Implementar Microsoft Entra dispositivos associados híbridos com o Intune e o Windows Autopilot
Importante
A Microsoft recomenda a implementação de novos dispositivos como nativos da cloud com Microsoft Entra associação. A implementação de novos dispositivos como Microsoft Entra dispositivos de associação híbrida não é recomendada, incluindo através do Windows Autopilot. Para obter mais informações, veja Microsoft Entra associado vs. Microsoft Entra associado híbrido em pontos finais nativos da cloud: que opção é adequada para a sua organização.
Intune e o Windows Autopilot podem ser utilizados para configurar Microsoft Entra dispositivos associados híbridos. Para isso, siga as etapas neste artigo. Para obter mais informações sobre Microsoft Entra associação híbrida, veja Understanding Microsoft Entra hybrid join and co-management (Compreender a associação híbrida e a cogestão).
Requisitos
A lista de requisitos para realizar Microsoft Entra associação híbrida durante o Windows Autopilot está organizada em três categorias diferentes:
- Geral - requisitos gerais.
- Inscrição de dispositivos – requisitos de inscrição de dispositivos.
- conector Intune - Intune Conector para requisitos do Active Directory.
Selecione o separador adequado para ver os requisitos relevantes:
Geral- Os dispositivos associados híbridos Microsoft Entra configurados com êxito. Certifique-se de que verifica o registo do dispositivo com o cmdlet Get-MgDevice .
- Se a filtragem baseada em Domínio e UO estiver configurada como parte do Microsoft Entra Connect, certifique-se de que a unidade organizacional (UO) predefinida ou o contentor destinado aos dispositivos Autopilot está incluído no âmbito de sincronização.
Configurar a inscrição automática de MDM do Windows
Inicie sessão na portal do Azure e selecione Microsoft Entra ID.
No painel esquerdo, selecione Gerir | Mobilidade (MDM e WIP)>Microsoft Intune.
Certifique-se de que os utilizadores que implementam Microsoft Entra dispositivos associados através do Intune e do Windows são membros de um grupo incluído no âmbito do Utilizador MDM.
Use os valores padrão para as caixas Termos de uso do MDM, Descoberta do MDM e URL da Conformidade do MDM e, em seguida, selecione Salvar.
Instalar o Conector do Intune para o Active Directory
O objetivo do Conector de Intune para o Active Directory, também conhecido como Conector de Associação a Um Domínio Offline (ODJ), é associar computadores a um domínio no local durante o processo do Windows Autopilot. O Conector Intune do Active Directory cria objetos de computador numa Unidade Organizacional (UO) especificada no Active Directory durante o processo de associação a um domínio.
Importante
A partir do Intune 2501, o Intune utiliza um Conector de Intune atualizado para o Active Directory que reforça a segurança e segue os princípios de menor privilégio através da utilização de uma Conta de Serviço Gerida (MSA). Quando o Conector de Intune do Active Directory é transferido a partir de Intune, o Conector de Intune atualizado para o Active Directory é transferido. O conector de Intune legado anterior do Active Directory ainda está disponível para transferência no Intune Connector para o Active Directory, mas a Microsoft recomenda a utilização do instalador atualizado Intune Connector para o Active Directory. O conector de Intune legado anterior do Active Directory continuará a funcionar em maio de 2025. No entanto, tem de ser atualizado para o Conector do Intune atualizado para o Active Directory antes disso para evitar a perda de funcionalidade. Para obter mais informações, veja Intune Connector for Active Directory with low-privileged account for Autopilot Hybrid Microsoft Entra join deployments (Conector do Intune para o Active Directory com poucas privilégios para implementações de associação de Microsoft Entra Híbridas do Autopilot).
A atualização do Conector Intune do Active Directory para a versão atualizada não é feita automaticamente. O Conector do Intune legado para o Active Directory tem de ser desinstalado manualmente, seguido do conector atualizado transferido e instalado manualmente. As instruções para o processo manual de desinstalação e instalação do Conector do Intune para o Active Directory são fornecidas nas secções seguintes.
Selecione o separador que corresponde à versão do Conector do Intune do Active Directory que está a ser instalado:
Conector atualizadoAntes de iniciar a instalação, certifique-se de que todos os requisitos do servidor do conector Intune são cumpridos.
