Microsoft Entra hybride gekoppelde apparaten implementeren met behulp van Intune en Windows Autopilot

Artikel
03/01/2025
Van toepassing op:

✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Belangrijk

Microsoft raadt aan om nieuwe apparaten te implementeren als cloudeigen met behulp van Microsoft Entra join. Het implementeren van nieuwe apparaten als Microsoft Entra hybride join-apparaten wordt afgeraden, ook niet via Windows Autopilot. Zie Microsoft Entra gekoppeld versus Microsoft Entra hybride gekoppeld in cloudeigen eindpunten: welke optie is geschikt voor uw organisatie voor meer informatie.

Intune en Windows Autopilot kunnen worden gebruikt om Microsoft Entra hybride gekoppelde apparaten in te stellen. Volg hiervoor de stappen in dit artikel. Zie Inzicht in Microsoft Entra hybride join en co-beheer voor meer informatie over Microsoft Entra hybrid join.

Vereisten

De lijst met vereisten voor het uitvoeren van Microsoft Entra hybrid join tijdens Windows Autopilot is onderverdeeld in drie verschillende categorieën:

Algemene - algemene vereisten.
Apparaatinschrijving : vereisten voor apparaatinschrijving.
Intune-connector: Intune Connector voor Active Directory-vereisten.

Selecteer het juiste tabblad om de relevante vereisten te bekijken:

De Microsoft Entra hybride gekoppelde apparaten zijn geconfigureerd. Controleer de apparaatregistratie met behulp van de cmdlet Get-MgDevice .
Als filteren op basis van domeinen en OE's is geconfigureerd als onderdeel van Microsoft Entra Connect, moet u ervoor zorgen dat de standaard organisatie-eenheid (OE) of container die is bedoeld voor de Autopilot-apparaten, is opgenomen in het synchronisatiebereik.

De Intune Connector voor Active Directory, ook wel bekend als de ODJ-connector (Offline Domain Join), moet worden geïnstalleerd op een computer met Windows Server 2016 of hoger met .NET Framework versie 4.7.2 of hoger.
De server die als host fungeert voor de Intune Connector voor Active Directory moet toegang hebben tot internet en Active Directory.
Opmerking

De Intune Connector voor Active Directory-server vereist standaard domeinclienttoegang tot domeincontrollers, waaronder de RPC-poortvereisten die nodig zijn om te communiceren met Active Directory. Zie de volgende artikelen voor meer informatie:
Om de schaal en beschikbaarheid te vergroten, kunnen meerdere connectors in een domein worden geïnstalleerd. Elke connector moet computerobjecten kunnen maken in het domein dat wordt ondersteund.
De beheerder die de Intune Connector voor Active Directory installeert, moet een lokale beheerder zijn op de server waarop de Intune Connector voor Active Directory wordt geïnstalleerd.
Voor de bijgewerkte Intune Connector voor Active Directory moet de installatie worden uitgevoerd met een account met de volgende domeinrechten:
- Vereist : msDs-ManagedServiceAccount-objecten maken in de container Beheerde serviceaccounts
- Optioneel: machtigingen wijzigen in organisatie-eenheden in Active Directory. Als de beheerder die de bijgewerkte Intune Connector voor Active Directory installeert, dit recht niet heeft, zijn er aanvullende configuratiestappen vereist voor een beheerder die over deze rechten beschikt. Zie de sectie De limiet van het computeraccount verhogen in de organisatie-eenheid in dit artikel voor meer informatie.
  
  Met deze rechten kan de installatie van Intune Connector voor Active Directory beheerde serviceaccounts (MSA's) correct maken en machtigingen correct instellen voor de OE's waaraan de MSA computers toevoegt.

De Intune Connector voor Active Directory vereist dezelfde eindpunten als Intune.

Automatische MDM-inschrijving voor Windows instellen

Meld u aan bij de Azure Portal en selecteer Microsoft Entra ID.
Selecteer in het linkerdeelvenster De optie Mobiliteit beheren | (MDM en WIP)>Microsoft Intune.
Zorg ervoor dat gebruikers die Microsoft Entra gekoppelde apparaten implementeren met behulp van Intune en Windows lid zijn van een groep die is opgenomen in het MDM-gebruikersbereik.
Gebruik de standaardwaarden in de vakken URL voor MDM-gebruiksvoorwaarden, MDM-detectie-URL en MDM-nalevings-URLen selecteer opslaan.

De Intune Connector voor Active Directory installeren

Het doel van de Intune Connector voor Active Directory, ook wel bekend als de ODJ-connector (Offline Domain Join), is om computers aan een on-premises domein toe te voegen tijdens het Windows Autopilot-proces. De Intune Connector voor Active Directory maakt computerobjecten in een opgegeven organisatie-eenheid (OE) in Active Directory tijdens het domeindeelnameproces.

Belangrijk

Vanaf Intune 2501 gebruikt Intune een bijgewerkte Intune-connector voor Active Directory die de beveiliging versterkt en de principes van minimale bevoegdheden volgt met behulp van een Beheerd Service-account (MSA). Wanneer de Intune Connector voor Active Directory wordt gedownload vanuit Intune, wordt de bijgewerkte Intune Connector voor Active Directory gedownload. De vorige verouderde Intune Connector voor Active Directory is nog steeds beschikbaar om te downloaden op Intune Connector voor Active Directory, maar Microsoft raadt aan om in de toekomst het bijgewerkte installatieprogramma voor Intune Connector voor Active Directory te gebruiken. De vorige verouderde Intune Connector voor Active Directory blijft ergens in mei 2025 werken. Deze moet echter vóór die tijd worden bijgewerkt naar de bijgewerkte Intune Connector voor Active Directory om verlies van functionaliteit te voorkomen. Zie Intune Connector voor Active Directory met een account met beperkte bevoegdheden voor Implementaties van Hybride Microsoft Entra deelnemen aan Autopilot voor meer informatie.

Het bijwerken van de Intune Connector voor Active Directory naar de bijgewerkte versie wordt niet automatisch uitgevoerd. De verouderde Intune Connector voor Active Directory moet handmatig worden verwijderd, gevolgd door de bijgewerkte connector die handmatig wordt gedownload en geïnstalleerd. Instructies voor het handmatig verwijderen en installeren van de Intune Connector voor Active Directory worden in de volgende secties gegeven.

