Freigeben über


Vorabbereitstellung Microsoft Entra Hybridjoin: Installieren des Intune-Connectors

Windows Autopilot für vorab bereitgestellte Bereitstellung Microsoft Entra Schritte zur Hybrideinbindung:

  • Schritt 2: Installieren des Intune Connectors

Eine Übersicht über windows Autopilot für die vorab bereitgestellte Bereitstellung Microsoft Entra HybridJoinworkflows finden Sie unter Windows Autopilot for pre-provisioned deployment Microsoft Entra hybrid join overview (Übersicht über die Vorabbereitstellung von Bereitstellungen Microsoft Entra Hybrid Joins).

Hinweis

Wenn der Intune Connector bereits installiert und konfiguriert ist, überspringen Sie diesen Schritt, und fahren Sie mit Schritt 3: Erhöhen des Computerkontolimits in der Organisationseinheit fort.

Installieren des Intune-Connectors für Active Directory

Der Zweck des Intune Connectors für Active Directory, der auch als ODJ-Connector (Offline Domain Join) bezeichnet wird, besteht darin, Computer während des Windows Autopilot-Prozesses in eine lokale Domäne einzubinden. Der Intune Connector für Active Directory erstellt während des Domänenbeitritts Computerobjekte in einer angegebenen Organisationseinheit (OE) in Active Directory.

Wichtig

Ab Intune 2501 verwendet Intune einen aktualisierten Intune Connector für Active Directory, der die Sicherheit erhöht und den Prinzipien der geringsten Rechte folgt, indem ein verwaltetes Dienstkonto (Managed Service Account, MSA) verwendet wird. Wenn der Intune Connector für Active Directory aus Intune heruntergeladen wird, wird der aktualisierte Intune Connector für Active Directory heruntergeladen. Der vorherige Legacy-Intune Connector für Active Directory steht weiterhin unter Intune Connector für Active Directory zum Download zur Verfügung, aber Microsoft empfiehlt, das aktualisierte installationsprogramm für Intune Connector für Active Directory in Zukunft zu verwenden. Der vorherige Legacy-Intune Connector für Active Directory wird im Mai 2025 weiter durcharbeiten. Es muss jedoch auf den aktualisierten Intune Connector für Active Directory aktualisiert werden, um einen Funktionsverlust zu vermeiden. Weitere Informationen finden Sie unter Intune Connector für Active Directory mit einem Konto mit geringen Berechtigungen für Autopilot Hybrid Microsoft Entra Join-Bereitstellungen.

Das Aktualisieren des Intune Connectors für Active Directory auf die aktualisierte Version erfolgt nicht automatisch. Der Legacy-Intune Connector für Active Directory muss manuell deinstalliert werden, gefolgt vom manuell heruntergeladenen und installierten aktualisierten Connector. Anweisungen zum manuellen Deinstallations- und Installationsvorgang des Intune Connectors für Active Directory finden Sie in den folgenden Abschnitten.

Wählen Sie die Registerkarte aus, die der Version des Intune Connectors für Active Directory entspricht, der installiert wird:

Stellen Sie vor Beginn der Installation sicher, dass alle Intune Connectorserveranforderungen erfüllt sind.

Tipp

Es ist vorzuziehen, aber nicht erforderlich, dass der Administrator, der den Intune Connector für Active Directory installiert und konfiguriert, über die entsprechenden Domänenrechte verfügt, wie in Intune Connector für Active Directory-Anforderungen dokumentiert ist. Diese Anforderung ermöglicht es dem Intune Connector für Active Directory- und -Konfigurationsprozess, Berechtigungen für den MSA für den Computercontainer oder die Organisationseinheiten, in denen Computerobjekte erstellt werden, ordnungsgemäß festzulegen. Wenn der Administrator nicht über diese Berechtigungen verfügt, muss ein Administrator, der über die entsprechenden Berechtigungen verfügt, den Abschnitt Erhöhen des Grenzwerts für Computerkonten in der Organisationseinheit befolgen.

Deaktivieren der erweiterten Sicherheitskonfiguration für Internet Explorer

Bei Windows Server ist die verstärkte Sicherheitskonfiguration für Internet Explorer standardmäßig aktiviert. Internet Explorer Erweiterte Sicherheitskonfiguration kann Probleme bei der Anmeldung beim Intune Connector für Active Directory verursachen. Da internet Explorer veraltet ist und in den meisten Fällen nicht einmal auf Windows Server installiert ist, empfiehlt Microsoft, internet Explorer erweiterte Sicherheitskonfiguration zu deaktivieren. So deaktivieren Sie internet Explorer erweiterte Sicherheitskonfiguration:

  1. Melden Sie sich auf dem Server, auf dem der Intune Connector für Active Directory installiert wird, mit einem Konto an, das über lokale Administratorrechte verfügt.

