Развертывание Microsoft Entra устройств с гибридным присоединением с помощью Intune и Windows Autopilot

• Применяется к:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Важно!

Корпорация Майкрософт рекомендует развертывать новые устройства как облачные с помощью Microsoft Entra присоединения. Развертывание новых устройств как Microsoft Entra устройств гибридного соединения не рекомендуется, в том числе с помощью Windows Autopilot. Дополнительные сведения см. в разделе Microsoft Entra присоединение и Microsoft Entra гибридное присоединение в облачных конечных точках: какой вариант подходит для вашей организации.

Intune и Windows Autopilot можно использовать для настройки Microsoft Entra устройств с гибридным присоединением. Для этого выполните действия, описанные в этой статье. Дополнительные сведения о гибридном присоединении Microsoft Entra см. в статье Общие сведения о гибридном присоединении и совместном управлении Microsoft Entra.

Требования

Список требований для выполнения Microsoft Entra гибридного присоединения во время Windows Autopilot состоит из трех различных категорий:

• Общие — общие требования.
• Регистрация устройств — требования к регистрации устройств.
• соединитель Intune — соединитель Intune для требований Active Directory.

Выберите соответствующую вкладку, чтобы просмотреть соответствующие требования:

Общие

• Устройства Microsoft Entra с гибридным присоединением успешно настроены. Обязательно проверьте регистрацию устройства с помощью командлета Get-MgDevice .
• Если фильтрация на основе доменов и подразделений настроена как часть Microsoft Entra Connect, убедитесь, что подразделение или контейнер по умолчанию, предназначенные для устройств Autopilot, включены в область синхронизации.

Регистрация устройства

Устройство, которое необходимо зарегистрировать, должно соответствовать указанным ниже требованиям.

• Используйте поддерживаемую в настоящее время версию Windows.
• Доступ к Интернету, характеристики которого соответствуют требованиям Windows Autopilot к сети.
• Доступ к контроллеру домена Active Directory.
• Успешное подключение контроллера домена к присоединению.
• При использовании прокси-сервера необходимо включить и настроить параметр Параметры прокси-сервера для протокола автоматического обнаружения веб-прокси (WPAD).
• Пройденный запуск при первом включении компьютера (OOBE).
• Используйте тип авторизации, который Microsoft Entra ID поддерживает в OOBE.

Хотя настройка гибридного присоединения Microsoft Entra для федеративных служб Active Directory (ADFS) не является обязательной, позволяет ускорить процесс регистрации Windows Autopilot Microsoft Entra во время развертываний. Федеративные клиенты, которые не поддерживают использование паролей и используют ADFS, должны выполнить действия, описанные в статье службы федерации Active Directory (AD FS) поддержку параметров prompt=login, чтобы правильно настроить интерфейс проверки подлинности.

соединитель Intune

• Соединитель Intune для Active Directory, также известный как соединитель автономного присоединения к домену (ODJ), должен быть установлен на компьютере под управлением Windows Server 2016 или более поздней версии с платформа .NET Framework версии 4.7.2 или более поздней.

• Сервер, на котором размещен соединитель Intune для Active Directory, должен иметь доступ к Интернету и Active Directory.

  Примечание.

  Соединителю Intune для сервера Active Directory требуется стандартный доступ клиента домена к контроллерам домена, который включает требования к порту RPC, необходимые для связи с Active Directory. Дополнительные сведения см. в следующих статьях:

  • Обзор служб и требования к сетевым портам в Windows
  • Как настроить брандмауэр для управления доменами Active Directory и отношениями доверия
  • Порты и протоколы, необходимые для гибридной идентификации

• Чтобы увеличить масштаб и доступность, в домене можно установить несколько соединителей. Каждый соединитель должен иметь возможность создавать объекты-компьютеры в домене, который он поддерживает.

• Администратор, устанавливающий соединитель Intune для Active Directory, должен быть локальным администратором на сервере, на котором устанавливается соединитель Intune для Active Directory.

• Для обновленного соединителя Intune для Active Directory установка должна выполняться с учетной записью, которая имеет следующие права домена:

  • Обязательный . Создание объектов msDs-ManagedServiceAccount в контейнере Управляемых учетных записей служб

  • Необязательно. Изменение разрешений в подразделениях в Active Directory. Если администратор, устанавливающий обновленный соединитель Intune для Active Directory, не имеет этого права, администратору, который имеет эти права, требуются дополнительные действия по настройке. Дополнительные сведения см. в разделе Увеличение лимита учетной записи компьютера в подразделении этой статьи.

    Эти права позволяют установить соединитель Intune для Active Directory, чтобы правильно создавать управляемые учетные записи служб (MSA) и правильно задавать разрешения для подразделений, в которые MSA добавляет компьютеры.

• Соединителю Intune для Active Directory требуются те же конечные точки, что и Intune.

Настройка автоматической регистрации WINDOWS MDM

1. Войдите в портал Azure и выберите Microsoft Entra ID.

2. В области слева выберите Управление мобильными устройствами | (MDM и WIP)>Microsoft Intune.

3. Убедитесь, что пользователи, которые развертывают устройства, присоединенные к Microsoft Entra с помощью Intune и Windows, входят в группу, включенную в область пользователей MDM.

4. Оставьте значения по умолчанию в полях URL-адрес условий использования MDM, URL-адрес обнаружения MDM и URL-адрес соответствия MDM. Нажмите кнопку Сохранить.

Установка соединителя Intune для Active Directory

Цель соединителя Intune для Active Directory, также известного как соединитель автономного присоединения к домену (ODJ), заключается в присоединении компьютеров к локальному домену во время процесса Windows Autopilot. Соединитель Intune для Active Directory создает объекты-компьютеры в указанном подразделении в Active Directory во время присоединения к домену.

Важно!

