Předběžné zřízení Microsoft Entra hybridního připojení: Instalace konektoru Intune Connector

• Platí pro:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Windows Autopilot pro předem zřízené nasazení Microsoft Entra kroky hybridního připojení:

• Krok 1: Nastavení automatické registrace windows Intune

• Krok 2: Instalace konektoru Intune

• Krok 3: Zvýšení limitu účtu počítače v organizační jednotce (OU)
• Krok 4: Registrace zařízení jako zařízení Windows Autopilot
• Krok 5: Vytvoření skupiny zařízení
• Krok 6: Konfigurace a přiřazení stránky stavu registrace windows Autopilotu (ESP)
• Krok 7: Vytvoření a přiřazení profilu windows Autopilotu Microsoft Entra hybridního připojení
• Krok 8: Konfigurace a přiřazení profilu připojení k doméně
• Krok 9: Přiřazení zařízení Windows Autopilot uživateli (volitelné)
• Krok 10: Postup techniků
• Krok 11: Tok uživatele

Přehled pracovního postupu windows Autopilotu pro předem zřízené nasazení Microsoft Entra hybridního připojení najdete v tématu Windows Autopilot pro předem zřízené nasazení Microsoft Entra přehled hybridního připojení.

Poznámka

Pokud je konektor Intune už nainstalovaný a nakonfigurovaný, přeskočte tento krok a přejděte ke kroku 3: Zvýšení limitu účtu počítače v organizační jednotce (OU).

Instalace konektoru Intune pro Službu Active Directory

Účelem konektoru Intune pro Službu Active Directory, označovaného také jako konektor ODJ (Offline Domain Join), je připojit počítače k místní doméně během procesu Windows Autopilot. Konektor Intune pro službu Active Directory vytvoří objekty počítače v zadané organizační jednotce (OU) ve službě Active Directory během procesu připojení k doméně.

Důležité

Od verze Intune 2501 používá Intune aktualizovaný konektor Intune pro Službu Active Directory, který posiluje zabezpečení a dodržuje zásady nejnižších oprávnění pomocí účtu spravované služby (MSA). Po stažení konektoru Intune pro Službu Active Directory z Intune se stáhne aktualizovaný konektor Intune pro službu Active Directory. Předchozí starší verze konektoru Intune pro Službu Active Directory je stále k dispozici ke stažení na webu Intune Connector pro službu Active Directory, ale Microsoft doporučuje do budoucna používat aktualizovaný instalační program Intune Connector pro službu Active Directory. Starší verze konektoru Intune pro Službu Active Directory bude fungovat někdy v květnu 2025. Předtím je ale potřeba ho aktualizovat na aktualizovaný konektor Intune pro Službu Active Directory, aby nedošlo ke ztrátě funkčnosti. Další informace najdete v tématu Intune Connector pro Službu Active Directory s účtem s nízkými oprávněními pro nasazení služby Autopilot Hybrid Microsoft Entra join.

Aktualizace konektoru Intune pro Službu Active Directory na aktualizovanou verzi se neprochází automaticky. Starší verze konektoru Intune pro Službu Active Directory je potřeba ručně odinstalovat a pak ručně stáhnout a nainstalovat aktualizovaný konektor. Pokyny pro ruční odinstalaci a instalaci konektoru Intune pro Službu Active Directory najdete v následujících částech.

Vyberte kartu, která odpovídá verzi konektoru Intune pro službu Active Directory, která se instaluje:

Aktualizovaný konektor

Před zahájením instalace se ujistěte, že jsou splněné všechny požadavky na server konektoru Intune.

Tip

Je vhodné, ale není nutné, aby správce, který instaluje a konfiguroval Intune Connector pro Službu Active Directory, měl příslušná doménová práva, jak je popsáno v tématu Intune Connector pro požadavky služby Active Directory. Tento požadavek umožňuje, aby Intune Connector pro instalační program a proces konfigurace služby Active Directory správně nastavil oprávnění pro msa v kontejneru počítače nebo organizačních jednotcích, ve kterých se objekty počítače vytvářejí. Pokud správce tato oprávnění nemá, musí správce, který má příslušná oprávnění, postupovat podle části Zvýšení limitu účtu počítače v organizační jednotce.

