请教，如何在绕过OOBE中只能使用企业邮箱作为账号的限制

xw801

一台跨国企业淘汰的Dell笔记本电脑，在换硬盘全新重装系统中发现：sysprep的OOBE过程中（就是安装完成后蓝色底色，什么天涯若比邻开始的哪个界面），进入到在输入用户名时候，被限制为只能使用原企业的邮箱作为账号，不能使用自有的个人账号，不知道有没有办法解决，这个时通过识别什么信息做的限制啊？



感谢各位的指导，已经测试成功，分享一下解决办法：

1. 1、安装系统，2、PREP环节断网，使用bypassnro脚本，启动有限安装，3、注册本地账户，4、完成Prep后，可切换到使用本人网络账户登录。

复制代码

以上有个关键节点
prep运行中，如果联网并下载了文件，会禁用bypassno脚本（进入不了有限安装），一定第一次就这样操作。

===================
这个中间应该有个识别机制，prep环节中，微软自动识别到这台机器需要使用特定账号注册然后做了限制，我挺很好奇是基于什么数据来联动的

安装盘是用微软官方MediaCreationTool_22H2工具做的纯净安装盘，其它机器安装都非常正常，基本可以排除windows版本上被硬件厂家做了限制。是在PREP环节中，联网下载文件过程加入的。

邪恶海盗

xw801 发表于 2025-6-25 12:48
AI的回复如下：
在Windows 10的OOBE（开箱即用体验）环节中，微软通过一系列技术手段识别设备需要使用企 ...

不懂，我看他们都是断网跳过OOBE？


二○二五年六月二十五日

xw801

邪恶海盗 发表于 2025-6-20 22:42
老实说我不信能有这种限制...

AI的回复如下：
在Windows 10的OOBE（开箱即用体验）环节中，微软通过一系列技术手段识别设备需要使用企业邮箱作为网络用户名，这主要依赖于企业设备与Azure Active Directory（Azure AD）的预配置关联。以下是具体的技术实现流程：

1. 设备预配置：企业身份的“先天烙印”
企业在设备采购阶段或通过移动设备管理（MDM）解决方案（如Microsoft Intune）预先配置设备，使其与Azure AD租户绑定。这种预配置通过以下方式实现：

硬件哈希注册：
设备制造商或企业IT部门在设备出厂前，将设备的硬件标识（如硬盘序列号、BIOS序列号等）生成哈希值，并提前注册到企业的Azure AD租户中。此哈希值作为设备的唯一“数字指纹”，在OOBE阶段被Azure AD识别。
自动Azure AD加入：
对于企业批量采购的设备，IT部门可通过Windows Autopilot服务预配置设备。当设备首次启动时，会自动联系Azure AD，使用预注册的硬件哈希完成身份验证，并加入企业租户。
证书预置：
部分企业会在设备中预置数字证书，这些证书与企业内部的公钥基础设施（PKI）关联。在OOBE过程中，设备通过证书验证自动识别企业身份。
2. OOBE阶段的企业识别逻辑
当预配置的企业设备进入OOBE流程时，系统会执行以下步骤：

网络连接检查：
设备首先尝试连接互联网。若成功，会向微软的云服务发送请求，携带预注册的硬件哈希或证书信息。
Azure AD租户匹配：
微软的云服务（如Azure AD）根据设备提供的哈希值或证书，查询预配置的数据库，确认设备是否属于某个企业租户。
强制企业登录提示：
一旦匹配成功，OOBE流程会跳过“个人用户”选项，直接显示企业登录界面，并明确提示用户需使用企业邮箱（如name@company.com）作为用户名。
3. 企业邮箱的强制关联逻辑
企业邮箱作为网络用户名的强制使用，通过以下机制实现：

域名白名单限制：
企业在Azure AD中配置允许的域名白名单（如@company.com）。在OOBE的企业登录界面，系统仅接受这些域名后缀的邮箱地址，个人邮箱（如@gmail.com）会被直接拒绝。
条件访问策略预加载：
即使设备未完全加入企业网络，Azure AD也可通过预配置的条件访问策略，要求用户必须使用企业邮箱登录才能继续。例如，策略可能规定“仅允许来自公司域名的账户完成设备注册”。
与企业SSO集成：
企业邮箱通常与Azure AD的单点登录（SSO）服务集成。用户输入企业邮箱后，系统会自动跳转到企业的身份提供商（如Azure AD）进行认证，进一步强化企业身份管控。
4. 技术底层：设备与云的双向验证
设备端行为：
预配置的设备在OOBE时会调用特定的API（如DeviceAuthentication），向Azure AD发送包含硬件哈希的令牌请求。
云端验证流程：
Azure AD接收请求后，通过以下步骤验证设备身份：
解析令牌中的硬件哈希。
查询租户设备注册表，确认哈希是否存在。
若存在，返回企业登录界面配置，包含允许的域名列表。
用户界面响应：
设备根据云端返回的配置，动态渲染登录界面，隐藏个人用户选项，仅显示企业邮箱输入框。
总结：企业邮箱识别的完整链路
预配置阶段：设备硬件信息注册到企业Azure AD。
OOBE启动：设备联网后发送硬件哈希至Azure AD。
云端验证：Azure AD匹配设备与企业租户，返回企业登录配置。
界面强制：系统仅允许使用企业域名邮箱登录，个人邮箱被屏蔽。
这一流程确保企业设备在首次开机时即纳入统一管理，为后续的Intune策略部署、数据保护（如BitLocker加密、应用白名单）奠定基础，同时满足合规性要求（如等保2.0、GDPR）。

free2_citiz

Microsoft Account
Microsoft Authenticator

free2_citiz

1. wmic bios

复制代码

free2_citiz

1. wmic cpu get processorid

复制代码

free2_citiz

1. wmic baseboard get serialnumber

复制代码

free2_citiz

1. wmic csproduct get UUID

复制代码

xw801

free2_citiz 发表于 2025-6-23 14:31
联网并下载了文件  ……那就是microsoft的事
或者是 windows版本的事
只有全程无网并使用初始镜像才是硬件 ...