Начиная с Intune 2501, Intune использует обновленный соединитель Intune для Active Directory, который повышает безопасность и соблюдает принципы минимальных привилегий с помощью управляемой учетной записи службы (MSA). Когда соединитель Intune для Active Directory скачан из Intune, загружается обновленный соединитель Intune для Active Directory. Предыдущий устаревший соединитель Intune для Active Directory по-прежнему доступен для скачивания на странице Intune Connector for Active Directory, но корпорация Майкрософт рекомендует использовать обновленный установщик соединителя Intune для Active Directory в будущем. Предыдущий устаревший соединитель Intune для Active Directory продолжит работу в мае 2025 г. Однако перед этим его необходимо обновить до обновленного соединителя Intune для Active Directory, чтобы избежать потери функциональности. Дополнительные сведения см. в статье Соединитель Intune для Active Directory с низкой привилегированной учетной записью для развертываний гибридного Microsoft Entra присоединения к Autopilot.

Обновление соединителя Intune для Active Directory до обновленной версии не выполняется автоматически. Устаревший соединитель Intune для Active Directory необходимо удалить вручную, а затем вручную загрузить и установить обновленный соединитель. Инструкции по ручному удалению и установке соединителя Intune для Active Directory приведены в следующих разделах.

Выберите вкладку, соответствующую версии устанавливаемого соединителя Intune для Active Directory:

Обновленный соединитель

Перед началом установки убедитесь, что выполнены все требования к серверу соединителя Intune.

Совет

Предпочтительнее, но не обязательно, чтобы администратор, устанавливающий и настроив соединитель Intune для Active Directory, обладает соответствующими правами на домен, как описано в разделе требования Intune Connector for Active Directory. Это требование позволяет установщику и процессу настройки соединителя Intune для Active Directory правильно задать разрешения для MSA в контейнере компьютеров или подразделениях, в которых создаются объекты-компьютеры. Если у администратора нет этих разрешений, администратор с соответствующими разрешениями должен следовать разделу Увеличение лимита учетной записи компьютера в подразделении.

Отключение конфигурации расширенной безопасности в Интернете Обозреватель

По умолчанию для Windows Server включена конфигурация усиленной безопасности Internet Explorer. Конфигурация усиленной безопасности Интернета Обозреватель может вызвать проблемы со входом в соединитель Intune для Active Directory. Так как интернет-Обозреватель не рекомендуется использовать и в большинстве случаев даже не устанавливается на Windows Server, корпорация Майкрософт рекомендует отключить настройку расширенной безопасности в Интернете Обозреватель. Чтобы отключить интернет-Обозреватель конфигурацию усиленной безопасности, выполните приведенные далее действия.

1. Войдите на сервер, на котором устанавливается соединитель Intune для Active Directory с учетной записью с правами локального администратора.

2. Откройте диспетчер сервера.

3. В левой области диспетчер сервера выберите Локальный сервер.

4. В правой области СВОЙСТВА диспетчер сервера выберите ссылку Вкл. или Выкл. рядом с элементом Конфигурация усиленной безопасности IE.

5. В окне Конфигурация расширенной безопасности Интернета Обозреватель выберите Выкл. в разделе Администраторы:, а затем нажмите кнопку ОК.

Скачивание соединителя Intune для Active Directory

1. На сервере, где устанавливается соединитель Intune для Active Directory, войдите в Центр администрирования Microsoft Intune.

2. На начальном экране выберите Устройства в области слева.

3. В разделе Устройства | Экран "Обзор " в разделе По платформе выберите Windows.

4. В Windows | Экран устройств Windows в разделе Подключение устройств выберите Регистрация.

5. В Windows | Экран регистрации Windows в разделе Windows Autopilot выберите Intune Соединитель для Active Directory.

6. На экране соединитель Intune для Active Directory выберите Добавить.

7. В открывающемся окне Добавление соединителя в разделе Настройка соединителя Intune для Active Directory выберите Скачать локальный соединитель Intune для Active Directory. Ссылка скачивает файл с именем ODJConnectorBootstrapper.exe.

Установка соединителя Intune для Active Directory на сервере

Важно!

Установка соединителя Intune для Active Directory должна выполняться с учетной записью, которая имеет следующие права домена:

• Обязательный . Создание объектов msDs-ManagedServiceAccount в контейнере Управляемые учетные записи служб.
• Необязательно. Изменение разрешений в подразделениях в Active Directory. Если администратор, устанавливающий обновленный соединитель Intune для Active Directory, не имеет этого права, администратору, который имеет эти права, требуются дополнительные действия по настройке. Дополнительные сведения см. в разделе Шаг или раздел Увеличение лимита учетной записи компьютера в подразделении.

1. Войдите на сервер, на котором устанавливается соединитель Intune для Active Directory с учетной записью с правами локального администратора.

2. Если установлен предыдущий устаревший соединитель Intune для Active Directory, сначала удалите его перед установкой обновленного соединителя Intune для Active Directory. Дополнительные сведения см. в статье Удаление соединителя Intune для Active Directory.

   Важно!

   При удалении предыдущего устаревшего соединителя Intune для Active Directory обязательно запустите установщик устаревшей версии соединителя Intune для Active Directory в процессе удаления. Если установщик устаревшей версии соединителя Intune для Active Directory предлагает удалить его при запуске, выберите , чтобы удалить его. Этот шаг гарантирует, что предыдущий устаревший соединитель Intune для Active Directory будет полностью удален. Устаревший установщик соединителя Intune для Active Directory можно скачать на странице Intune Connector for Active Directory.

   Совет

   В доменах с одним соединителем Intune для Active Directory корпорация Майкрософт рекомендует сначала установить обновленный соединитель Intune для Active Directory на другом сервере. Перед удалением устаревшего соединителя Intune для Active Directory на текущем сервере необходимо установить обновленный соединитель Intune для Active Directory. Установка соединителя Intune для Active Directory на другом сервере позволяет избежать простоя, пока соединитель Intune для Active Directory обновляется на текущем сервере.

3. Откройте скачанный ODJConnectorBootstrapper.exe файл, чтобы запустить установку установки соединителя Intune для Active Directory.

4. Пошаговое руководство по установке соединителя Intune для Active Directory.

5. В конце установки установите флажок Запустить соединитель Intune для Active Directory.

   Примечание.

   Если установка установки Intune соединителя для Active Directory случайно закрыта без установки флажка Запустить соединитель Intune для Active Directory, конфигурацию Intune connector for Active Directory можно повторно открыть, выбрав Intune Connector for Active Directory>Intune Соединитель для Active Directory в меню "Пуск".

