Wdrażanie urządzeń przyłączonych hybrydowo Microsoft Entra przy użyciu Intune i rozwiązania Windows Autopilot
Ważna
Firma Microsoft zaleca wdrażanie nowych urządzeń jako natywnych dla chmury przy użyciu Microsoft Entra join. Wdrażanie nowych urządzeń jako Microsoft Entra urządzeń przyłączania hybrydowego nie jest zalecane, w tym za pośrednictwem rozwiązania Windows Autopilot. Aby uzyskać więcej informacji, zobacz Microsoft Entra sprzężone a Microsoft Entra przyłączone hybrydowo w punktach końcowych natywnych dla chmury: Która opcja jest odpowiednia dla Twojej organizacji.
Intune i rozwiązania Windows Autopilot mogą służyć do konfigurowania Microsoft Entra urządzeń przyłączonych hybrydowo. Aby to zrobić, wykonaj kroki opisane w tym artykule. Aby uzyskać więcej informacji na temat Microsoft Entra przyłączania hybrydowego, zobacz Understanding Microsoft Entra hybrid join and co-management (Omówienie dołączania hybrydowego Microsoft Entra i współzarządzania).
Wymagania
Lista wymagań dotyczących wykonywania przyłączania hybrydowego Microsoft Entra podczas rozwiązania Windows Autopilot jest podzielona na trzy różne kategorie:
- Ogólne — wymagania ogólne.
- Rejestrowanie urządzeń — wymagania dotyczące rejestracji urządzeń.
- łącznik Intune — łącznik Intune dla wymagań usługi Active Directory.
Wybierz odpowiednią kartę, aby wyświetlić odpowiednie wymagania:
Ogólne- Pomyślnie skonfigurowano Microsoft Entra urządzeń przyłączonych hybrydowo. Sprawdź rejestrację urządzenia przy użyciu polecenia cmdlet Get-MgDevice .
- Jeśli filtrowanie oparte na domenie i jednostce organizacyjnej jest skonfigurowane w ramach Microsoft Entra Connect, upewnij się, że domyślna jednostka organizacyjna (OU) lub kontener przeznaczony dla urządzeń rozwiązania Autopilot jest uwzględniony w zakresie synchronizacji.
Konfigurowanie automatycznej rejestracji mdm systemu Windows
Zaloguj się do Azure Portal i wybierz pozycję Tożsamość Microsoft Entra.
W okienku po lewej stronie wybierz pozycję Zarządzaj | mobilnością (MDM i WIP)>Microsoft Intune.
Upewnij się, że użytkownicy, którzy wdrażają urządzenia przyłączone Microsoft Entra przy użyciu Intune i Systemu Windows, należą do grupy uwzględnionej w zakresie użytkownika rozwiązania MDM.
Użyj wartości domyślnych w polach Adres URL warunków użytkowania mdm, adres URL odnajdywania mdm i adres URL zgodności rozwiązania MDM , a następnie wybierz pozycję Zapisz.
Instalowanie łącznika Intune dla usługi Active Directory
Celem łącznika Intune connector dla usługi Active Directory, znanego również jako łącznik ODJ (Offline Domain Join), jest dołączenie komputerów do domeny lokalnej podczas procesu rozwiązania Windows Autopilot. Łącznik Intune dla usługi Active Directory tworzy obiekty komputerów w określonej jednostce organizacyjnej (OU) w usłudze Active Directory podczas procesu dołączania do domeny.
Ważna
Począwszy od Intune 2501 r., Intune używa zaktualizowanego łącznika Intune dla usługi Active Directory, który wzmacnia zabezpieczenia i przestrzega zasad najniższych uprawnień przy użyciu zarządzanego konta usługi (MSA). Po pobraniu łącznika Intune dla usługi Active Directory z Intune zostanie pobrany zaktualizowany łącznik Intune dla usługi Active Directory. Poprzedni starszy łącznik Intune dla usługi Active Directory jest nadal dostępny do pobrania w Intune Connector dla usługi Active Directory, ale firma Microsoft zaleca użycie zaktualizowanego łącznika Intune dla instalatora usługi Active Directory w przyszłości. Poprzedni starszy łącznik Intune dla usługi Active Directory będzie nadal działać w maju 2025 r. Należy go jednak zaktualizować do zaktualizowanego łącznika Intune dla usługi Active Directory przed tym czasem, aby uniknąć utraty funkcjonalności. Aby uzyskać więcej informacji, zobacz Intune Connector for Active Directory with low-privileged account for Autopilot Hybrid Microsoft Entra join deployments (Łącznik Intune dla usługi Active Directory z kontem o niskich uprawnieniach dla wdrożeń dołączania hybrydowego rozwiązania Autopilot Microsoft Entra).
Aktualizowanie łącznika Intune dla usługi Active Directory do zaktualizowanej wersji nie jest wykonywane automatycznie. Starszy łącznik Intune dla usługi Active Directory należy ręcznie odinstalować, a następnie zaktualizować łącznik ręcznie pobrany i zainstalowany. Instrukcje dotyczące procesu ręcznego odinstalowywania i instalowania łącznika Intune dla usługi Active Directory znajdują się w poniższych sekcjach.
Wybierz kartę odpowiadającą wersji zainstalowanego łącznika Intune dla usługi Active Directory:
Zaktualizowany łącznikPrzed rozpoczęciem instalacji upewnij się, że zostały spełnione wszystkie wymagania serwera łącznika Intune.
