Företablera Microsoft Entra hybridanslutning: Installera Intune Connector

• Gäller för:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Windows Autopilot för företablerad distribution Microsoft Entra hybridanslutningssteg:

• Steg 1: Konfigurera automatisk registrering av Windows Intune

• Steg 2: Installera Intune Connector

• Steg 3: Öka gränsen för datorkontot i organisationsenheten (OU)
• Steg 4: Registrera enheter som Windows Autopilot-enheter
• Steg 5: Skapa en enhetsgrupp
• Steg 6: Konfigurera och tilldela Registreringsstatussida för Windows Autopilot (ESP)
• Steg 7: Skapa och tilldela Microsoft Entra Hybrid Join Windows Autopilot-profil
• Steg 8: Konfigurera och tilldela domänanslutningsprofil
• Steg 9: Tilldela Windows Autopilot-enhet till en användare (valfritt)
• Steg 10: Teknikerflöde
• Steg 11: Användarflöde

En översikt över Windows Autopilot för företablerad distribution Microsoft Entra hybridanslutningsarbetsflöde finns i Windows Autopilot för företablerad distribution Microsoft Entra översikt över hybridanslutning.

Obs!

Om Intune Connector redan är installerad och konfigurerad hoppar du över det här steget och går vidare till Steg 3: Öka gränsen för datorkontot i organisationsenheten (OU).

Installera Intune Connector för Active Directory

Syftet med Intune Connector för Active Directory, även kallat ODJ-anslutningsprogram (Offline Domain Join), är att ansluta datorer till en lokal domän under Windows Autopilot-processen. Intune Connector för Active Directory skapar datorobjekt i en angiven organisationsenhet (OU) i Active Directory under domänanslutningsprocessen.

Viktigt

Från och med Intune 2501 använder Intune en uppdaterad Intune Connector för Active Directory som stärker säkerheten och följer minsta möjliga privilegier med hjälp av ett hanterat tjänstkonto (MSA). När Intune Connector för Active Directory laddas ned från Intune hämtas den uppdaterade Intune Connector för Active Directory. Den tidigare äldre Intune Connector för Active Directory är fortfarande tillgänglig för nedladdning på Intune Connector för Active Directory, men Microsoft rekommenderar att du använder den uppdaterade Intune Connector för Active Directory-installationsprogrammet framöver. Den tidigare äldre Intune Connector för Active Directory fortsätter att fungera någon gång i maj 2025. Den måste dock uppdateras till den uppdaterade Intune Connector för Active Directory innan dess för att undvika funktionsförlust. Mer information finns i Intune Connector for Active Directory with low-privileged account for Autopilot Hybrid Microsoft Entra join deployments (Intune Connector för Active Directory med lågprivilegierat konto för Distributioner av Autopilot Hybrid-Microsoft Entra-anslutning).

Uppdatering av Intune Connector för Active Directory till den uppdaterade versionen görs inte automatiskt. Den äldre Intune Connector för Active Directory måste avinstalleras manuellt följt av den uppdaterade anslutningsappen manuellt nedladdad och installerad. Instruktioner för manuell avinstallation och installation av Intune Connector för Active Directory finns i följande avsnitt.

Välj den flik som motsvarar versionen av Intune Connector för Active Directory som installeras:

Uppdaterad anslutningsapp

Innan du påbörjar installationen kontrollerar du att alla krav för Intune-anslutningsservern är uppfyllda.

Tips

Det är bättre, men inte nödvändigt, att administratören som installerar och konfigurerar Intune Connector för Active Directory har lämpliga domänrättigheter enligt beskrivningen i Intune Connector för Active Directory-krav. Med det här kravet kan Intune Connector för Active Directory-installationsprogrammet och konfigurationsprocessen ange behörigheter för MSA på datorcontainern eller organisationsenheter där datorobjekt skapas. Om administratören inte har dessa behörigheter måste en administratör som har rätt behörighet följa avsnittet Öka gränsen för datorkonto i organisationsenheten.

Inaktivera Förbättrad säkerhetskonfiguration i Internet Explorer

Som standard har Windows Server Förbättrad säkerhetskonfiguration i Internet Explorer aktiverat. Internet Explorer Enhanced Security Configuration kan orsaka problem med att logga in på Intune Connector för Active Directory. Eftersom Internet Explorer är inaktuellt och i de flesta fall inte ens installerat på Windows Server rekommenderar Microsoft att du inaktiverar Förbättrad säkerhetskonfiguration i Internet Explorer. Så här inaktiverar du Förbättrad säkerhetskonfiguration i Internet Explorer:

1. Logga in på servern där Intune Connector för Active Directory installeras med ett konto som har lokal administratörsbehörighet.

