Partager via


Préprovisionner Microsoft Entra jointure hybride : augmenter la limite de compte d’ordinateur dans l’unité d’organisation (UO)

Windows Autopilot pour le déploiement préprovisionné Microsoft Entra les étapes de jointure hybride :

  • Étape 3 : Augmenter la limite de compte d’ordinateur dans l’unité d’organisation (UO)

Pour obtenir une vue d’ensemble de Windows Autopilot pour le déploiement préprovisionné Microsoft Entra workflow de jointure hybride, consultez Vue d’ensemble de Windows Autopilot pour le déploiement préprovisionné Microsoft Entra la jointure hybride.

Remarque

Si la limite de compte d’ordinateur pour l’unité d’organisation appropriée est déjà augmentée, ignorez cette étape et passez à l’Étape 4 : Inscrire les appareils en tant qu’appareils Windows Autopilot.

Augmenter la limite de compte d’ordinateur dans l’unité d’organisation (UO)

Importante

Cette étape n’est nécessaire que dans l’une des conditions suivantes :

  • L’administrateur qui a installé et configuré le connecteur Intune pour Active Directory ne disposait pas des droits appropriés, comme indiqué dans Intune Connector for Active Directory Requirements.
  • Le ODJConnectorEnrollmentWizard.exe.config fichier XML n’a pas été modifié pour ajouter des unités d’organisation pour lesquelles le MSA doit disposer d’autorisations.

L’objectif de Intune Connector pour Active Directory est de joindre des ordinateurs à un domaine et de les ajouter à une unité d’organisation. Pour cette raison, le compte de service géré (MSA) utilisé pour le connecteur Intune pour Active Directory doit disposer des autorisations nécessaires pour créer des comptes d’ordinateur dans l’unité d’organisation où les ordinateurs sont joints au domaine local.

Avec les autorisations par défaut dans Active Directory, les jointures de domaine par le connecteur Intune pour Active Directory peuvent initialement fonctionner sans aucune modification d’autorisation de l’unité d’organisation dans Active Directory. Toutefois, après que MSA tente de joindre plus de 10 ordinateurs au domaine local, il cesse de fonctionner, car par défaut, Active Directory n’autorise qu’un seul compte à joindre jusqu’à 10 ordinateurs au domaine local.

Les utilisateurs suivants ne sont pas limités par la limitation de jointure de domaine d’ordinateur 10 :

  • Utilisateurs dans les groupes Administrateurs ou Administrateurs de domaine : Pour se conformer au modèle des principes de privilège minimum, Microsoft ne recommande pas de faire de MSA un administrateur ou un administrateur de domaine.
  • Utilisateurs disposant d’autorisations déléguées sur les unités d’organisation (UO) et les conteneurs dans Active Directory pour créer des comptes d’ordinateur : cette méthode est recommandée, car elle suit le modèle des principes de privilège minimum.

Pour résoudre cette limitation, msa a besoin de l’autorisation Créer des comptes d’ordinateur dans l’unité d’organisation (UO) à laquelle les ordinateurs sont joints dans le domaine local. Le connecteur Intune pour Active Directory définit les autorisations pour les contrats MSA sur les unités d’organisation tant que l’une des conditions suivantes est remplie :

  • L’administrateur qui installe le connecteur Intune pour Active Directory dispose des autorisations nécessaires pour définir des autorisations sur les unités d’organisation.
  • L’administrateur qui configure le connecteur Intune pour Active Directory dispose des autorisations nécessaires pour définir des autorisations sur les unités d’organisation.

Si l’administrateur qui installe ou configure le connecteur Intune pour Active Directory ne dispose pas des autorisations nécessaires pour définir les autorisations sur les unités d’organisation, les étapes suivantes doivent être suivies :

  1. Connectez-vous à un ordinateur qui a accès à la console Utilisateurs et ordinateurs Active Directory avec un compte qui est les autorisations nécessaires pour définir les autorisations sur les unités d’organisation.

  2. Ouvrez la console Utilisateurs et ordinateurs Active Directory en exécutant DSA.msc.

  3. Développez le domaine souhaité et accédez à l’unité d’organisation (UO) à laquelle les ordinateurs sont joints pendant Windows Autopilot.

    Remarque

    L’unité d’organisation que les ordinateurs rejoignent pendant le déploiement De Windows Autopilot est spécifiée ultérieurement lors de l’étape Configurer et attribuer un profil de jointure de domaine .

  4. Cliquez avec le bouton droit sur l’unité d’organisation, puis sélectionnez Propriétés.

    Remarque

    Si les ordinateurs rejoignent le conteneur Ordinateurs par défaut au lieu d’une unité d’organisation, cliquez avec le bouton droit sur le conteneur Ordinateurs et sélectionnez Déléguer le contrôle.

  5. Dans les fenêtres Propriétés de l’unité d’organisation qui s’ouvrent, sélectionnez l’onglet Sécurité .

  6. Sous l’onglet Sécurité , sélectionnez Avancé.

  7. Dans la fenêtre Paramètres de sécurité avancés , sélectionnez Ajouter.

  8. Dans les fenêtres Entrée d’autorisation , en regard de Principal, sélectionnez le lien Sélectionner un principal .

  9. Dans la fenêtre Sélectionner un utilisateur, un ordinateur, un compte de service ou un groupe, sélectionnez le bouton Types d’objets...

  10. Dans la fenêtre Types d’objets, sélectionnez la zone Comptes de service case activée, puis sélectionnez OK.

  11. Dans la fenêtre Sélectionner un utilisateur, un ordinateur, un compte de service ou un groupe, sous Entrez le nom de l’objet à sélectionner, entrez le nom du MSA utilisé pour le connecteur Intune pour Active Directory.

    Conseil

    La msa a été créée lors de l’étape/section Installer le connecteur Intune pour Active Directory et a le format de msaODJ##### nom où ##### sont cinq caractères aléatoires. Si le nom MSA n’est pas connu, procédez comme suit pour rechercher le nom MSA :

    1. Sur le serveur exécutant le connecteur Intune pour Active Directory, cliquez avec le bouton droit sur le menu Démarrer, puis sélectionnez Gestion de l’ordinateur.
    2. Dans la fenêtre Gestion de l’ordinateur , développez Services et applications , puis sélectionnez Services.
    3. Dans le volet de résultats, recherchez le service nommé Intune ODJConnector pour Active Service. Le nom de msa est répertorié dans la colonne Ouvrir une session en tant que .
  12. Sélectionnez Vérifier les noms pour valider l’entrée de nom MSA. Une fois l’entrée validée, sélectionnez OK.

  13. Dans les fenêtres Entrée d’autorisation , sélectionnez le menu déroulant S’applique à : , puis sélectionnez Cet objet uniquement.

  14. Sous Autorisations, désélectionnez tous les éléments, puis sélectionnez uniquement la zone Créer des objets ordinateur case activée.

  15. Sélectionnez OK pour fermer la fenêtre Entrée d’autorisation .

  16. Dans la fenêtre Paramètres de sécurité avancés , sélectionnez Appliquer ou OK pour appliquer les modifications.

Étape suivante : Inscrire des appareils en tant qu’appareils Windows Autopilot

Pour plus d’informations sur l’augmentation de la limite de compte d’ordinateur dans une unité d’organisation, consultez les articles suivants :