Associação híbrida Microsoft Entra orientada pelo utilizador: aumente o limite da conta de computador na Unidade Organizacional (UO)

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10

Passos de associação híbrida Microsoft Entra baseadas no utilizador do Windows Autopilot:

• Passo 1: Configurar a inscrição automática de Intune do Windows
• Passo 2: Instalar o Conector do Intune

• Passo 3: aumentar o limite da conta de computador na Unidade Organizacional (UO)

• Passo 4: Registar dispositivos como dispositivos Windows Autopilot
• Passo 5: Criar um grupo de dispositivos
• Passo 6: Configurar e atribuir a Página de Estado de Inscrição do Windows Autopilot (ESP)
• Passo 7: Criar e atribuir Microsoft Entra perfil híbrido do Windows Autopilot
• Passo 8: Configurar e atribuir um perfil de associação a um domínio
• Passo 9: atribuir um dispositivo Windows Autopilot a um utilizador (opcional)
• Passo 10: Implementar o dispositivo

Para obter uma descrição geral do fluxo de trabalho de associação híbrida Microsoft Entra orientado pelo utilizador do Windows Autopilot, veja Descrição geral da associação híbrida orientada pelo utilizador do Windows Autopilot Microsoft Entra.

Observação

Se o limite da conta de computador para a Unidade Organizacional (UO) adequada já tiver aumentado, ignore este passo e avance para o Passo 4: Registar dispositivos como dispositivos Windows Autopilot.

Aumentar o limite da conta de computador na Unidade Organizacional (UO)

Conector atualizado

Importante

Este passo só é necessário numa das seguintes condições:

• O administrador que instalou e configurou o Conector do Intune para o Active Directory não tinha os direitos adequados, conforme descrito em Intune Conector para Requisitos do Active Directory.
• O ODJConnectorEnrollmentWizard.exe.config ficheiro XML não foi modificado para adicionar UOs para os quais a MSA deve ter permissões.

O objetivo do conector Intune para o Active Directory é associar computadores a um domínio e adicioná-los a uma UO. Por este motivo, a Conta de Serviço Gerida (MSA) que está a ser utilizada para o Conector do Intune para o Active Directory tem de ter permissões para criar contas de computador na UO onde os computadores estão associados ao domínio no local.

Com as permissões predefinidas no Active Directory, as associações de domínio pelo Conector Intune para o Active Directory poderão funcionar inicialmente sem quaisquer modificações de permissão à UO no Active Directory. No entanto, após a MSA tentar associar mais de 10 computadores ao domínio no local, deixará de funcionar porque, por predefinição, o Active Directory só permite que qualquer conta única associe até 10 computadores ao domínio no local.

Os seguintes utilizadores não são restringidos pela limitação de 10 associações a um domínio de computador:

• Utilizadores nos grupos Administradores ou Administradores de Domínio: para cumprir o modelo de princípios de menor privilégio, a Microsoft não recomenda que o MSA seja administrador ou administrador de domínio.
• Utilizadores com permissões delegadas em Unidades Organizacionais (UOs) e contentores no Active Directory para criar contas de computador: este método é recomendado, uma vez que segue o modelo de princípios de menor privilégio.

Para corrigir esta limitação, o MSA precisa da permissão Criar contas de computador na Unidade Organizacional (UO) à qual os computadores estão associados no domínio no local. O Conector Intune do Active Directory define as permissões dos MSAs para as UOs, desde que seja cumprida uma das seguintes condições:

• O administrador que está a instalar o Conector Intune para o Active Directory tem as permissões necessárias para definir permissões nas UOs.
• O administrador que configura o Conector Intune para o Active Directory tem as permissões necessárias para definir permissões nas UOs.

Se o administrador que está a instalar ou configurar o Conector do Intune para o Active Directory não tiver as permissões necessárias para definir permissões nas UOs, é necessário seguir os seguintes passos:

1. Inicie sessão num computador que tenha acesso à consola do Usuários e Computadores do Active Directory com uma conta que, como as permissões necessárias para definir permissões em UOs.

