Distribuire Microsoft Entra dispositivi aggiunti ibridi usando Intune e Windows Autopilot
Importante
Microsoft consiglia di distribuire nuovi dispositivi come nativi del cloud usando Microsoft Entra join. La distribuzione di nuovi dispositivi come Microsoft Entra dispositivi aggiunti ibridi non è consigliata, anche tramite Windows Autopilot. Per altre informazioni, vedere Microsoft Entra aggiunto a e Microsoft Entra aggiunto ibrido negli endpoint nativi del cloud: l'opzione più adatta per l'organizzazione.
Intune e Windows Autopilot possono essere usati per configurare Microsoft Entra dispositivi aggiunti ibridi. A tale scopo, seguire la procedura descritta in questo articolo. Per altre informazioni su Microsoft Entra join ibrido, vedere Informazioni su Microsoft Entra join ibrido e co-gestione.
Requisiti
L'elenco dei requisiti per l'esecuzione di Microsoft Entra join ibrido durante Windows Autopilot è organizzato in tre categorie diverse:
- Generale : requisiti generali.
- Registrazione del dispositivo : requisiti di registrazione dei dispositivi.
- connettore Intune : connettore Intune per i requisiti di Active Directory.
Selezionare la scheda appropriata per visualizzare i requisiti pertinenti:
- Configurato correttamente il Microsoft Entra dispositivi aggiunti ibridi. Assicurarsi di verificare la registrazione del dispositivo usando il cmdlet Get-MgDevice .
- Se il filtro basato su dominio e unità organizzativa è configurato come parte di Microsoft Entra Connect, assicurarsi che l'unità organizzativa o il contenitore predefinito destinato ai dispositivi Autopilot sia incluso nell'ambito di sincronizzazione.
Configurare la registrazione automatica MDM di Windows
Accedere al portale di Azure e selezionare Microsoft Entra ID.
Nel riquadro sinistro selezionare Gestisci | mobilità (MDM e WIP)>Microsoft Intune.
Assicurarsi che gli utenti che distribuiscono Microsoft Entra dispositivi aggiunti usando Intune e Windows siano membri di un gruppo incluso nell'ambito utente MDM.
Usare i valori predefiniti nelle caselle MDM Terms of use URL, MDM Discovery URL e MDM Compliance URL (URL di conformità MDM ) e quindi selezionare Salva.
Installare Intune Connector per Active Directory
Lo scopo del connettore Intune per Active Directory, noto anche come connettore ODJ (Offline Domain Join), consiste nell'aggiungere computer a un dominio locale durante il processo di Windows Autopilot. Il connettore Intune per Active Directory crea oggetti computer in un'unità organizzativa specificata in Active Directory durante il processo di aggiunta al dominio.
Importante
A partire da Intune 2501, Intune usa un connettore Intune aggiornato per Active Directory che rafforza la sicurezza e segue i principi dei privilegi minimi usando un account del servizio gestito. Quando il connettore Intune per Active Directory viene scaricato dall'interno di Intune, viene scaricato il connettore Intune aggiornato per Active Directory. Il connettore Intune legacy precedente per Active Directory è ancora disponibile per il download in Intune Connector for Active Directory, ma Microsoft consiglia di usare il programma di installazione aggiornato Intune Connector for Active Directory. Il connettore Intune legacy precedente per Active Directory continuerà a funzionare a maggio 2025. Tuttavia, deve essere aggiornato al connettore Intune aggiornato per Active Directory prima di poter evitare la perdita di funzionalità. Per altre informazioni, vedere Intune Connector for Active Directory with low-privileged account for Autopilot Hybrid Microsoft Entra join deployments .for more information, see Intune Connector for Active Directory with low-privileged account for Autopilot Hybrid Microsoft Entra join deployments.For more information, see Intune Connector for Active Directory with low-privileged account for Autopilot Hybrid Microsoft Entra join deployments.
L'aggiornamento del connettore Intune per Active Directory alla versione aggiornata non viene eseguito automaticamente. Il connettore Intune legacy per Active Directory deve essere disinstallato manualmente, seguito dal connettore aggiornato scaricato e installato manualmente. Le istruzioni per il processo manuale di disinstallazione e installazione del connettore Intune per Active Directory sono disponibili nelle sezioni seguenti.
Selezionare la scheda corrispondente alla versione del connettore Intune per Active Directory installata:
Prima di iniziare l'installazione, assicurarsi che siano soddisfatti tutti i requisiti del server connettore Intune.