Selecteer het tabblad dat overeenkomt met de versie van de Intune Connector voor Active Directory die wordt geïnstalleerd:

Bijgewerkte connector
Verouderde connector

Voordat u begint met de installatie, moet u ervoor zorgen dat aan alle vereisten voor Intune connectorserver wordt voldaan.

Tip

Het verdient de voorkeur, maar niet vereist, dat de beheerder die de Intune Connector voor Active Directory installeert en configureert, over de juiste domeinrechten beschikt, zoals beschreven in Intune Connector voor Active Directory-vereisten. Door deze vereiste kan het installatie- en configuratieproces van de Intune Connector voor Active Directory machtigingen voor de MSA correct instellen op de computercontainer of organisatie-eenheden waar computerobjecten worden gemaakt. Als de beheerder niet over deze machtigingen beschikt, moet een beheerder die wel over de juiste machtigingen beschikt, de sectie De limiet voor het computeraccount verhogen in de organisatie-eenheid volgen.

Verbeterde beveiligingsconfiguratie in Internet Explorer uitschakelen

Standaard is Windows Server verbeterde beveiliging van Internet Explorer ingeschakeld. Verbeterde beveiligingsconfiguratie van Internet Explorer kan problemen veroorzaken bij het aanmelden bij de Intune Connector voor Active Directory. Omdat Internet Explorer is afgeschaft en in de meeste gevallen zelfs niet is geïnstalleerd op Windows Server, raadt Microsoft aan om verbeterde beveiliging van Internet Explorer uit te schakelen. Verbeterde beveiliging van Internet Explorer uitschakelen:

Meld u aan bij de server waarop de Intune Connector voor Active Directory wordt geïnstalleerd met een account met lokale beheerdersrechten.
Open Serverbeheer.
Selecteer lokale server in het linkerdeelvenster van Serverbeheer.
Selecteer in het rechterdeelvenster EIGENSCHAPPEN van Serverbeheer de koppeling Aan of Uit naast Verbeterde beveiliging van IE.
Selecteer in het venster Verbeterde beveiliging van Internet Explorerde optie Uit onder Beheerders: en selecteer vervolgens OK.

De Intune Connector voor Active Directory downloaden

Meld u aan bij het Microsoft Intune-beheercentrum op de server waarop de Intune Connector voor Active Directory wordt geïnstalleerd.
Selecteer apparatenin het linkerdeelvenster in het startscherm.
In apparaten | Overzichtsscherm onder Op platformselecteert u Windows.
In Windows | Scherm Windows-apparaten selecteert u onder Onboarding van apparaatde optie Inschrijving.
In Windows | Windows-inschrijvingsscherm, onder Windows Autopilot, selecteer Intune Connector voor Active Directory.
Selecteer toevoegen in het scherm Intune Connector voor Active Directory.
Selecteer in het venster Connector toevoegen dat wordt geopend onder De Intune-connector voor Active Directory configurerende optie De on-premises Intune-connector voor Active Directory downloaden. Met de koppeling wordt een bestand met de naam gedownload ODJConnectorBootstrapper.exe.

De Intune Connector voor Active Directory installeren op de server

Belangrijk

De installatie van de Intune Connector voor Active Directory moet worden uitgevoerd met een account met de volgende domeinrechten:

Vereist : maak msDs-ManagedServiceAccount-objecten in de container Beheerde serviceaccounts.
Optioneel: machtigingen wijzigen in organisatie-eenheden in Active Directory. Als de beheerder die de bijgewerkte Intune Connector voor Active Directory installeert, dit recht niet heeft, zijn er aanvullende configuratiestappen vereist voor een beheerder die over deze rechten beschikt. Zie de stap/sectie De limiet voor het computeraccount verhogen in de organisatie-eenheid voor meer informatie.

Meld u aan bij de server waarop de Intune Connector voor Active Directory wordt geïnstalleerd met een account met lokale beheerdersrechten.
Als de vorige verouderde Intune Connector voor Active Directory is geïnstalleerd, verwijdert u deze eerst voordat u de bijgewerkte Intune Connector voor Active Directory installeert. Zie De Intune-connector voor Active Directory verwijderen voor meer informatie.

Belangrijk

Wanneer u de vorige verouderde Intune Connector voor Active Directory verwijdert, moet u ervoor zorgen dat u het verouderde installatieprogramma Intune Connector voor Active Directory uitvoert als onderdeel van het verwijderingsproces. Als het verouderde installatieprogramma van Intune Connector voor Active Directory wordt gevraagd om het te verwijderen wanneer het wordt uitgevoerd, selecteert u om het te verwijderen. Deze stap zorgt ervoor dat de vorige verouderde Intune Connector voor Active Directory volledig wordt verwijderd. Het verouderde installatieprogramma voor Intune Connector voor Active Directory kan worden gedownload van Intune Connector voor Active Directory.

Tip

In domeinen met slechts één Intune Connector voor Active Directory raadt Microsoft aan eerst de bijgewerkte Intune Connector voor Active Directory op een andere server te installeren. Installeer de bijgewerkte Intune Connector voor Active Directory op een andere server voordat u de verouderde Intune Connector voor Active Directory op de huidige server verwijdert. Als u eerst de Intune Connector voor Active Directory op een andere installeert, voorkomt u downtime terwijl de Intune-connector voor Active Directory wordt bijgewerkt op de huidige server.
Open het ODJConnectorBootstrapper.exe bestand dat is gedownload om de installatie van de Intune Connector voor Active Directory Setup te starten.
Doorloop de installatie van Intune Connector voor Active Directory.
Schakel aan het einde van de installatie het selectievakje Start Intune Connector voor Active Directory in.

Opmerking

Als de installatie van Intune Connector voor Active Directory per ongeluk wordt gesloten zonder het selectievakje Intune Connector voor Active Directory starten in te schakelen, kan de configuratie van de Intune-connector voor Active Directory opnieuw worden geopend door Intune Connector voor Active Directory> te selecteren Intune Connector voor Active Directory vanuit het menu Start.

