ユーザー駆動型Microsoft Entraハイブリッド結合: Intune コネクタをインストールする
Windows Autopilot ユーザー駆動型Microsoft Entraハイブリッド参加手順:
- 手順 1: Windows の自動Intune登録を設定する
- 手順 2: Intune コネクタをインストールする
- 手順 3: 組織単位 (OU) でコンピューター アカウントの制限を増やす
- 手順 4: デバイスを Windows Autopilot デバイスとして登録する
- 手順 5: デバイス グループを作成する
- 手順 6: Windows Autopilot 登録状態ページ (ESP) を構成して割り当てる
- 手順 7: ハイブリッド参加 Windows Autopilot プロファイルMicrosoft Entra作成して割り当てる
- 手順 8: ドメイン参加プロファイルを構成して割り当てる
- 手順 9: Windows Autopilot デバイスをユーザーに割り当てる (省略可能)
- 手順 10: デバイスをデプロイする
Windows Autopilot ユーザードリブン Microsoft Entra ハイブリッド参加ワークフローの概要については、「Windows Autopilot ユーザー駆動型Microsoft Entraハイブリッド参加の概要」を参照してください。
注:
Intune コネクタが既にインストールおよび構成されている場合は、この手順をスキップして、「手順 3: 組織単位 (OU) のコンピューター アカウントの制限を増やす」に進みます。
Active Directory 用のIntune コネクタをインストールする
Active Directory 用Intune コネクタ (オフライン ドメイン参加 (ODJ) コネクタとも呼ばれます) の目的は、Windows Autopilot プロセス中にコンピューターをオンプレミス ドメインに参加することです。 Active Directory 用Intune コネクタは、ドメイン参加プロセス中に Active Directory の指定された組織単位 (OU) にコンピューター オブジェクトを作成します。
重要
Intune 2501 以降、Intuneでは、セキュリティを強化し、マネージド サービス アカウント (MSA) を使用して最小限の特権原則に従う更新された Intune Connector for Active Directory を使用します。 Intune内から Active Directory 用Intune コネクタがダウンロードされると、更新された Intune Connector for Active Directory がダウンロードされます。 Active Directory 用の以前のレガシ Intune コネクタは引き続き Intune Connector for Active Directory でダウンロードできますが、今後は更新された Intune Connector for Active Directory インストーラーを使用することをお勧めします。 以前のレガシ Intune Connector for Active Directory は、2025 年 5 月に引き続き動作します。 ただし、機能の損失を回避するには、その前に更新された Intune Connector for Active Directory に更新する必要があります。 詳細については、「Intune Connector for Active Directory with low-privileged account for Autopilot Hybrid Microsoft Entra join deployment」を参照してください。
Active Directory 用のIntune コネクタの更新は、更新されたバージョンに自動的には行われません。 Active Directory 用のレガシ Intune コネクタは、手動でアンインストールし、更新されたコネクタを手動でダウンロードしてインストールする必要があります。 Intune Connector for Active Directory の手動アンインストールおよびインストール プロセスの手順については、次のセクションで説明します。
インストールされている Active Directory 用のIntune コネクタのバージョンに対応するタブを選択します。
更新されたコネクタインストールを開始する前に、すべてのIntune コネクタ サーバー要件が満たされていることを確認してください。
ヒント
Intune Connector for Active Directory のインストールと構成を行う管理者は、Active Directory の要件に関するIntune記載されている適切なドメイン権限を持つ方が望ましいが、必須ではない。 この要件により、Active Directory インストーラーと構成プロセス用のIntune コネクタは、コンピューター コンテナーまたはコンピューター オブジェクトが作成される OU 上の MSA のアクセス許可を適切に設定できます。 管理者にこれらのアクセス許可がない場合は、適切なアクセス許可を持つ管理者は、「 組織単位でコンピューター アカウントの制限を増やす」セクションに従う必要があります。
インターネット エクスプローラーセキュリティ強化構成をオフにする
Windows Server では既定で、Internet Explorer セキュリティ強化の構成がオンになっています。 インターネット エクスプローラーセキュリティ強化構成により、Intune コネクタ for Active Directory へのサインインに問題が発生する可能性があります。 インターネット エクスプローラーは非推奨であり、ほとんどの場合、Windows Serverにもインストールされていないため、Microsoft はインターネット エクスプローラーセキュリティ強化構成をオフにすることをお勧めします。 インターネット エクスプローラー拡張セキュリティ構成をオフにするには:
ローカル管理者権限を持つアカウントを使用して、Intune Connector for Active Directory がインストールされているサーバーにサインインします。
サーバー マネージャーを開きます。
サーバー マネージャーの左側のウィンドウで、[ローカル サーバー] を選択します。
サーバー マネージャーの右側の [プロパティ] ウィンドウで、[IE セキュリティ強化構成] の横にある [オン] または [オフ] リンクを選択します。
[Internet エクスプローラー Enhanced Security Configuration]\(インターネット エクスプローラーセキュリティ強化構成\) ウィンドウで、[Administrators:]\(管理者:\) の下の [オフ] を選択し、[OK] を選択します。
Active Directory 用のIntune コネクタをダウンロードする
Intune Connector for Active Directory がインストールされているサーバーで、Microsoft Intune管理センターにサインインします。