Consiglio
È preferibile, ma non obbligatorio, che l'amministratore che installa e configura il connettore Intune per Active Directory disponga dei diritti di dominio appropriati, come documentato in Intune Connector per i requisiti di Active Directory. Questo requisito consente al connettore Intune per il programma di installazione e il processo di configurazione di Active Directory di impostare correttamente le autorizzazioni per l'account del servizio gestito nel contenitore Computer o nelle unità organizzative in cui vengono creati gli oggetti computer. Se l'amministratore non dispone di queste autorizzazioni, un amministratore che disponga delle autorizzazioni appropriate deve seguire la sezione Aumentare il limite dell'account computer nell'unità organizzativa.
Disattivare la configurazione della sicurezza avanzata di Internet Explorer
Per impostazione predefinita, Windows Server ha la configurazione di sicurezza avanzata di Internet Explorer attivata. La configurazione della sicurezza avanzata di Internet Explorer potrebbe causare problemi durante l'accesso al connettore Intune per Active Directory. Poiché Internet Explorer è deprecato e nella maggior parte dei casi non è nemmeno installato in Windows Server, Microsoft consiglia di disattivare La configurazione della sicurezza avanzata di Internet Explorer. Per disattivare La configurazione di sicurezza avanzata di Internet Explorer:
Accedere al server in cui viene installato il connettore Intune per Active Directory con un account con diritti di amministratore locale.
Aprire Server Manager.
Nel riquadro sinistro di Server Manager selezionare Server locale.
Nel riquadro PROPRIETÀ di destra di Server Manager selezionare il collegamento Attivato o Disattivato accanto a Configurazione sicurezza avanzata di Internet Explorer.
Nella finestra Configurazione sicurezza avanzata di Internet Explorer selezionare Disattivato in Amministratori: e quindi selezionare OK.
Scaricare Intune Connector per Active Directory
Nel server in cui è installato il connettore Intune per Active Directory accedere all'interfaccia di amministrazione di Microsoft Intune.
Nella schermata Home selezionare Dispositivi nel riquadro sinistro.
Nei dispositivi | Schermata Panoramica , in Per piattaforma selezionare Windows.
In Windows | Schermata Dispositivi Windows , in Onboarding del dispositivo selezionare Registrazione.
In Windows | Schermata di registrazione di Windows, in Windows Autopilot selezionare Intune Connector per Active Directory.
Nella schermata connettore Intune per Active Directory selezionare Aggiungi.
Nella finestra Aggiungi connettore visualizzata in Configurazione del connettore Intune per Active Directory selezionare Scarica connettore Intune locale per Active Directory. Il collegamento scarica un file denominato
ODJConnectorBootstrapper.exe
.
Installare Intune Connector per Active Directory nel server
Importante
L'installazione di Intune Connector per Active Directory deve essere eseguita con un account con i diritti di dominio seguenti:
- Obbligatorio : creare oggetti msDs-ManagedServiceAccount nel contenitore Account del servizio gestito.
- Facoltativo: modificare le autorizzazioni nelle unità organizzative in Active Directory: se l'amministratore che installa il connettore Intune aggiornato per Active Directory non dispone di questo diritto, un amministratore che dispone di questi diritti richiede passaggi di configurazione aggiuntivi. Per altre informazioni, vedere il passaggio/sezione Aumentare il limite dell'account computer nell'unità organizzativa.
Accedere al server in cui viene installato il connettore Intune per Active Directory con un account con diritti di amministratore locale.
Se è installato il connettore Intune legacy precedente per Active Directory, disinstallarlo prima di installare il connettore Intune aggiornato per Active Directory. Per altre informazioni, vedere Disinstallare il connettore Intune per Active Directory.
Importante
Quando si disinstalla il connettore Intune legacy precedente per Active Directory, assicurarsi di eseguire il programma di installazione legacy Intune Connector for Active Directory come parte del processo di disinstallazione. Se il connettore Intune legacy per il programma di installazione di Active Directory richiede di disinstallarlo al momento dell'esecuzione, selezionare per disinstallarlo. Questo passaggio assicura che il connettore Intune legacy precedente per Active Directory sia completamente disinstallato. Il connettore Intune legacy per il programma di installazione di Active Directory può essere scaricato da Intune Connector per Active Directory.
Consiglio
Nei domini con un solo connettore Intune per Active Directory, Microsoft consiglia innanzitutto di installare il connettore Intune aggiornato per Active Directory in un altro server. L'installazione del connettore Intune aggiornato per Active Directory in un altro server deve essere eseguita prima di disinstallare il connettore Intune legacy per Active Directory nel server corrente. L'installazione del connettore Intune per Active Directory in un altro primo momento evita tempi di inattività durante l'aggiornamento del connettore Intune per Active Directory nel server corrente.