Selecteer in het venster Intune Connector voor Active Directory op het tabblad Inschrijvingde optie Aanmelden.
Meld u op het tabblad Aanmelden aan met de Microsoft Entra ID referenties van een Intune beheerdersrol. Aan het gebruikersaccount moet een Intune licentie zijn toegewezen. Het aanmeldingsproces kan enkele minuten duren.

Opmerking

Het account dat wordt gebruikt voor het inschrijven van de Intune Connector voor Active Directory is slechts een tijdelijke vereiste op het moment van installatie. Het account wordt niet meer gebruikt nadat de server is ingeschreven.
Zodra het aanmeldingsproces is voltooid:
1. Het bevestigingsvenster The Intune Connector for Active Directory is ingeschreven wordt weergegeven. Selecteer OK om het venster te sluiten.
2. Een beheerd serviceaccount met de naam '<MSA_name>' is ingesteld, verschijnt een bevestigingsvenster. De naam van de MSA heeft de indeling msaODJ##### met ##### vijf willekeurige tekens. Geef een notatie op van de naam van de MSA die is gemaakt en selecteer vervolgens OK om het venster te sluiten. De naam van de MSA kan later nodig zijn om de MSA te configureren om het maken van computerobjecten in organisatie-eenheden toe te staan.
Op het tabblad Inschrijving ziet u Intune Connector voor Active Directory is ingeschreven. De knop Aanmelden wordt grijs weergegeven en Managed Service Account configureren is ingeschakeld.
Sluit het venster Intune Connector voor Active Directory.

Controleer of de Intune-connector voor Active Directory actief is

Na verificatie wordt de installatie van de Intune Connector voor Active Directory voltooid. Zodra de installatie is voltooid, controleert u of deze actief is in Intune door de volgende stappen uit te voeren:

Ga naar het Microsoft Intune-beheercentrum als dit nog steeds is geopend. Als het venster Connector toevoegen nog steeds wordt weergegeven, sluit u het.

Als het Microsoft Intune-beheercentrum nog niet is geopend:
1. Meld u aan bij het Microsoft Intune-beheercentrum.
2. Selecteer apparatenin het linkerdeelvenster in het startscherm.
3. In apparaten | Overzichtsscherm onder Op platformselecteert u Windows.
4. In Windows | Scherm Windows-apparaten selecteert u onder Onboarding van apparaatde optie Inschrijving.
5. In Windows | Windows-inschrijvingsscherm, onder Windows Autopilot, selecteer Intune Connector voor Active Directory.
Op de pagina Intune Connector voor Active Directory:
- Controleer of de server wordt weergegeven onder Connectornaam en wordt weergegeven als Actief onder Status
- Controleer voor de bijgewerkte Intune Connector voor Active Directory of de versie groter is dan of gelijk is aan 6.2501.2000.5.
Als de server niet wordt weergegeven, selecteert u Vernieuwen of navigeert u weg van de pagina en gaat u terug naar de pagina Intune Connector voor Active Directory.

Opmerking

Het kan enkele minuten duren voordat de zojuist ingeschreven server wordt weergegeven op de pagina Intune Connector voor Active Directory van het Microsoft Intune-beheercentrum. De ingeschreven server wordt alleen weergegeven als deze kan communiceren met de Intune-service.
Inactieve Intune Connectors voor Active Directory worden nog steeds weergegeven op de pagina Intune Connector voor Active Directory en worden na 30 dagen automatisch opgeschoond.

Nadat de Intune Connector voor Active Directory is geïnstalleerd, wordt de logboekregistratie gestart in de Logboeken onder het pad Toepassingen en Services-logboeken>Microsoft>Intune>ODJConnectorService. Onder dit pad vindt u Beheer- en operationele logboeken.

De MSA configureren om het maken van objecten in OE's toe te staan (optioneel)

Standaard hebben MSA's alleen toegang tot het maken van computerobjecten in de container Computers . MSA's hebben geen toegang tot het maken van computerobjecten in organisatie-eenheden (OE's). Als u wilt dat de MSA objecten in OE's kan maken, moeten de OE's worden toegevoegd aan het XML-bestand in ODJConnectorEnrollmentWizard de ODJConnectorEnrollmentWizard.exe.config map waarin de Intune Connector voor Active Directory is geïnstalleerd, normaal gesproken C:\Program Files\Microsoft Intune\ODJConnector\.

Voer de volgende stappen uit om de MSA te configureren om het maken van objecten in OE's toe te staan:

Ga op de server waarop de Intune Connector voor Active Directory is geïnstalleerd naar ODJConnectorEnrollmentWizard de map waar de Intune Connector voor Active Directory is geïnstalleerd, normaal gesproken C:\Program Files\Microsoft Intune\ODJConnector\.
Open in de ODJConnectorEnrollmentWizard map het ODJConnectorEnrollmentWizard.exe.config XML-bestand in een teksteditor, bijvoorbeeld Kladblok.

Voeg in het ODJConnectorEnrollmentWizard.exe.config XML-bestand alle gewenste OE's toe waarin de MSA toegang moet hebben om computerobjecten te maken. De OE-naam moet de DN-naam zijn en, indien van toepassing, moet worden ge escaped. Het volgende voorbeeld is een voorbeeld van een XML-vermelding met de DN-naam van de OE:

  <appSettings>

    <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format.
        The ODJ Connector will only have permission to create computer objects in these OUs.
        The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure

        Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY):
        Domain contains the following OUs:
          - OU=HybridDevices,DC=contoso,DC=com
          - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com

        Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" -->

    <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" />
  </appSettings>

Zodra alle gewenste OE's zijn toegevoegd, slaat u het ODJConnectorEnrollmentWizard.exe.config XML-bestand op.
Als beheerder die over de juiste machtigingen beschikt om OE-machtigingen te wijzigen, opent u de Intune-connector voor Active Directory door te navigeren naar Intune Connector voor Active Directory>Intune Connector voor Active Directory vanuit het menu Start.

Belangrijk

Als de beheerder die de Intune Connector voor Active Directory installeert en configureert, geen machtigingen heeft om OE-machtigingen te wijzigen, moet de sectie/stappen De limiet voor het computeraccount verhogen in de organisatie-eenheid worden gevolgd door een beheerder die wel machtigingen heeft om OE-machtigingen te wijzigen.
Selecteer op het tabblad Inschrijving in het venster Intune Connector voor Active Directoryde optie Beheerd serviceaccount configureren.
Een beheerd serviceaccount met de naam '<MSA_name>' is ingesteld, verschijnt een bevestigingsvenster. Selecteer OK om het venster te sluiten.