Dica
É preferível, mas não necessário, que o administrador que instale e configure o Conector do Intune para o Active Directory tenha direitos de domínio adequados, conforme documentado no Intune Connector para requisitos do Active Directory. Este requisito permite que o Intune Connector para o instalador do Active Directory e o processo de configuração defina corretamente as permissões para a MSA no contentor computador ou UOs onde os objetos de computador são criados. Se o administrador não tiver estas permissões, um administrador que tenha as permissões adequadas tem de seguir a secção Aumentar o limite da conta de computador na Unidade Organizacional.
Desativar a Configuração de Segurança Avançada da Internet Explorer
Por padrão, o Windows Server tem a Configuração de Segurança Reforçada do Internet Explorer ativada. A Configuração de Segurança Avançada da Internet Explorer pode causar problemas ao iniciar sessão no Conector Intune do Active Directory. Uma vez que o Explorer da Internet foi preterido e, na maioria dos casos, nem sequer está instalado no Windows Server, a Microsoft recomenda desativar a Internet Explorer a Configuração de Segurança Avançada. Para desativar a Internet Explorer Configuração de Segurança Avançada:
Inicie sessão no servidor onde o Conector Intune do Active Directory está a ser instalado com uma conta que tenha direitos de administrador local.
Abra o Gerenciador de Servidores.
No painel esquerdo do Gerenciador do Servidor, selecione Servidor Local.
No painel PROPRIEDADES à direita do Gerenciador do Servidor, selecione a ligação Ativado ou Desativado junto a Configuração de Segurança Avançada do IE.
Na janela Internet Explorer Configuração de Segurança Avançada, selecione Desativado em Administradores:e, em seguida, selecione OK.
Transferir o Conector do Intune para o Active Directory
No servidor onde o Conector Intune do Active Directory está a ser instalado, inicie sessão no centro de administração do Microsoft Intune.
No ecrã Principal , selecione Dispositivos no painel esquerdo.
Em Dispositivos | Ecrã Descrição geral , em Por plataforma, selecione Windows.
No Windows | Ecrã Dispositivos Windows , em Inclusão de dispositivos, selecione Inscrição.
No Windows | Ecrã de inscrição do Windows, em Windows Autopilot, selecione Intune Conector do Active Directory.
No ecrã Intune Conector do Active Directory, selecione Adicionar.
Na janela Adicionar conector que é aberta, em Configurar o Conector Intune para o Active Directory, selecione Transferir o Conector Intune no local para o Active Directory. A ligação transfere um ficheiro chamado
ODJConnectorBootstrapper.exe.
Instalar o Conector do Intune para o Active Directory no servidor
Importante
O Conector Intune para instalação do Active Directory tem de ser feito com uma conta que tenha os seguintes direitos de domínio:
- Obrigatório – crie objetos msDs-ManagedServiceAccount no contentor Contas de Serviço Geridas.
- Opcional – Modificar permissões em UOs no Active Directory – se o administrador que está a instalar o Conector do Intune atualizado para o Active Directory não tiver este direito, os passos de configuração adicionais são exigidos por um administrador que tenha estes direitos. Para obter mais informações, veja o passo/secção Aumentar o limite da conta de computador na Unidade Organizacional.
Inicie sessão no servidor onde o Conector Intune do Active Directory está a ser instalado com uma conta que tenha direitos de administrador local.
Se o conector do Intune legado anterior do Active Directory estiver instalado, desinstale-o primeiro antes de instalar o Conector Intune atualizado para o Active Directory. Para obter mais informações, veja Desinstalar o Conector Intune do Active Directory.
Importante
Ao desinstalar o conector do Intune legado anterior para o Active Directory, certifique-se de que executa o conector do Intune legado para o instalador do Active Directory como parte do processo de desinstalação. Se o instalador legado Intune Connector for Active Directory pedir para Desinstalá-lo quando for executado, selecione para desinstalá-lo. Este passo garante que o conector de Intune legado anterior do Active Directory está totalmente desinstalado. O instalador legado do Intune Connector para o Active Directory pode ser transferido do Intune Connector para o Active Directory.
Dica
Em domínios com apenas um único conector de Intune para o Active Directory, a Microsoft recomenda que instale primeiro o Conector Intune atualizado para o Active Directory noutro servidor. A instalação do Conector Intune atualizado para o Active Directory noutro servidor deve ser efetuada antes de desinstalar o Conector do Intune legado para o Active Directory no servidor atual. Instalar o Conector do Intune para o Active Directory noutro primeiro evita qualquer período de indisponibilidade enquanto o Conector Intune do Active Directory está a ser atualizado no servidor atual.
