Гибридное присоединение к Microsoft Entra, управляемое пользователем: установите соединитель Intune
Этапы гибридного присоединения к Windows Autopilot, управляемые пользователем Microsoft Entra:
- Шаг 2. Установка соединителя Intune
- Шаг 3. Увеличение лимита учетной записи компьютера в подразделении
- Шаг 4. Регистрация устройств в качестве устройств Windows Autopilot
- Шаг 5 . Создание группы устройств
- Шаг 6. Настройка и назначение страницы состояния регистрации Windows Autopilot (ESP)
- Шаг 7. Создание и назначение профиля Windows Autopilot для гибридного присоединения Microsoft Entra
- Шаг 8 . Настройка и назначение профиля присоединения к домену
- Шаг 9. Назначение устройства Windows Autopilot пользователю (необязательно)
- Шаг 10. Развертывание устройства
Общие сведения о рабочем процессе гибридного присоединения windows Autopilot, управляемом пользователем Microsoft Entra, см. в статье Общие сведения о гибридном присоединении к Windows Autopilot, управляемом пользователем Microsoft Entra.
Примечание.
Если соединитель Intune уже установлен и настроен, пропустите этот шаг и перейдите к шагу 3. Увеличение лимита учетной записи компьютера в подразделении.
Установка соединителя Intune для Active Directory
Цель соединителя Intune для Active Directory, также известного как соединитель автономного присоединения к домену (ODJ), заключается в присоединении компьютеров к локальному домену во время процесса Windows Autopilot. Соединитель Intune для Active Directory создает объекты-компьютеры в указанном подразделении в Active Directory во время присоединения к домену.
Важно!
Начиная с Intune 2501, Intune использует обновленный соединитель Intune для Active Directory, который повышает безопасность и соблюдает принципы минимальных привилегий с помощью управляемой учетной записи службы (MSA). Когда соединитель Intune для Active Directory скачан из Intune, загружается обновленный соединитель Intune для Active Directory. Предыдущий устаревший соединитель Intune для Active Directory по-прежнему доступен для скачивания на странице Intune Connector for Active Directory, но корпорация Майкрософт рекомендует использовать обновленный установщик соединителя Intune для Active Directory в будущем. Предыдущий устаревший соединитель Intune для Active Directory продолжит работу в мае 2025 г. Однако перед этим его необходимо обновить до обновленного соединителя Intune для Active Directory, чтобы избежать потери функциональности. Дополнительные сведения см. в статье Соединитель Intune для Active Directory с низкой привилегированной учетной записью для развертываний гибридного Microsoft Entra присоединения к Autopilot.
Обновление соединителя Intune для Active Directory до обновленной версии не выполняется автоматически. Устаревший соединитель Intune для Active Directory необходимо удалить вручную, а затем вручную загрузить и установить обновленный соединитель. Инструкции по ручному удалению и установке соединителя Intune для Active Directory приведены в следующих разделах.
Выберите вкладку, соответствующую версии устанавливаемого соединителя Intune для Active Directory:
Обновленный соединительПеред началом установки убедитесь, что выполнены все требования к серверу соединителя Intune.
Совет
Предпочтительнее, но не обязательно, чтобы администратор, устанавливающий и настроив соединитель Intune для Active Directory, обладает соответствующими правами на домен, как описано в разделе требования Intune Connector for Active Directory. Это требование позволяет установщику и процессу настройки соединителя Intune для Active Directory правильно задать разрешения для MSA в контейнере компьютеров или подразделениях, в которых создаются объекты-компьютеры. Если у администратора нет этих разрешений, администратор с соответствующими разрешениями должен следовать разделу Увеличение лимита учетной записи компьютера в подразделении.
Отключение конфигурации расширенной безопасности в Интернете Обозреватель
По умолчанию для Windows Server включена конфигурация усиленной безопасности Internet Explorer. Конфигурация усиленной безопасности Интернета Обозреватель может вызвать проблемы со входом в соединитель Intune для Active Directory. Так как интернет-Обозреватель не рекомендуется использовать и в большинстве случаев даже не устанавливается на Windows Server, корпорация Майкрософт рекомендует отключить настройку расширенной безопасности в Интернете Обозреватель. Чтобы отключить интернет-Обозреватель конфигурацию усиленной безопасности, выполните приведенные далее действия.
Войдите на сервер, на котором устанавливается соединитель Intune для Active Directory с учетной записью с правами локального администратора.
Откройте диспетчер сервера.
В левой области диспетчер сервера выберите Локальный сервер.
В правой области СВОЙСТВА диспетчер сервера выберите ссылку Вкл. или Выкл. рядом с элементом Конфигурация усиленной безопасности IE.