Vypnutí konfigurace rozšířeného zabezpečení aplikace Internet Explorer

Ve výchozím nastavení má Windows Server zapnutou konfiguraci rozšířeného zabezpečení aplikace Internet Explorer. Konfigurace rozšířeného zabezpečení aplikace Internet Explorer může způsobit problémy s přihlášením ke konektoru Intune pro službu Active Directory. Vzhledem k tomu, že internet Explorer je zastaralý a ve většině případů ani není nainstalovaný na Windows Server, microsoft doporučuje vypnout Konfiguraci rozšířeného zabezpečení aplikace Internet Explorer. Vypnutí konfigurace rozšířeného zabezpečení aplikace Internet Explorer:

1. Přihlaste se k serveru, na který se instaluje Intune Connector pro Active Directory, pomocí účtu, který má oprávnění místního správce.

2. Otevřete Správce serveru.

3. V levém podokně Správce serveru vyberte Místní server.

4. V pravém podokně VLASTNOSTI Správce serveru vyberte odkaz Zapnuto nebo Vypnuto vedle konfigurace rozšířeného zabezpečení IE.

5. V okně Konfigurace rozšířeného zabezpečení aplikace Internet Explorer vyberte v části Správcimožnost Vypnuto a pak vyberte OK.

Stažení konektoru Intune pro Active Directory

1. Na serveru, na který se instaluje konektor Intune pro Službu Active Directory, se přihlaste do Centra pro správu Microsoft Intune.

2. Na domovské obrazovce vyberte v levém podokně Možnost Zařízení .

3. V části Zařízení | Obrazovka Přehled v části Podle platformy vyberte Windows.

4. Ve Windows | Obrazovka zařízení s Windows v části Onboarding zařízení vyberte Registrace.

5. Ve Windows | Obrazovka registrace windows v části Windows Autopilot vyberte Intune Connector pro Active Directory.

6. Na obrazovce Intune Connector for Active Directory vyberte Přidat.

7. V okně Přidat konektor, které se otevře, vyberte v části Konfigurace konektoru Intune pro Službu Active Directorymožnost Stáhnout místní konektor Intune Pro Active Directory. Odkaz stáhne soubor s názvem ODJConnectorBootstrapper.exe.

Instalace konektoru Intune pro Službu Active Directory na server

Důležité

Konektor Intune pro instalaci služby Active Directory je potřeba provést pomocí účtu, který má následující doménová práva:

• Povinné – Vytvořte objekty msDs-ManagedServiceAccount v kontejneru Účty spravované služby.
• Volitelné – Úprava oprávnění v organizačních jednotkách ve službě Active Directory – pokud správce, který instaluje aktualizovaný konektor Intune pro Službu Active Directory, toto právo nemá, musí správce, který má tato práva, provést další kroky konfigurace. Další informace najdete v kroku/části Zvýšení limitu účtu počítače v organizační jednotce.

1. Přihlaste se k serveru, na který se instaluje Intune Connector pro Active Directory, pomocí účtu, který má oprávnění místního správce.

2. Pokud je nainstalovaná předchozí starší verze konektoru Intune pro Službu Active Directory, odinstalujte ho před instalací aktualizovaného konektoru Intune pro Active Directory. Další informace najdete v tématu Odinstalace konektoru Intune pro Službu Active Directory.

   Důležité

   Při odinstalaci starší verze konektoru Intune pro Službu Active Directory nezapomeňte v rámci procesu odinstalace spustit instalační program starší verze konektoru Intune Connector pro službu Active Directory. Pokud se starší verze konektoru Intune pro službu Active Directory při spuštění zobrazí výzvu k jeho odinstalaci, vyberte a odinstalujte ho. Tento krok zajistí, že se předchozí starší verze konektoru Intune pro Službu Active Directory úplně odinstaluje. Starší verzi instalačního programu Intune Connector pro Active Directory si můžete stáhnout z Intune Connectoru pro Active Directory.

   Tip

   V doménách s pouze jedním konektorem Intune pro službu Active Directory microsoft doporučuje nejprve nainstalovat aktualizovaný konektor Intune pro službu Active Directory na jiný server. Před odinstalací starší verze konektoru Intune pro službu Active Directory na aktuálním serveru by se měla nainstalovat aktualizovaná služba Intune Connector pro službu Active Directory na jiný server. Instalace konektoru Intune pro Službu Active Directory na jiný server zabrání výpadkům, když se na aktuálním serveru aktualizuje konektor Intune pro Službu Active Directory.

3. ODJConnectorBootstrapper.exe Otevřete stažený soubor a spusťte instalaci konektoru Intune pro instalaci služby Active Directory.