Aprire il
ODJConnectorBootstrapper.exe
file scaricato per avviare l'installazione del connettore Intune per l'installazione di Active Directory.Eseguire l'installazione del connettore Intune per l'installazione di Active Directory.
Al termine dell'installazione selezionare la casella di controllo Launch Intune Connector for Active Directory (Avvia connettore Intune per Active Directory).
Nota
Se l'installazione del connettore Intune per l'installazione di Active Directory viene chiusa accidentalmente senza selezionare la casella di controllo Avvia connettore Intune per Active Directory, è possibile riaprire la configurazione del connettore Intune per Active Directory selezionando Intune Connettore per Active Directory>Intune Connettore per Active Directory dal menu Start.
Accedere al connettore Intune per Active Directory
Nella finestra connettore Intune per Active Directory selezionare Accedi nella scheda Registrazione.
Nella scheda Accedi accedere con le credenziali di Microsoft Entra ID di un ruolo di amministratore Intune. All'account utente deve essere assegnata una licenza Intune. Il completamento del processo di accesso potrebbe richiedere alcuni minuti.
Nota
L'account usato per registrare il connettore Intune per Active Directory è solo un requisito temporaneo al momento dell'installazione. L'account non viene usato in futuro dopo la registrazione del server.
Al termine del processo di accesso:
- Viene visualizzata la finestra di conferma del connettore Intune per Active Directory registrato correttamente. Selezionare OK per chiudere la finestra.
- Viene visualizzata una finestra di conferma di un account del servizio gestito con nome "<MSA_name>". Il nome dell'account del servizio gestito è nel formato
msaODJ#####
in cui ##### sono presenti cinque caratteri casuali. Annota il nome dell'account del servizio gestito creato e quindi seleziona OK per chiudere la finestra. Il nome dell'account del servizio gestito potrebbe essere necessario in un secondo momento per configurare l'account del servizio gestito per consentire la creazione di oggetti computer in unità organizzative.
La scheda Registrazione mostra Intune Connettore per Active Directory è registrato. Il pulsante Accedi è disattivato e Configura account del servizio gestito è abilitato.
Chiudere la finestra connettore Intune per Active Directory.
Verificare che Intune Connector per Active Directory sia attivo
Dopo l'autenticazione, il connettore Intune per Active Directory termina l'installazione. Al termine dell'installazione, verificare che sia attivo in Intune seguendo questa procedura:
Passare all'interfaccia di amministrazione Microsoft Intune se è ancora aperta. Se la finestra Aggiungi connettore è ancora visualizzata, chiuderla.
Se l'interfaccia di amministrazione Microsoft Intune non è ancora aperta:
Accedere all'Interfaccia di amministrazione di Microsoft Intune.
Nella schermata Home selezionare Dispositivi nel riquadro sinistro.
Nei dispositivi | Schermata Panoramica , in Per piattaforma selezionare Windows.
In Windows | Schermata Dispositivi Windows , in Onboarding del dispositivo selezionare Registrazione.
In Windows | Schermata di registrazione di Windows, in Windows Autopilot selezionare Intune Connector per Active Directory.
Nella pagina connettore Intune per Active Directory:
- Verificare che il server sia visualizzato in Nome connettore e visualizzato come Attivo in Stato
- Per il connettore Intune aggiornato per Active Directory, verificare che la versione sia maggiore di 6.2501.2000.5.
Se il server non viene visualizzato, selezionare Aggiorna o spostarsi dalla pagina e quindi tornare alla pagina connettore Intune per Active Directory.
Nota
La visualizzazione del server appena registrato nella pagina connettore Intune per Active Directory dell'interfaccia di amministrazione Microsoft Intune può richiedere alcuni minuti. Il server registrato viene visualizzato solo se è in grado di comunicare correttamente con il servizio Intune.
I connettori Intune inattivi per Active Directory vengono ancora visualizzati nella pagina connettore Intune per Active Directory e verranno puliti automaticamente dopo 30 giorni.
Dopo aver installato il connettore Intune per Active Directory, verrà avviata la registrazione nel Visualizzatore eventi nel percorso Registri> applicazioni e serviziMicrosoft>Intune>ODJConnectorService. In questo percorso sono disponibili Amministrazione e log operativi.
Configurare l'account del servizio gestito per consentire la creazione di oggetti nelle unità organizzative (facoltativo)
Per impostazione predefinita, gli account del servizio gestito hanno accesso solo per creare oggetti computer nel contenitore Computer . Gli account del servizio gestito non hanno accesso per creare oggetti computer in unità organizzative ( OU). Per consentire all'account del servizio gestito di creare oggetti in unità organizzative, è necessario aggiungere le unità organizzative al ODJConnectorEnrollmentWiazard.exe.config
file XML presente nella directory in ODJConnectorEnrollmentWizard
cui è stato installato il connettore Intune per Active Directory, in genere C:\Program Files\Microsoft Intune\ODJConnector\
.
