Развертывание Microsoft Entra устройств с гибридным присоединением с помощью Intune и Windows Autopilot
Важно!
Корпорация Майкрософт рекомендует развертывать новые устройства как облачные с помощью Microsoft Entra присоединения. Развертывание новых устройств как Microsoft Entra устройств гибридного соединения не рекомендуется, в том числе с помощью Windows Autopilot. Дополнительные сведения см. в разделе Microsoft Entra присоединение и Microsoft Entra гибридное присоединение в облачных конечных точках: какой вариант подходит для вашей организации.
Intune и Windows Autopilot можно использовать для настройки Microsoft Entra устройств с гибридным присоединением. Для этого выполните действия, описанные в этой статье. Дополнительные сведения о гибридном присоединении Microsoft Entra см. в статье Общие сведения о гибридном присоединении и совместном управлении Microsoft Entra.
Требования
Список требований для выполнения Microsoft Entra гибридного присоединения во время Windows Autopilot состоит из трех различных категорий:
- Общие — общие требования.
- Регистрация устройств — требования к регистрации устройств.
- соединитель Intune — соединитель Intune для требований Active Directory.
Выберите соответствующую вкладку, чтобы просмотреть соответствующие требования:
Общие- Устройства Microsoft Entra с гибридным присоединением успешно настроены. Обязательно проверьте регистрацию устройства с помощью командлета Get-MgDevice .
- Если фильтрация на основе доменов и подразделений настроена как часть Microsoft Entra Connect, убедитесь, что подразделение или контейнер по умолчанию, предназначенные для устройств Autopilot, включены в область синхронизации.
Настройка автоматической регистрации WINDOWS MDM
Войдите в портал Azure и выберите Microsoft Entra ID.
В области слева выберите Управление мобильными устройствами | (MDM и WIP)>Microsoft Intune.
Убедитесь, что пользователи, которые развертывают устройства, присоединенные к Microsoft Entra с помощью Intune и Windows, входят в группу, включенную в область пользователей MDM.
Оставьте значения по умолчанию в полях URL-адрес условий использования MDM, URL-адрес обнаружения MDM и URL-адрес соответствия MDM. Нажмите кнопку Сохранить.
Установка соединителя Intune для Active Directory
Цель соединителя Intune для Active Directory, также известного как соединитель автономного присоединения к домену (ODJ), заключается в присоединении компьютеров к локальному домену во время процесса Windows Autopilot. Соединитель Intune для Active Directory создает объекты-компьютеры в указанном подразделении в Active Directory во время присоединения к домену.
Важно!
Начиная с Intune 2501, Intune использует обновленный соединитель Intune для Active Directory, который повышает безопасность и соблюдает принципы минимальных привилегий с помощью управляемой учетной записи службы (MSA). Когда соединитель Intune для Active Directory скачан из Intune, загружается обновленный соединитель Intune для Active Directory. Предыдущий устаревший соединитель Intune для Active Directory по-прежнему доступен для скачивания на странице Intune Connector for Active Directory, но корпорация Майкрософт рекомендует использовать обновленный установщик соединителя Intune для Active Directory в будущем. Предыдущий устаревший соединитель Intune для Active Directory продолжит работу в мае 2025 г. Однако перед этим его необходимо обновить до обновленного соединителя Intune для Active Directory, чтобы избежать потери функциональности. Дополнительные сведения см. в статье Соединитель Intune для Active Directory с низкой привилегированной учетной записью для развертываний гибридного Microsoft Entra присоединения к Autopilot.
Обновление соединителя Intune для Active Directory до обновленной версии не выполняется автоматически. Устаревший соединитель Intune для Active Directory необходимо удалить вручную, а затем вручную загрузить и установить обновленный соединитель. Инструкции по ручному удалению и установке соединителя Intune для Active Directory приведены в следующих разделах.
Выберите вкладку, соответствующую версии устанавливаемого соединителя Intune для Active Directory:
Обновленный соединительПеред началом установки убедитесь, что выполнены все требования к серверу соединителя Intune.