Abra o
ODJConnectorBootstrapper.exeficheiro que transferiu para iniciar a instalação do Conector do Intune para a Configuração do Active Directory.Siga os passos do conector Intune para a instalação da Configuração do Active Directory.
No final da instalação, selecione a caixa de verificação Iniciar Intune Conector do Active Directory.
Observação
Se Intune a instalação do Conector do Active Directory for fechada acidentalmente sem selecionar a caixa de verificação Iniciar Intune Conector do Active Directory, a configuração do Conector Intune do Active Directory pode ser reaberta ao selecionar Intune Conector do Active Directory>Intune Conector do Active Directory no menu Iniciar.
Iniciar sessão no Conector do Intune para o Active Directory
Na janela Intune Conector do Active Directory, no separador Inscrição, selecione Iniciar Sessão.
No separador Iniciar Sessão, inicie sessão com as credenciais Microsoft Entra ID de uma função de administrador Intune. A conta de usuário deve ter uma licença válida do Intune. O processo de início de sessão pode demorar alguns minutos a ser concluído.
Observação
A conta utilizada para inscrever o Conector Intune para o Active Directory é apenas um requisito temporário no momento da instalação. A conta não é utilizada no futuro após a inscrição do servidor.
Quando o processo de início de sessão estiver concluído:
- É apresentada a janela de confirmação O Conector Intune do Active Directory para o Active Directory inscrito com êxito. Selecione OK para fechar a janela.
- É apresentada uma Conta de Serviço Gerida com o nome "<MSA_name>" que foi configurada com êxito na janela de confirmação. O nome da MSA está no formato
msaODJ#####em que ##### existem cinco carateres aleatórios. Anote o nome da MSA que foi criada e, em seguida, selecione OK para fechar a janela. O nome da MSA poderá ser necessário mais tarde para configurar o MSA para permitir a criação de objetos de computador em UOs.
O separador Inscrição mostra Intune Conector do Active Directory está inscrito. O botão Iniciar Sessão está a cinzento e a opção Configurar Conta de Serviço Gerida está ativada.
Feche a janela Intune Conector do Active Directory.
Verifique se o Conector Intune do Active Directory está ativo
Após a autenticação, o Conector Intune do Active Directory termina a instalação. Depois de concluir a instalação, verifique se está ativa no Intune ao seguir estes passos:
Aceda ao centro de administração do Microsoft Intune se ainda estiver aberto. Se a janela Adicionar conector ainda estiver apresentada, feche-a.
Se o centro de administração do Microsoft Intune ainda não estiver aberto:
No ecrã Principal , selecione Dispositivos no painel esquerdo.
Em Dispositivos | Ecrã Descrição geral , em Por plataforma, selecione Windows.
No Windows | Ecrã Dispositivos Windows , em Inclusão de dispositivos, selecione Inscrição.
No Windows | Ecrã de inscrição do Windows, em Windows Autopilot, selecione Intune Conector do Active Directory.
Na página Intune Connector for Active Directory (Conector do Intune para o Active Directory):
- Confirme que o servidor é apresentado em Nome do conector e apresentado como Ativo em Estado
- Para o Conector Intune atualizado para o Active Directory, certifique-se de que a versão é superior a 6.2501.2000.5.
Se o servidor não for apresentado, selecione Atualizar ou navegue para fora da página e, em seguida, navegue de volta para a página Intune Conector do Active Directory.
Observação
O servidor inscrito recentemente pode demorar vários minutos a aparecer na página do Conector do Intune do Active Directory do centro de administração do Microsoft Intune. O servidor inscrito só é apresentado se conseguir comunicar com o serviço Intune com êxito.
Os Conectores de Intune Inativos do Active Directory continuam a aparecer na página Intune Connector for Active Directory e serão limpos automaticamente após 30 dias.
Após a instalação do Conector de Intune para o Active Directory, iniciará o registo no Visualizador de Eventos no caminho Applications and Services Logs>Microsoft>Intune>ODJConnectorService. Neste caminho, Administração e Os registos operacionais podem ser encontrados.