Per configurare l'account del servizio gestito per consentire la creazione di oggetti nelle unità organizzative, seguire questa procedura:
Nel server in cui è installato il connettore Intune per Active Directory passare alla
ODJConnectorEnrollmentWizard
directory in cui è stato installato il connettore Intune per Active Directory, in genereC:\Program Files\Microsoft Intune\ODJConnector\
.ODJConnectorEnrollmentWizard
Nella directory aprire ilODJConnectorEnrollmentWiazard.exe.config
file XML in un editor di testo, ad esempio Blocco note.ODJConnectorEnrollmentWiazard.exe.config
Nel file XML aggiungere tutte le unità organizzative desiderate in cui l'account del servizio gestito deve avere accesso per creare oggetti computer. Il nome dell'unità organizzativa deve essere il nome distinto e, se applicabile, deve essere preceduto da caratteri di escape. L'esempio seguente è una voce XML di esempio con il nome distinto dell'unità organizzativa:<appSettings> <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format. The ODJ Connector will only have permission to create computer objects in these OUs. The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY): Domain contains the following OUs: - OU=HybridDevices,DC=contoso,DC=com - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" --> <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" /> </appSettings>
Dopo aver aggiunto tutte le unità organizzative desiderate, salvare il
ODJConnectorEnrollmentWiazard.exe.config
file XML.In qualità di amministratore che dispone delle autorizzazioni appropriate per modificare le autorizzazioni dell'unità organizzativa, aprire Intune Connector for Active Directory passando a Intune Connector for Active Directory>Intune Connector for Active Directory dal menu Start.
Importante
Se l'amministratore che installa e configura il connettore Intune per Active Directory non dispone delle autorizzazioni per modificare le autorizzazioni dell'unità organizzativa, la sezione/passaggi Aumentare il limite di account computer nell'unità organizzativa deve essere seguita da un amministratore che disponga delle autorizzazioni per modificare le autorizzazioni dell'unità organizzativa.
Nella scheda Registrazione della finestra connettore Intune per Active Directory selezionare Configura account del servizio gestito.
Viene visualizzata una finestra di conferma di un account del servizio gestito con nome "<MSA_name>". Selezionare OK per chiudere la finestra.
Configurare le impostazioni del proxy Web
Se nell'ambiente di rete è presente un proxy Web, assicurarsi che il connettore Intune per Active Directory funzioni correttamente facendo riferimento a Usare i server proxy locali esistenti.
Aumentare il limite dell'account computer nell'unità organizzativa
Importante
Questo passaggio è necessario solo in una delle condizioni seguenti:
- L'amministratore che ha installato e configurato il connettore Intune per Active Directory non dispone dei diritti appropriati come descritto in Intune Connector for Active Directory Requirements(Connettore Intune per i requisiti di Active Directory).
- Il
ODJConnectorEnrollmentWiazard.exe.config
file XML non è stato modificato per aggiungere unità organizzative per cui l'account del servizio gestito deve disporre delle autorizzazioni.
Lo scopo di Intune Connector per Active Directory è aggiungere i computer a un dominio e aggiungerli a un'unità organizzativa. Per questo motivo, l'account del servizio gestito usato per il connettore Intune per Active Directory deve avere le autorizzazioni per creare account computer nell'unità organizzativa in cui i computer sono aggiunti al dominio locale.
Con le autorizzazioni predefinite in Active Directory, i join di dominio da parte del connettore Intune per Active Directory potrebbero funzionare inizialmente senza alcuna modifica delle autorizzazioni per l'unità organizzativa in Active Directory. Tuttavia, dopo che l'account del servizio gestito tenta di aggiungere più di 10 computer al dominio locale, non funziona perché per impostazione predefinita Active Directory consente solo a un singolo account di aggiungere fino a 10 computer al dominio locale.
Gli utenti seguenti non sono limitati dalla limitazione di aggiunta al dominio di 10 computer:
- Utenti nei gruppi Amministratori o Amministratori di dominio: per rispettare il modello dei principi dei privilegi minimi, Microsoft non consiglia di rendere l'account del servizio gestito un amministratore o un amministratore di dominio.
- Utenti con autorizzazioni delegate per unità organizzativa e contenitori in Active Directory per creare account computer: questo metodo è consigliato perché segue il modello dei principi dei privilegi minimi.