Совет
Предпочтительнее, но не обязательно, чтобы администратор, устанавливающий и настроив соединитель Intune для Active Directory, обладает соответствующими правами на домен, как описано в разделе требования Intune Connector for Active Directory. Это требование позволяет установщику и процессу настройки соединителя Intune для Active Directory правильно задать разрешения для MSA в контейнере компьютеров или подразделениях, в которых создаются объекты-компьютеры. Если у администратора нет этих разрешений, администратор с соответствующими разрешениями должен следовать разделу Увеличение лимита учетной записи компьютера в подразделении.
Отключение конфигурации расширенной безопасности в Интернете Обозреватель
По умолчанию для Windows Server включена конфигурация усиленной безопасности Internet Explorer. Конфигурация усиленной безопасности Интернета Обозреватель может вызвать проблемы со входом в соединитель Intune для Active Directory. Так как интернет-Обозреватель не рекомендуется использовать и в большинстве случаев даже не устанавливается на Windows Server, корпорация Майкрософт рекомендует отключить настройку расширенной безопасности в Интернете Обозреватель. Чтобы отключить интернет-Обозреватель конфигурацию усиленной безопасности, выполните приведенные далее действия.
Войдите на сервер, на котором устанавливается соединитель Intune для Active Directory с учетной записью с правами локального администратора.
Откройте диспетчер сервера.
В левой области диспетчер сервера выберите Локальный сервер.
В правой области СВОЙСТВА диспетчер сервера выберите ссылку Вкл. или Выкл. рядом с элементом Конфигурация усиленной безопасности IE.
В окне Конфигурация расширенной безопасности Интернета Обозреватель выберите Выкл. в разделе Администраторы:, а затем нажмите кнопку ОК.
Скачивание соединителя Intune для Active Directory
На сервере, где устанавливается соединитель Intune для Active Directory, войдите в Центр администрирования Microsoft Intune.
На начальном экране выберите Устройства в области слева.
В разделе Устройства | Экран "Обзор " в разделе По платформе выберите Windows.
В Windows | Экран устройств Windows в разделе Подключение устройств выберите Регистрация.
В Windows | Экран регистрации Windows в разделе Windows Autopilot выберите Intune Соединитель для Active Directory.
На экране соединитель Intune для Active Directory выберите Добавить.
В открывающемся окне Добавление соединителя в разделе Настройка соединителя Intune для Active Directory выберите Скачать локальный соединитель Intune для Active Directory. Ссылка скачивает файл с именем
ODJConnectorBootstrapper.exe.
Установка соединителя Intune для Active Directory на сервере
Важно!
Установка соединителя Intune для Active Directory должна выполняться с учетной записью, которая имеет следующие права домена:
- Обязательный . Создание объектов msDs-ManagedServiceAccount в контейнере Управляемые учетные записи служб.
- Необязательно. Изменение разрешений в подразделениях в Active Directory. Если администратор, устанавливающий обновленный соединитель Intune для Active Directory, не имеет этого права, администратору, который имеет эти права, требуются дополнительные действия по настройке. Дополнительные сведения см. в разделе Шаг или раздел Увеличение лимита учетной записи компьютера в подразделении.
Войдите на сервер, на котором устанавливается соединитель Intune для Active Directory с учетной записью с правами локального администратора.
Если установлен предыдущий устаревший соединитель Intune для Active Directory, сначала удалите его перед установкой обновленного соединителя Intune для Active Directory. Дополнительные сведения см. в статье Удаление соединителя Intune для Active Directory.
Важно!
При удалении предыдущего устаревшего соединителя Intune для Active Directory обязательно запустите установщик устаревшей версии соединителя Intune для Active Directory в процессе удаления. Если установщик устаревшей версии соединителя Intune для Active Directory предлагает удалить его при запуске, выберите , чтобы удалить его. Этот шаг гарантирует, что предыдущий устаревший соединитель Intune для Active Directory будет полностью удален. Устаревший установщик соединителя Intune для Active Directory можно скачать на странице Intune Connector for Active Directory.
Совет
В доменах с одним соединителем Intune для Active Directory корпорация Майкрософт рекомендует сначала установить обновленный соединитель Intune для Active Directory на другом сервере. Перед удалением устаревшего соединителя Intune для Active Directory на текущем сервере необходимо установить обновленный соединитель Intune для Active Directory. Установка соединителя Intune для Active Directory на другом сервере позволяет избежать простоя, пока соединитель Intune для Active Directory обновляется на текущем сервере.