[ホーム] 画面で、左側のウィンドウで [デバイス] を選択します。
デバイス |[概要] 画面の [プラットフォーム別] で [Windows] を選択します。
Windows で |[Windows デバイス ] 画面の [ デバイス オンボード] で、[登録] を選択 します。
Windows で |Windows 登録画面の [Windows Autopilot] で、[Intune コネクタ for Active Directory] を選択します。
[Intune コネクタ for Active Directory] 画面で、[追加] を選択します。
開いた [コネクタの追加] ウィンドウの [Intune コネクタの構成] で、[Active Directory 用のオンプレミス Intune コネクタのダウンロード] を選択します。 リンクは、
ODJConnectorBootstrapper.exeというファイルをダウンロードします。
Active Directory 用Intune コネクタをサーバーにインストールする
重要
Active Directory 用のIntune コネクタのインストールは、次のドメイン権限を持つアカウントで行う必要があります。
- 必須 - マネージド サービス アカウント コンテナーに msDs-ManagedServiceAccount オブジェクトを作成します。
- 省略可能 - Active Directory の OU のアクセス許可を変更する - 更新された Intune Connector for Active Directory をインストールする管理者にこの権限がない場合は、これらの権限を持つ管理者が追加の構成手順を実行する必要があります。 詳細については、「 組織単位でコンピューター アカウントの制限を増やす」の手順/セクションを参照してください。
ローカル管理者権限を持つアカウントを使用して、Intune Connector for Active Directory がインストールされているサーバーにサインインします。
以前のレガシ Intune Connector for Active Directory がインストールされている場合は、更新された Intune Connector for Active Directory をインストールする前にアンインストールします。 詳細については、「Active Directory 用のIntune コネクタをアンインストールする」を参照してください。
重要
以前のレガシ Intune Connector for Active Directory をアンインストールする場合は、アンインストール プロセスの一環としてレガシ Intune Connector for Active Directory インストーラーを実行してください。 従来の Intune Connector for Active Directory インストーラーで、実行時にアンインストールするように求めるメッセージが表示された場合は、それを選択してアンインストールします。 この手順により、以前のレガシ Intune Connector for Active Directory が完全にアンインストールされます。 従来の Intune Connector for Active Directory インストーラーは、Intune Connector for Active Directory からダウンロードできます。
ヒント
Active Directory 用の Intune コネクタが 1 つだけのドメインでは、最初に更新された Intune Connector for Active Directory を別のサーバーにインストールすることをお勧めします。 更新された Intune Connector for Active Directory を別のサーバーにインストールしてから、現在のサーバーでレガシ Intune Connector for Active Directory をアンインストールする必要があります。 Intune コネクタ for Active Directory を別のサーバーにインストールすると、現在のサーバーで Intune Connector for Active Directory が更新されている間、ダウンタイムが回避されます。
ダウンロードした
ODJConnectorBootstrapper.exeファイルを開き、Intune コネクタ for Active Directory セットアップ インストールを起動します。Intune コネクタ for Active Directory セットアップ インストールの手順を実行します。
インストールの最後に、[Active Directory のコネクタIntune起動] チェック ボックスをオンにします。
注:
[Intune コネクタ for Active Directory の起動] チェック ボックスをオンにせずに Active Directory セットアップ用コネクタIntuneインストールが誤って閉じられた場合は、[Active Directory用コネクタ] Intune を選択してIntune コネクタを再度開くことができます>Intune[スタート] メニューから Active Directory 用コネクタ。
Active Directory 用のIntune コネクタにサインインする
[Intune コネクタ for Active Directory] ウィンドウの [登録] タブで、[サインイン] を選択します。
[サインイン] タブで、Intune管理者ロールのMicrosoft Entra ID資格情報でサインインします。 ユーザー アカウントに Intune ライセンスが割り当てられている必要があります。 サインイン プロセスが完了するまでに数分かかる場合があります。
注:
Intune Connector for Active Directory の登録に使用されるアカウントは、インストール時の一時的な要件にすぎません。 このアカウントは、サーバーが登録された後は使用されません。
サインイン プロセスが完了したら、次の手順を実行します。
- Active Directory のIntune コネクタが正常に登録された確認ウィンドウが表示されます。 [ OK] を選択 してウィンドウを閉じます。
-
"<MSA_name>" という名前のマネージド サービス アカウントが正常に設定された確認ウィンドウが表示されます。 MSA の名前は、#####が 5 文字のランダム文字である
msaODJ#####形式です。 作成された MSA の名前を書き込み、[ OK] を 選択してウィンドウを閉じます。 MSA の名前は、後で、コンピューター オブジェクトを OU に作成できるように MSA を構成するために必要になる場合があります。
[登録] タブには、Active Directory 用コネクタが登録Intuneが表示されます。 [サインイン] ボタンが灰色表示され、[マネージド サービス アカウントの構成] が有効になっています。