2. Öppna Serverhanteraren.

3. I den vänstra rutan i Serverhanteraren väljer du Lokal server.

4. I den högra rutan EGENSKAPER i Serverhanteraren väljer du länken På eller Av bredvid Förbättrad säkerhetskonfiguration i IE.

5. I fönstret Förbättrad säkerhetskonfiguration i Internet Explorer väljer du Av under Administratörer: och sedan OK.

Ladda ned Intune-anslutningsappen för Active Directory

1. Logga in på Microsoft Intune administrationscenter på den server där Intune Connector för Active Directory installeras.

2. På startskärmen väljer du Enheter i den vänstra rutan.

3. I Enheter | Översiktsskärmen , under Efter plattform, väljer du Windows.

4. I Windows | Skärmen Windows-enheter går till Enhetsregistrering och väljer Registrering.

5. I Windows | Windows-registreringsskärmen under Windows Autopilot väljer du Intune Connector för Active Directory.

6. På skärmen Intune Connector för Active Directory väljer du Lägg till.

7. I fönstret Lägg till anslutningsprogram som öppnas går du till Konfigurera Intune Connector för Active Directory och väljer Ladda ned den lokala Intune Connector för Active Directory. Länken laddar ned en fil med namnet ODJConnectorBootstrapper.exe.

Installera Intune Connector för Active Directory på servern

Viktigt

Intune Connector för Active Directory-installation måste göras med ett konto som har följande domänrättigheter:

• Obligatoriskt – Skapa msDs-ManagedServiceAccount-objekt i containern Hanterade tjänstkonton.
• Valfritt – Ändra behörigheter i organisationsenheter i Active Directory – om administratören som installerar den uppdaterade Intune Connector för Active Directory inte har den här rättigheten krävs ytterligare konfigurationssteg av en administratör som har dessa rättigheter. Mer information finns i steg/avsnitt Öka gränsen för datorkonto i organisationsenheten.

1. Logga in på servern där Intune Connector för Active Directory installeras med ett konto som har lokal administratörsbehörighet.

2. Om den tidigare äldre Intune-anslutningsappen för Active Directory är installerad avinstallerar du den först innan du installerar den uppdaterade Intune Connector för Active Directory. Mer information finns i Avinstallera Intune Connector för Active Directory.

   Viktigt

   När du avinstallerar den tidigare äldre Intune Connector för Active Directory ska du köra den äldre Intune Connector för Active Directory-installationsprogrammet som en del av avinstallationsprocessen. Om den äldre Intune Connector för Active Directory-installationsprogrammet uppmanar dig att avinstallera den när den körs väljer du att avinstallera den. Det här steget säkerställer att den tidigare äldre Intune Connector för Active Directory avinstalleras fullständigt. Det äldre Intune-anslutningsprogrammet för Active Directory-installationsprogrammet kan laddas ned från Intune Connector för Active Directory.

   Tips

   I domäner med endast en enda Intune Connector för Active Directory rekommenderar Microsoft att du först installerar den uppdaterade Intune Connector för Active Directory på en annan server. Du bör installera den uppdaterade Intune Connector för Active Directory på en annan server innan du avinstallerar den äldre Intune Connector för Active Directory på den aktuella servern. Om du installerar Intune Connector för Active Directory på en annan första gång undviks driftstopp medan Intune Connector för Active Directory uppdateras på den aktuella servern.

3. ODJConnectorBootstrapper.exe Öppna filen som laddades ned för att starta installationen av Intune Connector för Active Directory-installationsprogrammet.

4. Gå igenom installationen av Intune Connector för Active Directory-installation.

5. I slutet av installationen markerar du kryssrutan Starta Intune Connector för Active Directory.

   Obs!

   Om installationen av Intune-anslutningsprogrammet för Active Directory stängs av misstag utan att markera kryssrutan Starta Intune Connector för Active Directory kan Intune-anslutningsprogrammet för Active Directory-konfigurationen öppnas igen genom att välja Intune Connector för Active Directory>Intune Anslutningsprogram för Active Directory från Start-menyn.

Logga in på Intune Connector för Active Directory

1. I fönstret Intune Connector för Active Directory går du till fliken Registrering och väljer Logga in.

2. Logga in med Microsoft Entra ID autentiseringsuppgifter för en Intune administratörsroll under fliken Logga in. Användarkontot måste ha en tilldelad Intune licens. Inloggningsprocessen kan ta några minuter att slutföra.

   Obs!