Per correggere questa limitazione, l'account del servizio gestito deve disporre dell'autorizzazione Crea account computer nell'unità organizzativa a cui sono aggiunti i computer nel dominio locale. Il connettore Intune per Active Directory imposta le autorizzazioni per gli account del servizio gestito sulle unità organizzative purché venga soddisfatta una delle condizioni seguenti:
- L'amministratore che installa il connettore Intune per Active Directory dispone delle autorizzazioni necessarie per impostare le autorizzazioni per le unità organizzative.
- L'amministratore che configura il connettore Intune per Active Directory dispone delle autorizzazioni necessarie per impostare le autorizzazioni per le unità organizzative.
Se l'amministratore che installa o configura il connettore Intune per Active Directory non dispone delle autorizzazioni necessarie per impostare le autorizzazioni per le unità organizzative, è necessario seguire questa procedura:
Accedere a un computer che ha accesso alla console Utenti e computer di Active Directory con un account che come autorizzazioni necessarie per impostare le autorizzazioni per le unità organizzative.
Aprire la console Utenti e computer di Active Directory eseguendo DSA.msc.
Espandere il dominio desiderato e passare all'unità organizzativa a cui i computer si uniscono durante Windows Autopilot.
Nota
L'unità organizzativa aggiunta dai computer durante la distribuzione di Windows Autopilot viene specificata in un secondo momento durante il passaggio Configurare e assegnare il profilo di aggiunta al dominio .
Fare clic con il pulsante destro del mouse sull'unità organizzativa e scegliere Proprietà.
Nota
Se i computer si uniscono al contenitore Computer predefinito anziché a un'unità organizzativa, fare clic con il pulsante destro del mouse sul contenitore Computer e scegliere Delega controllo.
Nella finestra Proprietà unità organizzativa visualizzata selezionare la scheda Sicurezza .
Nella scheda Sicurezza selezionare Avanzate.
Nella finestra Impostazioni di sicurezza avanzate selezionare Aggiungi.
Nelle finestre Voce di autorizzazione , accanto a Entità, selezionare il collegamento Selezionare un'entità .
Nella finestra Seleziona utente, computer, account del servizio o gruppo selezionare il pulsante Tipi di oggetto .
Nella finestra Tipi di oggetto selezionare la casella di controllo Account servizio e quindi selezionare OK.
Nella finestra Seleziona utente, computer, account del servizio o gruppo, in Immettere il nome dell'oggetto da selezionare immettere il nome dell'account del servizio gestito usato per il connettore Intune per Active Directory.
Consiglio
L'account del servizio gestito è stato creato durante il passaggio/sezione Installa il connettore Intune per Active Directory e ha il formato del
msaODJ#####
nome in cui ##### sono cinque caratteri casuali. Se il nome dell'account del servizio gestito non è noto, seguire questa procedura per trovare il nome dell'account del servizio gestito:- Nel server che esegue il connettore Intune per Active Directory fare clic con il pulsante destro del mouse sul menu Start e quindi scegliere Gestione computer.
- Nella finestra Gestione computer espandere Servizi e applicazioni e quindi selezionare Servizi.
- Nel riquadro dei risultati individuare il servizio con il nome Intune ODJConnector for Active Service. Il nome dell'account del servizio gestito è elencato nella colonna Accesso come .
Selezionare Controlla nomi per convalidare la voce del nome dell'account del servizio gestito. Dopo aver convalidato la voce, selezionare OK.
Nelle finestre Voce di autorizzazione selezionare il menu a discesa Si applica a: e quindi selezionare Solo questo oggetto.
In Autorizzazioni deselezionare tutti gli elementi e quindi selezionare solo la casella di controllo Crea oggetti computer .
Selezionare OK per chiudere la finestra Voce di autorizzazione .
Nella finestra Impostazioni di sicurezza avanzate selezionare Applica o OK per applicare le modifiche.
Creare un gruppo di dispositivi
Nell'interfaccia di amministrazione Microsoft Intune selezionare Gruppi>Nuovo gruppo.
Nel riquadro Gruppo selezionare le opzioni seguenti:
In Tipo di gruppo selezionare Sicurezza.
Immettere un nome di gruppo e una descrizione del gruppo.
Selezionare un tipo di appartenenza.
Se è selezionata l'opzione Dispositivi dinamici per il tipo di appartenenza, nel riquadro Gruppo selezionare Membri dispositivo dinamico.
Selezionare Modifica nella casella Sintassi regola e immettere una delle righe di codice seguenti:
Per creare un gruppo che include tutti i dispositivi Windows Autopilot, immettere:
(device.devicePhysicalIDs -any _ -startsWith "[ZTDId]")
Il campo Tag di gruppo di Intune esegue il mapping all'attributo OrderID nei dispositivi Microsoft Entra. Per creare un gruppo che include tutti i dispositivi Windows Autopilot con un tag di gruppo specifico (OrderID), immettere:
(device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")
Per creare un gruppo che include tutti i dispositivi Windows Autopilot con un ID ordine di acquisto specifico, immettere:
(device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")
Selezionare Salva>crea.