Belangrijk

De verouderde Intune Connector voor Active Directory is afgeschaft. In deze instructies wordt ervan uitgegaan dat de verouderde Intune Connector voor Active Directory al is geïnstalleerd of al is gedownload. Als het verouderde installatieprogramma voor Intune Connector voor Active Directory nog niet is gedownload, kan het worden gedownload van Intune Connector voor Active Directory.

Het is echter het beste om de bijgewerkte Intune Connector voor Active Directory te downloaden en te installeren. Selecteer in plaats daarvan het tabblad Bijgewerkte connector voor meer informatie.

Voordat u begint met de installatie, moet u ervoor zorgen dat aan alle vereisten voor Intune connectorserver wordt voldaan.

Verbeterde beveiliging van Internet Explorer uitschakelen

Meld u aan bij de server waarop de Intune Connector voor Active Directory wordt geïnstalleerd met een account met lokale beheerdersrechten en domeinbeheerdersrechten. Domeinbeheerdersrechten zijn vereist, zodat het installatieprogramma van Intune Connector voor Active Directory een MSA kan maken.
Open Serverbeheer.
Selecteer lokale server in het linkerdeelvenster van Serverbeheer.
Selecteer in het rechterdeelvenster EIGENSCHAPPEN van Serverbeheer de koppeling Aan of Uit naast Verbeterde beveiliging van IE.
Selecteer in het venster Verbeterde beveiliging van Internet Explorerde optie Uit onder Beheerders: en selecteer vervolgens OK.

De verouderde Intune Connector voor Active Directory installeren op de server

Open het eerder gedownloade ODJConnectorBootstrapper.exe bestand om de installatie van de Intune Connector voor Active Directory Setup te starten.

Opmerking

Als de verouderde Intune Connector voor Active Directory al is geïnstalleerd, gaat u naar het menu> Start Intune Connector voor Active Directory>Intune Connector voor Active Directory en gaat u verder met Aanmelden bij de verouderde Intune Connector voor Active Directory.
Selecteer in het installatievenster Intune Connector voor Active Directory Setupde optie Ik ga akkoord met de licentievoorwaarden en selecteer vervolgens Installeren.

Opmerking

Als een andere installatielocatie dan de standaardlocatie C:\Program Files\Microsoft Intune\ODJConnector gewenst is, selecteert u Opties en geeft u de gewenste installatielocatie op.
Wanneer de installatie is voltooid, selecteert u Nu configureren in het installatievenster van Intune Connector voor Active Directory.

Opmerking

Als Sluiten per ongeluk is geselecteerd of als het installatievenster van de Intune Connector voor Active Directory-installatie per ongeluk is gesloten, kunt u de configuratie van de Intune Connector voor Active Directory openen door Intune Connector voor Active Directory>Intune Connector voor Active Directory te selecteren in het menu Start.

Selecteer in het venster Intune Connector voor Active Directory op het tabblad Inschrijvingde optie Aanmelden.
Meld u op het tabblad Aanmelden aan met de referenties van een Intune beheerdersrol. Aan het gebruikersaccount moet een Intune licentie zijn toegewezen. Het aanmeldingsproces kan enkele minuten duren.

Opmerking

Het account dat wordt gebruikt voor het inschrijven van de Intune Connector voor Active Directory is slechts een tijdelijke vereiste op het moment van installatie. Het account wordt niet meer gebruikt nadat de server is ingeschreven.
Zodra het aanmeldingsproces is voltooid, wordt het bevestigingsvenster The Intune Connector for Active Directory is geregistreerd weergegeven. Selecteer OK om het venster te sluiten.
Op het tabblad Inschrijving ziet u Intune Connector voor Active Directory is ingeschreven en de knop Aanmelden grijs wordt weergegeven.
Sluit het venster Intune Connector voor Active Directory.

Controleer of de verouderde Intune Connector voor Active Directory actief is

Ga naar het Microsoft Intune-beheercentrum als dit nog steeds is geopend. Als het venster Connector toevoegen nog steeds wordt weergegeven, sluit u het.

Als het Microsoft Intune-beheercentrum nog niet is geopend:
1. Meld u aan bij het Microsoft Intune-beheercentrum.
2. Selecteer apparatenin het linkerdeelvenster in het startscherm.
3. In apparaten | Overzichtsscherm onder Op platformselecteert u Windows.
4. In Windows | Scherm Windows-apparaten selecteert u onder Onboarding van apparaatde optie Inschrijving.
5. In Windows | Windows-inschrijvingsscherm, onder Windows Autopilot, selecteer Intune Connector voor Active Directory.
Controleer op de pagina Intune Connector voor Active Directory of de server wordt weergegeven onder Connectornaam en wordt weergegeven als Actief onder Status. Als de server niet wordt weergegeven, selecteert u Vernieuwen of navigeert u weg van de pagina en gaat u terug naar de pagina Intune Connector voor Active Directory.

Opmerking

Het kan enkele minuten duren voordat de zojuist ingeschreven server wordt weergegeven op de pagina Intune Connector voor Active Directory van het Microsoft Intune-beheercentrum. De ingeschreven server wordt alleen weergegeven als deze kan communiceren met de Intune-service.
Inactieve Intune Connectors voor Active Directory worden nog steeds weergegeven op de pagina Intune Connector voor Active Directory en worden na 30 dagen automatisch opgeschoond.

Instellingen voor webproxy configureren

Als de netwerkomgeving een webproxy bevat, moet u ervoor zorgen dat de Intune Connector voor Active Directory correct werkt door te verwijzen naar Werken met bestaande on-premises proxyservers.

De limiet voor het computeraccount in de organisatie-eenheid verhogen

Bijgewerkte connector
Verouderde connector

Belangrijk

Deze stap is alleen nodig onder een van de volgende voorwaarden:

De beheerder die de Intune Connector voor Active Directory heeft geïnstalleerd en geconfigureerd, beschikte niet over de juiste rechten, zoals beschreven in Intune Connector voor Active Directory-vereisten.
Het ODJConnectorEnrollmentWizard.exe.config XML-bestand is niet gewijzigd om OE's toe te voegen waarvoor de MSA machtigingen moet hebben.