Вход в соединитель Intune для Active Directory

1. В окне соединителя Intune для Active Directory на вкладке Регистрация выберите Войти.

2. На вкладке Вход войдите с Microsoft Entra ID учетными данными Intune роли администратора. Учетной записи пользователя должна быть назначена лицензия Intune. Процесс входа может занять несколько минут.

   Примечание.

   Учетная запись, используемая для регистрации соединителя Intune для Active Directory, является временным требованием на момент установки. Учетная запись не используется в дальнейшем после регистрации сервера.

3. После завершения процесса входа:

   1. Откроется окно подтверждения успешно зарегистрированного соединителя Intune для Active Directory. Нажмите кнопку ОК , чтобы закрыть окно.
   2. Откроется окно подтверждения управляемой учетной записи службы с именем "<MSA_name>". Имя MSA имеет формат msaODJ##### , в котором ##### содержит пять случайных символов. Укажите имя созданного msa и нажмите кнопку ОК , чтобы закрыть окно. Имя MSA может потребоваться позже, чтобы настроить MSA, чтобы разрешить создание объектов-компьютеров в подразделениях.

4. На вкладке Регистрацияотображается Intune соединитель для Active Directory зарегистрирован. Кнопка Войти выделена серым цветом и включена настройка управляемой учетной записи службы .

5. Закройте окно соединителя Intune для Active Directory.

Проверка активности соединителя Intune для Active Directory

После проверки подлинности соединитель Intune для Active Directory завершает установку. После завершения установки убедитесь, что он активен в Intune, выполнив следующие действия.

1. Перейдите в центр администрирования Microsoft Intune, если он по-прежнему открыт. Если окно Добавление соединителя по-прежнему отображается, закройте его.

   Если центр администрирования Microsoft Intune по-прежнему не открыт:

   1. Войдите в Центр администрирования Microsoft Intune.

   2. На начальном экране выберите Устройства в области слева.

   3. В разделе Устройства | Экран "Обзор " в разделе По платформе выберите Windows.

   4. В Windows | Экран устройств Windows в разделе Подключение устройств выберите Регистрация.

   5. В Windows | Экран регистрации Windows в разделе Windows Autopilot выберите Intune Соединитель для Active Directory.

2. На странице соединителя Intune для Active Directory:

   • Убедитесь, что сервер отображается в поле Имя соединителя и отображается как Активный в разделе Состояние.
   • Для обновленного соединителя Intune для Active Directory убедитесь, что версия больше или равна 6.2501.2000.5.

   Если сервер не отображается, выберите Обновить или перейдите со страницы, а затем вернитесь на страницу соединителя Intune для Active Directory.

Примечание.

• На появление нового зарегистрированного сервера на странице соединителя Intune для Active Directoryцентра администрирования Microsoft Intune может потребоваться несколько минут. Зарегистрированный сервер отображается только в том случае, если он может успешно взаимодействовать со службой Intune.

• Неактивные соединители Intune для Active Directory по-прежнему отображаются на странице соединителя Intune для Active Directory и автоматически очищаются через 30 дней.

После установки соединителя Intune для Active Directory начнется вход в Просмотр событий по пути Журналы >приложений и службMicrosoft>Intune>ODJConnectorService. По этому пути можно найти журналы Администратор и операционные журналы.

Настройка MSA для разрешения создания объектов в подразделениях (необязательно)

По умолчанию msa имеют доступ только для создания объектов-компьютеров в контейнере Компьютеры . MSA не имеют доступа к созданию объектов-компьютеров в подразделениях . Чтобы разрешить MSA создавать объекты в подразделениях, подразделения должны быть добавлены ODJConnectorEnrollmentWizard.exe.config в XML-файл, найденный в ODJConnectorEnrollmentWizard каталоге, где был установлен соединитель Intune для Active Directory, обычно C:\Program Files\Microsoft Intune\ODJConnector\.

Чтобы настроить MSA для разрешения создания объектов в подразделениях, выполните следующие действия.

1. На сервере, где установлен соединитель Intune для Active Directory, перейдите в ODJConnectorEnrollmentWizard каталог, где был установлен соединитель Intune для Active Directory( обычно C:\Program Files\Microsoft Intune\ODJConnector\).

2. В каталоге ODJConnectorEnrollmentWizard откройте ODJConnectorEnrollmentWizard.exe.config XML-файл в текстовом редакторе, например в Блокноте.

3. ODJConnectorEnrollmentWizard.exe.config В XML-файле добавьте все необходимые подразделения, к которым MSA должен иметь доступ для создания объектов-компьютеров. Имя подразделения должно быть различаемым и, если применимо, должно быть экранировано. Ниже приведен пример XML-записи с различающееся имя подразделения:

     <appSettings>
   
       <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format.
           The ODJ Connector will only have permission to create computer objects in these OUs.
           The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure
   
           Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY):
           Domain contains the following OUs:
             - OU=HybridDevices,DC=contoso,DC=com
             - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com
   
           Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" -->
   
       <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" />
     </appSettings>
   

4. После добавления всех необходимых подразделений сохраните ODJConnectorEnrollmentWizard.exe.config XML-файл.

5. Как администратор, имеющий соответствующие разрешения на изменение разрешений подразделения, откройте соединитель Intune для Active Directory, перейдя к Intune Соединитель для Active Directory>Intune Соединитель для Active Directory в меню Пуск.

   Важно!

   Если администратор, устанавливающий и настроив соединитель Intune для Active Directory, не имеет разрешений на изменение разрешений подразделения, за разделом или действиями Увеличение ограничения учетной записи компьютера в подразделении должен следовать администратор, имеющий разрешения на изменение разрешений подразделения.

6. На вкладке Регистрация в окне соединителя Intune для Active Directory выберите Настроить управляемую учетную запись службы.

7. Откроется окно подтверждения управляемой учетной записи службы с именем "<MSA_name>". Нажмите кнопку ОК , чтобы закрыть окно.

Устаревший соединитель

Важно!

Устаревший соединитель Intune для Active Directory устарел. В этих инструкциях предполагается, что устаревший соединитель Intune для Active Directory уже установлен или уже скачан. Если установщик устаревшей версии соединителя Intune для Active Directory еще не скачан, его можно скачать из Intune Connector for Active Directory.