4. Projděte si Intune Connector pro instalaci služby Active Directory.

5. Na konci instalace zaškrtněte políčko Spustit konektor Intune pro Službu Active Directory.

   Poznámka

   Pokud se instalace Intune Connectoru pro instalaci služby Active Directory omylem zavře bez zaškrtnutí políčka Spustit konektor Intune pro Službu Active Directory, můžete znovu otevřít konfiguraci konektoru Intune pro Službu Active Directory výběrem možnosti Intune Connector pro službu Active Directory>Intune Konektor pro Active Directory z nabídky Start.

Přihlaste se ke Intune Connectoru pro Active Directory.

1. V okně Intune Connector for Active Directory na kartě Registrace vyberte Přihlásit se.

2. Na kartě Přihlásit se přihlaste pomocí Microsoft Entra ID přihlašovacích údajů role správce Intune. Uživatelský účet musí mít přiřazenou licenci Intune. Proces přihlášení může trvat několik minut.

   Poznámka

   Účet použitý k registraci konektoru Intune pro Službu Active Directory je v době instalace pouze dočasným požadavkem. Účet se po registraci serveru dál nepoužívá.

3. Po dokončení procesu přihlášení:

   1. Zobrazí se potvrzovací okno Konektor Intune pro službu Active Directory úspěšně zaregistrovaný. Výběrem OK okno zavřete.
   2. Zobrazí se potvrzovací okno Účet spravované služby s názvem "<MSA_name>" . Název msa je ve formátu msaODJ##### , kde ##### je pět náhodných znaků. Označte název vytvořeného účtu MSA a pak kliknutím na OK okno zavřete. Název msa může být potřeba později ke konfiguraci MSA tak, aby umožňoval vytváření objektů počítače v organizačních jednotcích.

4. Na kartě Registrace se zobrazuje Intune Konektor pro Službu Active Directory je zaregistrovaný. Tlačítko Přihlásit se je neaktivní a možnost Konfigurovat účet spravované služby je povolená.

5. Zavřete okno konektoru Intune pro Službu Active Directory.

Ověřte, že je konektor Intune pro Službu Active Directory aktivní.

Po ověření se dokončí instalace konektoru Intune pro Službu Active Directory. Po dokončení instalace pomocí následujícího postupu ověřte, že je aktivní v Intune:

1. Pokud je centrum pro správu Microsoft Intune stále otevřené, přejděte do něj. Pokud se okno Přidat konektor stále zobrazuje, zavřete ho.

   Pokud centrum pro správu Microsoft Intune stále není otevřené:

   1. Přihlaste se do Centra pro správu Microsoft Intune.

   2. Na domovské obrazovce vyberte v levém podokně Možnost Zařízení .

   3. V části Zařízení | Obrazovka Přehled v části Podle platformy vyberte Windows.

   4. Ve Windows | Obrazovka zařízení s Windows v části Onboarding zařízení vyberte Registrace.

   5. Ve Windows | Obrazovka registrace windows v části Windows Autopilot vyberte Intune Connector pro Active Directory.

2. Na stránce konektoru Intune pro Službu Active Directory:

   • Ověřte, že se server zobrazuje v části Název konektoru a že se v části Stav zobrazuje jako Aktivní.
   • V případě aktualizovaného konektoru Intune pro Službu Active Directory se ujistěte, že je verze vyšší nebo rovna 6.2501.2000.5.

   Pokud se server nezobrazí, vyberte Aktualizovat nebo přejděte pryč ze stránky a pak přejděte zpět na stránku Intune Connector for Active Directory.

Poznámka

• Může trvat několik minut, než se nově zaregistrovaný server zobrazí na stránce Intune Connector for Active Directory v Centru pro správu Microsoft Intune. Zaregistrovaný server se zobrazí jenom v případě, že může úspěšně komunikovat se službou Intune.

• Neaktivní konektory Intune pro Službu Active Directory se stále zobrazují na stránce Intune Connector for Active Directory a po 30 dnech se automaticky vyčistí.

Po instalaci konektoru Intune pro Službu Active Directory se spustí protokolování v Prohlížeč událostí v cestě Protokoly> aplikací a služebMicrosoft>Intune>ODJConnectorService. V této cestě najdete Správa a provozní protokoly.

Konfigurace MSA tak, aby umožňoval vytváření objektů v organizačních pou (volitelné)

Ve výchozím nastavení mají msa přístup pouze k vytváření objektů počítače v kontejneru Computers . Účty msa nemají přístup k vytváření objektů počítače v organizačních jednotkách. Aby služba MSA mohla vytvářet objekty v organizačních jednotkách, je potřeba je přidat do ODJConnectorEnrollmentWizard.exe.config souboru XML, který se nachází v adresáři, ve ODJConnectorEnrollmentWizard kterém byl nainstalován konektor Intune pro Službu Active Directory, obvykle C:\Program Files\Microsoft Intune\ODJConnector\.