Откройте скачанный
ODJConnectorBootstrapper.exeфайл, чтобы запустить установку установки соединителя Intune для Active Directory.Пошаговое руководство по установке соединителя Intune для Active Directory.
В конце установки установите флажок Запустить соединитель Intune для Active Directory.
Примечание.
Если установка установки Intune соединителя для Active Directory случайно закрыта без установки флажка Запустить соединитель Intune для Active Directory, конфигурацию Intune connector for Active Directory можно повторно открыть, выбрав Intune Connector for Active Directory>Intune Соединитель для Active Directory в меню "Пуск".
Вход в соединитель Intune для Active Directory
В окне соединителя Intune для Active Directory на вкладке Регистрация выберите Войти.
На вкладке Вход войдите с Microsoft Entra ID учетными данными Intune роли администратора. Учетной записи пользователя должна быть назначена лицензия Intune. Процесс входа может занять несколько минут.
Примечание.
Учетная запись, используемая для регистрации соединителя Intune для Active Directory, является временным требованием на момент установки. Учетная запись не используется в дальнейшем после регистрации сервера.
После завершения процесса входа:
- Откроется окно подтверждения успешно зарегистрированного соединителя Intune для Active Directory. Нажмите кнопку ОК , чтобы закрыть окно.
- Откроется окно подтверждения управляемой учетной записи службы с именем "<MSA_name>". Имя MSA имеет формат
msaODJ#####, в котором ##### содержит пять случайных символов. Укажите имя созданного msa и нажмите кнопку ОК , чтобы закрыть окно. Имя MSA может потребоваться позже, чтобы настроить MSA, чтобы разрешить создание объектов-компьютеров в подразделениях.
На вкладке Регистрацияотображается Intune соединитель для Active Directory зарегистрирован. Кнопка Войти выделена серым цветом и включена настройка управляемой учетной записи службы .
Закройте окно соединителя Intune для Active Directory.
Проверка активности соединителя Intune для Active Directory
После проверки подлинности соединитель Intune для Active Directory завершает установку. После завершения установки убедитесь, что он активен в Intune, выполнив следующие действия.
Перейдите в центр администрирования Microsoft Intune, если он по-прежнему открыт. Если окно Добавление соединителя по-прежнему отображается, закройте его.
Если центр администрирования Microsoft Intune по-прежнему не открыт:
Войдите в Центр администрирования Microsoft Intune.
На начальном экране выберите Устройства в области слева.
В разделе Устройства | Экран "Обзор " в разделе По платформе выберите Windows.
В Windows | Экран устройств Windows в разделе Подключение устройств выберите Регистрация.
В Windows | Экран регистрации Windows в разделе Windows Autopilot выберите Intune Соединитель для Active Directory.
На странице соединителя Intune для Active Directory:
- Убедитесь, что сервер отображается в поле Имя соединителя и отображается как Активный в разделе Состояние.
- Для обновленного соединителя Intune для Active Directory убедитесь, что версия больше 6.2501.2000.5.
Если сервер не отображается, выберите Обновить или перейдите со страницы, а затем вернитесь на страницу соединителя Intune для Active Directory.
Примечание.
На появление нового зарегистрированного сервера на странице соединителя Intune для Active Directoryцентра администрирования Microsoft Intune может потребоваться несколько минут. Зарегистрированный сервер отображается только в том случае, если он может успешно взаимодействовать со службой Intune.
Неактивные соединители Intune для Active Directory по-прежнему отображаются на странице соединителя Intune для Active Directory и автоматически очищаются через 30 дней.
После установки соединителя Intune для Active Directory начнется вход в Просмотр событий по пути Журналы >приложений и службMicrosoft>Intune>ODJConnectorService. По этому пути можно найти журналы Администратор и операционные журналы.