Однако рекомендуется скачать и установить обновленный соединитель Intune для Active Directory. Для получения дополнительных сведений выберите вкладку Обновленный соединитель .

Перед началом установки убедитесь, что выполнены все требования к серверу соединителя Intune.

Отключение параметров усиленной безопасности Internet Explorer.

По умолчанию для Windows Server включена конфигурация усиленной безопасности Internet Explorer. Конфигурация усиленной безопасности Интернета Обозреватель может вызвать проблемы со входом в соединитель Intune для Active Directory. Так как интернет-Обозреватель не рекомендуется использовать и в большинстве случаев даже не устанавливается на Windows Server, корпорация Майкрософт рекомендует отключить настройку расширенной безопасности в Интернете Обозреватель. Чтобы отключить интернет-Обозреватель конфигурацию усиленной безопасности, выполните приведенные далее действия.

1. Войдите на сервер, на котором устанавливается соединитель Intune для Active Directory с учетной записью с правами локального администратора и правами администратора домена. Права администратора домена необходимы, чтобы установщик соединителя Intune для Active Directory смог правильно создать MSA.

2. Откройте диспетчер сервера.

3. В левой области диспетчер сервера выберите Локальный сервер.

4. В правой области СВОЙСТВА диспетчер сервера выберите ссылку Вкл. или Выкл. рядом с элементом Конфигурация усиленной безопасности IE.

5. В окне Конфигурация расширенной безопасности Интернета Обозреватель выберите Выкл. в разделе Администраторы:, а затем нажмите кнопку ОК.

Установка устаревшего соединителя Intune для Active Directory на сервере

1. Откройте ранее скачанный ODJConnectorBootstrapper.exe файл, чтобы запустить установку установки соединителя Intune для Active Directory.

   Примечание.

   Если устаревший соединитель Intune для Active Directory уже установлен, перейдите в меню >ПускIntune Соединитель для Active Directory>Intune Соединитель для Active Directory, а затем перейдите к разделу Вход в устаревший соединитель Intune для Active Directory.

2. В окне установщика установки соединителя Intune для Active Directory выберите Я принимаю условия лицензии, а затем нажмите кнопку Установить.

   Примечание.

   Если требуется расположение установки, отличное от расположения по умолчанию C:\Program Files\Microsoft Intune\ODJConnector, выберите Параметры и укажите нужное расположение установки.

3. После завершения установки выберите Настроить в окне установщика установки соединителя Intune для Active Directory.

   Примечание.

   Если параметр Закрыть выбран случайно или окно установщика установки соединителя Intune для Active Directory случайно закрыто, к конфигурации Intune Connector for Active Directory можно получить доступ, выбрав Intune Соединитель для Active Directory>Intune Соединитель для Active Directory в меню Пуск.

Войдите в устаревший соединитель Intune

1. В окне соединителя Intune для Active Directory на вкладке Регистрация выберите Войти.

2. На вкладке Вход войдите с учетными данными Intune роли администратора. Учетной записи пользователя должна быть назначена лицензия Intune. Процесс входа может занять несколько минут.

   Примечание.

   Учетная запись, используемая для регистрации соединителя Intune для Active Directory, является временным требованием на момент установки. Учетная запись не используется в дальнейшем после регистрации сервера.

3. После завершения процесса входа откроется окно подтверждения успешно зарегистрированного соединителя Intune для Active Directory. Нажмите кнопку ОК , чтобы закрыть окно.

4. На вкладке Регистрацияотображается, Intune соединитель для Active Directory зарегистрирован, а кнопка Войти неактивна.

5. Закройте окно соединителя Intune для Active Directory.

Убедитесь, что устаревший соединитель Intune для Active Directory активен

После проверки подлинности соединитель Intune для Active Directory завершает установку. После завершения установки убедитесь, что он активен в Intune, выполнив следующие действия.

1. Перейдите в центр администрирования Microsoft Intune, если он по-прежнему открыт. Если окно Добавление соединителя по-прежнему отображается, закройте его.

   Если центр администрирования Microsoft Intune по-прежнему не открыт:

   1. Войдите в Центр администрирования Microsoft Intune.

   2. На начальном экране выберите Устройства в области слева.

   3. В разделе Устройства | Экран "Обзор " в разделе По платформе выберите Windows.

   4. В Windows | Экран устройств Windows в разделе Подключение устройств выберите Регистрация.

   5. В Windows | Экран регистрации Windows в разделе Windows Autopilot выберите Intune Соединитель для Active Directory.

2. На странице Intune Connector for Active Directory убедитесь, что сервер отображается в поле Имя соединителя, а в разделе Состояние отображается значение Активный. Если сервер не отображается, выберите Обновить или перейдите со страницы, а затем вернитесь на страницу соединителя Intune для Active Directory.

Примечание.

• На появление нового зарегистрированного сервера на странице соединителя Intune для Active Directoryцентра администрирования Microsoft Intune может потребоваться несколько минут. Зарегистрированный сервер отображается только в том случае, если он может успешно взаимодействовать со службой Intune.

• Неактивные соединители Intune для Active Directory по-прежнему отображаются на странице соединителя Intune для Active Directory и автоматически очищаются через 30 дней.

После установки соединителя Intune для Active Directory начнется вход в Просмотр событий по пути Журналы >приложений и службMicrosoft>Intune>ODJConnectorService. По этому пути можно найти журналы Администратор и операционные журналы.

Настройка параметров веб-прокси

Если в сетевой среде есть веб-прокси, убедитесь, что соединитель Intune для Active Directory работает правильно, перейдя к статье Работа с существующими локальными прокси-серверами.

Увеличение предельного количества учетных записей компьютеров в подразделении

Обновленный соединитель

Важно!

Этот шаг необходим только при одном из следующих условий:

• Администратор, установив и настроив соединитель Intune для Active Directory, не имеет соответствующих прав, как описано в разделе Требования к соединителю Intune для Active Directory.
• ODJConnectorEnrollmentWizard.exe.config XML-файл не был изменен для добавления подразделений, для которых MSA должен иметь разрешения.