[Intune コネクタ for Active Directory] ウィンドウを閉じます。
Active Directory 用のIntune コネクタがアクティブであることを確認する
認証後、Active Directory 用のIntune コネクタのインストールが完了します。 インストールが完了したら、次の手順に従って、Intuneでアクティブであることを確認します。
まだ開いている場合は、Microsoft Intune管理センターに移動します。 [コネクタの追加] ウィンドウがまだ表示されている場合は、閉じます。
Microsoft Intune管理センターがまだ開いていない場合:
Microsoft Intune 管理センターにサインインします。
[ホーム] 画面で、左側のウィンドウで [デバイス] を選択します。
デバイス |[概要] 画面の [プラットフォーム別] で [Windows] を選択します。
Windows で |[Windows デバイス ] 画面の [ デバイス オンボード] で、[登録] を選択 します。
Windows で |Windows 登録画面の [Windows Autopilot] で、[Intune コネクタ for Active Directory] を選択します。
[Intune コネクタ for Active Directory] ページで、次の手順を実行します。
- [コネクタ名] にサーバーが表示され、[状態] に [アクティブ] と表示されていることを確認します
- Active Directory 用の更新されたIntune コネクタのバージョンが 6.2501.2000.5 以上であることを確認します。
サーバーが表示されない場合は、[更新] を選択するか、ページから移動し、[Intune コネクタ for Active Directory] ページに戻ります。
注:
新しく登録されたサーバーが、Microsoft Intune管理センターの [Intune コネクタ for Active Directory] ページに表示されるまでに数分かかることがあります。 登録済みサーバーは、Intune サービスと正常に通信できる場合にのみ表示されます。
Active Directory 用の非アクティブなIntune コネクタは引き続き [Intune コネクタ for Active Directory] ページに表示され、30 日後に自動的にクリーンアップされます。
Active Directory 用のIntune コネクタがインストールされると、アプリケーションとサービス のログ>Microsoft>Intune>ODJConnectorService のパスの下にあるイベント ビューアーのログインが開始されます。 このパスの下には、管理ログと運用ログがあります。
OU でのオブジェクトの作成を許可するように MSA を構成する (省略可能)
既定では、MSA は Computers コンテナーにコンピューター オブジェクトを作成するためのみアクセスできます。 MSA には、組織単位 (OU) でコンピューター オブジェクトを作成するためのアクセス権がありません。 MSA が OU でオブジェクトを作成できるようにするには、INTUNE コネクタ for Active Directory がインストールされたディレクトリODJConnectorEnrollmentWizardディレクトリにある ODJConnectorEnrollmentWizard.exe.config XML ファイルに OU を追加する必要があります (通常はC:\Program Files\Microsoft Intune\ODJConnector\)。
OU でのオブジェクトの作成を許可するように MSA を構成するには、次の手順に従います。
Intune Connector for Active Directory がインストールされているサーバーで、Intune Connector for Active Directory がインストールされている
ODJConnectorEnrollmentWizardディレクトリ (通常はC:\Program Files\Microsoft Intune\ODJConnector\) に移動します。ODJConnectorEnrollmentWizardディレクトリで、テキスト エディターでODJConnectorEnrollmentWizard.exe.configXML ファイル (メモ帳など) を開きます。ODJConnectorEnrollmentWizard.exe.configXML ファイルで、MSA がコンピューター オブジェクトを作成するためのアクセス権を持つ必要がある任意の OU を追加します。 OU 名は識別名にする必要があり、該当する場合はエスケープする必要があります。 次の例は、OU 識別名を持つ XML エントリの例です。<appSettings> <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format. The ODJ Connector will only have permission to create computer objects in these OUs. The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY): Domain contains the following OUs: - OU=HybridDevices,DC=contoso,DC=com - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" --> <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" /> </appSettings>必要なすべての OU が追加されたら、
ODJConnectorEnrollmentWizard.exe.configXML ファイルを保存します。OU のアクセス許可を変更するための適切なアクセス許可を持つ管理者は、[スタート] メニューから [Intune コネクタ for Active Directory>Intune Connector for Active Directory に移動して、Intune コネクタ for Active Directory を開きます。
重要
Active Directory 用Intune コネクタをインストールして構成する管理者に OU アクセス許可を変更するアクセス許可がない場合は、セクション/手順「組織単位のコンピューター アカウントの制限を増やす」に従う必要があります。代わりに、OU のアクセス許可を変更するアクセス許可を持つ管理者が従う必要があります。
[Intune コネクタ for Active Directory] ウィンドウの [登録] タブで、[マネージド サービス アカウントの構成] を選択します。
"<MSA_name>" という名前のマネージド サービス アカウントが正常に設定された確認ウィンドウが表示されます。 [ OK] を選択 してウィンドウを閉じます。