  2. Öffnen Sie Server-Manager.

  3. Wählen Sie im linken Bereich von Server-Manager die Option Lokaler Server aus.

  4. Wählen Sie im rechten Bereich EIGENSCHAFTEN von Server-Manager den Link Ein oder Aus neben IE Enhanced Security Configuration aus.

  5. Wählen Sie im Fenster Internet Explorer Erweiterte Sicherheitskonfiguration unter Administratoren die Option Aus aus, und wählen Sie dann OK aus.

Herunterladen des Intune-Connectors für Active Directory

  1. Melden Sie sich auf dem Server, auf dem der Intune Connector für Active Directory installiert wird, beim Microsoft Intune Admin Center an.

  2. Wählen Sie auf dem Startbildschirm im linken Bereich die Option Geräte aus.

  3. In den Geräten | Übersichtsbildschirm wählen Sie unter Nach Plattform die Option Windows aus.

  4. In den Fenstern | Windows-Gerätebildschirm wählen Sie unter Geräte-Onboarding die Option Registrierung aus.

  5. In den Fenstern | Windows-Registrierungsbildschirm wählen Sie unter Windows AutopilotIntune Connector für Active Directory aus.

  6. Wählen Sie auf dem Bildschirm Intune Connector für Active Directory die Option Hinzufügen aus.

  7. Wählen Sie im daraufhin geöffneten Fenster Connector hinzufügen unter Konfigurieren des Intune Connectors für Active Directorydie Option Lokale Intune Connector für Active Directory herunterladen aus. Über den Link wird eine Datei namens heruntergeladen ODJConnectorBootstrapper.exe.

Installieren des Intune Connectors für Active Directory auf dem Server

Wichtig

Die installation von Intune Connector für Active Directory muss mit einem Konto erfolgen, das über die folgenden Domänenrechte verfügt:

  • Erforderlich : Erstellen Sie msDs-ManagedServiceAccount-Objekte im Container "Verwaltete Dienstkonten".
  • Optional: Ändern von Berechtigungen in Organisationseinheiten in Active Directory: Wenn der Administrator, der die aktualisierte Intune Connector für Active Directory installiert, nicht über dieses Recht verfügt, sind zusätzliche Konfigurationsschritte für einen Administrator erforderlich, der über diese Rechte verfügt. Weitere Informationen finden Sie im Schritt/Abschnitt Erhöhen des Computerkontolimits in der Organisationseinheit.
  1. Melden Sie sich auf dem Server, auf dem der Intune Connector für Active Directory installiert wird, mit einem Konto an, das über lokale Administratorrechte verfügt.

  2. Wenn der vorherige Legacy-Intune Connector für Active Directory installiert ist, deinstallieren Sie ihn zuerst, bevor Sie den aktualisierten Intune Connector für Active Directory installieren. Weitere Informationen finden Sie unter Deinstallieren des Intune Connectors für Active Directory.

    Wichtig

    Wenn Sie den vorherigen Legacy-Intune Connector für Active Directory deinstallieren, stellen Sie sicher, dass Sie das Legacyinstallationsprogramm für Intune Connector für Active Directory als Teil des Deinstallationsprozesses ausführen. Wenn das Legacy-Intune Connector für Active Directory-Installationsprogramm bei der Ausführung aufgefordert wird, es zu deinstallieren, wählen Sie aus, um es zu deinstallieren. Mit diesem Schritt wird sichergestellt, dass der vorherige Legacy-Intune Connector für Active Directory vollständig deinstalliert wird. Das Legacyinstallationsprogramm für Intune Connector für Active Directory kann von Intune Connector für Active Directory heruntergeladen werden.

    Tipp

    In Domänen mit nur einem einzelnen Intune Connector für Active Directory empfiehlt Microsoft, zuerst den aktualisierten Intune Connector für Active Directory auf einem anderen Server zu installieren. Die Installation des aktualisierten Intune Connectors für Active Directory auf einem anderen Server sollte vor der Deinstallation des Legacy-Intune-Connectors für Active Directory auf dem aktuellen Server erfolgen. Durch die Installation des Intune Connectors für Active Directory auf einem anderen Server werden Ausfallzeiten vermieden, während der Intune Connector für Active Directory auf dem aktuellen Server aktualisiert wird.