Configurar a MSA para permitir a criação de objetos em UOs (opcional)
Por predefinição, os MSAs só têm acesso para criar objetos de computador no contentor Computadores . Os MSAs não têm acesso para criar objetos de computador em Unidades Organizacionais (UOs). Para permitir que a MSA crie objetos em UOs, as UOs têm de ser adicionadas ao ODJConnectorEnrollmentWiazard.exe.config ficheiro XML encontrado no ODJConnectorEnrollmentWizard diretório onde o Conector Intune para o Active Directory foi instalado, normalmente C:\Program Files\Microsoft Intune\ODJConnector\.
Para configurar a MSA para permitir a criação de objetos em UOs, siga estes passos:
No servidor onde está instalado o Conector do Intune para o Active Directory, navegue para
ODJConnectorEnrollmentWizardo diretório onde o conector Intune do Active Directory foi instalado, normalmenteC:\Program Files\Microsoft Intune\ODJConnector\.ODJConnectorEnrollmentWizardNo diretório, abra oODJConnectorEnrollmentWiazard.exe.configficheiro XML num editor de texto, por exemplo, Bloco de notas.ODJConnectorEnrollmentWiazard.exe.configNo ficheiro XML, adicione as UOs pretendidas nas quais a MSA deve ter acesso para criar objetos de computador. O nome da UO deve ser o nome único e, se aplicável, tem de ser escapado. O exemplo seguinte é uma entrada XML de exemplo com o nome único da UO:<appSettings> <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format. The ODJ Connector will only have permission to create computer objects in these OUs. The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY): Domain contains the following OUs: - OU=HybridDevices,DC=contoso,DC=com - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" --> <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" /> </appSettings>Assim que todas as UOs pretendidas forem adicionadas, guarde o
ODJConnectorEnrollmentWiazard.exe.configficheiro XML.Enquanto administrador com permissões adequadas para modificar permissões de UO, abra o Conector Intune do Active Directory ao navegar para Intune Conector do Active Directory>Intune Conector do Active Directory a partir do menu Iniciar.
Importante
Se o administrador que está a instalar e configurar o Conector do Intune para o Active Directory não tiver permissões para modificar permissões de UO, a secção/passos Aumentar o limite da conta de computador na Unidade Organizacional tem de ser seguido por um administrador que tenha permissões para modificar permissões de UO.
No separador Inscrição, na janela Intune Conector do Active Directory, selecione Configurar Conta de Serviço Gerida.
É apresentada uma Conta de Serviço Gerida com o nome "<MSA_name>" que foi configurada com êxito na janela de confirmação. Selecione OK para fechar a janela.
Definir configurações de proxy Web
Se existir um proxy Web no ambiente de rede, certifique-se de que o Conector Intune do Active Directory funciona corretamente ao consultar Trabalhar com servidores proxy no local existentes.
Aumentar o limite de conta de computador na Unidade Organizacional
Importante
Este passo só é necessário numa das seguintes condições:
- O administrador que instalou e configurou o Conector do Intune para o Active Directory não tinha os direitos adequados, conforme descrito em Intune Conector para Requisitos do Active Directory.
- O
ODJConnectorEnrollmentWiazard.exe.configficheiro XML não foi modificado para adicionar UOs para os quais a MSA deve ter permissões.
O objetivo do conector Intune para o Active Directory é associar computadores a um domínio e adicioná-los a uma UO. Por este motivo, a Conta de Serviço Gerida (MSA) que está a ser utilizada para o Conector do Intune para o Active Directory tem de ter permissões para criar contas de computador na UO onde os computadores estão associados ao domínio no local.
Com as permissões predefinidas no Active Directory, as associações de domínio pelo Conector Intune para o Active Directory poderão funcionar inicialmente sem quaisquer modificações de permissão à UO no Active Directory. No entanto, após a MSA tentar associar mais de 10 computadores ao domínio no local, deixará de funcionar porque, por predefinição, o Active Directory só permite que qualquer conta única associe até 10 computadores ao domínio no local.
Os seguintes utilizadores não são restringidos pela limitação de 10 associações a um domínio de computador:
- Utilizadores nos grupos Administradores ou Administradores de Domínio: para cumprir o modelo de princípios de menor privilégio, a Microsoft não recomenda que o MSA seja administrador ou administrador de domínio.
- Utilizadores com permissões delegadas em Unidades Organizacionais (UOs) e contentores no Active Directory para criar contas de computador: este método é recomendado, uma vez que segue o modelo de princípios de menor privilégio.