Цель соединителя Intune для Active Directory — присоединить компьютеры к домену и добавить их в подразделение. По этой причине у управляемой учетной записи службы (MSA), используемой для соединителя Intune для Active Directory, должны быть разрешения на создание учетных записей компьютеров в подразделении, где компьютеры присоединены к локальному домену.

При наличии разрешений по умолчанию в Active Directory присоединение к домену с помощью соединителя Intune для Active Directory может изначально работать без каких-либо изменений разрешений для подразделения в Active Directory. Однако после того, как MSA попытается присоединить более 10 компьютеров к локальному домену, она перестанет работать, так как по умолчанию Active Directory разрешает только одной учетной записи присоединить до 10 компьютеров к локальному домену.

Следующие пользователи не ограничены ограничением на присоединение к домену 10 компьютеров:

• Пользователи в группах "Администраторы" или "Администраторы домена". Для соблюдения принципов минимальных привилегий корпорация Майкрософт не рекомендует делать MSA администратором или администратором домена.
• Пользователи с делегированными разрешениями на подразделения и контейнеры в Active Directory для создания учетных записей компьютеров. Этот метод рекомендуется использовать, так как он соответствует модели минимальных привилегий.

Чтобы устранить это ограничение, MSA требуется разрешение Создание учетных записей компьютеров в подразделении, к которому присоединены компьютеры в локальном домене. Соединитель Intune для Active Directory задает разрешения для подразделений MSA при условии, что выполняется одно из следующих условий:

• Администратор, устанавливая соединитель Intune для Active Directory, имеет необходимые разрешения для установки разрешений на подразделения.
• Администратор, настроив соединитель Intune для Active Directory, имеет необходимые разрешения для установки разрешений на подразделения.

Если администратор, устанавливающий или настроивший соединитель Intune для Active Directory, не имеет необходимых разрешений для установки разрешений на подразделения, необходимо выполнить следующие действия.

1. Войдите на компьютер с доступом к консоли Пользователи и компьютеры Active Directory с учетной записью, которая является необходимыми разрешениями для установки разрешений на подразделения.

2. Откройте консоль Пользователи и компьютеры Active Directory, запустив DSA.msc.

3. Разверните нужный домен и перейдите к подразделению, к которому присоединяются компьютеры во время Windows Autopilot.

   Примечание.

   Подразделение, к которому присоединяются компьютеры во время развертывания Windows Autopilot, указывается позже на шаге Настройка и назначение профиля присоединения к домену .

4. Щелкните правой кнопкой мыши подразделение и выберите Свойства.

   Примечание.

   Если компьютеры присоединяются к контейнеру компьютеров по умолчанию вместо подразделения, щелкните правой кнопкой мыши контейнер Компьютеры и выберите пункт Делегировать управление.

5. В открывавшемся окне Свойства подразделения выберите вкладку Безопасность .

6. На вкладке Безопасность выберите Дополнительно.

7. В окне Дополнительные параметры безопасности выберите Добавить.

8. В окне Запись разрешений рядом с пунктом Субъект выберите ссылку Выбрать участника .

9. В окне Выбор пользователя, компьютера, учетной записи службы или группы нажмите кнопку Типы объектов...

10. В окне Типы объектов выберите поле Учетные записи служб проверка и нажмите кнопку ОК.

11. В окне Выбор пользователя, компьютера, учетной записи службы или группы в разделе Введите имя выбранного объекта введите имя MSA, используемого для соединителя Intune для Active Directory.

    Совет

    MsA был создан на шаге или разделе Установка соединителя Intune для Active Directory и имеет формат msaODJ##### имени, где ##### это пять случайных символов. Если имя MSA неизвестно, выполните следующие действия, чтобы найти имя MSA:

    1. На сервере, на котором запущен соединитель Intune для Active Directory, щелкните правой кнопкой мыши меню Пуск и выберите пункт Управление компьютером.
    2. В окне Управление компьютером разверните узел Службы и приложения , а затем выберите Службы.
    3. В области результатов найдите службу с именем Intune ODJConnector для активной службы. Имя MSA указано в столбце Log On As (Вход в систему от имени ).

12. Выберите Проверить имена , чтобы проверить запись имени MSA. После проверки записи нажмите кнопку ОК.

13. В окне Запись разрешений выберите раскрывающееся меню Применимо к: и выберите Только этот объект.

14. В разделе Разрешения снимите флажок все элементы, а затем выберите только поле Создать объекты-компьютеры проверка.

15. Нажмите кнопку ОК , чтобы закрыть окно Запись разрешений .

16. В окне Дополнительные параметры безопасности выберите Применить или ОК , чтобы применить изменения.

Устаревший соединитель

Цель соединителя Intune для Active Directory — присоединить компьютеры к домену и добавить их в подразделение. По этой причине сервер, на котором запущен соединитель Intune для Active Directory, должен иметь разрешения на создание учетных записей компьютеров в подразделении, где компьютеры присоединены к локальному домену.

При наличии разрешений по умолчанию в Active Directory присоединение к домену с помощью соединителя Intune для Active Directory может изначально работать без каких-либо изменений разрешений для подразделения в Active Directory. Однако после того, как сервер, на котором запущен соединитель Intune для Active Directory, попытается присоединить более 10 компьютеров к локальному домену, он перестанет работать, так как по умолчанию Active Directory разрешает присоединение к локальному домену только одной учетной записи до 10 компьютеров.

Следующие пользователи не ограничены ограничением на присоединение к домену 10 компьютеров:

• Пользователи в группах "Администраторы" или "Администраторы домена". Для соблюдения принципов минимальных привилегий корпорация Майкрософт не рекомендует делать учетную запись компьютера, на которой запущен соединитель Intune для Active Directory, администратором или администратором домена.
• Пользователям с делегированными разрешениями на подразделения и контейнеры в Active Directory для создания учетных записей компьютеров рекомендуется использовать этот метод, так как он соответствует модели минимальных привилегий.

Чтобы устранить это ограничение, серверу, на котором запущен соединитель Intune для Active Directory, требуется разрешение Создание учетных записей компьютеров в подразделении, к которому присоединены компьютеры в локальном домене:

Чтобы увеличить ограничение учетной записи компьютера в подразделении, к которому присоединяются компьютеры во время Windows Autopilot, выполните следующие действия на компьютере с доступом к консоли Пользователи и компьютеры Active Directory.