Registrare i dispositivi Windows Autopilot
Selezionare uno dei modi seguenti per registrare i dispositivi Windows Autopilot.
Registrare i dispositivi Windows Autopilot già registrati
Creare un profilo di distribuzione di Windows Autopilot con l'impostazione Converti tutti i dispositivi di destinazione in Autopilot impostata su Sì.
Assegnare il profilo a un gruppo che contiene i membri che devono essere registrati automaticamente con Windows Autopilot.
Per altre informazioni, vedere Creare un profilo di distribuzione Autopilot.
Registrare i dispositivi Windows Autopilot non registrati
I dispositivi che non sono ancora registrati in Windows Autopilot possono essere registrati manualmente. Per altre informazioni, vedere Registrazione manuale.
Registrare i dispositivi da un OEM
Se si acquistano nuovi dispositivi, alcuni OEM possono registrare i dispositivi per conto dell'organizzazione. Per altre informazioni, vedere Registrazione OEM.
Visualizzare il dispositivo Windows Autopilot registrato
Prima che i dispositivi si registrino in Intune, i dispositivi Windows Autopilot registrati vengono visualizzati in tre posizioni (con nomi impostati sul numero di serie):
- Riquadro Dispositivi Windows Autopilotnell'interfaccia di amministrazione Microsoft Intune. Selezionare Dispositivi>per piattaforma | Onboarding dei dispositivi Windows >| Registrazione. In Windows Autopilot selezionare Dispositivi.
- Dispositivi | Riquadro Tutti i dispositivi nel portale di Azure. Selezionare Dispositivi>tutti i dispositivi.
- Riquadro Autopilot in interfaccia di amministrazione di Microsoft 365. Selezionare Dispositivi>Autopilot.
Dopo la registrazione dei dispositivi Windows Autopilot, i dispositivi vengono visualizzati in quattro posizioni:
- Dispositivi | Riquadro Tutti i dispositivinell'interfaccia di amministrazione Microsoft Intune. Selezionare Dispositivi>Tutti i dispositivi.
- Windows | Riquadro Dispositivi Windowsnell'interfaccia di amministrazione Microsoft Intune. Selezionare Dispositivi>per piattaforma | Windows.
- Dispositivi | Riquadro Tutti i dispositivi nel portale di Azure. Selezionare Dispositivi>tutti i dispositivi.
- Riquadro Dispositivi attivi in interfaccia di amministrazione di Microsoft 365. Selezionare Dispositivi>dispositivi attivi.
Nota
Dopo la registrazione dei dispositivi, i dispositivi vengono comunque visualizzati nel riquadro Dispositivi Windows Autopilotnell'interfaccia di amministrazione Microsoft Intune e nel riquadro Autopilot in interfaccia di amministrazione di Microsoft 365, ma tali oggetti sono gli oggetti registrati di Windows Autopilot.
Un oggetto dispositivo viene creato in precedenza in Microsoft Entra ID dopo la registrazione di un dispositivo in Windows Autopilot. Quando un dispositivo passa attraverso una distribuzione ibrida Microsoft Entra, per progettazione viene creato un altro oggetto dispositivo che genera voci duplicate.
VPN
I client VPN seguenti vengono testati e convalidati:
- Client VPN Windows predefinito
- Cisco AnyConnect (client Win32)
- Pulse Secure (client Win32)
- GlobalProtect (client Win32)
- Checkpoint (client Win32)
- Citrix NetScaler (client Win32)
- SonicWall (client Win32)
- FortiClient VPN (client Win32)
Quando si usano VPN, selezionare Sì per l'opzione Skip AD connectivity check nel profilo di distribuzione di Windows Autopilot. Always-On VPN non deve richiedere questa opzione perché si connette automaticamente.
Nota
Questo elenco di client VPN non è un elenco completo di tutti i client VPN che funzionano con Windows Autopilot. Contattare il rispettivo fornitore vpn per quanto riguarda la compatibilità e il supporto con Windows Autopilot o per eventuali problemi relativi all'uso di una soluzione VPN con Windows Autopilot.
Client VPN non supportati
Le soluzioni VPN seguenti non funzionano con Windows Autopilot e pertanto non sono supportate per l'uso con Windows Autopilot:
- Plug-in VPN basati su UWP
- Tutto ciò che richiede un certificato utente
- DirectAccess
Nota
L'omissione di un client VPN specifico da questo elenco non significa automaticamente che sia supportato o che funzioni con Windows Autopilot. Questo elenco elenca solo i client VPN che non funzionano con Windows Autopilot.