  3. Öffnen Sie die ODJConnectorBootstrapper.exe datei, die heruntergeladen wurde, um die Installation des Intune Connectors für Active Directory-Setup zu starten.

  4. Führen Sie die Installation des Intune Connectors für das Active Directory-Setup schrittweise durch.

  5. Aktivieren Sie am Ende der Installation das Kontrollkästchen Start Intune Connector für Active Directory.

    Hinweis

    Wenn Intune Connector für das Active Directory-Setup versehentlich geschlossen wird, ohne das Kontrollkästchen Intune Connector für Active Directory starten zu aktivieren, kann die konfiguration Intune Connector für Active Directory erneut geöffnet werden, indem Sie Intune Connector für Active Directory> auswählen Intune Connector für Active Directory über das Startmenü.

Anmelden beim Intune Connector für Active Directory

  1. Wählen Sie im Fenster Intune Connector für Active Directory auf der Registerkarte Registrierung die Option Anmelden aus.

  2. Melden Sie sich auf der Registerkarte Anmelden mit den Microsoft Entra ID Anmeldeinformationen einer Intune Administratorrolle an. Dem Benutzerkonto muss eine Intune-Lizenz zugewiesen werden. Der Anmeldevorgang kann einige Minuten dauern.

    Hinweis

    Das Konto, das zum Registrieren des Intune Connectors für Active Directory verwendet wird, ist nur eine vorübergehende Anforderung zum Zeitpunkt der Installation. Das Konto wird nach der Registrierung des Servers nicht mehr verwendet.

  3. Nach Abschluss des Anmeldevorgangs:

    1. Das Bestätigungsfenster Der Intune Connector für Active Directory wurde erfolgreich registriert angezeigt. Wählen Sie OK aus, um das Fenster zu schließen.
    2. Das Bestätigungsfenster Ein verwaltetes Dienstkonto mit dem Namen "<MSA_name>" wurde erfolgreich eingerichtet angezeigt. Der Name des MSA hat das Format msaODJ##### , wobei ##### fünf zufällige Zeichen sind. Notieren Sie sich den Namen des erstellten MSA, und wählen Sie dann OK aus, um das Fenster zu schließen. Der Name des MSA wird später möglicherweise benötigt, um den MSA so zu konfigurieren, dass computerobjekte in Organisationseinheiten erstellt werden können.
  4. Auf der Registerkarte Registrierung wird Intune Connector für Active Directory registriert ist. Die Schaltfläche Anmelden ist abgeblendet, und Verwaltetes Dienstkonto konfigurieren ist aktiviert.

  5. Schließen Sie das Fenster Intune Connector für Active Directory.

Überprüfen, ob der Intune Connector für Active Directory aktiv ist

Nach der Authentifizierung wird die Installation des Intune-Connectors für Active Directory abgeschlossen. Überprüfen Sie nach Abschluss der Installation, ob es in Intune aktiv ist, indem Sie die folgenden Schritte ausführen:

  1. Wechseln Sie zum Microsoft Intune Admin Center, wenn es noch geöffnet ist. Wenn das Fenster Connector hinzufügen weiterhin angezeigt wird, schließen Sie es.

    Wenn das Microsoft Intune Admin Center noch nicht geöffnet ist:

    1. Melden Sie sich beim Microsoft Intune Admin Center an.

    2. Wählen Sie auf dem Startbildschirm im linken Bereich die Option Geräte aus.

    3. In den Geräten | Übersichtsbildschirm wählen Sie unter Nach Plattform die Option Windows aus.

    4. In den Fenstern | Windows-Gerätebildschirm wählen Sie unter Geräte-Onboarding die Option Registrierung aus.

    5. In den Fenstern | Windows-Registrierungsbildschirm wählen Sie unter Windows AutopilotIntune Connector für Active Directory aus.

  2. Auf der Seite Intune Connector für Active Directory:

    • Vergewissern Sie sich, dass der Server unter Connectorname angezeigt wird und unter Status als Aktiv angezeigt wird.
    • Stellen Sie für den aktualisierten Intune Connector für Active Directory sicher, dass die Version größer oder gleich 6.2501.2000.5 ist.