2. Abra a consola do Usuários e Computadores do Active Directory ao executar DSA.msc.

3. Expanda o domínio pretendido e navegue para a unidade organizacional (UO) à qual os computadores estão a aderir durante o Windows Autopilot.

   Observação

   A UO que os computadores associam durante a implementação do Windows Autopilot é especificada mais tarde durante o passo Configurar e atribuir perfil de associação a um domínio .

4. Clique com o botão direito do rato na UO e selecione Propriedades.

   Observação

   Se os computadores estiverem a associar o contentor Computadores predefinido em vez de uma UO, clique com o botão direito do rato no contentor Computadores e selecione Delegar Controlo.

5. Nas janelas propriedades da UO que é aberta, selecione o separador Segurança .

6. No separador Segurança , selecione Avançadas.

7. Na janela Definições de Segurança Avançadas , selecione Adicionar.

8. Nas janelas Entrada de Permissão , junto a Principal, selecione a ligação Selecionar um principal .

9. Na janela Selecionar Utilizador, Computador, Conta de Serviço ou Grupo, selecione o botão Tipos de Objeto...

10. Na janela Tipos de Objeto, selecione a caixa de marcar Contas de Serviço e, em seguida, selecione OK.

11. Na janela Selecionar Utilizador, Computador, Conta de Serviço ou Grupo, em Introduzir o nome do objeto a selecionar, introduza o nome da MSA que está a ser utilizada para o Conector Intune do Active Directory.

    Dica

    O MSA foi criado durante a secção Instalar o Conector do Intune para o Active Directory e tem o formato de nome onde msaODJ########## estão cinco carateres aleatórios. Se o nome MSA não for conhecido, siga estes passos para encontrar o nome MSA:

    1. No servidor que executa o Conector Intune do Active Directory, clique com o botão direito do rato no menu Iniciar e, em seguida, selecione Gestão de Computadores.
    2. Na janela Gestão de Computadores , expanda Serviços e Aplicações e, em seguida, selecione Serviços.
    3. No painel de resultados, localize o serviço com o nome Intune ODJConnector para Serviço Ativo. O nome da MSA está listado na coluna Iniciar Sessão Como .

12. Selecione Verificar Nomes para validar a entrada de nome MSA. Assim que a entrada for validada, selecione OK.

13. Nas janelas Entrada de Permissão , selecione o menu pendente Aplica-se a: e, em seguida, selecione Apenas este objeto.

14. Em Permissões, anule a seleção de todos os itens e, em seguida, selecione apenas a caixa de marcar Criar Objetos de computador.

15. Selecione OK para fechar a janela Entrada de Permissão .

16. Na janela Definições de Segurança Avançadas , selecione Aplicar ou OK para aplicar as alterações.

Conector Legado

O objetivo do conector Intune para o Active Directory é associar computadores a um domínio e adicioná-los a uma UO. Por este motivo, o servidor que executa o Conector Intune do Active Directory tem de ter permissões para criar contas de computador na UO onde os computadores estão associados ao domínio no local.

Com as permissões predefinidas no Active Directory, as associações de domínio pelo Conector Intune para o Active Directory poderão funcionar inicialmente sem quaisquer modificações de permissão à UO no Active Directory. No entanto, após o servidor que executa o Conector do Intune para o Active Directory tentar associar mais de 10 computadores ao domínio no local, deixará de funcionar porque, por predefinição, o Active Directory só permite que qualquer conta única associe até 10 computadores ao domínio no local.

Os seguintes utilizadores não são restringidos pela limitação de 10 associações a um domínio de computador:

• Utilizadores nos grupos Administradores ou Administradores de Domínio – para cumprir o modelo de princípios de menor privilégio, a Microsoft não recomenda tornar a conta de computador a executar o Conector Intune do Active Directory como administrador ou administrador de domínio.
• Utilizadores com permissões delegadas em Unidades Organizacionais (UOs) e contentores no Active Directory para criar contas de computador – este método é recomendado, uma vez que segue o modelo de princípios de menor privilégio.