Porada
Zaleca się, ale nie jest to wymagane, aby administrator instalujący i konfigurujący łącznik Intune dla usługi Active Directory miał odpowiednie prawa do domeny, jak opisano w temacie Intune Connector for Active Directory requirements (Instalowanie i konfigurowanie łącznika Intune dla usługi Active Directory). To wymaganie umożliwia łącznikowi Intune dla instalatora usługi Active Directory i procesowi konfiguracji prawidłowe ustawianie uprawnień dla usługi MSA w kontenerze komputera lub jednostkach organizacyjnych, w których są tworzone obiekty komputera. Jeśli administrator nie ma tych uprawnień, administrator, który ma odpowiednie uprawnienia, musi postępować zgodnie z sekcją Zwiększanie limitu konta komputera w jednostce organizacyjnej.
Wyłączanie konfiguracji rozszerzonych zabezpieczeń programu Internet Explorer
Domyślnie Windows Server włączono rozszerzoną konfigurację zabezpieczeń programu Internet Explorer. Konfiguracja zwiększonych zabezpieczeń programu Internet Explorer może powodować problemy z logowaniem się do łącznika Intune dla usługi Active Directory. Ponieważ program Internet Explorer jest przestarzały i w większości wystąpień nie jest nawet zainstalowany na Windows Server, firma Microsoft zaleca wyłączenie konfiguracji zwiększonych zabezpieczeń programu Internet Explorer. Aby wyłączyć konfigurację rozszerzonych zabezpieczeń programu Internet Explorer:
Zaloguj się na serwerze, na którym jest instalowany łącznik Intune dla usługi Active Directory przy użyciu konta z uprawnieniami administratora lokalnego.
Otwórz Menedżer serwera.
W lewym okienku Menedżer serwera wybierz pozycję Serwer lokalny.
W okienku WŁAŚCIWOŚCI po prawej stronie Menedżer serwera wybierz link Wł. lub Wył. obok pozycji Konfiguracja zwiększonych zabezpieczeń programu IE.
W oknie Konfiguracja rozszerzonych zabezpieczeń programu Internet Explorer wybierz pozycję Wyłączone w obszarze Administratorzy:, a następnie wybierz przycisk OK.
Pobieranie łącznika Intune dla usługi Active Directory
Na serwerze, na którym jest instalowany łącznik Intune dla usługi Active Directory, zaloguj się do centrum administracyjnego Microsoft Intune.
Na ekranie głównym wybierz pozycję Urządzenia w okienku po lewej stronie.
Na urządzeniach | Ekran przeglądu w obszarze Według platformy wybierz pozycję Windows.
W systemie Windows | Ekran urządzeń z systemem Windows w obszarze Dołączanie urządzenia wybierz pozycję Rejestracja.
W systemie Windows | Ekran rejestracji systemu Windows w obszarze Windows Autopilot wybierz pozycję łącznik Intune dla usługi Active Directory.
Na ekranie łącznika Intune dla usługi Active Directory wybierz pozycję Dodaj.
W otwieranym oknie Dodawanie łącznika w obszarze Konfigurowanie łącznika Intune dla usługi Active Directory wybierz pozycję Pobierz lokalny łącznik Intune dla usługi Active Directory. Link pobiera plik o nazwie
ODJConnectorBootstrapper.exe.
Instalowanie łącznika Intune dla usługi Active Directory na serwerze
Ważna
Instalacja łącznika Intune dla usługi Active Directory musi być wykonana przy użyciu konta z następującymi prawami do domeny:
- Wymagane — utwórz obiekty msDs-ManagedServiceAccount w kontenerze Zarządzane konta usług.
- Opcjonalne — modyfikowanie uprawnień w jednostkach organizacyjnych w usłudze Active Directory — jeśli administrator instalujący zaktualizowany łącznik Intune Connector dla usługi Active Directory nie ma tego prawa, administrator, który ma te prawa, musi wykonać dodatkowe kroki konfiguracji. Aby uzyskać więcej informacji, zobacz krok/sekcja Zwiększanie limitu konta komputera w jednostce organizacyjnej.
Zaloguj się na serwerze, na którym jest instalowany łącznik Intune dla usługi Active Directory przy użyciu konta z uprawnieniami administratora lokalnego.
Jeśli zainstalowano poprzedni starszy łącznik Intune dla usługi Active Directory, odinstaluj go najpierw przed zainstalowaniem zaktualizowanego łącznika Intune dla usługi Active Directory. Aby uzyskać więcej informacji, zobacz Odinstalowywanie łącznika Intune dla usługi Active Directory.
Ważna
Podczas odinstalowywania poprzedniego starszego łącznika Intune Connector dla usługi Active Directory upewnij się, że w ramach procesu odinstalowywania uruchom starszą wersję łącznika Intune Connector dla instalatora usługi Active Directory. Jeśli starszy łącznik Intune dla instalatora usługi Active Directory wyświetli monit o odinstalowanie go po jego uruchomieniu, wybierz opcję odinstalowania. Ten krok gwarantuje, że poprzedni starszy łącznik Intune dla usługi Active Directory zostanie całkowicie odinstalowany. Starszą wersję łącznika Intune dla instalatora usługi Active Directory można pobrać z łącznika Intune dla usługi Active Directory.
Porada
W domenach z tylko jednym łącznikiem Intune dla usługi Active Directory firma Microsoft zaleca najpierw zainstalowanie zaktualizowanego łącznika Intune dla usługi Active Directory na innym serwerze. Przed odinstalowaniem starszego łącznika Intune connector dla usługi Active Directory na bieżącym serwerze należy zainstalować zaktualizowany łącznik Intune dla usługi Active Directory. Zainstalowanie łącznika Intune dla usługi Active Directory na innym serwerze pozwala uniknąć przestojów, gdy łącznik Intune dla usługi Active Directory jest aktualizowany na bieżącym serwerze.
