Door de gebruiker gestuurde Microsoft Entra hybrid join: verhoog de limiet voor het computeraccount in de organisatie-eenheid (OE)

• Van toepassing op:

  ✅ Windows 11, ✅ Windows 10

Windows Autopilot-gebruikersgestuurde Microsoft Entra hybride joinstappen:

• Stap 1: Automatische Intune-inschrijving voor Windows instellen
• Stap 2: de Intune-connector installeren

• Stap 3: verhoog de limiet voor het computeraccount in de organisatie-eenheid (OE)

• Stap 4: Apparaten registreren als Windows Autopilot-apparaten
• Stap 5: een apparaatgroep maken
• Stap 6: Windows Autopilot Enrollment Status Page (ESP) configureren en toewijzen
• Stap 7: Microsoft Entra Windows Autopilot-profiel voor hybride deelname maken en toewijzen
• Stap 8: Domeindeelnameprofiel configureren en toewijzen
• Stap 9: Windows Autopilot-apparaat toewijzen aan een gebruiker (optioneel)
• Stap 10: het apparaat implementeren

Zie Windows Autopilot user-driven Microsoft Entra hybrid join overview (Windows Autopilot user-driven Microsoft Entra hybrid join overview) voor een overzicht van de windows Autopilot user-driven Microsoft Entra hybrid join workflow.

Opmerking

Als de limiet voor het computeraccount voor de juiste organisatie-eenheid (OE) al is verhoogd, slaat u deze stap over en gaat u verder met Stap 4: Apparaten registreren als Windows Autopilot-apparaten.

De limiet voor het computeraccount in de organisatie-eenheid (OE) verhogen

Bijgewerkte connector

Belangrijk

Deze stap is alleen nodig onder een van de volgende voorwaarden:

• De beheerder die de Intune Connector voor Active Directory heeft geïnstalleerd en geconfigureerd, beschikte niet over de juiste rechten, zoals beschreven in Intune Connector voor Active Directory-vereisten.
• Het ODJConnectorEnrollmentWizard.exe.config XML-bestand is niet gewijzigd om OE's toe te voegen waarvoor de MSA machtigingen moet hebben.

Het doel van Intune Connector voor Active Directory is om computers toe te voegen aan een domein en deze toe te voegen aan een organisatie-eenheid. Daarom moet het Beheerde serviceaccount (MSA) dat wordt gebruikt voor de Intune Connector voor Active Directory machtigingen hebben om computeraccounts te maken in de organisatie-eenheid waar de computers zijn gekoppeld aan het on-premises domein.

Met standaardmachtigingen in Active Directory kunnen domeindeelnames door de Intune Connector voor Active Directory in eerste instantie werken zonder enige machtigingswijzigingen voor de organisatie-eenheid in Active Directory. Nadat MSA echter meer dan 10 computers probeert toe te voegen aan het on-premises domein, werkt dit niet meer omdat active directory standaard slechts één account toestaat om maximaal 10 computers aan het on-premises domein te koppelen.

De volgende gebruikers worden niet beperkt door de beperking van 10 computerdomeindeelname:

• Gebruikers in de groepen Administrators of Domeinadministrators: Om te voldoen aan het model met de minimale bevoegdheidsprincipes, raadt Microsoft niet aan de MSA een beheerder of domeinbeheerder te maken.
• Gebruikers met gedelegeerde machtigingen voor organisatie-eenheid (OE's) en containers in Active Directory om computeraccounts te maken: deze methode wordt aanbevolen omdat deze het model met de beginselen van de minimale bevoegdheden volgt.

Om deze beperking op te lossen, heeft de MSA de machtiging Computeraccounts maken nodig in de organisatie-eenheid (OE) waaraan de computers zijn gekoppeld in het on-premises domein. De Intune Connector voor Active Directory stelt de machtigingen voor de MSA's in op de OE's zolang aan een van de volgende voorwaarden wordt voldaan:

• De beheerder die de Intune Connector voor Active Directory installeert, beschikt over de benodigde machtigingen om machtigingen in te stellen voor de organisatie-eenheden.
• De beheerder die de Intune Connector voor Active Directory configureert, beschikt over de benodigde machtigingen om machtigingen in te stellen voor de OE's.

