Door de gebruiker gestuurde Microsoft Entra hybride koppeling: de Intune-connector installeren
Windows Autopilot-gebruikersgestuurde Microsoft Entra hybride joinstappen:
- Stap 2: de Intune-connector installeren
- Stap 3: verhoog de limiet voor het computeraccount in de organisatie-eenheid (OE)
- Stap 4: Apparaten registreren als Windows Autopilot-apparaten
- Stap 5: een apparaatgroep maken
- Stap 6: Windows Autopilot Enrollment Status Page (ESP) configureren en toewijzen
- Stap 7: Microsoft Entra Windows Autopilot-profiel voor hybride deelname maken en toewijzen
- Stap 8: Domeindeelnameprofiel configureren en toewijzen
- Stap 9: Windows Autopilot-apparaat toewijzen aan een gebruiker (optioneel)
- Stap 10: het apparaat implementeren
Opmerking
Als de Intune Connector al is geïnstalleerd en geconfigureerd, slaat u deze stap over en gaat u verder met Stap 3: de limiet voor het computeraccount in de organisatie-eenheid (OE) verhogen.
De Intune Connector voor Active Directory installeren
Het doel van de Intune Connector voor Active Directory, ook wel bekend als de ODJ-connector (Offline Domain Join), is om computers aan een on-premises domein toe te voegen tijdens het Windows Autopilot-proces. De Intune Connector voor Active Directory maakt computerobjecten in een opgegeven organisatie-eenheid (OE) in Active Directory tijdens het domeindeelnameproces.
Belangrijk
Vanaf Intune 2501 gebruikt Intune een bijgewerkte Intune-connector voor Active Directory die de beveiliging versterkt en de principes van minimale bevoegdheden volgt met behulp van een Beheerd Service-account (MSA). Wanneer de Intune Connector voor Active Directory wordt gedownload vanuit Intune, wordt de bijgewerkte Intune Connector voor Active Directory gedownload. De vorige verouderde Intune Connector voor Active Directory is nog steeds beschikbaar om te downloaden op Intune Connector voor Active Directory, maar Microsoft raadt aan om in de toekomst het bijgewerkte installatieprogramma voor Intune Connector voor Active Directory te gebruiken. De vorige verouderde Intune Connector voor Active Directory blijft ergens in mei 2025 werken. Deze moet echter vóór die tijd worden bijgewerkt naar de bijgewerkte Intune Connector voor Active Directory om verlies van functionaliteit te voorkomen. Zie Intune Connector voor Active Directory met een account met beperkte bevoegdheden voor Implementaties van Hybride Microsoft Entra deelnemen aan Autopilot voor meer informatie.
Het bijwerken van de Intune Connector voor Active Directory naar de bijgewerkte versie wordt niet automatisch uitgevoerd. De verouderde Intune Connector voor Active Directory moet handmatig worden verwijderd, gevolgd door de bijgewerkte connector die handmatig wordt gedownload en geïnstalleerd. Instructies voor het handmatig verwijderen en installeren van de Intune Connector voor Active Directory worden in de volgende secties gegeven.
Selecteer het tabblad dat overeenkomt met de versie van de Intune Connector voor Active Directory die wordt geïnstalleerd:
Bijgewerkte connectorVoordat u begint met de installatie, moet u ervoor zorgen dat aan alle vereisten voor Intune connectorserver wordt voldaan.
Tip
Het verdient de voorkeur, maar niet vereist, dat de beheerder die de Intune Connector voor Active Directory installeert en configureert, over de juiste domeinrechten beschikt, zoals beschreven in Intune Connector voor Active Directory-vereisten. Door deze vereiste kan het installatie- en configuratieproces van de Intune Connector voor Active Directory machtigingen voor de MSA correct instellen op de computercontainer of organisatie-eenheden waar computerobjecten worden gemaakt. Als de beheerder niet over deze machtigingen beschikt, moet een beheerder die wel over de juiste machtigingen beschikt, de sectie De limiet voor het computeraccount verhogen in de organisatie-eenheid volgen.