1. Откройте консоль Пользователи и компьютеры Active Directory, запустив DSA.msc.

2. Разверните нужный домен и перейдите к подразделению, к которому присоединяются компьютеры во время Windows Autopilot.

   Примечание.

   Подразделение, к которому присоединяются компьютеры во время развертывания Windows Autopilot, указывается позже на шаге Настройка и назначение профиля присоединения к домену .

3. Щелкните правой кнопкой мыши подразделение и выберите пункт Делегировать управление.

   Примечание.

   Если компьютеры присоединяются к контейнеру компьютеров по умолчанию вместо подразделения, щелкните правой кнопкой мыши контейнер Компьютеры и выберите пункт Делегировать управление.

4. В окне Мастер делегирования элементов управлениямастера делегирования элементов управления нажмите кнопку Далее.

5. В окне Пользователи или группы в разделе Выбранные пользователи и группы выберите Добавить.

6. Рядом с полем Выберите этот тип объекта: в окне Выбор пользователей, компьютеров или групп выберите Типы объектов.

7. В окне Типы объектов выберите поле Компьютеры проверка и нажмите кнопку ОК. Другие элементы в этом окне можно оставить по умолчанию.

8. В окне Выбор пользователей, компьютеров или групп в поле Введите имена объектов для выбора введите имя компьютера, на котором был установлен соединитель Intune для Active Directory во время шага Установка соединителя Intune.

9. Выберите Проверить имена , чтобы проверить запись. После проверки записи нажмите кнопку ОК.

10. В окне Пользователи или группы убедитесь, что в разделе Выбранные пользователи и группы отображается правильный компьютер, а затем нажмите кнопку Далее.

11. В окне Задачи для делегирования выберите Создать пользовательскую задачу для делегирования, а затем нажмите кнопку Далее.

12. В окне Тип объекта Active Directory :

    1. Выберите в папке только следующие объекты.

    2. В разделе Только следующие объекты в папке выберите Объекты компьютеров.

    3. Установите флажок Создать выбранные объекты в этой папке .

    4. Нажмите кнопку Далее.

13. В окне Разрешения в разделе Разрешения: выберите поле Полный доступ проверка, а затем нажмите кнопку Далее.

    Примечание.

    После выбора поля Полный доступ проверка все остальные параметры в разделе Разрешения: будут автоматически выбраны. Автоматическое установка флажков является нормальным и ожидаемым. Не отменяйте выбор полей проверка после автоматического выбора.

14. В окне Завершение работы мастера делегирования элементов управления нажмите кнопку Готово.

Создание группы устройств

1. В Центре администрирования Microsoft Intune выберите Группы>Новая группа.

2. В области Группа выберите следующие параметры:

   1. В поле Тип группы выберите Безопасность.

   2. Заполните поля Имя группы и Описание группы.

   3. Выберите значение в поле Тип членства.

3. Если для типа членства выбраны динамические устройства , в области Группа выберите Динамические члены устройства.

4. Выберите Изменить в поле Синтаксис правила и введите одну из следующих строк кода.

   • Чтобы создать группу, включающую все устройства Windows Autopilot, введите:

     (device.devicePhysicalIDs -any _ -startsWith "[ZTDId]")

   • Поле тега группы Intune сопоставляется с атрибутом OrderID на Microsoft Entra устройствах. Чтобы создать группу, включающую все устройства Windows Autopilot с определенным тегом группы (OrderID), введите:

     (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")

   • Чтобы создать группу, включающую все устройства Windows Autopilot с определенным идентификатором заказа на покупку, введите:

     (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")

5. Выберите Сохранить>Создать.

Регистрация устройств Windows Autopilot

Выберите один из следующих способов регистрации устройств Windows Autopilot.

Регистрация уже зарегистрированных устройств Windows Autopilot

1. Создайте профиль развертывания Windows Autopilot с параметром Преобразовать все целевые устройства в Autopilot для параметра Да.

2. Назначьте профиль группе, содержащей участников, которые должны быть автоматически зарегистрированы в Windows Autopilot.

Дополнительные сведения см. в разделе Создание профиля развертывания Autopilot.

Регистрация устройств Windows Autopilot, которые не зарегистрированы

Устройства, которые еще не зарегистрированы в Windows Autopilot, можно зарегистрировать вручную. Дополнительные сведения см. в статье Регистрация вручную.

Регистрация устройств изготовителем оборудования

При покупке новых устройств некоторые изготовители оборудования могут зарегистрировать устройства от имени организации. Дополнительные сведения см. в статье Регистрация производителем оборудования.

Отображение зарегистрированного устройства Windows Autopilot

Перед регистрацией устройств в Intune зарегистрированные устройства Windows Autopilot отображаются в трех местах (с именами, заданными для их серийных номеров):

• Панель Устройств Windows Autopilot в Центре администрирования Microsoft Intune. Выбор устройств>по платформе | Подключение устройств Windows >| Регистрация. В разделе Windows Autopilot выберите Устройства.
• Устройства | Панель "Все устройства" в портал Azure. Последовательно выберите Устройства>Все устройства.
• Панель Autopilot в Центр администрирования Microsoft 365. Выберите Устройства>Autopilot.

После регистрации устройств Windows Autopilot устройства отображаются в четырех местах:

• Устройства | Панель Все устройства в Центре администрирования Microsoft Intune. Выберите Устройства>Все устройства.
• Windows | Панель устройств Windows в Центре администрирования Microsoft Intune. Выбор устройств>по платформе | Windows.
• Устройства | Панель "Все устройства" в портал Azure. Последовательно выберите Устройства>Все устройства.
• Область Активные устройства в Центр администрирования Microsoft 365. Выберите Устройства>Активные устройства.

Примечание.

После регистрации устройств устройства по-прежнему отображаются на панели Устройства Windows Autopilot в Центре администрирования Microsoft Intune и в области Autopilot в Центр администрирования Microsoft 365, но эти объекты являются зарегистрированными объектами Windows Autopilot.

Объект устройства предварительно создается в Microsoft Entra ID после регистрации устройства в Windows Autopilot. Когда устройство проходит через гибридное развертывание Microsoft Entra, по умолчанию создается другой объект устройства, что приводит к дублированию записей.