Het doel van Intune Connector voor Active Directory is om computers toe te voegen aan een domein en deze toe te voegen aan een organisatie-eenheid. Daarom moet het Beheerde serviceaccount (MSA) dat wordt gebruikt voor de Intune Connector voor Active Directory machtigingen hebben om computeraccounts te maken in de organisatie-eenheid waar de computers zijn gekoppeld aan het on-premises domein.

Met standaardmachtigingen in Active Directory kunnen domeindeelnames door de Intune Connector voor Active Directory in eerste instantie werken zonder enige machtigingswijzigingen voor de organisatie-eenheid in Active Directory. Nadat MSA echter meer dan 10 computers probeert toe te voegen aan het on-premises domein, werkt dit niet meer omdat active directory standaard slechts één account toestaat om maximaal 10 computers aan het on-premises domein te koppelen.

De volgende gebruikers worden niet beperkt door de beperking van 10 computerdomeindeelname:

Gebruikers in de groepen Administrators of Domeinadministrators: Om te voldoen aan het model met de minimale bevoegdheidsprincipes, raadt Microsoft niet aan de MSA een beheerder of domeinbeheerder te maken.
Gebruikers met gedelegeerde machtigingen voor organisatie-eenheid (OE's) en containers in Active Directory om computeraccounts te maken: deze methode wordt aanbevolen omdat deze het model met de beginselen van de minimale bevoegdheden volgt.

Om deze beperking op te lossen, heeft de MSA de machtiging Computeraccounts maken nodig in de organisatie-eenheid (OE) waaraan de computers zijn gekoppeld in het on-premises domein. De Intune Connector voor Active Directory stelt de machtigingen voor de MSA's in op de OE's zolang aan een van de volgende voorwaarden wordt voldaan:

De beheerder die de Intune Connector voor Active Directory installeert, beschikt over de benodigde machtigingen om machtigingen in te stellen voor de organisatie-eenheden.
De beheerder die de Intune Connector voor Active Directory configureert, beschikt over de benodigde machtigingen om machtigingen in te stellen voor de OE's.

Als de beheerder die de Intune Connector voor Active Directory installeert of configureert, niet beschikt over de benodigde machtigingen voor het instellen van machtigingen voor de OE's, moet u de volgende stappen volgen:

Meld u aan bij een computer die toegang heeft tot de Active Directory: gebruikers en computers-console met een account dat als de benodigde machtigingen heeft om machtigingen in te stellen voor organisatie-eenheden.
Open de Active Directory: gebruikers en computers-console door DSA.msc uit te voeren.
Vouw het gewenste domein uit en navigeer naar de organisatie-eenheid (OE) waaraan computers deelnemen tijdens Windows Autopilot.

Opmerking

De organisatie-eenheid waaraan computers deelnemen tijdens de Implementatie van Windows Autopilot, wordt later opgegeven tijdens de stap Domeindeelnameprofiel configureren en toewijzen .
Klik met de rechtermuisknop op de OE en selecteer Eigenschappen.

Opmerking

Als computers worden lid van de standaardcontainer Computers in plaats van een organisatie-eenheid, klikt u met de rechtermuisknop op de container Computers en selecteert u Beheer delegeren.
Selecteer in het venster OE-eigenschappen dat wordt geopend het tabblad Beveiliging .
Selecteer op het tabblad Beveiligingde optie Geavanceerd.
Selecteer toevoegen in het venster Geavanceerde beveiligingsinstellingen.
Selecteer in de vensters Machtigingsvermelding naast Principal de koppeling Een principal selecteren .
Selecteer in het venster Gebruiker, Computer, Serviceaccount of Groep selecteren de knop Objecttypen... .
Schakel in het venster Objecttypen het selectievakje Serviceaccounts in en selecteer vervolgens OK.
Voer in het venster Gebruiker, Computer, Serviceaccount of Groep selecteren onder Voer de objectnaam in om te selecteren de naam van de MSA die wordt gebruikt voor de Intune Connector voor Active Directory.
Tip

De MSA is gemaakt tijdens de stap/sectie De Intune Connector voor Active Directory installeren en heeft de naamindeling waarbij msaODJ########## vijf willekeurige tekens zijn. Als de MSA-naam niet bekend is, volgt u deze stappen om de MSA-naam te vinden:
1. Klik op de server waarop de Intune Connector voor Active Directory wordt uitgevoerd met de rechtermuisknop op het menu Start en selecteer computerbeheer.
2. Vouw in het venster ComputerbeheerServices en toepassingen uit en selecteer vervolgens Services.
3. Zoek in het resultatenvenster de service met de naam Intune ODJConnector voor Active Service. De naam van de MSA wordt weergegeven in de kolom Aanmelden als .
Selecteer Namen controleren om de vermelding MSA-naam te valideren. Nadat de vermelding is gevalideerd, selecteert u OK.
Selecteer in de vensters Machtigingsvermelding de vervolgkeuzelijst Van toepassing op: en selecteer vervolgens Alleen dit object.
Schakel onder Machtigingen alle items uit en schakel alleen het selectievakje Computerobjecten maken in.
Selecteer OK om het venster Machtigingsvermelding te sluiten.
Selecteer in het venster Geavanceerde beveiligingsinstellingen de optie Toepassen of OK om de wijzigingen toe te passen.

Een apparaatgroep maken

Selecteer in het Microsoft Intune-beheercentrum de optie Groepen>Nieuwe groep.
Selecteer in het deelvenster Groep de volgende opties:
1. Bij Groepstype selecteert u Beveiliging.
2. Voer een groepsnaam en groepsbeschrijving in.
3. Selecteer een lidmaatschapstype.
Als Dynamische apparaten is geselecteerd voor het lidmaatschapstype, selecteert u in het deelvenster Groepde optie Leden van dynamische apparaten.
Selecteer Bewerken in het vak Regelsyntaxis en voer een van de volgende coderegels in:
- Als u een groep wilt maken die alle Windows Autopilot-apparaten bevat, voert u het volgende in:
  
  (device.devicePhysicalIDs -any _ -startsWith "[ZTDId]")
- Het veld Groepstag van Intune wordt toegewezen aan het kenmerk OrderID op Microsoft Entra apparaten. Als u een groep wilt maken die alle Windows Autopilot-apparaten met een specifieke Group Tag (OrderID) bevat, voert u het volgende in:
  
  (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")
- Als u een groep wilt maken die alle Windows Autopilot-apparaten met een specifieke inkooporder-id bevat, voert u het volgende in:
  
  (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")
Selecteer Opslaan>Maken.