Para corrigir esta limitação, o servidor que executa o Conector do Intune para o Active Directory precisa da permissão Criar contas de computador na Unidade Organizacional (UO) à qual os computadores estão associados no domínio no local:

Para aumentar o limite da conta de computador na Unidade Organizacional (UO) à qual os computadores estão a aderir durante o Windows Autopilot, siga estes passos num computador que tenha acesso à consola do Usuários e Computadores do Active Directory:

1. Abra a consola do Usuários e Computadores do Active Directory ao executar DSA.msc.

2. Expanda o domínio pretendido e navegue para a unidade organizacional (UO) à qual os computadores estão a aderir durante o Windows Autopilot.

   Observação

   A UO que os computadores associam durante a implementação do Windows Autopilot é especificada mais tarde durante o passo Configurar e atribuir perfil de associação a um domínio .

3. Clique com o botão direito do rato na UO e selecione Delegar Controlo.

   Observação

   Se os computadores estiverem a associar o contentor Computadores predefinido em vez de uma UO, clique com o botão direito do rato no contentor Computadores e selecione Delegar Controlo.

4. Na janela Bem-vindo ao Assistente de Delegação de Controlo do Assistente de Delegação de Controlo, selecione Seguinte.

5. Na janela Utilizadores ou Grupos , em Utilizadores e grupos selecionados, selecione Adicionar.

6. Junto a Selecionar este tipo de objeto: na janela Selecionar Utilizadores, Computadores ou Grupos , selecione Tipos de Objeto.

7. Na janela Tipos de Objeto, selecione a caixa Computadores marcar e, em seguida, selecione OK. Os outros itens nesta janela podem ser deixados por predefinição.

8. Na janela Selecionar Utilizadores, Computadores ou Grupos, na caixa Introduzir os nomes dos objetos a selecionar, introduza o nome do computador onde o Conector Intune do Active Directory foi instalado durante o passo Instalar o Conector Intune.

9. Selecione Verificar Nomes para validar a entrada. Assim que a entrada for validada, selecione OK.

10. Na janela Utilizadores ou Grupos , verifique se o computador correto é apresentado em Utilizadores e grupos selecionados:e, em seguida, selecione Seguinte.

11. Na janela Tarefas a Delegar , selecione Criar uma tarefa personalizada para delegar e, em seguida, selecione Seguinte.

12. Na janela Tipo de Objeto do Active Directory :

    1. Selecione Apenas os seguintes objetos na pasta.

    2. Em Apenas os seguintes objetos na pasta, selecione Objetos de computador.

    3. Selecione a caixa de verificação Criar objetos selecionados nesta pasta .

    4. Selecione Avançar.

13. Na janela Permissões, em Permissões:, selecione a caixa de marcar Controlo Total e, em seguida, selecione Seguinte.

    Observação

    Depois de selecionar a caixa de marcar Controlo Total, todas as outras opções em Permissões: são selecionadas automaticamente. A seleção automática das caixas de verificação é normal e esperada. Não desmarque nenhuma das caixas de marcar depois de serem selecionadas automaticamente.

14. Na janela Concluir o Assistente de Delegação de Controlo , selecione Concluir.

Passo seguinte: Registar dispositivos como dispositivos Windows Autopilot

Passo 4: Registar dispositivos como dispositivos Windows Autopilot

Conteúdo relacionado

Para obter mais informações sobre como aumentar o limite de contas de computador numa Unidade Organizacional, veja os seguintes artigos:

• Aumente o limite da conta de computador na Unidade Organizacional.
• Limite predefinido para o número de estações de trabalho que um utilizador pode associar ao domínio.
• Adicionar estações de trabalho ao domínio.