Настройка MSA для разрешения создания объектов в подразделениях (необязательно)
По умолчанию msa имеют доступ только для создания объектов-компьютеров в контейнере Компьютеры . MSA не имеют доступа к созданию объектов-компьютеров в подразделениях . Чтобы разрешить MSA создавать объекты в подразделениях, подразделения должны быть добавлены ODJConnectorEnrollmentWiazard.exe.config в XML-файл, найденный в ODJConnectorEnrollmentWizard каталоге, где был установлен соединитель Intune для Active Directory, обычно C:\Program Files\Microsoft Intune\ODJConnector\.
Чтобы настроить MSA для разрешения создания объектов в подразделениях, выполните следующие действия.
На сервере, где установлен соединитель Intune для Active Directory, перейдите в
ODJConnectorEnrollmentWizardкаталог, где был установлен соединитель Intune для Active Directory( обычноC:\Program Files\Microsoft Intune\ODJConnector\).В каталоге
ODJConnectorEnrollmentWizardоткройтеODJConnectorEnrollmentWiazard.exe.configXML-файл в текстовом редакторе, например в Блокноте.ODJConnectorEnrollmentWiazard.exe.configВ XML-файле добавьте все необходимые подразделения, к которым MSA должен иметь доступ для создания объектов-компьютеров. Имя подразделения должно быть различаемым и, если применимо, должно быть экранировано. Ниже приведен пример XML-записи с различающееся имя подразделения:<appSettings> <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format. The ODJ Connector will only have permission to create computer objects in these OUs. The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY): Domain contains the following OUs: - OU=HybridDevices,DC=contoso,DC=com - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" --> <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" /> </appSettings>После добавления всех необходимых подразделений сохраните
ODJConnectorEnrollmentWiazard.exe.configXML-файл.Как администратор, имеющий соответствующие разрешения на изменение разрешений подразделения, откройте соединитель Intune для Active Directory, перейдя к Intune Соединитель для Active Directory>Intune Соединитель для Active Directory в меню Пуск.
Важно!
Если администратор, устанавливающий и настроив соединитель Intune для Active Directory, не имеет разрешений на изменение разрешений подразделения, за разделом или действиями Увеличение ограничения учетной записи компьютера в подразделении должен следовать администратор, имеющий разрешения на изменение разрешений подразделения.
На вкладке Регистрация в окне соединителя Intune для Active Directory выберите Настроить управляемую учетную запись службы.
Откроется окно подтверждения управляемой учетной записи службы с именем "<MSA_name>". Нажмите кнопку ОК , чтобы закрыть окно.
Настройка параметров веб-прокси
Если в сетевой среде есть веб-прокси, убедитесь, что соединитель Intune для Active Directory работает правильно, перейдя к статье Работа с существующими локальными прокси-серверами.
Увеличение предельного количества учетных записей компьютеров в подразделении
Важно!
Этот шаг необходим только при одном из следующих условий:
- Администратор, установив и настроив соединитель Intune для Active Directory, не имеет соответствующих прав, как описано в разделе Требования к соединителю Intune для Active Directory.
-
ODJConnectorEnrollmentWiazard.exe.configXML-файл не был изменен для добавления подразделений, для которых MSA должен иметь разрешения.
Цель соединителя Intune для Active Directory — присоединить компьютеры к домену и добавить их в подразделение. По этой причине у управляемой учетной записи службы (MSA), используемой для соединителя Intune для Active Directory, должны быть разрешения на создание учетных записей компьютеров в подразделении, где компьютеры присоединены к локальному домену.
При наличии разрешений по умолчанию в Active Directory присоединение к домену с помощью соединителя Intune для Active Directory может изначально работать без каких-либо изменений разрешений для подразделения в Active Directory. Однако после того, как MSA попытается присоединить более 10 компьютеров к локальному домену, она перестанет работать, так как по умолчанию Active Directory разрешает только одной учетной записи присоединить до 10 компьютеров к локальному домену.
Следующие пользователи не ограничены ограничением на присоединение к домену 10 компьютеров:
- Пользователи в группах "Администраторы" или "Администраторы домена". Для соблюдения принципов минимальных привилегий корпорация Майкрософт не рекомендует делать MSA администратором или администратором домена.
- Пользователи с делегированными разрешениями на подразделения и контейнеры в Active Directory для создания учетных записей компьютеров. Этот метод рекомендуется использовать, так как он соответствует модели минимальных привилегий.