    Wenn der Server nicht angezeigt wird, wählen Sie Aktualisieren aus, oder navigieren Sie von der Seite weg, und navigieren Sie dann zurück zur Seite Intune Connector für Active Directory.

Hinweis

  • Es kann einige Minuten dauern, bis der neu registrierte Server auf der Seite Intune Connector für Active Directory im Microsoft Intune Admin Center angezeigt wird. Der registrierte Server wird nur angezeigt, wenn er erfolgreich mit dem Intune-Dienst kommunizieren kann.

  • Inaktive Intune Connectors für Active Directory werden weiterhin auf der Seite Intune Connector für Active Directory angezeigt und nach 30 Tagen automatisch bereinigt.

Nachdem der Intune Connector für Active Directory installiert wurde, wird die Anmeldung im Ereignisanzeige unter dem Pfad Anwendungs- und Dienstprotokolle>Microsoft>Intune>ODJConnectorService gestartet. Unter diesem Pfad finden Sie Admin- und Betriebsprotokolle.

Konfigurieren des MSA zum Zulassen des Erstellens von Objekten in Organisationseinheiten (optional)

Standardmäßig haben MSAs nur Zugriff zum Erstellen von Computerobjekten im Container Computer . MSAs haben keinen Zugriff zum Erstellen von Computerobjekten in Organisationseinheiten (OUs). Damit der MSA Objekte in Organisationseinheiten erstellen kann, müssen die Organisationseinheiten der ODJConnectorEnrollmentWizard.exe.config XML-Datei im Verzeichnis hinzugefügt werden, in ODJConnectorEnrollmentWizard dem der Intune Connector für Active Directory installiert wurde, normalerweise C:\Program Files\Microsoft Intune\ODJConnector\.

Führen Sie die folgenden Schritte aus, um das MSA so zu konfigurieren, dass Objekte in Organisationseinheiten erstellt werden können:

  1. Navigieren Sie auf dem Server, auf dem der Intune Connector für Active Directory installiert ist, zum ODJConnectorEnrollmentWizard Verzeichnis, in dem der Intune Connector für Active Directory installiert wurde, normalerweise C:\Program Files\Microsoft Intune\ODJConnector\.

  2. Öffnen Sie im ODJConnectorEnrollmentWizard Verzeichnis die ODJConnectorEnrollmentWizard.exe.config XML-Datei in einem Text-Editor, z. B. Editor.

  3. Fügen Sie in der ODJConnectorEnrollmentWizard.exe.config XML-Datei alle gewünschten Organisationseinheiten hinzu, in denen der MSA Zugriff haben soll, um Computerobjekte zu erstellen. Der Name der Organisationseinheit sollte der Distinguished Name sein und muss ggf. mit Escapezeichen versehen werden. Das folgende Beispiel ist ein XML-Beispieleintrag mit dem Distinguished Name der Organisationseinheit:

      <appSettings>
    
        <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format.
            The ODJ Connector will only have permission to create computer objects in these OUs.
            The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure
    
            Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY):
            Domain contains the following OUs:
              - OU=HybridDevices,DC=contoso,DC=com
              - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com
    
            Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" -->
    
        <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" />
      </appSettings>
    
  4. Nachdem alle gewünschten Organisationseinheiten hinzugefügt wurden, speichern Sie die ODJConnectorEnrollmentWizard.exe.config XML-Datei.

  5. Als Administrator mit entsprechenden Berechtigungen zum Ändern von Organisationseinheitenberechtigungen öffnen Sie den Intune Connector für Active Directory, indem Sie im Startmenü zu Intune Connector für Active Directory>Intune Connector für Active Directory navigieren.

    Wichtig

    Wenn der Administrator, der den Intune Connector für Active Directory installiert und konfiguriert, nicht über Berechtigungen zum Ändern von Organisationseinheiten verfügt, muss stattdessen ein Administrator folgen, der über Berechtigungen zum Ändern von Organisationseinheiten verfügt.

  6. Wählen Sie auf der Registerkarte Registrierung im Fenster Intune Connector für Active Directorydie Option Verwaltetes Dienstkonto konfigurieren aus.

  7. Das Bestätigungsfenster Ein verwaltetes Dienstkonto mit dem Namen "<MSA_name>" wurde erfolgreich eingerichtet angezeigt. Wählen Sie OK aus, um das Fenster zu schließen.

Nächster Schritt: Erhöhen des Computerkontolimits in der Organisationseinheit (OE)