联网并下载了文件  ……那就是microsoft的事
或者是 windows版本的事

是的，这个中间应该有个识别机制，微软自动识别到这台机器需要使用特定账号注册然后做了限制，我挺很好奇是基于什么数据来联动的

安装盘是用微软官方MediaCreationTool_22H2工具做的纯净安装盘，其它机器安装都非常正常，基本可以排除windows版本上被硬件厂家做了限制。

free2_citiz

联网并下载了文件  ……那就是microsoft的事
或者是 windows版本的事
只有全程无网并使用初始镜像才是硬件厂商的事




登录时要使用的帐户
登录到Microsoft服务时，登录屏幕会为你查找帐户类型，并登录到正确的服务。

只能登录到帐户为其设置的Microsoft服务。

注意:

如果你访问 Outlook.com 并使用工作或学校帐户登录，你将被重定向到你的工作或学校邮箱。

如果尝试使用 Microsoft 帐户登录到业务服务，将收到错误。

个人帐户和工作或学校帐户之间不会同步用户帐户信息。

1. https://www.sohu.com/a/877707821_122004016

复制代码

win10

1. https://support.microsoft.com/zh-cn/topic/windows-10-%E6%9B%B4%E6%96%B0%E5%8E%86%E5%8F%B2%E8%AE%B0%E5%BD%95-8127c2c6-6edf-4fdf-8b9f-0f7be1ef3562

复制代码

win11 21h2
win11 22h2
win11 23h2
win11 24h2

1. https://support.microsoft.com/zh-cn/topic/windows-11%E7%89%88%E6%9C%AC-24h2-%E6%9B%B4%E6%96%B0%E5%8E%86%E5%8F%B2%E8%AE%B0%E5%BD%95-0929c747-1815-4543-8461-0160d16f15e5

复制代码

xw801

free2_citiz 发表于 2025-6-23 09:18
建立本地用户》》
进入 账户界面，断网，点击界面 继续 绕过

谢谢！是的，我现在是这么操作的。
1、安装系统，2、PREP环节断网，使用bypassnro脚本，启动有限安装，3、注册本地账户，4、完成Prep后，可切换到使用本人网络账户登录。

以上有个关键节点
prep运行中，如果联网并下载了文件，会禁用bypassno脚本（进入不了有限安装），一定第一次就这样操作。

还是很好奇，硬件厂家是通过什么设置这个只能用企业ID的限制。

njh911

free2_citiz 发表于 2025-6-23 09:18
建立本地用户》》
进入 账户界面，断网，点击界面 继续 绕过

系统否登录不了，这个没用

free2_citiz

建立本地用户》》
进入 账户界面，断网，点击界面 继续 绕过

,,,,,重装系统和 sysprep 不是一回事


设备打开了bitlocker 并注册到某一组织Microsoft Authenticator
先建立本地账号，再到软件设置里关联微软账户account.microsoft.com/profile（个人）
软件用微软账户 ，系统用本地账户

account /Authenticator 是两回事

1. https://support.microsoft.com/zh-cn/account-billing/%E5%A6%82%E4%BD%95%E7%99%BB%E5%BD%95%E5%88%B0-microsoft-%E5%B8%90%E6%88%B7-2ffedaca-6e1b-bc18-f28c-58539e1cb6d3

复制代码

xw801

free2_citiz 发表于 2025-6-22 19:41

将电脑恢复出厂设置的4种方法

你链接的是这个么？和我这个情况不同，我已经是全新重装的系统了。

free2_citiz

1. https://zhuanlan.zhihu.com/p/375616482

复制代码

madaxiazi

微软之前曾有过安装时强制使用企业邮箱登录的限制，好像只限win11，但过后又移除了该限制。解决办法是下载新的win11镜像安装或者如楼上某兄弟所言使用bypassnro脚本跳过此限制。
硬件生产厂家还真有技术手段限制这个，而且无法通过给bios放电等方式取消，需要刷bios

windows9650

xw801 发表于 2025-6-20 20:37
淘汰的，但是出厂估计做了预配置，需要原公司解除限制(把这个机器移出提交dell的列表，管理员在线操作就 ...

直接给BIOS放电就行，断网加放电，天王老子来了都搞不定

邪恶海盗

xw801 发表于 2025-6-20 20:37
淘汰的，但是出厂估计做了预配置，需要原公司解除限制(把这个机器移出提交dell的列表，管理员在线操作就 ...

老实说我不信能有这种限制...


二○二五年六月二十日

xw801

邪恶海盗 发表于 2025-6-20 19:38
啥本这么牛屁？？？

淘汰的，但是出厂估计做了预配置，需要原公司解除限制(把这个机器移出提交dell的列表，管理员在线操作就可以)，但这个实在办不到，只能想其他办法了。原来以为是通过激活码控制的，发现换了激活码还是不行，有高人知道是通过什么来识别和限制的。

邪恶海盗

啥本这么牛屁？？？


二○二五年六月二十日