Чтобы устранить это ограничение, MSA требуется разрешение Создание учетных записей компьютеров в подразделении, к которому присоединены компьютеры в локальном домене. Соединитель Intune для Active Directory задает разрешения для подразделений MSA при условии, что выполняется одно из следующих условий:
- Администратор, устанавливая соединитель Intune для Active Directory, имеет необходимые разрешения для установки разрешений на подразделения.
- Администратор, настроив соединитель Intune для Active Directory, имеет необходимые разрешения для установки разрешений на подразделения.
Если администратор, устанавливающий или настроивший соединитель Intune для Active Directory, не имеет необходимых разрешений для установки разрешений на подразделения, необходимо выполнить следующие действия.
Войдите на компьютер с доступом к консоли Пользователи и компьютеры Active Directory с учетной записью, которая является необходимыми разрешениями для установки разрешений на подразделения.
Откройте консоль Пользователи и компьютеры Active Directory, запустив DSA.msc.
Разверните нужный домен и перейдите к подразделению, к которому присоединяются компьютеры во время Windows Autopilot.
Примечание.
Подразделение, к которому присоединяются компьютеры во время развертывания Windows Autopilot, указывается позже на шаге Настройка и назначение профиля присоединения к домену .
Щелкните правой кнопкой мыши подразделение и выберите Свойства.
Примечание.
Если компьютеры присоединяются к контейнеру компьютеров по умолчанию вместо подразделения, щелкните правой кнопкой мыши контейнер Компьютеры и выберите пункт Делегировать управление.
В открывавшемся окне Свойства подразделения выберите вкладку Безопасность .
На вкладке Безопасность выберите Дополнительно.
В окне Дополнительные параметры безопасности выберите Добавить.
В окне Запись разрешений рядом с пунктом Субъект выберите ссылку Выбрать участника .
В окне Выбор пользователя, компьютера, учетной записи службы или группы нажмите кнопку Типы объектов...
В окне Типы объектов выберите поле Учетные записи служб проверка и нажмите кнопку ОК.
В окне Выбор пользователя, компьютера, учетной записи службы или группы в разделе Введите имя выбранного объекта введите имя MSA, используемого для соединителя Intune для Active Directory.
Совет
MsA был создан на шаге или разделе Установка соединителя Intune для Active Directory и имеет формат
msaODJ#####имени, где ##### это пять случайных символов. Если имя MSA неизвестно, выполните следующие действия, чтобы найти имя MSA:- На сервере, на котором запущен соединитель Intune для Active Directory, щелкните правой кнопкой мыши меню Пуск и выберите пункт Управление компьютером.
- В окне Управление компьютером разверните узел Службы и приложения , а затем выберите Службы.
- В области результатов найдите службу с именем Intune ODJConnector для активной службы. Имя MSA указано в столбце Log On As (Вход в систему от имени ).
Выберите Проверить имена , чтобы проверить запись имени MSA. После проверки записи нажмите кнопку ОК.
В окне Запись разрешений выберите раскрывающееся меню Применимо к: и выберите Только этот объект.
В разделе Разрешения снимите флажок все элементы, а затем выберите только поле Создать объекты-компьютеры проверка.
Нажмите кнопку ОК , чтобы закрыть окно Запись разрешений .
В окне Дополнительные параметры безопасности выберите Применить или ОК , чтобы применить изменения.
Создание группы устройств
В Центре администрирования Microsoft Intune выберите Группы>Новая группа.
В области Группа выберите следующие параметры:
В поле Тип группы выберите Безопасность.
Заполните поля Имя группы и Описание группы.
Выберите значение в поле Тип членства.
Если для типа членства выбраны динамические устройства , в области Группа выберите Динамические члены устройства.
Выберите Изменить в поле Синтаксис правила и введите одну из следующих строк кода.
Чтобы создать группу, включающую все устройства Windows Autopilot, введите:
(device.devicePhysicalIDs -any _ -startsWith "[ZTDId]")Поле тега группы Intune сопоставляется с атрибутом OrderID на Microsoft Entra устройствах. Чтобы создать группу, включающую все устройства Windows Autopilot с определенным тегом группы (OrderID), введите:
(device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")Чтобы создать группу, включающую все устройства Windows Autopilot с определенным идентификатором заказа на покупку, введите:
(device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")
Выберите Сохранить>Создать.