Windows Autopilot-apparaten registreren

Selecteer een van de volgende manieren om Windows Autopilot-apparaten in te schrijven.

Windows Autopilot-apparaten registreren die al zijn ingeschreven

Maak een Windows Autopilot-implementatieprofiel met de instelling Alle doelapparaten converteren naar Autopilot ingesteld op Ja.
Wijs het profiel toe aan een groep die de leden bevat die automatisch moeten worden geregistreerd bij Windows Autopilot.

Zie Een Autopilot-implementatieprofiel maken voor meer informatie.

Windows Autopilot-apparaten registreren die niet zijn ingeschreven

Apparaten die nog niet zijn ingeschreven bij Windows Autopilot, kunnen handmatig worden geregistreerd. Zie Handmatige registratie voor meer informatie.

Apparaten van een OEM registreren

Als u nieuwe apparaten koopt, kunnen sommige OEM's de apparaten namens de organisatie registreren. Zie OEM-registratie voor meer informatie.

Geregistreerd Windows Autopilot-apparaat weergeven

Voordat apparaten worden ingeschreven bij Intune, worden geregistreerde Windows Autopilot-apparaten op drie plaatsen weergegeven (met namen die zijn ingesteld op hun serienummers):

Het deelvenster Windows Autopilot-apparaten in het Microsoft Intune-beheercentrum. Apparaten> perplatform selecteren | Onboarding van Windows-apparaten>| Inschrijving. Selecteer onder Windows Autopilotde optie Apparaten.
De apparaten | Het deelvenster Alle apparaten in de Azure Portal. Selecteer Apparaten>Alle apparaten.
Het deelvenster Autopilot in Microsoft 365-beheercentrum. Selecteer Apparaten>Autopilot.

Nadat de Windows Autopilot-apparaten zijn ingeschreven, worden de apparaten op vier plaatsen weergegeven:

De apparaten | Het deelvenster Alle apparaten in het Microsoft Intune-beheercentrum. Selecteer Apparaten>Alle apparaten.
De Windows | Deelvenster Windows-apparaten in het Microsoft Intune-beheercentrum. Apparaten> perplatform selecteren | Windows.
De apparaten | Het deelvenster Alle apparaten in de Azure Portal. Selecteer Apparaten>Alle apparaten.
Het deelvenster Actieve apparaten in Microsoft 365-beheercentrum. Selecteer Apparaten>Actieve apparaten.

Opmerking

Nadat de apparaten zijn ingeschreven, worden de apparaten nog steeds weergegeven in het deelvenster Windows Autopilot-apparaten in het Microsoft Intune-beheercentrum en in het autopilot-deelvenster in Microsoft 365-beheercentrum, maar deze objecten zijn de geregistreerde Windows Autopilot-objecten.

Een apparaatobject wordt vooraf gemaakt in Microsoft Entra ID zodra een apparaat is geregistreerd in Windows Autopilot. Wanneer een apparaat een hybride Microsoft Entra-implementatie doorloopt, wordt er standaard een ander apparaatobject gemaakt, wat resulteert in dubbele vermeldingen.

VPN's

De volgende VPN-clients worden getest en gevalideerd:

In-box Windows VPN-client
Cisco AnyConnect (Win32-client)
Pulse Secure (Win32-client)
GlobalProtect (Win32-client)
Controlepunt (Win32-client)
Citrix NetScaler (Win32-client)
SonicWall (Win32-client)
FortiClient VPN (Win32-client)

Wanneer u VPN's gebruikt, selecteert u Ja voor de optie AD-connectiviteitscontrole overslaan in het Windows Autopilot-implementatieprofiel. Always-On VPN's moeten deze optie niet vereisen, omdat deze automatisch verbinding maakt.

Opmerking

Deze lijst met VPN-clients is geen uitgebreide lijst met alle VPN-clients die met Windows Autopilot werken. Neem contact op met de betreffende VPN-leverancier over compatibiliteit en ondersteuning met Windows Autopilot of over eventuele problemen met het gebruik van een VPN-oplossing met Windows Autopilot.

Niet-ondersteunde VPN-clients

Het is bekend dat de volgende VPN-oplossingen niet werken met Windows Autopilot en daarom niet worden ondersteund voor gebruik met Windows Autopilot:

VPN-invoegtoepassingen op basis van UWP
Alles waarvoor een gebruikerscertificaat is vereist
DirectAccess

Opmerking

Het weglaten van een specifieke VPN-client in deze lijst betekent niet automatisch dat deze wordt ondersteund of dat deze werkt met Windows Autopilot. Deze lijst bevat alleen de VPN-clients die niet werken met Windows Autopilot.

Een Windows Autopilot-implementatieprofiel maken en toewijzen

Windows Autopilot-implementatieprofielen worden gebruikt om de Windows Autopilot-apparaten te configureren.