Para corrigir esta limitação, o MSA precisa da permissão Criar contas de computador na Unidade Organizacional (UO) à qual os computadores estão associados no domínio no local. O Conector Intune do Active Directory define as permissões dos MSAs para as UOs, desde que seja cumprida uma das seguintes condições:
- O administrador que está a instalar o Conector Intune para o Active Directory tem as permissões necessárias para definir permissões nas UOs.
- O administrador que configura o Conector Intune para o Active Directory tem as permissões necessárias para definir permissões nas UOs.
Se o administrador que está a instalar ou configurar o Conector do Intune para o Active Directory não tiver as permissões necessárias para definir permissões nas UOs, é necessário seguir os seguintes passos:
Inicie sessão num computador que tenha acesso à consola do Usuários e Computadores do Active Directory com uma conta que, como as permissões necessárias para definir permissões em UOs.
Abra a consola do Usuários e Computadores do Active Directory ao executar DSA.msc.
Expanda o domínio pretendido e navegue para a unidade organizacional (UO) à qual os computadores estão a aderir durante o Windows Autopilot.
Observação
A UO que os computadores associam durante a implementação do Windows Autopilot é especificada mais tarde durante o passo Configurar e atribuir perfil de associação a um domínio .
Clique com o botão direito do rato na UO e selecione Propriedades.
Observação
Se os computadores estiverem a associar o contentor Computadores predefinido em vez de uma UO, clique com o botão direito do rato no contentor Computadores e selecione Delegar Controlo.
Nas janelas propriedades da UO que é aberta, selecione o separador Segurança .
No separador Segurança , selecione Avançadas.
Na janela Definições de Segurança Avançadas , selecione Adicionar.
Nas janelas Entrada de Permissão , junto a Principal, selecione a ligação Selecionar um principal .
Na janela Selecionar Utilizador, Computador, Conta de Serviço ou Grupo, selecione o botão Tipos de Objeto...
Na janela Tipos de Objeto, selecione a caixa de marcar Contas de Serviço e, em seguida, selecione OK.
Na janela Selecionar Utilizador, Computador, Conta de Serviço ou Grupo, em Introduzir o nome do objeto a selecionar, introduza o nome da MSA que está a ser utilizada para o Conector Intune do Active Directory.
Dica
O MSA foi criado durante a secção Instalar o Conector do Intune para o Active Directory e tem o formato de nome onde
msaODJ########## estão cinco carateres aleatórios. Se o nome MSA não for conhecido, siga estes passos para encontrar o nome MSA:- No servidor que executa o Conector Intune do Active Directory, clique com o botão direito do rato no menu Iniciar e, em seguida, selecione Gestão de Computadores.
- Na janela Gestão de Computadores , expanda Serviços e Aplicações e, em seguida, selecione Serviços.
- No painel de resultados, localize o serviço com o nome Intune ODJConnector para Serviço Ativo. O nome da MSA está listado na coluna Iniciar Sessão Como .
Selecione Verificar Nomes para validar a entrada de nome MSA. Assim que a entrada for validada, selecione OK.
Nas janelas Entrada de Permissão , selecione o menu pendente Aplica-se a: e, em seguida, selecione Apenas este objeto.
Em Permissões, anule a seleção de todos os itens e, em seguida, selecione apenas a caixa de marcar Criar Objetos de computador.
Selecione OK para fechar a janela Entrada de Permissão .
Na janela Definições de Segurança Avançadas , selecione Aplicar ou OK para aplicar as alterações.
Criar um grupo de dispositivos
No centro de administração do Microsoft Intune, selecione Grupos>Novo grupo.
No painel Grupo , selecione as seguintes opções:
Para Tipo de grupo, selecione Segurança.
Insira o Nome do grupo e a Descrição do grupo.
Selecione um Tipo de associação.
Se Dispositivos Dinâmicos estiver selecionado para o tipo de associação, no painel Grupo , selecione Membros do dispositivo dinâmico.
Selecione Editar na caixa Sintaxe de Regra e insira uma das seguintes linhas de código:
Para criar um grupo que inclua todos os dispositivos Windows Autopilot, introduza:
(device.devicePhysicalIDs -any _ -startsWith "[ZTDId]")O campo Etiqueta de Grupo do Intune mapeia para o atributo OrderID em dispositivos Microsoft Entra. Para criar um grupo que inclua todos os dispositivos Windows Autopilot com uma Etiqueta de Grupo (OrderID) específica, introduza:
(device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")Para criar um grupo que inclua todos os dispositivos Windows Autopilot com um ID de Nota de Encomenda específico, introduza:
(device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")
Selecione Salvar>Criar.