Регистрация устройств Windows Autopilot
Выберите один из следующих способов регистрации устройств Windows Autopilot.
Регистрация уже зарегистрированных устройств Windows Autopilot
Создайте профиль развертывания Windows Autopilot с параметром Преобразовать все целевые устройства в Autopilot для параметра Да.
Назначьте профиль группе, содержащей участников, которые должны быть автоматически зарегистрированы в Windows Autopilot.
Дополнительные сведения см. в разделе Создание профиля развертывания Autopilot.
Регистрация устройств Windows Autopilot, которые не зарегистрированы
Устройства, которые еще не зарегистрированы в Windows Autopilot, можно зарегистрировать вручную. Дополнительные сведения см. в статье Регистрация вручную.
Регистрация устройств изготовителем оборудования
При покупке новых устройств некоторые изготовители оборудования могут зарегистрировать устройства от имени организации. Дополнительные сведения см. в статье Регистрация производителем оборудования.
Отображение зарегистрированного устройства Windows Autopilot
Перед регистрацией устройств в Intune зарегистрированные устройства Windows Autopilot отображаются в трех местах (с именами, заданными для их серийных номеров):
- Панель Устройств Windows Autopilot в Центре администрирования Microsoft Intune. Выбор устройств>по платформе | Подключение устройств Windows >| Регистрация. В разделе Windows Autopilot выберите Устройства.
- Устройства | Панель "Все устройства" в портал Azure. Последовательно выберите Устройства>Все устройства.
- Панель Autopilot в Центр администрирования Microsoft 365. Выберите Устройства>Autopilot.
После регистрации устройств Windows Autopilot устройства отображаются в четырех местах:
- Устройства | Панель Все устройства в Центре администрирования Microsoft Intune. Выберите Устройства>Все устройства.
- Windows | Панель устройств Windows в Центре администрирования Microsoft Intune. Выбор устройств>по платформе | Windows.
- Устройства | Панель "Все устройства" в портал Azure. Последовательно выберите Устройства>Все устройства.
- Область Активные устройства в Центр администрирования Microsoft 365. Выберите Устройства>Активные устройства.
Примечание.
После регистрации устройств устройства по-прежнему отображаются на панели Устройства Windows Autopilot в Центре администрирования Microsoft Intune и в области Autopilot в Центр администрирования Microsoft 365, но эти объекты являются зарегистрированными объектами Windows Autopilot.
Объект устройства предварительно создается в Microsoft Entra ID после регистрации устройства в Windows Autopilot. Когда устройство проходит через гибридное развертывание Microsoft Entra, по умолчанию создается другой объект устройства, что приводит к дублированию записей.
VPN
Тестируются и проверяются следующие VPN-клиенты:
- Встроенный клиент VPN в Windows
- Cisco AnyConnect (клиент Win32)
- Pulse Secure (клиент Win32)
- GlobalProtect (клиент Win32)
- Checkpoint (клиент Win32)
- Citrix NetScaler (клиент Win32)
- SonicWall (клиент Win32)
- FortiClient VPN (клиент Win32)
При использовании VPN выберите Да для параметра Пропустить подключение AD проверка в профиле развертывания Windows Autopilot. Always-On VPN не должен требовать этот параметр, так как он подключается автоматически.
Примечание.
Этот список VPN-клиентов не является исчерпывающим списком всех VPN-клиентов, работающих с Windows Autopilot. Обратитесь к соответствующему поставщику VPN по вопросам совместимости и поддержки с Windows Autopilot или по поводу любых проблем с использованием РЕШЕНИЯ VPN с Windows Autopilot.
Неподдерживаемые VPN-клиенты
Известно , что следующие VPN-решения не работают с Windows Autopilot и поэтому не поддерживаются для использования с Windows Autopilot:
- Дополнительные модули VPN на основе UWP
- Все клиенты, требующие сертификации пользователей
- DirectAccess
Примечание.