Pokud chcete nakonfigurovat MSA tak, aby umožňoval vytváření objektů v organizačních jednotkách, postupujte takto:

1. Na serveru, na kterém je nainstalovaný konektor Intune pro Službu Active Directory, přejděte do ODJConnectorEnrollmentWizard adresáře, ve kterém byl nainstalován konektor Intune pro Službu Active Directory, obvykle C:\Program Files\Microsoft Intune\ODJConnector\.

2. V adresáři ODJConnectorEnrollmentWizard otevřete ODJConnectorEnrollmentWizard.exe.config soubor XML v textovém editoru, například v Poznámkovém bloku.

3. ODJConnectorEnrollmentWizard.exe.config Do souboru XML přidejte všechny požadované organizační objekty, ve kterých by měl mít msa přístup k vytváření objektů počítače. Název organizační jednotky by měl být rozlišující název, a pokud je to možné, musí být řídicí. Následující příklad je příklad položky XML s rozlišujícím názvem organizační jednotky:

     <appSettings>
   
       <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format.
           The ODJ Connector will only have permission to create computer objects in these OUs.
           The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure
   
           Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY):
           Domain contains the following OUs:
             - OU=HybridDevices,DC=contoso,DC=com
             - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com
   
           Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" -->
   
       <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" />
     </appSettings>
   

4. Po přidání všech požadovaných organizačních jednotek uložte ODJConnectorEnrollmentWizard.exe.config soubor XML.

5. Jako správce, který má příslušná oprávnění ke změně oprávnění organizační jednotky, otevřete konektor Intune pro Službu Active Directory tak, že v nabídce Start přejdete na Intune Connector pro Active Directory>Intune Connector pro Active Directory.

   Důležité

   Pokud správce, který instaluje a konfiguruje konektor Intune pro Službu Active Directory, nemá oprávnění k úpravě oprávnění organizační jednotky, musí místo toho postupovat správce, který má oprávnění k úpravě oprávnění organizační jednotky, oddíl/postup Zvýšení limitu účtu počítače v organizační jednotce.

6. Na kartě Registrace v okně Intune Connector for Active Directory vyberte Konfigurovat účet spravované služby.

7. Zobrazí se potvrzovací okno Účet spravované služby s názvem "<MSA_name>" . Výběrem OK okno zavřete.

Starší verze konektoru

Důležité

Starší verze konektoru Intune pro Službu Active Directory je zastaralá. Tyto pokyny předpokládají, že starší verze konektoru Intune pro službu Active Directory je již nainstalována nebo je již stažena. Pokud se starší verze konektoru Intune pro Active Directory ještě nestáhnou, můžete si ho stáhnout z Intune Connectoru pro Active Directory.

Osvědčeným postupem ale je stáhnout a nainstalovat aktualizovaný konektor Intune pro Službu Active Directory. Pokud chcete získat další informace, vyberte místo toho kartu Aktualizovaný konektor .

Před zahájením instalace se ujistěte, že jsou splněné všechny požadavky na server konektoru Intune.

Zakázat konfiguraci rozšířeného zabezpečení aplikace Internet Explorer

Ve výchozím nastavení má Windows Server zapnutou konfiguraci rozšířeného zabezpečení aplikace Internet Explorer. Konfigurace rozšířeného zabezpečení aplikace Internet Explorer může způsobit problémy s přihlášením ke konektoru Intune pro službu Active Directory. Vzhledem k tomu, že internet Explorer je zastaralý a ve většině případů ani není nainstalovaný na Windows Server, microsoft doporučuje vypnout Konfiguraci rozšířeného zabezpečení aplikace Internet Explorer. Vypnutí konfigurace rozšířeného zabezpečení aplikace Internet Explorer:

1. Přihlaste se k serveru, na který se instaluje Intune Connector pro Active Directory, pomocí účtu, který má práva místního správce a oprávnění správce domény. Oprávnění správce domény se vyžadují, aby instalační program služby Intune Connector pro službu Active Directory mohl správně vytvořit MSA.

2. Otevřete Správce serveru.

3. V levém podokně Správce serveru vyberte Místní server.

4. V pravém podokně VLASTNOSTI Správce serveru vyberte odkaz Zapnuto nebo Vypnuto vedle konfigurace rozšířeného zabezpečení IE.

5. V okně Konfigurace rozšířeného zabezpečení aplikace Internet Explorer vyberte v části Správcimožnost Vypnuto a pak vyberte OK.

