Новый ноутбук включился — и сразу готов к работе. Без образов, ручных настроек и ожидания. Так работает современный Autopilot. Но магия ломается на мелких деталях: таймауты, группы, конфликты политик. Разбираю рабочие связки на май 2026. Только факты, проверенные конфигурации и чёткие команды.
📋 Базовые требования
✅ Проверено для: Windows 11 24H2 (build 26100.8457), 25H2 (build 26200.8457), 26H1 (build 28000.2113)
✅ Инфраструктура: Intune SR 2604+, Autopilot Device Preparation с Managed Installer (GA с 10.04.2026)
⚠️ Напоминание: Поддержка Windows 10 через ESU завершается 13.10.2026. Миграцию лучше начать заранее.
🔧 Регистрация устройств: где чаще всего ошибаются
Процесс простой: устройство собирает хэш железа → данные уходят в Intune → применяется профиль → сотрудник получает рабочий стол. Но есть три точки отказа.
🔹 Таймаут ESP
Дефолтные 60 минут часто рвут установку тяжёлых Win32-пакетов. Ставьте 90–120 минут, если грузите большие приложения или драйверы.
🔹 Группы назначения
Без динамической группы политики не применятся. Используйте правило (device.devicePhysicalIDs -any _["ZTDId"] -eq "<value>") для автоматического попадания устройств в нужный профиль.
🔹 Конфликт с SCCM
Чисто облачный сценарий ломается, если в профиле включён HybridAzureADJoin. Отключите его, если не планируете синхронизацию с локальным Active Directory. Иначе получите двойную регистрацию и ошибки в ESP.
✅ Чек-лист перед запуском
📝 Лицензии: Intune P1/P2 + Windows E3/E5 или Business Premium
🌐 Сеть: убедитесь, что .microsoftonline.com, .manage.microsoft.com и .provisioning.microsoft.com не заблокированы
🧪 Пилот: обкатайте конфигурацию на 3–5 тестовых устройствах
🛡️ Контроль приложений: настройте Managed Installer (GA с 10.04.2026) для блокировки неподписанных инсталляторов ещё в OOBE
🔍 Логи: проверьте %ProgramData%\Microsoft\IntuneManagementExtension\Logs после каждого теста
Это интересно:
💻 Полезные команды
Get-WindowsAutopilotInfo.ps1 -Online -Assign
Get-IntuneManagedDevice
💡 Запускайте скрипты только под учётной записью System через Intune Management Extension. Никаких хардкод-паролей и Invoke-Expression с внешним кодом.
📊 Что подтверждено на май 2026
✔️ Актуальные билды: 24H2 (26100.8457), 25H2 (26200.8457), 26H1 (28000.2113)
✔️ Лимит приложений в политике подготовки увеличен до 25
✔️ PowerShell 7.6.2 LTS — стабильная основа для новых скриптов
✔️ Managed Installer полностью интегрирован в Autopilot Device Preparation
⚠️ Что требует внимания
🔧 Замените старые профили с HybridAzureADJoin: true на AzureADJoin: true, если не нужна legacy-интеграция
🔧 Перед массовым деплоем сверяйте совместимость с текущим CU: для 24H2/25H2 — KB5089549, для 26H1 — KB5089548
🔒 Безопасность и аудит
🛡️ Все скрипты выполняются через IME с правами System
🛡️ Включите аудит событий через /deviceManagement/autopilotEvents в Graph API
🛡️ Настройте отправку логов в Azure Monitor с фильтрацией по имени профиля подготовки
💡 Финальная рекомендация
Для ускорения OOBE можно временно отключить установку ежемесячных накопительных обновлений на этапе Autopilot. Это экономит 20–40 минут на устройство. Обязательно тестируйте изменение в изолированной среде перед продакшеном.
📅 Дата проверки: 24.05.2026 (UTC)
Полный гайд с готовыми JSON-профилями, скриптами диагностики через Get-WindowsAutopilotInfo и кейсами enterprise-миграции
#Autopilot #Intune #Windows11 #Windows10 #MDM #M365 #Microsoft365 #AzureAD #EntraID #PowerShell #SysAdmin #ITPro #WindowsDeployment #ModernManagement #CloudIT #HybridWork #DeviceManagement #IntuneAdmin #AutopilotDeployment #Windows11_24H2 #Windows11_25H2 #Windows11_26H1 #ManagedInstaller #ESP #OOBE #Win32Apps #GraphAPI #AzureMonitor #ITAutomation #EnterpriseIT