Otwórz pobrany
ODJConnectorBootstrapper.exeplik, aby uruchomić łącznik Intune dla instalacji usługi Active Directory.Wykonaj kroki instalacji łącznika Intune dla instalatora usługi Active Directory.
Na końcu instalacji zaznacz pole wyboru Uruchom łącznik Intune dla usługi Active Directory.
Uwaga
Jeśli program Intune Connector dla instalacji usługi Active Directory zostanie przypadkowo zamknięty bez zaznaczenia pola wyboru Uruchom łącznik Intune dla usługi Active Directory, konfigurację łącznika Intune dla usługi Active Directory można ponownie otworzyć, wybierając opcję łącznika Intune dla usługi Active Directory>Intune Łącznik usługi Active Directory z menu Start.
Zaloguj się do łącznika Intune dla usługi Active Directory
W oknie łącznika Intune dla usługi Active Directory na karcie Rejestracja wybierz pozycję Zaloguj.
Na karcie Logowanie zaloguj się przy użyciu Tożsamość Microsoft Entra poświadczeń roli administratora Intune. Konto użytkownika musi mieć przypisaną licencję Intune. Proces logowania może potrwać kilka minut.
Uwaga
Konto używane do rejestrowania łącznika Intune dla usługi Active Directory jest tylko tymczasowym wymaganiem w momencie instalacji. Konto nie jest używane w przyszłości po zarejestrowaniu serwera.
Po zakończeniu procesu logowania:
- Zostanie wyświetlone okno potwierdzenia Łącznik Intune dla usługi Active Directory pomyślnie zarejestrowane. Wybierz przycisk OK , aby zamknąć okno.
- Zostanie wyświetlone okno potwierdzenia zarządzanego konta usługi o nazwie "<MSA_name>". Nazwa msa jest w formacie
msaODJ#####, w którym ##### jest pięć losowych znaków. Zanotuj nazwę utworzonego konta msa, a następnie wybierz przycisk OK , aby zamknąć okno. Nazwa msa może być potrzebna później, aby skonfigurować msa, aby umożliwić tworzenie obiektów komputera w jednostkach organizacyjnych.
Karta Rejestracja pokazuje, Intune łącznik usługi Active Directory jest zarejestrowany. Przycisk Zaloguj jest wyszarzony i włączono konfigurowanie zarządzanego konta usługi .
Zamknij okno łącznika Intune dla usługi Active Directory.
Sprawdź, czy łącznik Intune dla usługi Active Directory jest aktywny
Po uwierzytelnieniu łącznik Intune dla usługi Active Directory zakończy instalację. Po zakończeniu instalacji sprawdź, czy jest aktywny w Intune, wykonując następujące kroki:
Przejdź do centrum administracyjnego Microsoft Intune, jeśli jest ono nadal otwarte. Jeśli okno Dodawanie łącznika jest nadal wyświetlane, zamknij je.
Jeśli centrum administracyjne Microsoft Intune nie jest nadal otwarte:
Zaloguj się do centrum administracyjnego usługi Microsoft Intune.
Na ekranie głównym wybierz pozycję Urządzenia w okienku po lewej stronie.
Na urządzeniach | Ekran przeglądu w obszarze Według platformy wybierz pozycję Windows.
W systemie Windows | Ekran urządzeń z systemem Windows w obszarze Dołączanie urządzenia wybierz pozycję Rejestracja.
W systemie Windows | Ekran rejestracji systemu Windows w obszarze Windows Autopilot wybierz pozycję łącznik Intune dla usługi Active Directory.
Na stronie łącznika Intune dla usługi Active Directory:
- Upewnij się, że serwer jest wyświetlany w obszarze Nazwa łącznika i jest wyświetlany jako Aktywny w obszarze Stan
- W przypadku zaktualizowanego łącznika Intune dla usługi Active Directory upewnij się, że wersja jest większa niż 6.2501.2000.5.
Jeśli serwer nie jest wyświetlany, wybierz pozycję Odśwież lub przejdź z dala od strony, a następnie przejdź z powrotem do strony łącznika Intune dla usługi Active Directory.
Uwaga
Wyświetlenie nowo zarejestrowanego serwera na stronie łącznika Intune dla usługi Active Directory w centrum administracyjnym Microsoft Intune może potrwać kilka minut. Zarejestrowany serwer jest wyświetlany tylko wtedy, gdy może pomyślnie komunikować się z usługą Intune.
Nieaktywne łączniki Intune dla usługi Active Directory nadal są wyświetlane na stronie łącznika Intune dla usługi Active Directory i zostaną automatycznie wyczyszczone po 30 dniach.
Po zainstalowaniu łącznika Intune dla usługi Active Directory rozpocznie on rejestrowanie w Podgląd zdarzeń w obszarze ścieżki Dzienniki> aplikacji i usługMicrosoft>Intune>ODJConnectorService. W tej ścieżce można znaleźć dzienniki Administracja i operacyjne.