Instalace starší verze konektoru Intune pro Službu Active Directory na server

1. Otevřete dříve stažený ODJConnectorBootstrapper.exe soubor a spusťte instalaci konektoru Intune pro instalaci služby Active Directory.

   Poznámka

   Pokud je starší verze konektoru Intune pro Službu Active Directory už nainstalovaná, přejděte do nabídky >StartIntune Connector pro Active Directory>Intune Connector pro Active Directory a pak pokračujte k přihlášení ke starší verzi konektoru Intune pro Active Directory.

2. V okně instalačního programu Intune Connector pro instalační program služby Active Directory vyberte Souhlasím s licenčními podmínkami a ujednáními a pak vyberte Nainstalovat.

   Poznámka

   Pokud je požadované umístění instalace jiné než výchozí umístění C:\Program Files\Microsoft Intune\ODJConnector, vyberte Možnosti a zadejte požadované umístění instalace.

3. Po dokončení instalace vyberte v okně instalačního programu Intune Connector pro instalační program služby Active Directory možnost Konfigurovat.

   Poznámka

   Pokud je omylem vybrána možnost Zavřít nebo dojde k náhodnému zavření okna instalačního programu Intune Connector pro instalaci služby Active Directory, můžete získat přístup ke službě Intune Connector pro konfiguraci služby Active Directory tak, že v nabídce Start vyberete Intune Connector pro Active Directory>Intune Connector pro Službu Active Directory.

Přihlášení ke starší verzi konektoru Intune

1. V okně Intune Connector for Active Directory na kartě Registrace vyberte Přihlásit se.

2. Na kartě Přihlásit se přihlaste pomocí přihlašovacích údajů role správce Intune. Uživatelský účet musí mít přiřazenou licenci Intune. Proces přihlášení může trvat několik minut.

   Poznámka

   Účet použitý k registraci konektoru Intune pro Službu Active Directory je v době instalace pouze dočasným požadavkem. Účet se po registraci serveru dál nepoužívá.

3. Po dokončení procesu přihlášení se zobrazí potvrzovací okno Konektor Intune pro službu Active Directory úspěšně zaregistrovaný. Výběrem OK okno zavřete.

4. Karta Registrace zobrazuje, Intune konektor pro Active Directory je zaregistrovaný a tlačítko Přihlásit se je neaktivní.

5. Zavřete okno konektoru Intune pro Službu Active Directory.

Ověřte, že je aktivní starší verze konektoru Intune pro Službu Active Directory.

Po ověření se dokončí instalace konektoru Intune pro Službu Active Directory. Po dokončení instalace pomocí následujícího postupu ověřte, že je aktivní v Intune:

1. Pokud je centrum pro správu Microsoft Intune stále otevřené, přejděte do něj. Pokud se okno Přidat konektor stále zobrazuje, zavřete ho.

   Pokud centrum pro správu Microsoft Intune stále není otevřené:

   1. Přihlaste se do Centra pro správu Microsoft Intune.

   2. Na domovské obrazovce vyberte v levém podokně Možnost Zařízení .

   3. V části Zařízení | Obrazovka Přehled v části Podle platformy vyberte Windows.

   4. Ve Windows | Obrazovka zařízení s Windows v části Onboarding zařízení vyberte Registrace.

   5. Ve Windows | Obrazovka registrace windows v části Windows Autopilot vyberte Intune Connector pro Active Directory.

2. Na stránce Intune Connector for Active Directory ověřte, že se server zobrazuje v části Název konektoru a že se v části Stav zobrazuje jako Aktivní. Pokud se server nezobrazí, vyberte Aktualizovat nebo přejděte pryč ze stránky a pak přejděte zpět na stránku Intune Connector for Active Directory.

Poznámka

• Může trvat několik minut, než se nově zaregistrovaný server zobrazí na stránce Intune Connector for Active Directory v Centru pro správu Microsoft Intune. Zaregistrovaný server se zobrazí jenom v případě, že může úspěšně komunikovat se službou Intune.

• Neaktivní konektory Intune pro Službu Active Directory se stále zobrazují na stránce Intune Connector for Active Directory a po 30 dnech se automaticky vyčistí.

Po instalaci konektoru Intune pro Službu Active Directory se spustí protokolování v Prohlížeč událostí v cestě Protokoly> aplikací a služebMicrosoft>Intune>ODJConnectorService. V této cestě najdete Správa a provozní protokoly.

Další krok: Zvýšení limitu účtu počítače v organizační jednotce (OU)

Krok 3: Zvýšení limitu účtu počítače v organizační jednotce (OU)