VPN

Тестируются и проверяются следующие VPN-клиенты:

• Встроенный клиент VPN в Windows
• Cisco AnyConnect (клиент Win32)
• Pulse Secure (клиент Win32)
• GlobalProtect (клиент Win32)
• Checkpoint (клиент Win32)
• Citrix NetScaler (клиент Win32)
• SonicWall (клиент Win32)
• FortiClient VPN (клиент Win32)

При использовании VPN выберите Да для параметра Пропустить подключение AD проверка в профиле развертывания Windows Autopilot. Always-On VPN не должен требовать этот параметр, так как он подключается автоматически.

Примечание.

Этот список VPN-клиентов не является исчерпывающим списком всех VPN-клиентов, работающих с Windows Autopilot. Обратитесь к соответствующему поставщику VPN по вопросам совместимости и поддержки с Windows Autopilot или по поводу любых проблем с использованием РЕШЕНИЯ VPN с Windows Autopilot.

Неподдерживаемые VPN-клиенты

Известно , что следующие VPN-решения не работают с Windows Autopilot и поэтому не поддерживаются для использования с Windows Autopilot:

• Дополнительные модули VPN на основе UWP
• Все клиенты, требующие сертификации пользователей
• DirectAccess

Примечание.

Пропуск конкретного VPN-клиента из этого списка не означает, что он автоматически поддерживается или работает с Windows Autopilot. В этом списке перечислены только VPN-клиенты, которые, как известно , не работают с Windows Autopilot.

Создание и назначение профиля развертывания Windows Autopilot

Профили развертывания Windows Autopilot используются для настройки устройств Windows Autopilot.

1. Войдите в Центр администрирования Microsoft Intune.

2. На начальном экране выберите Устройства в области слева.

3. В разделе Устройства | Экран "Обзор " в разделе По платформе выберите Windows.

4. В Windows | Экран устройств Windows в разделе Подключение устройств выберите Регистрация.

5. В Windows | Экран регистрации Windows в разделе Windows Autopilot выберите Профили развертывания.

6. На экране Профили развертывания Windows Autopilot выберите раскрывающееся меню Создать профиль , а затем выберите Компьютер с Windows.

7. На экране Создание профиля на странице Основные сведения введите имя и необязательное описание.

8. Если все устройства в назначенных группах должны автоматически регистрироваться в Windows Autopilot, задайте для параметра Преобразовать все целевые устройства в Autopilot значение Да. Все корпоративные устройства, не принадлежащие Windows Autopilot в назначенных группах, регистрируются в службе развертывания Windows Autopilot. Личные устройства не регистрируются в Windows Autopilot. Регистрация завершится в течение 48 часов. После отмены регистрации и сброса устройства Windows Autopilot снова регистрирует его. После регистрации устройства таким образом отключение этого параметра или удаление назначения профиля не приведет к удалению устройства из службы развертывания Windows Autopilot. Вместо этого устройства необходимо удалить напрямую. Дополнительные сведения см. в разделе Удаление устройств Autopilot.

9. Нажмите кнопку Далее.

10. На странице Готовый интерфейс (OOBE) для параметра Режим развертывания выберите Под управлением пользователя.

11. В поле Присоединиться к Microsoft Entra ID как выберите Microsoft Entra гибридное присоединение.

12. При развертывании устройств вне сети организации с помощью поддержки VPN задайте для параметра Пропустить проверку подключения к домену значение Да. Дополнительные сведения см. в статье Режим на основе пользователя для Microsoft Entra гибридного присоединения с поддержкой VPN.

13. Настройте оставшиеся параметры на странице Запуск при первом включении (OOBE).

14. Нажмите кнопку Далее.

15. На странице Теги области выберите теги области для этого профиля.

16. Нажмите кнопку Далее.

17. На странице Назначения выберите Выберите группы, чтобы включить> поиск и выберите группу > устройств Выбрать.

18. Щелкните Далее>Создать.

Примечание.

Intune периодически проверять наличие новых устройств в назначенных группах, а затем начать процесс назначения профилей этим устройствам. Из-за нескольких различных факторов, участвующих в процессе назначения профиля Windows Autopilot, предполагаемое время назначения может отличаться от сценария к сценарию. Эти факторы могут включать Microsoft Entra группы, правила членства, хэш устройства, Intune и службу Windows Autopilot, а также подключение к Интернету. Время назначения зависит от всех факторов и переменных, участвующих в конкретном сценарии.

Включение страницы состояния регистрации (необязательно)

1. Войдите в Центр администрирования Microsoft Intune.

2. На начальном экране выберите Устройства в области слева.

3. В разделе Устройства | Экран "Обзор " в разделе По платформе выберите Windows.

4. В Windows | Экран устройств Windows в разделе Подключение устройств выберите Регистрация.

5. В Windows | Экран регистрации Windows в разделе Windows Autopilot выберите Страница состояния регистрации.

6. На панели Страница состояния регистрации выберите По умолчанию>Параметры.

7. В поле Показать ход установки приложений и профилей выберите значение Да.

8. При необходимости настройте остальные параметры.

9. Нажмите Сохранить.

Создание и назначение профиля присоединения к домену

1. В Центре администрирования Microsoft Intune выберите Устройства>Управление устройствами | Политики конфигурации>>Создание>новой политики.

2. В открывавшемся окне создания профиля введите следующие свойства:

   • Имя: введите описательное имя для нового профиля.
   • Описание: введите описание профиля
   • Платформа: выберите Windows 10 и более поздних версий.
   • Тип профиля: выберите Шаблоны, выберите имя шаблона Присоединение к домену и нажмите кнопку Создать.

3. Введите имя и описание, а затем выберите Далее.

4. Укажите Префикс имени компьютера и Имя домена.

5. (Необязательно.) Укажите подразделение в формате различающегося имени. Параметры включают:

   • Укажите подразделение, в котором управление делегируется устройству Windows, на котором выполняется соединитель Intune для Active Directory.
   • Укажите подразделение, в котором управление делегируется корневым компьютерам в локальная служба Active Directory организации.
   • Если это поле осталось пустым, объект-компьютер создается в контейнере Active Directory по умолчанию. Контейнером по умолчанию обычно CN=Computers является контейнер. Дополнительные сведения см. в статье Перенаправление контейнеров пользователей и компьютеров в доменах Active Directory.