Skonfiguruj usługę MSA tak, aby zezwalała na tworzenie obiektów w jednostkach organizacyjnych (opcjonalnie)
Domyślnie administratorzy msa mają dostęp tylko do tworzenia obiektów komputera w kontenerze Komputery . Administratorzy msa nie mają dostępu do tworzenia obiektów komputerów w jednostkach organizacyjnych ( jednostek organizacyjnych). Aby umożliwić usłudze MSA tworzenie obiektów w jednostkach organizacyjnych, jednostki organizacyjne muszą zostać dodane do ODJConnectorEnrollmentWiazard.exe.config pliku XML znajdującego się w katalogu, w ODJConnectorEnrollmentWizard którym zainstalowano łącznik Intune dla usługi Active Directory, zwykle C:\Program Files\Microsoft Intune\ODJConnector\.
Aby skonfigurować usługę MSA tak, aby zezwalała na tworzenie obiektów w jednostkach organizacyjnych, wykonaj następujące kroki:
Na serwerze, na którym zainstalowano łącznik Intune dla usługi Active Directory, przejdź do
ODJConnectorEnrollmentWizardkatalogu, w którym zainstalowano łącznik Intune dla usługi Active Directory, zwykleC:\Program Files\Microsoft Intune\ODJConnector\.ODJConnectorEnrollmentWizardW katalogu otwórzODJConnectorEnrollmentWiazard.exe.configplik XML w edytorze tekstów, na przykład Notatnik.ODJConnectorEnrollmentWiazard.exe.configW pliku XML dodaj dowolne żądane jednostki organizacyjne, do których usługa MSA powinna mieć dostęp do tworzenia obiektów komputera. Nazwa jednostki organizacyjnej powinna być nazwą wyróżniającą, a jeśli ma zastosowanie, musi zostać pominięta. Poniższy przykład to przykładowy wpis XML z nazwą wyróżniającą jednostki organizacyjnej:<appSettings> <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format. The ODJ Connector will only have permission to create computer objects in these OUs. The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY): Domain contains the following OUs: - OU=HybridDevices,DC=contoso,DC=com - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" --> <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" /> </appSettings>Po dodaniu wszystkich żądanych jednostek organizacyjnych zapisz
ODJConnectorEnrollmentWiazard.exe.configplik XML.Jako administrator, który ma odpowiednie uprawnienia do modyfikowania uprawnień jednostki organizacyjnej, otwórz łącznik Intune dla usługi Active Directory, przechodząc do łącznika Intune dla usługi Active Directory>Intune Connector for Active Directory z menu Start.
Ważna
Jeśli administrator instalujący i konfigurujący łącznik Intune dla usługi Active Directory nie ma uprawnień do modyfikowania uprawnień jednostki organizacyjnej, w sekcji/krokach Zwiększanie limitu konta komputera w jednostce organizacyjnej musi być zamiast tego administrator, który ma uprawnienia do modyfikowania uprawnień jednostki organizacyjnej.
Na karcie Rejestracja w oknie łącznika Intune dla usługi Active Directory wybierz pozycję Konfiguruj zarządzane konto usługi.
Zostanie wyświetlone okno potwierdzenia zarządzanego konta usługi o nazwie "<MSA_name>". Wybierz przycisk OK , aby zamknąć okno.
Konfigurowanie ustawień internetowego serwera proxy
Jeśli w środowisku sieciowym istnieje internetowy serwer proxy, upewnij się, że łącznik Intune dla usługi Active Directory działa prawidłowo, odwołując się do pozycji Praca z istniejącymi lokalnymi serwerami proxy.
Zwiększanie limitu konta komputera w jednostce organizacyjnej
Ważna
Ten krok jest wymagany tylko w jednym z następujących warunków:
- Administrator, który zainstalował i skonfigurował łącznik Intune dla usługi Active Directory, nie miał odpowiednich praw zgodnie z opisem w temacie Intune Connector for Active Directory Requirements (Łącznik Intune dla wymagań usługi Active Directory).
- Plik
ODJConnectorEnrollmentWiazard.exe.configXML nie został zmodyfikowany w celu dodania jednostek organizacyjnych, do których administrator usługi powinien mieć uprawnienia.
Celem łącznika Intune dla usługi Active Directory jest dołączenie komputerów do domeny i dodanie ich do jednostki organizacyjnej. Z tego powodu konto usługi zarządzanej (MSA) używane dla łącznika Intune dla usługi Active Directory musi mieć uprawnienia do tworzenia kont komputerów w jednostce organizacyjnej, do której komputery są przyłączone do domeny lokalnej.
W przypadku uprawnień domyślnych w usłudze Active Directory sprzężenia domeny przez łącznik Intune dla usługi Active Directory mogą początkowo działać bez żadnych modyfikacji uprawnień do jednostki organizacyjnej w usłudze Active Directory. Jednak po próbie dołączenia ponad 10 komputerów do domeny lokalnej usługa MSA przestanie działać, ponieważ domyślnie usługa Active Directory zezwala na dołączanie maksymalnie 10 komputerów do domeny lokalnej przez dowolne pojedyncze konto.
Ograniczenie 10 przyłączeń do domeny komputera nie ogranicza następujących użytkowników:
- Użytkownicy w grupach Administratorzy lub Administratorzy domeny: Aby zapewnić zgodność z modelem zasad najniższych uprawnień, firma Microsoft nie zaleca, aby administrator lub administrator domeny zarządzane było.
- Użytkownicy z uprawnieniami delegowanymi do jednostki organizacyjnej (OU) i kontenerów w usłudze Active Directory do tworzenia kont komputerów: Ta metoda jest zalecana, ponieważ jest zgodna z modelem zasad najniższych uprawnień.