Als de beheerder die de Intune Connector voor Active Directory installeert of configureert, niet beschikt over de benodigde machtigingen voor het instellen van machtigingen voor de OE's, moet u de volgende stappen volgen:

1. Meld u aan bij een computer die toegang heeft tot de Active Directory: gebruikers en computers-console met een account dat als de benodigde machtigingen heeft om machtigingen in te stellen voor organisatie-eenheden.

2. Open de Active Directory: gebruikers en computers-console door DSA.msc uit te voeren.

3. Vouw het gewenste domein uit en navigeer naar de organisatie-eenheid (OE) waaraan computers deelnemen tijdens Windows Autopilot.

   Opmerking

   De organisatie-eenheid waaraan computers deelnemen tijdens de Implementatie van Windows Autopilot, wordt later opgegeven tijdens de stap Domeindeelnameprofiel configureren en toewijzen .

4. Klik met de rechtermuisknop op de OE en selecteer Eigenschappen.

   Opmerking

   Als computers worden lid van de standaardcontainer Computers in plaats van een organisatie-eenheid, klikt u met de rechtermuisknop op de container Computers en selecteert u Beheer delegeren.

5. Selecteer in het venster OE-eigenschappen dat wordt geopend het tabblad Beveiliging .

6. Selecteer op het tabblad Beveiligingde optie Geavanceerd.

7. Selecteer toevoegen in het venster Geavanceerde beveiligingsinstellingen.

8. Selecteer in de vensters Machtigingsvermelding naast Principal de koppeling Een principal selecteren .

9. Selecteer in het venster Gebruiker, Computer, Serviceaccount of Groep selecteren de knop Objecttypen... .

10. Schakel in het venster Objecttypen het selectievakje Serviceaccounts in en selecteer vervolgens OK.

11. Voer in het venster Gebruiker, Computer, Serviceaccount of Groep selecteren onder Voer de objectnaam in om te selecteren de naam van de MSA die wordt gebruikt voor de Intune Connector voor Active Directory.

    Tip

    De MSA is gemaakt tijdens de stap/sectie De Intune Connector voor Active Directory installeren en heeft de naamindeling waarbij msaODJ########## vijf willekeurige tekens zijn. Als de MSA-naam niet bekend is, volgt u deze stappen om de MSA-naam te vinden:

    1. Klik op de server waarop de Intune Connector voor Active Directory wordt uitgevoerd met de rechtermuisknop op het menu Start en selecteer computerbeheer.
    2. Vouw in het venster ComputerbeheerServices en toepassingen uit en selecteer vervolgens Services.
    3. Zoek in het resultatenvenster de service met de naam Intune ODJConnector voor Active Service. De naam van de MSA wordt weergegeven in de kolom Aanmelden als .

12. Selecteer Namen controleren om de vermelding MSA-naam te valideren. Nadat de vermelding is gevalideerd, selecteert u OK.

13. Selecteer in de vensters Machtigingsvermelding de vervolgkeuzelijst Van toepassing op: en selecteer vervolgens Alleen dit object.

14. Schakel onder Machtigingen alle items uit en schakel alleen het selectievakje Computerobjecten maken in.

15. Selecteer OK om het venster Machtigingsvermelding te sluiten.

16. Selecteer in het venster Geavanceerde beveiligingsinstellingen de optie Toepassen of OK om de wijzigingen toe te passen.

Verouderde connector

Het doel van Intune Connector voor Active Directory is om computers toe te voegen aan een domein en deze toe te voegen aan een organisatie-eenheid. Daarom moet de server met de Intune Connector voor Active Directory machtigingen hebben om computeraccounts te maken in de organisatie-eenheid waar de computers zijn gekoppeld aan het on-premises domein.

Met standaardmachtigingen in Active Directory kunnen domeindeelnames door de Intune Connector voor Active Directory in eerste instantie werken zonder enige machtigingswijzigingen voor de organisatie-eenheid in Active Directory. Nadat de server waarop de Intune Connector voor Active Directory wordt uitgevoerd, echter meer dan 10 computers probeert toe te voegen aan het on-premises domein, werkt deze niet meer omdat active directory standaard slechts één account toestaat om maximaal 10 computers aan het on-premises domein te koppelen.