Verbeterde beveiligingsconfiguratie in Internet Explorer uitschakelen
Standaard is Windows Server verbeterde beveiliging van Internet Explorer ingeschakeld. Verbeterde beveiligingsconfiguratie van Internet Explorer kan problemen veroorzaken bij het aanmelden bij de Intune Connector voor Active Directory. Omdat Internet Explorer is afgeschaft en in de meeste gevallen zelfs niet is geïnstalleerd op Windows Server, raadt Microsoft aan om verbeterde beveiliging van Internet Explorer uit te schakelen. Verbeterde beveiliging van Internet Explorer uitschakelen:
Meld u aan bij de server waarop de Intune Connector voor Active Directory wordt geïnstalleerd met een account met lokale beheerdersrechten.
Open Serverbeheer.
Selecteer lokale server in het linkerdeelvenster van Serverbeheer.
Selecteer in het rechterdeelvenster EIGENSCHAPPEN van Serverbeheer de koppeling Aan of Uit naast Verbeterde beveiliging van IE.
Selecteer in het venster Verbeterde beveiliging van Internet Explorerde optie Uit onder Beheerders: en selecteer vervolgens OK.
De Intune Connector voor Active Directory downloaden
Meld u aan bij het Microsoft Intune-beheercentrum op de server waarop de Intune Connector voor Active Directory wordt geïnstalleerd.
Selecteer apparatenin het linkerdeelvenster in het startscherm.
In apparaten | Overzichtsscherm onder Op platformselecteert u Windows.
In Windows | Scherm Windows-apparaten selecteert u onder Onboarding van apparaatde optie Inschrijving.
In Windows | Windows-inschrijvingsscherm, onder Windows Autopilot, selecteer Intune Connector voor Active Directory.
Selecteer toevoegen in het scherm Intune Connector voor Active Directory.
Selecteer in het venster Connector toevoegen dat wordt geopend onder De Intune-connector voor Active Directory configurerende optie De on-premises Intune-connector voor Active Directory downloaden. Met de koppeling wordt een bestand met de naam gedownload
ODJConnectorBootstrapper.exe.
De Intune Connector voor Active Directory installeren op de server
Belangrijk
De installatie van de Intune Connector voor Active Directory moet worden uitgevoerd met een account met de volgende domeinrechten:
- Vereist : maak msDs-ManagedServiceAccount-objecten in de container Beheerde serviceaccounts.
- Optioneel: machtigingen wijzigen in organisatie-eenheden in Active Directory. Als de beheerder die de bijgewerkte Intune Connector voor Active Directory installeert, dit recht niet heeft, zijn er aanvullende configuratiestappen vereist voor een beheerder die over deze rechten beschikt. Zie de stap/sectie De limiet voor het computeraccount verhogen in de organisatie-eenheid voor meer informatie.
Meld u aan bij de server waarop de Intune Connector voor Active Directory wordt geïnstalleerd met een account met lokale beheerdersrechten.
Als de vorige verouderde Intune Connector voor Active Directory is geïnstalleerd, verwijdert u deze eerst voordat u de bijgewerkte Intune Connector voor Active Directory installeert. Zie De Intune-connector voor Active Directory verwijderen voor meer informatie.
Belangrijk
Wanneer u de vorige verouderde Intune Connector voor Active Directory verwijdert, moet u ervoor zorgen dat u het verouderde installatieprogramma Intune Connector voor Active Directory uitvoert als onderdeel van het verwijderingsproces. Als het verouderde installatieprogramma van Intune Connector voor Active Directory wordt gevraagd om het te verwijderen wanneer het wordt uitgevoerd, selecteert u om het te verwijderen. Deze stap zorgt ervoor dat de vorige verouderde Intune Connector voor Active Directory volledig wordt verwijderd. Het verouderde installatieprogramma voor Intune Connector voor Active Directory kan worden gedownload van Intune Connector voor Active Directory.