Registar dispositivos Windows Autopilot
Selecione uma das seguintes formas de inscrever dispositivos Windows Autopilot.
Registar dispositivos Windows Autopilot já inscritos
Crie um perfil de implementação do Windows Autopilot com a definição Converter todos os dispositivos visados no Autopilot definido como Sim.
Atribua o perfil a um grupo que contenha os membros que precisam de ser registados automaticamente no Windows Autopilot.
Para obter mais informações, confira Criar um perfil de implantação do Autopilot.
Registar dispositivos Windows Autopilot que não estão inscritos
Os dispositivos que ainda não estão inscritos no Windows Autopilot podem ser registados manualmente. Para obter mais informações, consulte Registro manual.
Registrar dispositivos de um OEM
Se comprar novos dispositivos, alguns OEMs podem registar os dispositivos em nome da organização. Para obter mais informações, consulte registro OEM.
Apresentar o dispositivo Windows Autopilot registado
Antes de os dispositivos se inscreverem no Intune, os dispositivos Windows Autopilot registados são apresentados em três locais (com nomes definidos para os respetivos números de série):
- O painel Dispositivos do Windows Autopilot no centro de administração do Microsoft Intune. Selecionar Dispositivos>Por plataforma | Inclusão de Dispositivos Windows>| Inscrição. Em Windows Autopilot, selecione Dispositivos.
- Os Dispositivos | Painel Todos os dispositivos na portal do Azure. Selecione Dispositivos>Todos os dispositivos.
- O painel Autopilot no Centro de administração do Microsoft 365. Selecione Dispositivos>Autopilot.
Após a inscrição dos dispositivos Windows Autopilot, os dispositivos são apresentados em quatro locais:
- Os Dispositivos | Painel Todos os Dispositivos no centro de administração do Microsoft Intune. Selecione Dispositivos>Todos os dispositivos.
- O Windows | Painel dispositivos Windows no centro de administração do Microsoft Intune. Selecionar Dispositivos>Por plataforma | Windows.
- Os Dispositivos | Painel Todos os dispositivos na portal do Azure. Selecione Dispositivos>Todos os dispositivos.
- O painel Dispositivos ativos no Centro de administração do Microsoft 365. Selecione Dispositivos Dispositivos>ativos.
Observação
Após a inscrição dos dispositivos, os dispositivos continuam a ser apresentados no painel Dispositivos Windows Autopilot no centro de administração do Microsoft Intune e no painel do Autopilot no Centro de administração do Microsoft 365, mas esses objetos são objetos registados no Windows Autopilot.
Um objeto de dispositivo é pré-criado no Microsoft Entra ID quando um dispositivo é registado no Windows Autopilot. Quando um dispositivo passa por uma implementação de Microsoft Entra híbrida, por predefinição, é criado outro objeto de dispositivo que resulta em entradas duplicadas.
VPNs
Os seguintes clientes VPN são testados e validados:
- Cliente VPN do Windows in-box
- Cisco AnyConnect (cliente Win32)
- Pulse Secure (cliente Win32)
- GlobalProtect (cliente Win32)
- Ponto de verificação (cliente Win32)
- Citrix NetScaler (cliente Win32)
- SonicWall (cliente Win32)
- VPN FortiClient (Cliente Win32)
Ao utilizar VPNs, selecione Sim para a opção Ignorar conectividade do AD marcar no perfil de implementação do Windows Autopilot. Always-On VPNs não devem exigir esta opção, uma vez que se liga automaticamente.
Observação
Esta lista de clientes VPN não é uma lista abrangente de todos os clientes VPN que funcionam com o Windows Autopilot. Contacte o respetivo fornecedor de VPN relativamente à compatibilidade e à capacidade de suporte com o Windows Autopilot ou sobre quaisquer problemas com a utilização de uma solução VPN com o Windows Autopilot.
Clientes VPN não suportados
Sabe-se que as seguintes soluções de VPN não funcionam com o Windows Autopilot e, por conseguinte, não são suportadas para utilização com o Windows Autopilot:
- Plug-ins VPN baseados em UWP
- Qualquer coisa que exija um certificado de usuário
- DirectAccess
Observação
A omissão de um cliente VPN específico desta lista não significa automaticamente que é suportada ou que funciona com o Windows Autopilot. Esta lista lista apenas os clientes VPN que são conhecidos por não funcionarem com o Windows Autopilot.