Creare e assegnare un profilo di distribuzione di Windows Autopilot
I profili di distribuzione di Windows Autopilot vengono usati per configurare i dispositivi Windows Autopilot.
Accedere all'Interfaccia di amministrazione di Microsoft Intune.
Nella schermata Home selezionare Dispositivi nel riquadro sinistro.
Nei dispositivi | Schermata Panoramica , in Per piattaforma selezionare Windows.
In Windows | Schermata Dispositivi Windows , in Onboarding del dispositivo selezionare Registrazione.
In Windows | Schermata di registrazione di Windows , in Windows Autopilot selezionare Profili di distribuzione.
Nella schermata Profili di distribuzione di Windows Autopilot selezionare il menu a discesa Crea profilo e quindi selezionare PC Windows.
Nella schermata Crea profilo immettere un nome e una descrizione facoltativa nella pagina Informazioni di base.
Se tutti i dispositivi nei gruppi assegnati devono registrarsi automaticamente a Windows Autopilot, impostare Converti tutti i dispositivi di destinazione in Autopilot su Sì. Tutti i dispositivi Autopilot non Windows di proprietà dell'azienda nei gruppi assegnati si registrano con il servizio di distribuzione Windows Autopilot. I dispositivi di proprietà personale non sono registrati in Windows Autopilot. Attendere 48 ore per l'elaborazione della registrazione. Quando il dispositivo viene annullato e reimpostato, Windows Autopilot lo registra di nuovo. Dopo aver registrato un dispositivo in questo modo, la disabilitazione di questa impostazione o la rimozione dell'assegnazione del profilo non rimuoverà il dispositivo dal servizio di distribuzione Windows Autopilot. I dispositivi devono invece essere eliminati direttamente. Per altre informazioni, vedere Eliminare i dispositivi Autopilot.
Seleziona Avanti.
Nella pagina Configurazione guidata selezionare Configurazione guidata dall'utente per Modalità di distribuzione.
Nella casella Aggiungi a Microsoft Entra ID come selezionare Microsoft Entra join ibrido.
Se si distribuiscono dispositivi fuori dalla rete dell'organizzazione usando il supporto VPN, impostare l'opzione Ignora controllo connettività dominio su Sì. Per altre informazioni, vedere Modalità guidata dall'utente per Microsoft Entra join ibrido con supporto VPN.
Configurare le opzioni rimanenti nella pagina Configurazione guidata in base alle esigenze.
Seleziona Avanti.
Nella pagina Tag ambito selezionare tag di ambito per questo profilo.
Seleziona Avanti.
Nella pagina Assegnazioni selezionare Seleziona gruppi per includere> la ricerca e selezionare il gruppo > di dispositivi Seleziona.
Selezionare Avanti>crea.
Nota
Intune verifica periodicamente la presenza di nuovi dispositivi nei gruppi assegnati e quindi avvia il processo di assegnazione dei profili a tali dispositivi. A causa di diversi fattori coinvolti nel processo di assegnazione del profilo di Windows Autopilot, un tempo stimato per l'assegnazione può variare da scenario a scenario. Questi fattori possono includere Microsoft Entra gruppi, regole di appartenenza, hash di un dispositivo, Intune e servizio Windows Autopilot e connessione Internet. Il tempo di assegnazione varia a seconda di tutti i fattori e le variabili coinvolti in uno scenario specifico.
(Facoltativo) Attivare la pagina di stato della registrazione
Accedere all'Interfaccia di amministrazione di Microsoft Intune.
Nella schermata Home selezionare Dispositivi nel riquadro sinistro.
Nei dispositivi | Schermata Panoramica , in Per piattaforma selezionare Windows.
In Windows | Schermata Dispositivi Windows , in Onboarding del dispositivo selezionare Registrazione.
In Windows | Schermata di registrazione di Windows , in Windows Autopilot selezionare Pagina stato registrazione.
Nel riquadro Pagina stato registrazione selezionareImpostazionipredefinite>.
Nella casella Mostra stato dell'installazione dell'app e del profilo selezionare Sì.
Configurare le altre opzioni in base alle esigenze.
Seleziona Salva.
Creare e assegnare un profilo di aggiunta al dominio
Nell'interfaccia di amministrazione Microsoft Intune selezionare Dispositivi>Gestisci dispositivi | Icriteri di> configurazione >creano>nuovi criteri.
Nella finestra crea un profilo visualizzata immettere le proprietà seguenti:
- Nome: immettere un nome descrittivo per il nuovo profilo.
- Descrizione: immettere una descrizione per il profilo.