В окне Конфигурация расширенной безопасности Интернета Обозреватель выберите Выкл. в разделе Администраторы:, а затем нажмите кнопку ОК.
Скачивание соединителя Intune для Active Directory
На сервере, где устанавливается соединитель Intune для Active Directory, войдите в Центр администрирования Microsoft Intune.
На начальном экране выберите Устройства в области слева.
В разделе Устройства | Экран "Обзор " в разделе По платформе выберите Windows.
В Windows | Экран устройств Windows в разделе Подключение устройств выберите Регистрация.
В Windows | Экран регистрации Windows в разделе Windows Autopilot выберите Intune Соединитель для Active Directory.
На экране соединитель Intune для Active Directory выберите Добавить.
В открывающемся окне Добавление соединителя в разделе Настройка соединителя Intune для Active Directory выберите Скачать локальный соединитель Intune для Active Directory. Ссылка скачивает файл с именем
ODJConnectorBootstrapper.exe.
Установка соединителя Intune для Active Directory на сервере
Важно!
Установка соединителя Intune для Active Directory должна выполняться с учетной записью, которая имеет следующие права домена:
- Обязательный . Создание объектов msDs-ManagedServiceAccount в контейнере Управляемые учетные записи служб.
- Необязательно. Изменение разрешений в подразделениях в Active Directory. Если администратор, устанавливающий обновленный соединитель Intune для Active Directory, не имеет этого права, администратору, который имеет эти права, требуются дополнительные действия по настройке. Дополнительные сведения см. в разделе Шаг или раздел Увеличение лимита учетной записи компьютера в подразделении.
Войдите на сервер, на котором устанавливается соединитель Intune для Active Directory с учетной записью с правами локального администратора.
Если установлен предыдущий устаревший соединитель Intune для Active Directory, сначала удалите его перед установкой обновленного соединителя Intune для Active Directory. Дополнительные сведения см. в статье Удаление соединителя Intune для Active Directory.
Важно!
При удалении предыдущего устаревшего соединителя Intune для Active Directory обязательно запустите установщик устаревшей версии соединителя Intune для Active Directory в процессе удаления. Если установщик устаревшей версии соединителя Intune для Active Directory предлагает удалить его при запуске, выберите , чтобы удалить его. Этот шаг гарантирует, что предыдущий устаревший соединитель Intune для Active Directory будет полностью удален. Устаревший установщик соединителя Intune для Active Directory можно скачать на странице Intune Connector for Active Directory.
Совет
В доменах с одним соединителем Intune для Active Directory корпорация Майкрософт рекомендует сначала установить обновленный соединитель Intune для Active Directory на другом сервере. Перед удалением устаревшего соединителя Intune для Active Directory на текущем сервере необходимо установить обновленный соединитель Intune для Active Directory. Установка соединителя Intune для Active Directory на другом сервере позволяет избежать простоя, пока соединитель Intune для Active Directory обновляется на текущем сервере.
Откройте скачанный
ODJConnectorBootstrapper.exeфайл, чтобы запустить установку установки соединителя Intune для Active Directory.Пошаговое руководство по установке соединителя Intune для Active Directory.
В конце установки установите флажок Запустить соединитель Intune для Active Directory.
Примечание.
Если установка установки Intune соединителя для Active Directory случайно закрыта без установки флажка Запустить соединитель Intune для Active Directory, конфигурацию Intune connector for Active Directory можно повторно открыть, выбрав Intune Connector for Active Directory>Intune Соединитель для Active Directory в меню "Пуск".
Вход в соединитель Intune для Active Directory
В окне соединителя Intune для Active Directory на вкладке Регистрация выберите Войти.
На вкладке Вход войдите с Microsoft Entra ID учетными данными Intune роли администратора. Учетной записи пользователя должна быть назначена лицензия Intune. Процесс входа может занять несколько минут.
Примечание.
Учетная запись, используемая для регистрации соединителя Intune для Active Directory, является временным требованием на момент установки. Учетная запись не используется в дальнейшем после регистрации сервера.
После завершения процесса входа:
- Откроется окно подтверждения успешно зарегистрированного соединителя Intune для Active Directory. Нажмите кнопку ОК , чтобы закрыть окно.
- Откроется окно подтверждения управляемой учетной записи службы с именем "<MSA_name>". Имя MSA имеет формат
msaODJ#####, в котором ##### содержит пять случайных символов. Укажите имя созданного msa и нажмите кнопку ОК , чтобы закрыть окно. Имя MSA может потребоваться позже, чтобы настроить MSA, чтобы разрешить создание объектов-компьютеров в подразделениях.
