【Autopilot】没有自动添加本地管理员的问题处理

【问题】某公司选用了D记的笔记本电脑，约定出厂就预配置好Autopilot，当时向D记提供了三个信息：
1. M365的租户ID
2. 公司域名信息
3. Group Tag (某公司为跨国公司，通过Group Tag来区分国家，比如CHN-中国，LKA- 斯里兰卡。。。)
拿到新采购的电脑后，工程师按照标准流程完成操作系统的部署，结果发现原本应该自动加入电脑本地管理员组的两个账号并没有被添加进去，找另外的电脑重新部署了一台电脑，结果还是一样。

【解决】
根据给通过Autopilot部署的机器添加本地管理员这篇文章的描述，在完成相应的设置后就可以清楚的看到，通过Autopilot部署的系统，其电脑本地管理员的成员主要受三个条件影响：
1. 指定的电脑设备组（包括Included及Excluded）
2. Scope Tag 
3. 指定的需要添加为电脑本地管理员的用户组

查看第一个条件Included groups，发现在 "CHN.Devices.Windows.Autopilot (AAD)"这个组里，并没有新部署的电脑。为确认问题原因，尝试新建了一个临时的名为DeviceTestGroup 的 AAD Group，把新部署的电脑添加到组里，然后调整Accout Protection的策略设置，把DeviceTestGroup添加到Included groups里，同步后发现电脑的本地管理员里就自动的出现了预期的成员。

这说明问题就出在电脑没有被自动添加到本该被自动添加进的“CHN.Devices.Windows.Autopilot (AAD)”这个组里。

第一层的原因找到了，接下来就是查为什么电脑没有被加到该加的组里。
在Intune的Groups管理界面里找到相关的组，可以看到其类型为动态“Dynamic”类型。

点击组名，去查看动态成员规则，里面有一条语句“(device.devicePhysicalIds -any _ -eq "[OrderID]:CHN")”

关于这里的 device.devicePhysicalids -eq 表达式里的那个[OrderID]，说实在的，真是有些迷惑人，微软文档里给了下面的描述。

这里提到的OrderID, PurchaseOrderID是让人怎么也联想不到会跟Group Tag会有关系。但想来想去，整个系统里，用到"CHN"的也只有Group Tag，于是就去查新采购电脑的属性（Intune管理中心 > Devices > Enrollment > Windows Autopilot > Devices）。

通过序列号找到电脑后， 发现其Group tag是空的。点击蓝色字体的电脑序列号，在屏幕右侧出现的对话框里为电脑添加Group tag，添加后等同步完成，本地管理员组就正常了。

【后记】

事后联系D记，说在做Autopilot的预设置时，只用到了本文最开始提到的前两个参数，而没有地方去添加Group tag，由此也就导致了这个问题的产生。

后续就只能手动为新采购的电脑在Intune管理界面里去添加这个Group tag了。

------EOF-----