Criar e atribuir um perfil de implementação do Windows Autopilot
Os perfis de implementação do Windows Autopilot são utilizados para configurar os dispositivos Windows Autopilot.
No ecrã Principal , selecione Dispositivos no painel esquerdo.
Em Dispositivos | Ecrã Descrição geral , em Por plataforma, selecione Windows.
No Windows | Ecrã Dispositivos Windows , em Inclusão de dispositivos, selecione Inscrição.
No Windows | Ecrã de inscrição do Windows , em Windows Autopilot, selecione Perfis de Implementação.
No ecrã Perfis de implementação do Windows Autopilot , selecione o menu pendente Criar Perfil e, em seguida, selecione PC Windows.
No ecrã Criar perfil , na página Noções Básicas , introduza um Nome e uma Descrição opcional.
Se todos os dispositivos nos grupos atribuídos se registarem automaticamente no Windows Autopilot, defina Converter todos os dispositivos visados para o Autopilot comoSim. Todos os dispositivos empresariais pertencentes à empresa que não pertencem ao Windows Autopilot em grupos atribuídos registam-se no serviço de implementação do Windows Autopilot. Os dispositivos pessoais não estão registados no Windows Autopilot. Aguarde 48 horas para que o registro seja processado. Quando a inscrição e a reposição do dispositivo forem anuladas, o Windows Autopilot volta a inscrevê-lo. Depois de um dispositivo ser registado desta forma, desativar esta definição ou remover a atribuição de perfil não removerá o dispositivo do serviço de implementação do Windows Autopilot. Em vez disso, os dispositivos têm de ser eliminados diretamente. Para obter mais informações, veja Eliminar dispositivos Autopilot.
Selecione Avançar.
Na página OOBE (Experiência de configuração inicial pelo usuário), para o Modo de implantação, selecione Orientado pelo usuário.
Na caixa Associar ao Microsoft Entra ID como, selecione Microsoft Entra associado híbrido.
Se implementar dispositivos fora da rede da organização com suporte de VPN, defina a opção Ignorar Verificação de Conectividade de Domínio como Sim. Para obter mais informações, veja Modo orientado pelo utilizador para Microsoft Entra associação híbrida com suporte de VPN.
Configure as opções restantes da página Experiência de configuração inicial pelo usuário (OOBE) como necessário.
Selecione Avançar.
Na página Marcas de escopo, selecione as marcas de escopo para esse perfil.
Selecione Avançar.
Na página Atribuições, selecione Selecionar grupos para incluir> a pesquisa e selecione o grupo > de dispositivos Selecionar.
Selecione Avançar>Criar.
Observação
Intune verifica periodicamente a existência de novos dispositivos nos grupos atribuídos e, em seguida, inicia o processo de atribuição de perfis a esses dispositivos. Devido a vários fatores diferentes envolvidos no processo de atribuição de perfis do Windows Autopilot, um tempo estimado para a atribuição pode variar de cenário para cenário. Estes fatores podem incluir Microsoft Entra grupos, regras de associação, hash de um dispositivo, serviço Intune e Windows Autopilot e ligação à Internet. O tempo de atribuição varia consoante todos os fatores e variáveis envolvidos num cenário específico.
(Opcional) Ative a página de status de registro
No ecrã Principal , selecione Dispositivos no painel esquerdo.
Em Dispositivos | Ecrã Descrição geral , em Por plataforma, selecione Windows.
No Windows | Ecrã Dispositivos Windows , em Inclusão de dispositivos, selecione Inscrição.
No Windows | Ecrã de inscrição do Windows , em Windows Autopilot, selecione Página de Estado da Inscrição.
No painel Página de Status de Registro, selecione Padrão>Configurações.
Na caixa Mostrar o progresso da instalação do aplicativo e do perfil, selecione Sim.
Configure as outras opções conforme necessário.
Selecione Salvar.
Criar e atribuir um perfil de Ingresso no Domínio
No centro de administração do Microsoft Intune, selecione Dispositivos>Gerir dispositivos | Políticas>deConfiguração >Criar>Nova Política.
Na janela Criar um perfil que é aberta, introduza as seguintes propriedades:
- Nome: insira um nome descritivo para o novo perfil.
- Descrição: Insira uma descrição para o perfil.
- Plataforma: Selecione Windows 10 e posterior.
