 Microsoft Entra ID 中配置。 有关详细信息，请参阅 了解Intune和Microsoft Entra设备限制 。

为什么删除Microsoft Entra ID中的设备对象会导致设备无法再加入Microsoft Entra ID？

导入时会创建Microsoft Entra设备。 请务必不删除此对象。 对象在组成员身份和目标（包括配置文件）Microsoft Entra ID中充当 Windows Autopilot 的定位点。 删除它可能会导致Microsoft Entra联接错误。 如果删除此对象，可以通过删除设备并将其重新导入为 Windows Autopilot 设备来解决此问题。 删除设备并将其重新导入为 Windows Autopilot 设备会重新创建Microsoft Entra ID中的关联对象。

排查与 Windows Autopilot 的策略冲突

为什么在 Windows Autopilot 预预配完成后，Windows 登录屏幕上缺少 Web 登录选项？

安全基线中的 设备密码策略 会导致预预配后出现问题。 若要解决此问题，请将安全基线中的密码设置更改为 “未配置” ，或将基线分配给用户组。

策略是否与 Windows Autopilot 正常工作发生冲突？

有大量适用于 Windows 的策略设置，包括：

本机移动设备管理 (MDM) 策略。

组策略 (ADMX 支持的) 设置。

某些策略设置可能会导致某些 Windows Autopilot 方案中出现问题。 由于策略如何更改 Windows 行为，可能会出现这些问题。 如果发现这些问题中的任何一个，请删除相关的策略以解决此问题。

与 Windows Autopilot 冲突的已知策略有哪些？

已知以下策略会导致 Windows Autopilot 出现问题。 请确保正确配置策略，使其不会与 Windows Autopilot 冲突：

如果设备设置需要在设备 ESP 期间重新启动，则影响 Windows Autopilot 的注册表项 注册表项 ：
如果 AutoAdminLogon 注册表项设置为 0 (禁用) ，这将中断 Windows Autopilot。

注册表路径 ：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Automatic logon 组策略 对象 (GPO) 影响预 预配部署 的 Windows Autopilot 如果启用了此处列出的四个 GPO 策略设置中的任何一个，则 Windows Autopilot 预预配不起作用。

GPO 路径 ：
计算机配置\Windows 设置\安全设置\本地策略\安全选项

交互式登录：尝试登录的用户的消息标题

交互式登录：尝试登录的用户的消息文本

交互式登录：需要Windows Hello 企业版或智能卡

用户帐户控制：在管理员审批模式下管理员的提升提示行为 - 在安全桌面上提示输入凭据

排查 Windows Autopilot 期间的应用程序安装问题

为什么在 Windows Autopilot 部署的 ESP 期间出现错误消息“正在进行另一个安装，请稍后重试”？

Windows Autopilot 使用的“注册状态”页 (ESP) 不支持混合使用业务线 (LOB) 和 Win32 应用程序。 LOB 和 Win32 应用程序都使用不允许同时安装的 TrustedInstaller 。 如果 LOB 和 Win32 应用程序都尝试同时安装，ESP 期间会出现以下错误消息：

Another installation is in progress, please try again later.

有关详细信息，请参阅 设置注册状态页 - 设备设置：应用 。

如果需要混合 LOB 和 Win32 应用，请考虑使用 Windows Autopilot 设备准备 ，它不使用 ESP，因此支持混合 LOB 和 Win32 应用。

在 Windows Autopilot 部署的 ESP 期间，为什么 Microsoft 365 即点即用版本的 Office 无法安装 Teams Machine-Wide 安装程序，或导致其他基于 Win32 应用 MSI 的安装失败？

Microsoft 365 即点即用版 Office 的 Teams Machine-Wide 安装程序 组件包括 MSI 安装。 ESP 不会跟踪 Teams Machine-Wide Installer MSI 安装。 由于 ESP 不会跟踪 Teams Machine-Wide Installer MSI 安装，因此当其他基于 Win32 应用 MSI 的安装尝试在 ESP 期间安装时，它可能会导致冲突。 MSI 通过 TrustedInstaller 安装，不允许同时安装。 此冲突可能会导致 Teams Machine-Wide 安装程序在 ESP 期间失败，或者其他基于 MSI 的安装失败。 有关详细信息，请参阅 设置注册状态页 - 设备设置：应用 。

此问题可能是随机的，可能不会总是发生。 出现此问题的原因是 Teams Machine-Wide 安装程序 MSI 安装与其他 Win32 应用 MSI 安装之间的计时问题。

若要解决此问题或避免错误，请使用以下解决方案之一：

请勿在 Office Microsoft 365 即点即用安装过程中安装 Teams 。 相反，在 Windows Autopilot 部署完成后，将 Teams 部署为 Win32 应用。

在 ESP 期间，请勿安装 Microsoft 365 即点即用版本的 Office。 相反，在 Windows Autopilot 部署完成后，部署 Office Microsoft 365 即点即用安装。