Пропуск конкретного VPN-клиента из этого списка не означает, что он автоматически поддерживается или работает с Windows Autopilot. В этом списке перечислены только VPN-клиенты, которые, как известно , не работают с Windows Autopilot.
Создание и назначение профиля развертывания Windows Autopilot
Профили развертывания Windows Autopilot используются для настройки устройств Windows Autopilot.
Войдите в Центр администрирования Microsoft Intune.
На начальном экране выберите Устройства в области слева.
В разделе Устройства | Экран "Обзор " в разделе По платформе выберите Windows.
В Windows | Экран устройств Windows в разделе Подключение устройств выберите Регистрация.
В Windows | Экран регистрации Windows в разделе Windows Autopilot выберите Профили развертывания.
На экране Профили развертывания Windows Autopilot выберите раскрывающееся меню Создать профиль , а затем выберите Компьютер с Windows.
На экране Создание профиля на странице Основные сведения введите имя и необязательное описание.
Если все устройства в назначенных группах должны автоматически регистрироваться в Windows Autopilot, задайте для параметра Преобразовать все целевые устройства в Autopilot значение Да. Все корпоративные устройства, не принадлежащие Windows Autopilot в назначенных группах, регистрируются в службе развертывания Windows Autopilot. Личные устройства не регистрируются в Windows Autopilot. Регистрация завершится в течение 48 часов. После отмены регистрации и сброса устройства Windows Autopilot снова регистрирует его. После регистрации устройства таким образом отключение этого параметра или удаление назначения профиля не приведет к удалению устройства из службы развертывания Windows Autopilot. Вместо этого устройства необходимо удалить напрямую. Дополнительные сведения см. в разделе Удаление устройств Autopilot.
Нажмите кнопку Далее.
На странице Готовый интерфейс (OOBE) для параметра Режим развертывания выберите Под управлением пользователя.
В поле Присоединиться к Microsoft Entra ID как выберите Microsoft Entra гибридное присоединение.
При развертывании устройств вне сети организации с помощью поддержки VPN задайте для параметра Пропустить проверку подключения к домену значение Да. Дополнительные сведения см. в статье Режим на основе пользователя для Microsoft Entra гибридного присоединения с поддержкой VPN.
Настройте оставшиеся параметры на странице Запуск при первом включении (OOBE).
Нажмите кнопку Далее.
На странице Теги области выберите теги области для этого профиля.
Нажмите кнопку Далее.
На странице Назначения выберите Выберите группы, чтобы включить> поиск и выберите группу > устройств Выбрать.
Щелкните Далее>Создать.
Примечание.
Intune периодически проверять наличие новых устройств в назначенных группах, а затем начать процесс назначения профилей этим устройствам. Из-за нескольких различных факторов, участвующих в процессе назначения профиля Windows Autopilot, предполагаемое время назначения может отличаться от сценария к сценарию. Эти факторы могут включать Microsoft Entra группы, правила членства, хэш устройства, Intune и службу Windows Autopilot, а также подключение к Интернету. Время назначения зависит от всех факторов и переменных, участвующих в конкретном сценарии.
Включение страницы состояния регистрации (необязательно)
Войдите в Центр администрирования Microsoft Intune.
На начальном экране выберите Устройства в области слева.
В разделе Устройства | Экран "Обзор " в разделе По платформе выберите Windows.
В Windows | Экран устройств Windows в разделе Подключение устройств выберите Регистрация.
В Windows | Экран регистрации Windows в разделе Windows Autopilot выберите Страница состояния регистрации.
На панели Страница состояния регистрации выберите По умолчанию>Параметры.
В поле Показать ход установки приложений и профилей выберите значение Да.
При необходимости настройте остальные параметры.
Нажмите Сохранить.
Создание и назначение профиля присоединения к домену
В Центре администрирования Microsoft Intune выберите Устройства>Управление устройствами | Политики конфигурации>>Создание>новой политики.
В открывавшемся окне создания профиля введите следующие свойства:
- Имя: введите описательное имя для нового профиля.
- Описание: введите описание профиля
- Платформа: выберите Windows 10 и более поздних версий.
- Тип профиля: выберите Шаблоны, выберите имя шаблона Присоединение к домену и нажмите кнопку Создать.