De volgende gebruikers worden niet beperkt door de beperking van 10 computerdomeindeelname:

• Gebruikers in de groepen Administrators of Domeinbeheerders: om te voldoen aan het model met minimale bevoegdheden, raadt Microsoft niet aan om het computeraccount waarop de Intune Connector voor Active Directory wordt uitgevoerd, een beheerder of domeinbeheerder te maken.
• Gebruikers met gedelegeerde machtigingen voor organisatie-eenheid (OE's) en containers in Active Directory om computeraccounts te maken. Deze methode wordt aanbevolen omdat deze het model met de minimale bevoegdheden volgt.

Om deze beperking op te lossen, heeft de server waarop de Intune Connector voor Active Directory wordt uitgevoerd de machtiging Computeraccounts maken nodig in de organisatie-eenheid (OE) waaraan de computers zijn gekoppeld in het on-premises domein:

Als u de limiet voor het computeraccount wilt verhogen in de organisatie-eenheid (OE) waaraan computers deelnemen tijdens Windows Autopilot, volgt u deze stappen op een computer die toegang heeft tot de Active Directory: gebruikers en computers-console:

1. Open de Active Directory: gebruikers en computers-console door DSA.msc uit te voeren.

2. Vouw het gewenste domein uit en navigeer naar de organisatie-eenheid (OE) waaraan computers deelnemen tijdens Windows Autopilot.

   Opmerking

   De organisatie-eenheid waaraan computers deelnemen tijdens de Implementatie van Windows Autopilot, wordt later opgegeven tijdens de stap Domeindeelnameprofiel configureren en toewijzen .

3. Klik met de rechtermuisknop op de OE en selecteer Beheer delegeren.

   Opmerking

   Als computers worden lid van de standaardcontainer Computers in plaats van een organisatie-eenheid, klikt u met de rechtermuisknop op de container Computers en selecteert u Beheer delegeren.

4. In het venster Welkom bij de wizard Delegering van besturingselementen van de wizard Delegering van besturingselementen selecteert u Volgende.

5. Selecteer in het venster Gebruikers of groepen onder Geselecteerde gebruikers en groepen de optie Toevoegen.

6. Selecteer naast Dit objecttype selecteren in het venster Gebruikers, computers of groepen selecteren de optie Objecttypen.

7. Schakel in het venster Objecttypen het selectievakje Computers in en selecteer vervolgens OK. De andere items in dit venster kunnen op hun standaardinstelling worden gelaten.

8. Voer in het venster Gebruikers, computers of groepen selecteren onder het vak De objectnamen invoeren om te selecteren de naam in van de computer waarop de Intune-connector voor Active Directory is geïnstalleerd tijdens de stap De Intune Connector installeren.

9. Selecteer Namen controleren om de vermelding te valideren. Nadat de vermelding is gevalideerd, selecteert u OK.

10. Controleer in het venster Gebruikers of groepen of de juiste computer wordt weergegeven onder Geselecteerde gebruikers en groepen: en selecteer vervolgens Volgende.

11. Selecteer in het venster Taken om te delegerende optie Een aangepaste taak maken om te delegeren en selecteer vervolgens Volgende.

12. In het venster Active Directory-objecttype :

    1. Selecteer Alleen de volgende objecten in de map.

    2. Selecteer onder Alleen de volgende objecten in de mapde optie Computerobjecten.

    3. Schakel het selectievakje Geselecteerde objecten in deze map maken in .

    4. Selecteer Volgende.

13. Schakel in het venster Machtigingen onder Machtigingen:het selectievakje Volledig beheer in en selecteer volgende.

    Opmerking

    Nadat u het selectievakje Volledig beheer hebt ingeschakeld, worden alle andere opties onder Machtigingen: automatisch geselecteerd. De automatische selectie van de selectievakjes is normaal en verwacht. Schakel de selectievakjes niet uit nadat ze automatisch zijn ingeschakeld.

14. Selecteer in het venster Delegering van de wizard Beheer voltooiende optie Voltooien.

Volgende stap: Apparaten registreren als Windows Autopilot-apparaten

Stap 4: Apparaten registreren als Windows Autopilot-apparaten

Verwante onderwerpen

Zie de volgende artikelen voor meer informatie over het verhogen van de limiet voor het computeraccount in een organisatie-eenheid:

• Verhoog de limiet voor het computeraccount in de organisatie-eenheid.
• Standaardlimiet voor het aantal werkstations dat een gebruiker kan toevoegen aan het domein.
• Werkstations toevoegen aan domein.