   Допустимые примеры:

   • OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com
   • OU=Mine,DC=contoso,DC=com

   Недопустимые примеры:

   • CN=Computers,DC=contoso,DC=com — контейнер не может быть указан. Вместо этого оставьте значение пустым, чтобы использовать значение по умолчанию для домена.
   • OU=Mine — домен должен быть указан с помощью DC= атрибутов.

   Не используйте кавычки вокруг значения в подразделении.

6. Выберите ОК>Создать. Созданный профиль отобразится в списке.

7. Назначьте профиль устройства той же группе, которая использовалась в действии Создание группы устройства. Если требуется присоединять устройства к разным доменам или подразделениям, можно использовать разные группы.

Примечание.

Возможность именования для Windows Autopilot для Microsoft Entra гибридного соединения не поддерживает переменные, такие как %SERIAL%. Он поддерживает только префиксы для имени компьютера.

Удаление соединителя Intune для Active Directory

Соединитель Intune для Active Directory устанавливается локально на компьютере через исполняемый файл. Если соединитель Intune для Active Directory необходимо удалить с компьютера, это также необходимо сделать локально на компьютере. Соединитель Intune для Active Directory нельзя удалить с помощью портала Intune или вызова API graph.

Чтобы удалить соединитель Intune для Active Directory с сервера, выберите соответствующую вкладку для версии ОС Windows Server, а затем выполните следующие действия:

Windows Server 2025 г.

1. Войдите на компьютер, на котором размещен соединитель Intune для Active Directory.

2. Щелкните правой кнопкой мыши меню Пуск и выберите Параметры Приложения>>Установленные приложения.

   Или

   Выберите следующий ярлык Установленные приложения>:

   Открытие установленных приложений >

3. В окне Приложения > Установленные приложения найдите соединитель Intune для Active Directory.

4. Рядом с Intune Соединитель для Active Directory выберите ...>Удалите, а затем нажмите кнопку Удалить.

5. Соединитель Intune для Active Directory продолжает удаление.

6. В некоторых случаях соединитель Intune для Active Directory может быть удален не полностью, пока исходный установщик ODJConnectorBootstrapper.exe соединителя Intune для Active Directory не будет снова запущен. Чтобы убедиться, что соединитель Intune для Active Directory полностью удален, запустите ODJConnectorBootstrapper.exe установщик еще раз. Если появится запрос на удаление, выберите , чтобы удалить его. В противном случае закройте ODJConnectorBootstrapper.exe установщик.

   Примечание.

   Устаревший установщик соединителя Intune для Active Directory можно скачать из Intune Connector for Active Directory и использовать только для удаления. Для новых установок используйте обновленный соединитель Intune для Active Directory.

Windows Server 2019/2022

1. Войдите на компьютер, на котором размещен соединитель Intune для Active Directory.

2. Щелкните правой кнопкой мыши меню Пуск и выберите Параметры Приложения>.

   Или

   Выберите следующий ярлык "Приложения ":

   Открытие приложений

3. В разделе Приложения & функции найдите и выберите соединитель Intune для Active Directory.

4. В разделе соединитель Intune для Active Directory нажмите кнопку Удалить, а затем снова нажмите кнопку Удалить.

5. Соединитель Intune для Active Directory продолжает удаление.

6. В некоторых случаях соединитель Intune для Active Directory может быть удален не полностью, пока исходный установщик ODJConnectorBootstrapper.exe соединителя Intune для Active Directory не будет снова запущен. Чтобы убедиться, что соединитель Intune для Active Directory полностью удален, запустите ODJConnectorBootstrapper.exe установщик еще раз. Если появится запрос на удаление, выберите , чтобы удалить его. В противном случае закройте ODJConnectorBootstrapper.exe установщик.

   Примечание.

   Устаревший установщик соединителя Intune для Active Directory можно скачать из Intune Connector for Active Directory и использовать только для удаления. Для новых установок используйте обновленный соединитель Intune для Active Directory.

Windows Server 2016

1. Войдите на компьютер, на котором размещен соединитель Intune для Active Directory.

2. Щелкните правой кнопкой мыши меню Пуск и выберите Параметры Системные>>приложения & функции.

   Или

   Выберите следующий ярлык "Приложения ":

   Открытие приложений

3. В разделе Приложения & функции найдите и выберите соединитель Intune для Active Directory.

4. В разделе соединитель Intune для Active Directory нажмите кнопку Удалить, а затем снова нажмите кнопку Удалить.

5. Соединитель Intune для Active Directory продолжает удаление.

6. В некоторых случаях соединитель Intune для Active Directory может быть удален не полностью, пока исходный установщик ODJConnectorBootstrapper.exe соединителя Intune для Active Directory не будет снова запущен. Чтобы убедиться, что соединитель Intune для Active Directory полностью удален, запустите ODJConnectorBootstrapper.exe установщик еще раз. Если появится запрос на удаление, выберите , чтобы удалить его. В противном случае закройте ODJConnectorBootstrapper.exe установщик.

   Примечание.

   Устаревший установщик соединителя Intune для Active Directory можно скачать из Intune Connector for Active Directory и использовать только для удаления. Для новых установок используйте обновленный соединитель Intune для Active Directory.

Дальнейшие действия

После настройки Windows Autopilot узнайте, как управлять этими устройствами. Дополнительные сведения см. в статье Что такое управление устройствами с помощью Microsoft Intune.

Связанные материалы

• Что такое удостоверение устройства?
• Дополнительные сведения о облачных конечных точках.
• Microsoft Entra присоединено и Microsoft Entra гибридное присоединение в облачных конечных точках.
• Руководство. Настройка и настройка облачной конечной точки Windows с помощью Microsoft Intune.
• Практическое руководство. Планирование реализации Microsoft Entra присоединения.
• Платформа для преобразования управления конечными точками Windows.
• Общие сведения о сценариях гибридного Azure AD и совместного управления.
• Успешное использование удаленного присоединения к Windows Autopilot и гибридного присоединения к Azure Active Directory.