Meld u aan bij het Microsoft Intune-beheercentrum.
Selecteer apparatenin het linkerdeelvenster in het startscherm.
In apparaten | Overzichtsscherm onder Op platformselecteert u Windows.
In Windows | Scherm Windows-apparaten selecteert u onder Onboarding van apparaatde optie Inschrijving.
In Windows | Windows-inschrijvingsscherm selecteert onder Windows Autopilotde optie Implementatieprofielen.
Selecteer in het scherm Windows Autopilot-implementatieprofielen de vervolgkeuzelijst Profiel maken en selecteer vervolgens Windows-pc.
Voer in het scherm Profiel maken op de pagina Basis een naam en optioneel een beschrijving in.
Als alle apparaten in de toegewezen groepen automatisch moeten worden geregistreerd bij Windows Autopilot, stelt u Alle doelapparaten converteren op Autopilot in op Ja. Alle niet-Windows Autopilot-apparaten in bedrijfseigendom in toegewezen groepen worden geregistreerd bij de Windows Autopilot-implementatieservice. Apparaten in persoonlijk eigendom zijn niet geregistreerd bij Windows Autopilot. Het kan 48 uur duren voordat de registratie is verwerkt. Wanneer het apparaat wordt uitgeschreven en opnieuw wordt ingesteld, wordt het opnieuw geregistreerd door Windows Autopilot. Nadat een apparaat op deze manier is geregistreerd, wordt het apparaat niet verwijderd uit de Windows Autopilot-implementatieservice als u deze instelling uitschakelt of de profieltoewijzing verwijdert. In plaats hiervan moeten de apparaten rechtstreeks worden verwijderd. Zie Autopilot-apparaten verwijderen voor meer informatie.
Selecteer Volgende.
Selecteer op de pagina Out-of-box experience (OOBE) voor Implementatiemodusde optie Door gebruiker gestuurd.
Selecteer in het vak Deelnemen aan Microsoft Entra ID alsMicrosoft Entra hybride gekoppeld.
Als u apparaten buiten het netwerk van de organisatie implementeert met behulp van VPN-ondersteuning, stelt u de optie Domeinverbindingscontrole overslaan in op Ja. Zie Gebruikersgestuurde modus voor Microsoft Entra hybrid join met VPN-ondersteuning voor meer informatie.
Configureer de resterende opties op de pagina Out-of-box experience (OOBE) indien nodig.
Selecteer Volgende.
Selecteer op de pagina Bereiktagsde optie bereiktags voor dit profiel.
Selecteer Volgende.
Selecteer op de pagina Toewijzingende optie Groepen selecteren die u wilt opnemen> en selecteer de apparaatgroep >Selecteren.
Selecteer Volgende>maken.

Opmerking

Intune controleert periodiek op nieuwe apparaten in de toegewezen groepen en begint vervolgens met het toewijzen van profielen aan deze apparaten. Vanwege verschillende factoren die betrokken zijn bij het proces van windows Autopilot-profieltoewijzing, kan de geschatte tijd voor de toewijzing per scenario variëren. Deze factoren kunnen bestaan uit Microsoft Entra groepen, lidmaatschapsregels, hash van een apparaat, Intune en Windows Autopilot-service en internetverbinding. De toewijzingstijd varieert afhankelijk van alle factoren en variabelen die betrokken zijn bij een specifiek scenario.

(Optioneel) De pagina status van de inschrijving inschakelen

Meld u aan bij het Microsoft Intune-beheercentrum.
Selecteer apparatenin het linkerdeelvenster in het startscherm.
In apparaten | Overzichtsscherm onder Op platformselecteert u Windows.
In Windows | Scherm Windows-apparaten selecteert u onder Onboarding van apparaatde optie Inschrijving.
In Windows | Windows-inschrijvingsscherm selecteert onder Windows Autopilotde optie Statuspagina van de inschrijving.
Selecteer in het deelvenster Pagina Status van inschrijvingde optie Standaardinstellingen>.
Selecteer Ja in het vak Voortgang van de installatie van apps en profielen weergeven.
Configureer de andere opties indien nodig.
Klik op Opslaan.

Een domeindeelnameprofiel maken en toewijzen

Selecteer in het Microsoft Intune-beheercentrumapparaten>Apparaten beheren | Met configuratiebeleid>>maakt u>nieuw beleid.
Voer in het venster Een profiel maken dat wordt geopend de volgende eigenschappen in:
- Naam: voer een beschrijvende naam in voor het nieuwe profiel.
- Beschrijving: voer een beschrijving in voor het profiel.
- Platform: selecteer Windows 10 en hoger.
- Profieltype: selecteer Sjablonen, selecteer de sjabloonnaam Domeindeelname en selecteer Maken.
Voer de naam en beschrijving in en selecteer Volgende.
Geef een computernaamvoorvoegsel en domeinnaam op.
(Optioneel) Geef een organisatie-eenheid (OE) op in DN-indeling. De opties zijn onder andere:
- Geef een organisatie-eenheid op waarin het beheer wordt gedelegeerd aan het Windows-apparaat waarop de Intune Connector voor Active Directory wordt uitgevoerd.
- Geef een organisatie-eenheid op waarin het beheer wordt gedelegeerd aan de hoofdcomputers in de on-premises Active Directory van de organisatie.
- Als dit veld leeg is, wordt het computerobject gemaakt in de standaardcontainer van Active Directory. De standaardcontainer is normaal gesproken de CN=Computers container. Zie Containers voor gebruikers en computers omleiden in Active Directory-domeinen voor meer informatie.
Geldige voorbeelden:
- OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com
- OU=Mine,DC=contoso,DC=com
Ongeldige voorbeelden:
- CN=Computers,DC=contoso,DC=com - er kan geen container worden opgegeven. Laat in plaats daarvan de waarde leeg om de standaardwaarde voor het domein te gebruiken.
- OU=Mine - het domein moet worden opgegeven via de DC= kenmerken.
Zorg ervoor dat u geen aanhalingstekens gebruikt rond de waarde in organisatie-eenheid.
Selecteer OK>Maken. Het profiel wordt gemaakt en weergegeven in de lijst.
Wijs een apparaatprofiel toe aan dezelfde groep die wordt gebruikt in de stap Een apparaatgroep maken. Verschillende groepen kunnen worden gebruikt als apparaten moeten worden gekoppeld aan verschillende domeinen of organisatie-eenheden.

Opmerking

De naamgevingsmogelijkheid voor Windows Autopilot voor Microsoft Entra hybrid join biedt geen ondersteuning voor variabelen zoals %SERIAL%. Het ondersteunt alleen voorvoegsels voor de computernaam.

De Intune-connector voor Active Directory verwijderen

De Intune Connector voor Active Directory wordt lokaal geïnstalleerd op een computer via een uitvoerbaar bestand. Als de Intune Connector voor Active Directory moet worden verwijderd van een computer, moet dit ook lokaal op de computer worden gedaan. De Intune Connector voor Active Directory kan niet worden verwijderd via de Intune portal of via een graph API-aanroep.