Aby rozwiązać ten problem, administrator konta musi mieć uprawnienie Utwórz konta komputera w jednostce organizacyjnej (OU), do której komputery są przyłączone w domenie lokalnej. Łącznik Intune dla usługi Active Directory ustawia uprawnienia dla msa na jednostki organizacyjne, o ile spełniony jest jeden z następujących warunków:
- Administrator instalujący łącznik Intune dla usługi Active Directory ma uprawnienia niezbędne do ustawiania uprawnień dla jednostek organizacyjnych.
- Administrator konfigurujący łącznik Intune dla usługi Active Directory ma uprawnienia niezbędne do ustawiania uprawnień dla jednostek organizacyjnych.
Jeśli administrator instalujący lub konfigurujący łącznik Intune dla usługi Active Directory nie ma uprawnień niezbędnych do ustawiania uprawnień dla jednostek organizacyjnych, należy wykonać następujące kroki:
Zaloguj się do komputera z dostępem do konsoli Użytkownicy i komputery usługi Active Directory przy użyciu konta, które jest niezbędne do ustawienia uprawnień dla jednostek organizacyjnych.
Otwórz konsolę Użytkownicy i komputery usługi Active Directory, uruchamiając plik DSA.msc.
Rozwiń żądaną domenę i przejdź do jednostki organizacyjnej (OU), do którą komputery dołączają podczas rozwiązania Windows Autopilot.
Uwaga
Jednostka organizacyjna dołączana przez komputery podczas wdrażania rozwiązania Windows Autopilot jest określona później podczas kroku Konfigurowanie i przypisywanie profilu przyłączania do domeny .
Kliknij prawym przyciskiem myszy jednostkę organizacyjną i wybierz pozycję Właściwości.
Uwaga
Jeśli komputery dołączają do domyślnego kontenera Komputery zamiast jednostki organizacyjnej, kliknij prawym przyciskiem myszy kontener Komputery i wybierz pozycję Deleguj kontrolę.
W oknach Właściwości jednostki organizacyjnej, które zostanie otwarte, wybierz kartę Zabezpieczenia .
Na karcie Zabezpieczenia wybierz pozycję Zaawansowane.
W oknie Zaawansowane ustawienia zabezpieczeń wybierz pozycję Dodaj.
W oknach Wpis uprawnień obok pozycji Jednostka wybierz link Wybierz podmiot zabezpieczeń .
W oknie Wybieranie użytkownika, komputera, konta usługi lub grupy wybierz przycisk Typy obiektów...
W oknie Typy obiektów zaznacz pole wyboru Konta usług , a następnie wybierz przycisk OK.
W oknie Wybieranie użytkownika, komputera, konta usługi lub grupy w obszarze Wprowadź nazwę obiektu do wybrania wprowadź nazwę msa używaną dla łącznika Intune dla usługi Active Directory.
Porada
Msa została utworzona podczas instalowania łącznika Intune dla usługi Active Directory krok/sekcja i ma format nazwy,
msaODJ#####gdzie ##### jest pięć losowych znaków. Jeśli nazwa msa nie jest znana, wykonaj następujące kroki, aby znaleźć nazwę msa:- Na serwerze z uruchomionym łącznikiem Intune dla usługi Active Directory kliknij prawym przyciskiem myszy menu Start, a następnie wybierz pozycję Zarządzanie komputerem.
- W oknie Zarządzanie komputerem rozwiń węzeł Usługi i aplikacje , a następnie wybierz pozycję Usługi.
- W okienku wyników znajdź usługę o nazwie Intune ODJConnector dla usługi Active Service. Nazwa msa jest wymieniona w logowanie jako kolumny.
Wybierz pozycję Sprawdź nazwy , aby zweryfikować wpis nazwy msa. Po zweryfikowaniu wpisu wybierz przycisk OK.
W oknach Wpis uprawnień wybierz menu rozwijane Zastosuj do: , a następnie wybierz pozycję Tylko ten obiekt.
W obszarze Uprawnienia usuń zaznaczenie wszystkich elementów, a następnie zaznacz pole wyboru Utwórz obiekty komputera .
Wybierz przycisk OK , aby zamknąć okno Wpis uprawnień .
W oknie Zaawansowane ustawienia zabezpieczeń wybierz pozycję Zastosuj lub OK , aby zastosować zmiany.
Tworzenie grupy urządzeń
W centrum administracyjnym Microsoft Intune wybierz pozycję Grupy>Nowa grupa.
W okienku Grupa wybierz następujące opcje:
W polu Typ grupy wybierz pozycję Zabezpieczenia.
Wprowadź nazwę grupy i opis grupy.
Wybierz typ członkostwa.
Jeśli dla typu członkostwa wybrano pozycję Urządzenia dynamiczne , w okienku Grupa wybierz pozycję Dynamiczne elementy członkowskie urządzenia.
Wybierz pozycję Edytuj w polu Składnia reguły i wprowadź jeden z następujących wierszy kodu:
Aby utworzyć grupę obejmującą wszystkie urządzenia z rozwiązaniem Windows Autopilot, wprowadź:
(device.devicePhysicalIDs -any _ -startsWith "[ZTDId]")Pole Tag grupy Intune jest mapowany na atrybut OrderID na urządzeniach Microsoft Entra. Aby utworzyć grupę zawierającą wszystkie urządzenia z rozwiązaniem Windows Autopilot z określonym tagiem grupy (OrderID), wprowadź:
(device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")Aby utworzyć grupę zawierającą wszystkie urządzenia z rozwiązaniem Windows Autopilot z określonym identyfikatorem zamówienia zakupu, wprowadź:
(device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")
Wybierz pozycję Zapisz>utwórz.
Rejestrowanie urządzeń z rozwiązaniem Windows Autopilot
Wybierz jeden z następujących sposobów rejestrowania urządzeń z rozwiązaniem Windows Autopilot.