Tip
In domeinen met slechts één Intune Connector voor Active Directory raadt Microsoft aan eerst de bijgewerkte Intune Connector voor Active Directory op een andere server te installeren. Installeer de bijgewerkte Intune Connector voor Active Directory op een andere server voordat u de verouderde Intune Connector voor Active Directory op de huidige server verwijdert. Als u eerst de Intune Connector voor Active Directory op een andere installeert, voorkomt u downtime terwijl de Intune-connector voor Active Directory wordt bijgewerkt op de huidige server.
Open het
ODJConnectorBootstrapper.exebestand dat is gedownload om de installatie van de Intune Connector voor Active Directory Setup te starten.Doorloop de installatie van Intune Connector voor Active Directory.
Schakel aan het einde van de installatie het selectievakje Start Intune Connector voor Active Directory in.
Opmerking
Als de installatie van Intune Connector voor Active Directory per ongeluk wordt gesloten zonder het selectievakje Intune Connector voor Active Directory starten in te schakelen, kan de configuratie van de Intune-connector voor Active Directory opnieuw worden geopend door Intune Connector voor Active Directory> te selecteren Intune Connector voor Active Directory vanuit het menu Start.
Meld u aan bij de Intune Connector voor Active Directory
Selecteer in het venster Intune Connector voor Active Directory op het tabblad Inschrijvingde optie Aanmelden.
Meld u op het tabblad Aanmelden aan met de Microsoft Entra ID referenties van een Intune beheerdersrol. Aan het gebruikersaccount moet een Intune licentie zijn toegewezen. Het aanmeldingsproces kan enkele minuten duren.
Opmerking
Het account dat wordt gebruikt voor het inschrijven van de Intune Connector voor Active Directory is slechts een tijdelijke vereiste op het moment van installatie. Het account wordt niet meer gebruikt nadat de server is ingeschreven.
Zodra het aanmeldingsproces is voltooid:
- Het bevestigingsvenster The Intune Connector for Active Directory is ingeschreven wordt weergegeven. Selecteer OK om het venster te sluiten.
- Een beheerd serviceaccount met de naam '<MSA_name>' is ingesteld, verschijnt een bevestigingsvenster. De naam van de MSA heeft de indeling
msaODJ#####met ##### vijf willekeurige tekens. Geef een notatie op van de naam van de MSA die is gemaakt en selecteer vervolgens OK om het venster te sluiten. De naam van de MSA kan later nodig zijn om de MSA te configureren om het maken van computerobjecten in organisatie-eenheden toe te staan.
Op het tabblad Inschrijving ziet u Intune Connector voor Active Directory is ingeschreven. De knop Aanmelden wordt grijs weergegeven en Managed Service Account configureren is ingeschakeld.
Sluit het venster Intune Connector voor Active Directory.
Controleer of de Intune-connector voor Active Directory actief is
Na verificatie wordt de installatie van de Intune Connector voor Active Directory voltooid. Zodra de installatie is voltooid, controleert u of deze actief is in Intune door de volgende stappen uit te voeren:
Ga naar het Microsoft Intune-beheercentrum als dit nog steeds is geopend. Als het venster Connector toevoegen nog steeds wordt weergegeven, sluit u het.
Als het Microsoft Intune-beheercentrum nog niet is geopend:
Meld u aan bij het Microsoft Intune-beheercentrum.
Selecteer apparatenin het linkerdeelvenster in het startscherm.
In apparaten | Overzichtsscherm onder Op platformselecteert u Windows.
In Windows | Scherm Windows-apparaten selecteert u onder Onboarding van apparaatde optie Inschrijving.
In Windows | Windows-inschrijvingsscherm, onder Windows Autopilot, selecteer Intune Connector voor Active Directory.