Als u de Intune Connector voor Active Directory van de server wilt verwijderen, selecteert u het juiste tabblad voor de versie van het Windows Server-besturingssysteem en volgt u de stappen:

Meld u aan bij de computer die als host fungeert voor de Intune Connector voor Active Directory.
Klik met de rechtermuisknop op het startmenu en selecteer vervolgens Instellingen>Apps>Geïnstalleerd apps.

Of

Selecteer de volgende snelkoppeling voor geïnstalleerde apps>:

Geïnstalleerde apps > openen
Zoek in het venster Geïnstalleerde apps >Intune Connector voor Active Directory.
Selecteer naast Intune Connector voor Active Directoryde optie ...>Verwijder en selecteer vervolgens de knop Verwijderen.
De Intune Connector voor Active Directory wordt verwijderd.
In sommige gevallen kan de Intune Connector voor Active Directory pas volledig worden verwijderd als het oorspronkelijke installatieprogramma ODJConnectorBootstrapper.exe voor Intune Connector voor Active Directory opnieuw wordt uitgevoerd. Voer het installatieprogramma opnieuw uit om te controleren of de ODJConnectorBootstrapper.exe Intune Connector voor Active Directory volledig is verwijderd. Als u wordt gevraagd om te verwijderen, selecteert u om het te verwijderen. Sluit anders het ODJConnectorBootstrapper.exe installatieprogramma.

Opmerking

Het verouderde Intune Connector voor Active Directory-installatieprogramma kan worden gedownload van de Intune Connector voor Active Directory en mag alleen worden gebruikt voor verwijderingen. Gebruik voor nieuwe installaties de bijgewerkte Intune Connector voor Active Directory.

Meld u aan bij de computer die als host fungeert voor de Intune Connector voor Active Directory.
Klik met de rechtermuisknop op het Startmenu en selecteer vervolgens Instellingen>Apps.

Of

Selecteer de volgende snelkoppeling apps :

Apps openen
Zoek en selecteer onder Apps &-functiesIntune Connector voor Active Directory.
Selecteer onder Intune Connector voor Active Directory de knop Verwijderen en selecteer vervolgens opnieuw de knop Verwijderen.
De Intune Connector voor Active Directory wordt verwijderd.
In sommige gevallen kan de Intune Connector voor Active Directory pas volledig worden verwijderd als het oorspronkelijke installatieprogramma ODJConnectorBootstrapper.exe voor Intune Connector voor Active Directory opnieuw wordt uitgevoerd. Voer het installatieprogramma opnieuw uit om te controleren of de ODJConnectorBootstrapper.exe Intune Connector voor Active Directory volledig is verwijderd. Als u wordt gevraagd om te verwijderen, selecteert u om het te verwijderen. Sluit anders het ODJConnectorBootstrapper.exe installatieprogramma.

Opmerking

Het verouderde Intune Connector voor Active Directory-installatieprogramma kan worden gedownload van de Intune Connector voor Active Directory en mag alleen worden gebruikt voor verwijderingen. Gebruik voor nieuwe installaties de bijgewerkte Intune Connector voor Active Directory.

Meld u aan bij de computer die als host fungeert voor de Intune Connector voor Active Directory.
Klik met de rechtermuisknop op het Startmenu en selecteer vervolgens Instellingen>Systeem-apps>& functies.

Of

Selecteer de volgende snelkoppeling apps :

Apps openen
Zoek en selecteer onder Apps &-functiesIntune Connector voor Active Directory.
Selecteer onder Intune Connector voor Active Directory de knop Verwijderen en selecteer vervolgens opnieuw de knop Verwijderen.
De Intune Connector voor Active Directory wordt verwijderd.
In sommige gevallen kan de Intune Connector voor Active Directory pas volledig worden verwijderd als het oorspronkelijke installatieprogramma ODJConnectorBootstrapper.exe voor Intune Connector voor Active Directory opnieuw wordt uitgevoerd. Voer het installatieprogramma opnieuw uit om te controleren of de ODJConnectorBootstrapper.exe Intune Connector voor Active Directory volledig is verwijderd. Als u wordt gevraagd om te verwijderen, selecteert u om het te verwijderen. Sluit anders het ODJConnectorBootstrapper.exe installatieprogramma.

Opmerking

Het verouderde Intune Connector voor Active Directory-installatieprogramma kan worden gedownload van de Intune Connector voor Active Directory en mag alleen worden gebruikt voor verwijderingen. Gebruik voor nieuwe installaties de bijgewerkte Intune Connector voor Active Directory.

Volgende stappen

Nadat Windows Autopilot is geconfigureerd, leert u hoe u deze apparaten beheert. Zie Wat is Microsoft Intune apparaatbeheer? voor meer informatie.

Delen via

Microsoft Entra hybride gekoppelde apparaten implementeren met behulp van Intune en Windows Autopilot

Vereisten

Automatische MDM-inschrijving voor Windows instellen

De Intune Connector voor Active Directory installeren

Verbeterde beveiligingsconfiguratie in Internet Explorer uitschakelen

De Intune Connector voor Active Directory downloaden

De Intune Connector voor Active Directory installeren op de server

Controleer of de Intune-connector voor Active Directory actief is

De MSA configureren om het maken van objecten in OE's toe te staan (optioneel)

Verbeterde beveiliging van Internet Explorer uitschakelen

De verouderde Intune Connector voor Active Directory installeren op de server

Controleer of de verouderde Intune Connector voor Active Directory actief is

Instellingen voor webproxy configureren

De limiet voor het computeraccount in de organisatie-eenheid verhogen

Een apparaatgroep maken

Windows Autopilot-apparaten registreren

Windows Autopilot-apparaten registreren die al zijn ingeschreven

Windows Autopilot-apparaten registreren die niet zijn ingeschreven

Apparaten van een OEM registreren

Geregistreerd Windows Autopilot-apparaat weergeven

VPN's

Niet-ondersteunde VPN-clients

Een Windows Autopilot-implementatieprofiel maken en toewijzen

(Optioneel) De pagina status van de inschrijving inschakelen

Een domeindeelnameprofiel maken en toewijzen

De Intune-connector voor Active Directory verwijderen

Volgende stappen

Feedback

Aanvullende resources