Rejestrowanie urządzeń z rozwiązaniem Windows Autopilot, które zostały już zarejestrowane
Utwórz profil wdrożenia rozwiązania Windows Autopilot z ustawieniem Konwertuj wszystkie urządzenia docelowe na rozwiązanie Autopilot ustawione na wartość Tak.
Przypisz profil do grupy zawierającej elementy członkowskie, które muszą zostać automatycznie zarejestrowane przy użyciu rozwiązania Windows Autopilot.
Aby uzyskać więcej informacji, zobacz Tworzenie profilu wdrożenia rozwiązania Autopilot.
Rejestrowanie urządzeń z rozwiązaniem Windows Autopilot, które nie są zarejestrowane
Urządzenia, które nie zostały jeszcze zarejestrowane w rozwiązaniu Windows Autopilot, można zarejestrować ręcznie. Aby uzyskać więcej informacji, zobacz Ręczna rejestracja.
Rejestrowanie urządzeń z producenta OEM
W przypadku zakupu nowych urządzeń niektórzy OEM mogą zarejestrować urządzenia w imieniu organizacji. Aby uzyskać więcej informacji, zobacz Rejestracja OEM.
Wyświetlanie zarejestrowanego urządzenia z rozwiązaniem Windows Autopilot
Przed zarejestrowaniem urządzeń w Intune zarejestrowane urządzenia z rozwiązaniem Windows Autopilot są wyświetlane w trzech miejscach (z nazwami ustawionymi na ich numery seryjne):
- Okienko Urządzenia z rozwiązaniem Windows Autopilot w centrum administracyjnym Microsoft Intune. Wybieranie urządzeń>według platformy | Dołączanie urządzeń z systemem Windows >| Rejestracja. W obszarze Windows Autopilot wybierz pozycję Urządzenia.
- Urządzenia | Okienko wszystkie urządzenia w Azure Portal. Wybierz pozycję Urządzenia>Wszystkie urządzenia.
- Okienko rozwiązania Autopilot w Centrum administracyjne platformy Microsoft 365. Wybierz pozycję Urządzenia>Autopilot.
Po zarejestrowaniu urządzeń z rozwiązaniem Windows Autopilot urządzenia są wyświetlane w czterech miejscach:
- Urządzenia | Okienko Wszystkie urządzenia w centrum administracyjnym Microsoft Intune. Wybierz pozycję Urządzenia>Wszystkie urządzenia.
- Windows | Okienko Urządzenia z systemem Windows w centrum administracyjnym Microsoft Intune. Wybieranie urządzeń>według platformy | Windows.
- Urządzenia | Okienko wszystkie urządzenia w Azure Portal. Wybierz pozycję Urządzenia>Wszystkie urządzenia.
- Okienko Aktywne urządzenia w Centrum administracyjne platformy Microsoft 365. Wybierz pozycję Urządzenia>Aktywne urządzenia.
Uwaga
Po zarejestrowaniu urządzeń urządzenia są nadal wyświetlane w okienku Urządzenia z rozwiązaniem Windows Autopilot w centrum administracyjnym Microsoft Intune i w okienku rozwiązania Autopilot w Centrum administracyjne platformy Microsoft 365, ale te obiekty są zarejestrowanymi obiektami rozwiązania Windows Autopilot.
Obiekt urządzenia jest wstępnie tworzony w Tożsamość Microsoft Entra po zarejestrowaniu urządzenia w rozwiązaniu Windows Autopilot. Gdy urządzenie przechodzi wdrożenie hybrydowego Microsoft Entra, zgodnie z projektem tworzony jest inny obiekt urządzenia, co powoduje zduplikowanie wpisów.
Sieci VPN
Testowanie i weryfikowanie następujących klientów sieci VPN:
- Klient sieci VPN systemu Windows w pudełku
- Cisco AnyConnect (klient Win32)
- Pulse Secure (klient Win32)
- GlobalProtect (klient Win32)
- Punkt kontrolny (klient Win32)
- Citrix NetScaler (klient Win32)
- SonicWall (klient Win32)
- FortiClient VPN (klient Win32)
W przypadku korzystania z sieci VPN wybierz pozycję Tak , aby wybrać opcję Pomiń sprawdzanie łączności usługi AD w profilu wdrożenia rozwiązania Windows Autopilot. Always-On sieci VPN nie powinny wymagać tej opcji, ponieważ łączą się automatycznie.
Uwaga
Ta lista klientów sieci VPN nie jest pełną listą wszystkich klientów sieci VPN, którzy pracują z rozwiązaniem Windows Autopilot. Skontaktuj się z odpowiednim dostawcą sieci VPN w sprawie zgodności i możliwości obsługi rozwiązania Windows Autopilot lub wszelkich problemów z używaniem rozwiązania sieci VPN z rozwiązaniem Windows Autopilot.
Nieobsługiwani klienci sieci VPN
Znane są następujące rozwiązania sieci VPN, które nie współpracują z rozwiązaniem Windows Autopilot i dlatego nie są obsługiwane do użycia z rozwiązaniem Windows Autopilot:
- Wtyczki sieci VPN oparte na platformie UWP
- Wszystko, co wymaga certyfikatu użytkownika
- Funkcja DirectAccess
Uwaga
Pominięcie określonego klienta sieci VPN z tej listy nie oznacza, że jest on obsługiwany lub działa z rozwiązaniem Windows Autopilot. Ta lista zawiera tylko klientów sieci VPN, o których wiadomo , że nie pracują z rozwiązaniem Windows Autopilot.