Op de pagina Intune Connector voor Active Directory:
- Controleer of de server wordt weergegeven onder Connectornaam en wordt weergegeven als Actief onder Status
- Controleer voor de bijgewerkte Intune Connector voor Active Directory of de versie groter is dan of gelijk is aan 6.2501.2000.5.
Als de server niet wordt weergegeven, selecteert u Vernieuwen of navigeert u weg van de pagina en gaat u terug naar de pagina Intune Connector voor Active Directory.
Opmerking
Het kan enkele minuten duren voordat de zojuist ingeschreven server wordt weergegeven op de pagina Intune Connector voor Active Directory van het Microsoft Intune-beheercentrum. De ingeschreven server wordt alleen weergegeven als deze kan communiceren met de Intune-service.
Inactieve Intune Connectors voor Active Directory worden nog steeds weergegeven op de pagina Intune Connector voor Active Directory en worden na 30 dagen automatisch opgeschoond.
Nadat de Intune Connector voor Active Directory is geïnstalleerd, wordt de logboekregistratie gestart in de Logboeken onder het pad Toepassingen en Services-logboeken>Microsoft>Intune>ODJConnectorService. Onder dit pad vindt u Beheer- en operationele logboeken.
De MSA configureren om het maken van objecten in OE's toe te staan (optioneel)
Standaard hebben MSA's alleen toegang tot het maken van computerobjecten in de container Computers . MSA's hebben geen toegang tot het maken van computerobjecten in organisatie-eenheden (OE's). Als u wilt dat de MSA objecten in OE's kan maken, moeten de OE's worden toegevoegd aan het XML-bestand in ODJConnectorEnrollmentWizard de ODJConnectorEnrollmentWizard.exe.config map waarin de Intune Connector voor Active Directory is geïnstalleerd, normaal gesproken C:\Program Files\Microsoft Intune\ODJConnector\.
Voer de volgende stappen uit om de MSA te configureren om het maken van objecten in OE's toe te staan:
Ga op de server waarop de Intune Connector voor Active Directory is geïnstalleerd naar
ODJConnectorEnrollmentWizardde map waar de Intune Connector voor Active Directory is geïnstalleerd, normaal gesprokenC:\Program Files\Microsoft Intune\ODJConnector\.Open in de
ODJConnectorEnrollmentWizardmap hetODJConnectorEnrollmentWizard.exe.configXML-bestand in een teksteditor, bijvoorbeeld Kladblok.Voeg in het
ODJConnectorEnrollmentWizard.exe.configXML-bestand alle gewenste OE's toe waarin de MSA toegang moet hebben om computerobjecten te maken. De OE-naam moet de DN-naam zijn en, indien van toepassing, moet worden ge escaped. Het volgende voorbeeld is een voorbeeld van een XML-vermelding met de DN-naam van de OE:<appSettings> <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format. The ODJ Connector will only have permission to create computer objects in these OUs. The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY): Domain contains the following OUs: - OU=HybridDevices,DC=contoso,DC=com - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" --> <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" /> </appSettings>Zodra alle gewenste OE's zijn toegevoegd, slaat u het
ODJConnectorEnrollmentWizard.exe.configXML-bestand op.Als beheerder die over de juiste machtigingen beschikt om OE-machtigingen te wijzigen, opent u de Intune-connector voor Active Directory door te navigeren naar Intune Connector voor Active Directory>Intune Connector voor Active Directory vanuit het menu Start.
Belangrijk
Als de beheerder die de Intune Connector voor Active Directory installeert en configureert, geen machtigingen heeft om OE-machtigingen te wijzigen, moet de sectie/stappen De limiet voor het computeraccount verhogen in de organisatie-eenheid worden gevolgd door een beheerder die wel machtigingen heeft om OE-machtigingen te wijzigen.
Selecteer op het tabblad Inschrijving in het venster Intune Connector voor Active Directoryde optie Beheerd serviceaccount configureren.
Een beheerd serviceaccount met de naam '<MSA_name>' is ingesteld, verschijnt een bevestigingsvenster. Selecteer OK om het venster te sluiten.