将自定义 PowerShell 脚本用于 Intune 管理扩展 (IME) ，以检查 TrustedInstaller 当前是否正在安装另一个 MSI。 如果是，请等待当前 MSI 完成安装，然后再启动新的 MSI 安装。

对于Windows 11部署，请使用 Windows Autopilot 设备准备 。 Windows Autopilot 设备准备不使用 ESP，因此支持混合使用 LOB 和 Win32 应用。

如果出现 ESP 失败，请继续执行错误。 如果启用此选项时出现问题，则某些应用程序（包括 Teams ）可能无法安装。 但是，ESP 会继续，并且不会失败。

Active Directory 的Intune连接器疑难解答

为什么即使启用了日志记录，Intune连接器也未在 事件查看器 中日志记录？

适用于 Active Directory 的 Intune 连接器最初直接在“ 应用程序和服务日志 ”下的 事件查看器 中记录名为 ODJ 连接器服务的 日志中。 但是，Intune连接器 active Directory 的日志记录已移至 “应用程序和服务日志 > ”Microsoft > Intune > ODJConnectorService 的路径 。 如果原始位置的 ODJ 连接器服务 日志为空或未更新，请改为检查新的路径位置。

为什么通过“设置”应用卸载适用于 Active Directory 的 Intune 连接器不会完全删除应用程序？

需要使用“设置”应用和 Intune Connector for Active Directory 安装的可执行文件ODJConnectorBoostrapper.exe卸载适用于 Active Directory 的Intune 连接器。 卸载适用于 Active Directory 的 Intune 连接器时，请运行 ODJConnectorBoostrapper.exe 并选择“ 卸载 ”选项。 ODJConnectorBoostrapper.exe 安装程序版本需要与要卸载的连接器的版本匹配。

安装适用于 Active Directory 的 Intune 连接器时，为什么出现错误“无法向 MSA 帐户授予在以下 OU 中创建计算机对象的权限”？

此错误可能发生在几种不同类型的故障中，包括：

安装和配置 active Directory Intune 连接器的管理员没有 active Directory 要求Intune连接器 中所述所需的权限。

Intune连接器 for Active Directory ODJConnectorEnrollmentWiazard.exe.config XML 配置文件中指定的组织单位 (OU) 不存在。

有关错误及其原因的详细信息，请参阅 ODJConnectorUI.log 通常位于以下文件夹中的 ：

C:\Program Files\Microsoft Intune\ODJConnector\ODJConnectorEnrollmentWizard

如果 中出现 ODJConnectorUI.log 以下错误，请按照 增加组织单位中的计算机帐户限制 的步骤作：

System.AggregateException: One or more errors occurred. ---> System.DirectoryServices.DirectoryServicesCOMException: A constraint violation occurred.

有关详细信息，请参阅 在服务器上安装 Intune 连接器 for Active Directory 。

为什么出现错误“无法在计算机'上启动服务 ODJConnectorSvc'”。 在为 Active Directory 设置Intune连接器时发生？

出现此错误的原因有多种，包括：

域具有多个具有复制延迟策略的域控制器。 MSA 是在其中一个域控制器中创建的，但针对另一个域控制器进行搜索。 等待复制按照策略完成或手动同步。复制完成后，打开连接器并选择 “配置 MSA ”。

配置的组策略不允许以非特权帐户的形式启动服务。 确保 MSA 帐户已授予 “以服务身份登录 ”权限。 例如，请参阅使用 Operations Manager 启用 服务登录 的此实例。

为什么出现错误“Microsoft Edge 无法读取和写入其数据目录”？

此错误指示用户需要对列出的目录具有读/写权限。 有关如何授予这些权限的详细信息，请参阅 管理用户数据文件夹 。

为什么使用适用于 Active Directory 的 Intune 连接器时注册开始失败？

确保 Active Directory Intune连接器已更新到版本 6.2501.2000.5 或更高版本，并且未使用旧版本。 有关详细信息，请参阅 Intune 连接器，以满足 Active Directory 要求 。

设置 Active Directory 的Intune 连接器时，为什么会出现错误“导航到网页已取消”或“无法安全地连接到此页面”？

此错误可能发生于多种不同类型的问题，包括：

管理员在其中安装和配置 active Directory Intune 连接器的服务器没有所需的 Internet 访问权限，也不允许Intune URL。 有关详细信息，请参阅以下文章：
Windows Autopilot 要求 - Windows Autopilot Deployment服务 。

Intune核心服务 。

Windows Autopilot 依赖项 。

服务器正在通过 TLS 1.0 或 1.1 发送网络请求，因为 PKCS 加密已禁用。 若要解决此问题，请在托管 Intune 连接器 for Active Directory 的服务器上，通过从提升的命令提示符运行 命令来删除以下命令中指定的注册表项值：

reg.exe delete "HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\PKCS" /v Enabled /f

Windows Autopilot - 已知问题 。

收集 MDM 日志 。 从 Windows 设备收集诊断 。