Tworzenie i przypisywanie profilu wdrożenia rozwiązania Windows Autopilot
Profile wdrażania rozwiązania Windows Autopilot są używane do konfigurowania urządzeń z rozwiązaniem Windows Autopilot.
Zaloguj się do centrum administracyjnego usługi Microsoft Intune.
Na ekranie głównym wybierz pozycję Urządzenia w okienku po lewej stronie.
Na urządzeniach | Ekran przeglądu w obszarze Według platformy wybierz pozycję Windows.
W systemie Windows | Ekran urządzeń z systemem Windows w obszarze Dołączanie urządzenia wybierz pozycję Rejestracja.
W systemie Windows | Ekran rejestracji systemu Windows w obszarze Windows Autopilot wybierz pozycję Profile wdrożenia.
Na ekranie Profile wdrażania rozwiązania Windows Autopilot wybierz menu rozwijane Tworzenie profilu , a następnie wybierz pozycję Komputer z systemem Windows.
Na ekranie Tworzenie profilu na stronie Podstawy wprowadź nazwę i opcjonalny opis.
Jeśli wszystkie urządzenia w przypisanych grupach powinny automatycznie rejestrować się w rozwiązaniu Windows Autopilot, ustaw opcję Konwertuj wszystkie urządzenia docelowe na rozwiązanie Autopilot na wartość Tak. Wszystkie należące do firmy urządzenia z rozwiązaniem Autopilot spoza systemu Windows w przypisanych grupach rejestrują się w usłudze wdrażania rozwiązania Windows Autopilot. Urządzenia należące do użytkownika nie są zarejestrowane w rozwiązanie Windows Autopilot. Poczekaj 48 godzin na przetworzenie rejestracji. Gdy urządzenie zostanie wyrejestrowane i zresetowane, rozwiązanie Windows Autopilot zarejestruje je ponownie. Po zarejestrowaniu urządzenia w ten sposób wyłączenie tego ustawienia lub usunięcie przypisania profilu nie spowoduje usunięcia urządzenia z usługi wdrażania rozwiązania Windows Autopilot. Zamiast tego urządzenia muszą zostać bezpośrednio usunięte. Aby uzyskać więcej informacji, zobacz Usuwanie urządzeń rozwiązania Autopilot.
Wybierz pozycję Dalej.
Na stronie Środowisko out-of-box (OOBE) w obszarze Tryb wdrażania wybierz pozycję Sterowane przez użytkownika.
W polu Dołącz do Tożsamość Microsoft Entra jako wybierz pozycję Microsoft Entra przyłączone hybrydowo.
W przypadku wdrażania urządzeń poza siecią organizacji przy użyciu obsługi sieci VPN ustaw opcję Pomiń sprawdzanie łączności z domeną na wartość Tak. Aby uzyskać więcej informacji, zobacz Tryb sterowany przez użytkownika dla Microsoft Entra sprzężenia hybrydowego z obsługą sieci VPN.
W razie potrzeby skonfiguruj pozostałe opcje na stronie Środowisko out-of-box (OOBE ).
Wybierz pozycję Dalej.
Na stronie Tagi zakresu wybierz tagi zakresu dla tego profilu.
Wybierz pozycję Dalej.
Na stronie Przypisania wybierz pozycję Wybierz grupy do uwzględnienia> w wyszukiwaniu i wybierz grupę > urządzeń Wybierz.
Wybierz pozycję Dalej>utwórz.
Uwaga
Intune okresowo sprawdza nowe urządzenia w przypisanych grupach, a następnie rozpoczyna proces przypisywania profilów do tych urządzeń. Ze względu na kilka różnych czynników związanych z procesem przypisywania profilu rozwiązania Windows Autopilot szacowany czas przypisania może się różnić w zależności od scenariusza. Te czynniki mogą obejmować grupy Microsoft Entra, reguły członkostwa, skrót urządzenia, usługę Intune i windows Autopilot oraz połączenie z Internetem. Czas przypisania różni się w zależności od wszystkich czynników i zmiennych związanych z określonym scenariuszem.
(Opcjonalnie) Włączanie strony ze stanem rejestracji
Zaloguj się do centrum administracyjnego usługi Microsoft Intune.
Na ekranie głównym wybierz pozycję Urządzenia w okienku po lewej stronie.
Na urządzeniach | Ekran przeglądu w obszarze Według platformy wybierz pozycję Windows.
W systemie Windows | Ekran urządzeń z systemem Windows w obszarze Dołączanie urządzenia wybierz pozycję Rejestracja.
W systemie Windows | Ekran rejestracji systemu Windows w obszarze Windows Autopilot wybierz pozycję Strona stanu rejestracji.
W okienku Strona stanu rejestracji wybierz pozycjęUstawieniadomyślne>.
W polu Pokaż postęp instalacji aplikacji i profilu wybierz pozycję Tak.
Skonfiguruj inne opcje zgodnie z potrzebami.
Wybierz Zapisz.
Tworzenie i przypisywanie profilu przyłączania do domeny
W centrum administracyjnym Microsoft Intune wybierz pozycję Urządzenia>Zarządzaj urządzeniami | Zasady> konfiguracji >Utwórz>nowe zasady.
W oknie tworzenia profilu , które zostanie otwarte, wprowadź następujące właściwości:
- Nazwa: wprowadź opisową nazwę nowego profilu.
- Opis: wprowadź opis profilu.
- Platforma: wybierz pozycję Windows 10 i nowsze.