- Piattaforma: selezionare Windows 10 e versioni successive.
- Tipo di profilo: selezionare Modelli, selezionare il nome del modello Aggiunta al dominio e selezionare Crea.
Immettere nome edescrizione e selezionare Avanti.
Specificare un prefisso del nome computer e un nome di dominio.
(Facoltativo) Fornire un'unità organizzativa in formato DN. Le opzioni includono:
- Specificare un'unità organizzativa in cui il controllo viene delegato al dispositivo Windows che esegue il connettore Intune per Active Directory.
- Specificare un'unità organizzativa in cui il controllo viene delegato ai computer radice nella Active Directory locale dell'organizzazione.
- Se questo campo viene lasciato vuoto, l'oggetto computer viene creato nel contenitore predefinito di Active Directory. Il contenitore predefinito è in genere il
CN=Computers
contenitore. Per altre informazioni, vedere Reindirizzare i contenitori di utenti e computer nei domini di Active Directory.
Esempi validi:
OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com
OU=Mine,DC=contoso,DC=com
Esempi non validi:
-
CN=Computers,DC=contoso,DC=com
- Non è possibile specificare un contenitore. Lasciare invece vuoto il valore per usare il valore predefinito per il dominio. -
OU=Mine
: il dominio deve essere specificato tramite gliDC=
attributi.
Assicurarsi di non usare le virgolette intorno al valore nell'unità organizzativa.
Selezionare OK>Crea. Il profilo viene creato e visualizzato nell'elenco.
Assegnare un profilo di dispositivo allo stesso gruppo usato nel passaggio Creare un gruppo di dispositivi. Se è necessario aggiungere dispositivi a domini o unità organizzative diversi, è possibile usare gruppi diversi.
Nota
La funzionalità di denominazione per Windows Autopilot per Microsoft Entra join ibrido non supporta variabili come %SERIAL%. Supporta solo i prefissi per il nome del computer.
Disinstallare Intune Connector per Active Directory
Il connettore Intune per Active Directory viene installato in locale in un computer tramite un file eseguibile. Se il connettore Intune per Active Directory deve essere disinstallato da un computer, deve essere eseguito anche in locale nel computer. Il connettore Intune per Active Directory non può essere rimosso tramite il portale di Intune o tramite una chiamata api graph.
Per disinstallare il connettore Intune per Active Directory dal server, selezionare la scheda appropriata per la versione del sistema operativo Windows Server e quindi seguire questa procedura:
Accedere al computer che ospita il connettore Intune per Active Directory.
Fare clic con il pulsante destro del mouse sul menu Start e quindi scegliere Impostazioni>App>installate.
Oppure
Selezionare il collegamento app > installate seguente:
Nella finestra App > installate individuare Intune Connector per Active Directory.
Accanto a Intune Connector per Active Directory selezionare ...>Disinstallare e quindi selezionare il pulsante Disinstalla.
Il connettore Intune per Active Directory procede alla disinstallazione.
In alcuni casi, il connettore Intune per Active Directory potrebbe non essere completamente disinstallato fino a quando il programma
ODJConnectorBootstrapper.exe
di installazione originale di Intune Connector per Active Directory non viene eseguito di nuovo. Per verificare che il connettore Intune per Active Directory sia completamente disinstallato, eseguire di nuovo ilODJConnectorBootstrapper.exe
programma di installazione. Se viene richiesto di disinstallare, selezionare per disinstallarlo. In caso contrario, chiudere ilODJConnectorBootstrapper.exe
programma di installazione.Nota
Il connettore Intune legacy per il programma di installazione di Active Directory può essere scaricato dal connettore Intune per Active Directory e deve essere usato solo per le disinstallazioni. Per le nuove installazioni, usare il connettore Intune aggiornato per Active Directory.
Passaggi successivi
Dopo aver configurato Windows Autopilot, scopri come gestire tali dispositivi. Per altre informazioni, vedere Che cos'è Microsoft Intune gestione dei dispositivi?.
Contenuto correlato
- Che cos'è un'identità del dispositivo?.
- Altre informazioni sugli endpoint nativi del cloud.
- Microsoft Entra aggiunto a e Microsoft Entra ibrido aggiunto agli endpoint nativi del cloud.
- Esercitazione: Configurare e configurare un endpoint Windows nativo del cloud con Microsoft Intune.
- Procedura: Pianificare l'implementazione del join Microsoft Entra.
- Framework per la trasformazione di gestione degli endpoint di Windows.
- Informazioni sugli scenari ibridi di Azure AD e co-gestione.
- Esito positivo con Windows Autopilot remoto e aggiunta ad Azure Active Directory ibrido.