- Tipo de perfil: selecione Modelos, selecione o nome do modelo Associação a Um Domínio e selecione Criar.
Insira o Nome e a Descrição e selecione Próximo.
Forneça um Prefixo do nome do computador e Nome do domínio.
(Opcional) Forneça uma UO Unidade organizacional no formato. As opções incluem:
- Forneça uma UO na qual o controlo é delegado ao dispositivo Windows que está a executar o Conector Intune do Active Directory.
- Forneça uma UO na qual o controlo é delegado aos computadores raiz no Active Directory local da organização.
- Se este campo for deixado em branco, o objeto de computador é criado no contentor predefinido do Active Directory. Normalmente, o contentor predefinido é o
CN=Computerscontentor. Para obter mais informações, veja Redirecionar os contentores de utilizadores e computadores em domínios do Active Directory.
Exemplos válidos:
OU=SubOU,OU=TopLevelOU,DC=contoso,DC=comOU=Mine,DC=contoso,DC=com
Exemplos inválidos:
-
CN=Computers,DC=contoso,DC=com- não é possível especificar um contentor. Em vez disso, deixe o valor em branco para utilizar a predefinição para o domínio. -
OU=Mine- o domínio tem de ser especificado através dosDC=atributos.
Certifique-se de que não utiliza aspas à volta do valor na Unidade organizacional.
Selecione OK>Criar. O perfil é criado e exibido na lista.
Atribua um perfil de dispositivo ao mesmo grupo usado na etapa Criar um grupo de dispositivos. Grupos diferentes podem ser usados se houver a necessidade de unir dispositivos a domínios ou UOs diferentes.
Observação
A capacidade de nomenclatura do Windows Autopilot para Microsoft Entra associação híbrida não suporta variáveis como %SERIAL%. Só suporta prefixos para o nome do computador.
Desinstalar o Conector do Intune para o Active Directory
O Conector Intune do Active Directory é instalado localmente num computador através de um ficheiro executável. Se o Conector Intune para o Active Directory precisar de ser desinstalado de um computador, também tem de ser feito localmente no computador. O Conector de Intune do Active Directory não pode ser removido através do portal do Intune ou através de uma chamada à graph API.
Para desinstalar o Conector Intune do Active Directory a partir do servidor, selecione o separador adequado para a versão do SO Windows Server e, em seguida, siga os passos:
Inicie sessão no computador que aloja o Conector Intune do Active Directory.
Clique com o botão direito do rato no menu Iniciar e, em seguida, selecione DefiniçõesAplicações>Instaladas>.
Ou
Selecione o seguinte atalho Aplicações > Instaladas :
Na janela Aplicações > Instaladas aplicações, localize Intune Conector do Active Directory.
Junto a Intune Conector do Active Directory, selecione ...>Desinstale e, em seguida, selecione o botão Desinstalar.
O Conector Intune do Active Directory continua a desinstalar.
Em alguns casos, o Conector do Intune para o Active Directory poderá não ser totalmente desinstalada até que o conector de Intune original do instalador
ODJConnectorBootstrapper.exedo Active Directory seja novamente executado. Para verificar se o Conector Intune do Active Directory está totalmente desinstalado, execute oODJConnectorBootstrapper.exeinstalador novamente. Se pedir para Desinstalar, selecione para desinstalá-lo. Caso contrário, feche oODJConnectorBootstrapper.exeinstalador.Observação
O instalador legado do Intune Connector para o Active Directory pode ser transferido a partir do Conector do Intune para o Active Directory e só deve ser utilizado para desinstalações. Para novas instalações, utilize o Conector Intune atualizado para o Active Directory.
Próximas etapas
Depois de configurar o Windows Autopilot, saiba como gerir esses dispositivos. Para obter mais informações, confira O que é gerenciamento de dispositivos do Microsoft Intune?.
Conteúdo relacionado
- O que é uma identidade de dispositivo?.
- Saiba mais sobre os pontos finais nativos da cloud.
- Microsoft Entra associados vs. Microsoft Entra associados híbridos em pontos finais nativos da cloud.
- Tutorial: Configurar um ponto final do Windows nativo da cloud com Microsoft Intune.
- Como: Planear a implementação da associação Microsoft Entra.
- Uma arquitetura para a transformação de gestão de pontos finais do Windows.
- Compreender os cenários de Azure AD e cogestão híbridos.
- Êxito com a associação remota do Windows Autopilot e do Azure Active Directory híbrido.