Введите имя и описание, а затем выберите Далее.
Укажите Префикс имени компьютера и Имя домена.
(Необязательно.) Укажите подразделение в формате различающегося имени. Параметры включают:
- Укажите подразделение, в котором управление делегируется устройству Windows, на котором выполняется соединитель Intune для Active Directory.
- Укажите подразделение, в котором управление делегируется корневым компьютерам в локальная служба Active Directory организации.
- Если это поле осталось пустым, объект-компьютер создается в контейнере Active Directory по умолчанию. Контейнером по умолчанию обычно
CN=Computersявляется контейнер. Дополнительные сведения см. в статье Перенаправление контейнеров пользователей и компьютеров в доменах Active Directory.
Допустимые примеры:
OU=SubOU,OU=TopLevelOU,DC=contoso,DC=comOU=Mine,DC=contoso,DC=com
Недопустимые примеры:
-
CN=Computers,DC=contoso,DC=com— контейнер не может быть указан. Вместо этого оставьте значение пустым, чтобы использовать значение по умолчанию для домена. -
OU=Mine— домен должен быть указан с помощьюDC=атрибутов.
Не используйте кавычки вокруг значения в подразделении.
Выберите ОК>Создать. Созданный профиль отобразится в списке.
Назначьте профиль устройства той же группе, которая использовалась в действии Создание группы устройства. Если требуется присоединять устройства к разным доменам или подразделениям, можно использовать разные группы.
Примечание.
Возможность именования для Windows Autopilot для Microsoft Entra гибридного соединения не поддерживает переменные, такие как %SERIAL%. Он поддерживает только префиксы для имени компьютера.
Удаление соединителя Intune для Active Directory
Соединитель Intune для Active Directory устанавливается локально на компьютере через исполняемый файл. Если соединитель Intune для Active Directory необходимо удалить с компьютера, это также необходимо сделать локально на компьютере. Соединитель Intune для Active Directory нельзя удалить с помощью портала Intune или вызова API graph.
Чтобы удалить соединитель Intune для Active Directory с сервера, выберите соответствующую вкладку для версии ОС Windows Server, а затем выполните следующие действия:
Войдите на компьютер, на котором размещен соединитель Intune для Active Directory.
Щелкните правой кнопкой мыши меню Пуск и выберите Параметры Приложения>>Установленные приложения.
Или
Выберите следующий ярлык Установленные приложения>:
В окне Приложения > Установленные приложения найдите соединитель Intune для Active Directory.
Рядом с Intune Соединитель для Active Directory выберите ...>Удалите, а затем нажмите кнопку Удалить.
Соединитель Intune для Active Directory продолжает удаление.
В некоторых случаях соединитель Intune для Active Directory может быть удален не полностью, пока исходный установщик
ODJConnectorBootstrapper.exeсоединителя Intune для Active Directory не будет снова запущен. Чтобы убедиться, что соединитель Intune для Active Directory полностью удален, запуститеODJConnectorBootstrapper.exeустановщик еще раз. Если появится запрос на удаление, выберите , чтобы удалить его. В противном случае закройтеODJConnectorBootstrapper.exeустановщик.Примечание.
Устаревший установщик соединителя Intune для Active Directory можно скачать из Intune Connector for Active Directory и использовать только для удаления. Для новых установок используйте обновленный соединитель Intune для Active Directory.
Дальнейшие действия
После настройки Windows Autopilot узнайте, как управлять этими устройствами. Дополнительные сведения см. в статье Что такое управление устройствами с помощью Microsoft Intune.
Связанные материалы
- Что такое удостоверение устройства?
- Дополнительные сведения о облачных конечных точках.
- Microsoft Entra присоединено и Microsoft Entra гибридное присоединение в облачных конечных точках.
- Руководство. Настройка и настройка облачной конечной точки Windows с помощью Microsoft Intune.
- Практическое руководство. Планирование реализации Microsoft Entra присоединения.
- Платформа для преобразования управления конечными точками Windows.
- Общие сведения о сценариях гибридного Azure AD и совместного управления.
- Успешное использование удаленного присоединения к Windows Autopilot и гибридного присоединения к Azure Active Directory.