На вкладке Регистрацияотображается Intune соединитель для Active Directory зарегистрирован. Кнопка Войти выделена серым цветом и включена настройка управляемой учетной записи службы .
Закройте окно соединителя Intune для Active Directory.
Проверка активности соединителя Intune для Active Directory
После проверки подлинности соединитель Intune для Active Directory завершает установку. После завершения установки убедитесь, что он активен в Intune, выполнив следующие действия.
Перейдите в центр администрирования Microsoft Intune, если он по-прежнему открыт. Если окно Добавление соединителя по-прежнему отображается, закройте его.
Если центр администрирования Microsoft Intune по-прежнему не открыт:
Войдите в Центр администрирования Microsoft Intune.
На начальном экране выберите Устройства в области слева.
В разделе Устройства | Экран "Обзор " в разделе По платформе выберите Windows.
В Windows | Экран устройств Windows в разделе Подключение устройств выберите Регистрация.
В Windows | Экран регистрации Windows в разделе Windows Autopilot выберите Intune Соединитель для Active Directory.
На странице соединителя Intune для Active Directory:
- Убедитесь, что сервер отображается в поле Имя соединителя и отображается как Активный в разделе Состояние.
- Для обновленного соединителя Intune для Active Directory убедитесь, что версия больше или равна 6.2501.2000.5.
Если сервер не отображается, выберите Обновить или перейдите со страницы, а затем вернитесь на страницу соединителя Intune для Active Directory.
Примечание.
На появление нового зарегистрированного сервера на странице соединителя Intune для Active Directoryцентра администрирования Microsoft Intune может потребоваться несколько минут. Зарегистрированный сервер отображается только в том случае, если он может успешно взаимодействовать со службой Intune.
Неактивные соединители Intune для Active Directory по-прежнему отображаются на странице соединителя Intune для Active Directory и автоматически очищаются через 30 дней.
После установки соединителя Intune для Active Directory начнется вход в Просмотр событий по пути Журналы >приложений и службMicrosoft>Intune>ODJConnectorService. По этому пути можно найти журналы Администратор и операционные журналы.
Настройка MSA для разрешения создания объектов в подразделениях (необязательно)
По умолчанию msa имеют доступ только для создания объектов-компьютеров в контейнере Компьютеры . MSA не имеют доступа к созданию объектов-компьютеров в подразделениях . Чтобы разрешить MSA создавать объекты в подразделениях, подразделения должны быть добавлены ODJConnectorEnrollmentWizard.exe.config в XML-файл, найденный в ODJConnectorEnrollmentWizard каталоге, где был установлен соединитель Intune для Active Directory, обычно C:\Program Files\Microsoft Intune\ODJConnector\.
Чтобы настроить MSA для разрешения создания объектов в подразделениях, выполните следующие действия.
На сервере, где установлен соединитель Intune для Active Directory, перейдите в
ODJConnectorEnrollmentWizardкаталог, где был установлен соединитель Intune для Active Directory( обычноC:\Program Files\Microsoft Intune\ODJConnector\).В каталоге
ODJConnectorEnrollmentWizardоткройтеODJConnectorEnrollmentWizard.exe.configXML-файл в текстовом редакторе, например в Блокноте.ODJConnectorEnrollmentWizard.exe.configВ XML-файле добавьте все необходимые подразделения, к которым MSA должен иметь доступ для создания объектов-компьютеров. Имя подразделения должно быть различаемым и, если применимо, должно быть экранировано. Ниже приведен пример XML-записи с различающееся имя подразделения:<appSettings> <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format. The ODJ Connector will only have permission to create computer objects in these OUs. The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY): Domain contains the following OUs: - OU=HybridDevices,DC=contoso,DC=com - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" --> <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" /> </appSettings>После добавления всех необходимых подразделений сохраните
ODJConnectorEnrollmentWizard.exe.configXML-файл.Как администратор, имеющий соответствующие разрешения на изменение разрешений подразделения, откройте соединитель Intune для Active Directory, перейдя к Intune Соединитель для Active Directory>Intune Соединитель для Active Directory в меню Пуск.
Важно!
Если администратор, устанавливающий и настроив соединитель Intune для Active Directory, не имеет разрешений на изменение разрешений подразделения, за разделом или действиями Увеличение ограничения учетной записи компьютера в подразделении должен следовать администратор, имеющий разрешения на изменение разрешений подразделения.
На вкладке Регистрация в окне соединителя Intune для Active Directory выберите Настроить управляемую учетную запись службы.
Откроется окно подтверждения управляемой учетной записи службы с именем "<MSA_name>". Нажмите кнопку ОК , чтобы закрыть окно.