- Typ profilu: wybierz pozycję Szablony, wybierz nazwę szablonu Przyłącz do domeny, a następnie wybierz pozycję Utwórz.
Wprowadź pola Nazwa i Opis , a następnie wybierz pozycję Dalej.
Podaj prefiks nazwy komputera i nazwę domeny.
(Opcjonalnie) Podaj jednostkę organizacyjną (OU) w formacie DN. Dostępne są następujące opcje:
- Podaj jednostkę organizacyjną, w której kontrolka jest delegowana do urządzenia z systemem Windows z uruchomionym łącznikiem Intune dla usługi Active Directory.
- Podaj jednostkę organizacyjną, w której kontrolka jest delegowana do komputerów głównych w lokalna usługa Active Directory organizacji.
- Jeśli to pole pozostanie puste, obiekt komputera zostanie utworzony w domyślnym kontenerze usługi Active Directory. Kontener domyślny jest zwykle kontenerem
CN=Computers. Aby uzyskać więcej informacji, zobacz Przekierowanie kontenerów użytkowników i komputerów w domenach usługi Active Directory.
Prawidłowe przykłady:
OU=SubOU,OU=TopLevelOU,DC=contoso,DC=comOU=Mine,DC=contoso,DC=com
Nieprawidłowe przykłady:
-
CN=Computers,DC=contoso,DC=com— nie można określić kontenera. Zamiast tego pozostaw wartość pustą, aby użyć wartości domyślnej dla domeny. -
OU=Mine— domena musi być określona za pośrednictwemDC=atrybutów.
Upewnij się, że nie używasz cudzysłowów wokół wartości w jednostce organizacyjnej.
Wybierz pozycję OK>Utwórz. Profil zostanie utworzony i wyświetlony na liście.
Przypisz profil urządzenia do tej samej grupy, która została użyta w kroku Tworzenie grupy urządzeń. W przypadku konieczności dołączania urządzeń do różnych domen lub jednostek organizacyjnych można używać różnych grup.
Uwaga
Funkcja nazewnictwa rozwiązania Windows Autopilot dla Microsoft Entra sprzężenia hybrydowego nie obsługuje zmiennych, takich jak %SERIAL%. Obsługuje tylko prefiksy nazwy komputera.
Odinstalowywanie łącznika Intune dla usługi Active Directory
Łącznik Intune dla usługi Active Directory jest instalowany lokalnie na komputerze za pośrednictwem pliku wykonywalnego. Jeśli łącznik Intune dla usługi Active Directory musi zostać odinstalowany z komputera, należy go również wykonać lokalnie na komputerze. Nie można usunąć łącznika Intune dla usługi Active Directory za pośrednictwem portalu Intune ani wywołania interfejsu API grafu.
Aby odinstalować łącznik Intune dla usługi Active Directory z serwera, wybierz odpowiednią kartę dla wersji systemu operacyjnego Windows Server, a następnie wykonaj następujące kroki:
Zaloguj się do komputera hostującego łącznik Intune dla usługi Active Directory.
Kliknij prawym przyciskiem myszy menu Start, a następnie wybierz pozycję Ustawienia>AplikacjeZainstalowane aplikacje>.
Lub
Wybierz następujący skrót Aplikacje zainstalowane aplikacje>:
W oknie Aplikacje zainstalowane aplikacje > znajdź łącznik Intune dla usługi Active Directory.
Obok pozycji Intune Connector for Active Directory wybierz pozycję ...>Odinstaluj, a następnie wybierz przycisk Odinstaluj.
Łącznik Intune dla usługi Active Directory przechodzi do odinstalowywania.
W niektórych przypadkach łącznik Intune dla usługi Active Directory może nie zostać w pełni odinstalowany, dopóki oryginalny łącznik Intune dla instalatora
ODJConnectorBootstrapper.exeusługi Active Directory nie zostanie uruchomiony ponownie. Aby sprawdzić, czy łącznik Intune dla usługi Active Directory jest w pełni odinstalowany, uruchomODJConnectorBootstrapper.exeponownie instalatora. Jeśli zostanie wyświetlony monit o odinstalowanie, wybierz polecenie , aby go odinstalować. W przeciwnym razie zamknijODJConnectorBootstrapper.exeinstalatora.Uwaga
Starszy łącznik Intune dla instalatora usługi Active Directory można pobrać z łącznika Intune dla usługi Active Directory i powinien być używany tylko do odinstalowywania. W przypadku nowych instalacji użyj zaktualizowanego łącznika Intune dla usługi Active Directory.
Następne kroki
Po skonfigurowaniu rozwiązania Windows Autopilot dowiedz się, jak zarządzać tymi urządzeniami. Aby uzyskać więcej informacji, zobacz Co to jest zarządzanie urządzeniami Microsoft Intune?.
Zawartość pokrewna
- Co to jest tożsamość urządzenia?.
- Dowiedz się więcej o punktach końcowych natywnych dla chmury.
- Microsoft Entra przyłączone a Microsoft Entra przyłączone hybrydowo w punktach końcowych natywnych dla chmury.
- Samouczek: Konfigurowanie i konfigurowanie natywnego dla chmury punktu końcowego systemu Windows przy użyciu Microsoft Intune.
- Instrukcje: planowanie implementacji dołączania Microsoft Entra.
- Struktura transformacji zarządzania punktami końcowymi systemu Windows.
- Omówienie scenariuszy Azure AD hybrydowych i współzarządzania.
- Powodzenie dzięki zdalnej funkcji Windows Autopilot i hybrydowej funkcji dołączania do usługi Azure Active Directory.