   Kontot som används för att registrera Intune Connector för Active Directory är bara ett tillfälligt krav vid tidpunkten för installationen. Kontot används inte framöver när servern har registrerats.

3. När inloggningsprocessen är klar:

   1. Bekräftelsefönstret Intune Connector för Active Directory har registrerats visas. Välj OK för att stänga fönstret.
   2. Ett konto för en hanterad tjänst med namnet "<MSA_name>" har konfigurerats visas som bekräftelsefönster. Namnet på MSA är i formatet msaODJ##### där ##### är fem slumpmässiga tecken. Notera namnet på den MSA som skapades och välj sedan OK för att stänga fönstret. Namnet på MSA kan behövas senare för att konfigurera MSA så att datorobjekt kan skapas i organisationsenheter.

4. Fliken Registrering visar Intune Connector för Active Directory har registrerats. Knappen Logga in är nedtonad och Konfigurera hanterat tjänstkonto är aktiverat.

5. Stäng fönstret Intune Connector för Active Directory.

Kontrollera att Intune-anslutningsappen för Active Directory är aktiv

När du har autentiserats slutförs installationen av Intune Connector för Active Directory. När installationen är klar kontrollerar du att den är aktiv i Intune genom att följa dessa steg:

1. Gå till Microsoft Intune administrationscenter om det fortfarande är öppet. Om fönstret Lägg till anslutningsapp fortfarande visas stänger du det.

   Om Microsoft Intune administrationscenter inte fortfarande är öppet:

   1. Logga in på Microsoft Intune administrationscenter.

   2. På startskärmen väljer du Enheter i den vänstra rutan.

   3. I Enheter | Översiktsskärmen , under Efter plattform, väljer du Windows.

   4. I Windows | Skärmen Windows-enheter går till Enhetsregistrering och väljer Registrering.

   5. I Windows | Windows-registreringsskärmen under Windows Autopilot väljer du Intune Connector för Active Directory.

2. På sidan Intune Connector för Active Directory:

   • Bekräfta att servern visas under anslutningsappens namn och visas som Aktiv under Status
   • För den uppdaterade Intune Connector för Active Directory kontrollerar du att versionen är större än eller lika med 6.2501.2000.5.

   Om servern inte visas väljer du Uppdatera eller navigerar bort från sidan och går sedan tillbaka till sidan Intune Connector för Active Directory.

Obs!

• Det kan ta flera minuter innan den nyligen registrerade servern visas på sidan Intune Connector för Active Directory i Microsoft Intune administrationscenter. Den registrerade servern visas bara om den kan kommunicera med Intune-tjänsten.

• Inaktiva Intune-anslutningsappar för Active Directory visas fortfarande på sidan Intune Connector för Active Directory och rensas automatiskt efter 30 dagar.

När Intune Connector för Active Directory har installerats börjar den logga in Loggboken under sökvägen Program- och tjänstloggar>Microsoft>Intune>ODJConnectorService. Under den här sökvägen finns Admin- och driftloggar.

Konfigurera MSA för att tillåta att objekt skapas i organisationsenheter (valfritt)

Som standard har MSA:erna bara åtkomst till att skapa datorobjekt i containern Datorer . MSA:er har inte åtkomst till att skapa datorobjekt i organisationsenheter (OUs). För att MSA ska kunna skapa objekt i organisationsenheter måste organisationsenheterna läggas till ODJConnectorEnrollmentWizard.exe.config i XML-filen som finns i ODJConnectorEnrollmentWizard katalogen där Intune Connector för Active Directory installerades, vanligtvis C:\Program Files\Microsoft Intune\ODJConnector\.

Så här konfigurerar du MSA för att tillåta att objekt skapas i organisationsenheter:

1. På den server där Intune Connector för Active Directory är installerat navigerar du till ODJConnectorEnrollmentWizard katalogen där Intune Connector för Active Directory installerades, vanligtvis C:\Program Files\Microsoft Intune\ODJConnector\.

2. ODJConnectorEnrollmentWizard Öppna XML-filen i en textredigerare i katalogenODJConnectorEnrollmentWizard.exe.config, till exempel Anteckningar.

3. ODJConnectorEnrollmentWizard.exe.config I XML-filen lägger du till önskade organisationsenheter som MSA ska ha åtkomst till för att skapa datorobjekt i. Organisationsenhetens namn ska vara det unika namnet och om tillämpligt måste det undantagas. Följande exempel är en XML-exempelpost med det unika namnet på organisationsenheten:

     <appSettings>
   
       <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format.
           The ODJ Connector will only have permission to create computer objects in these OUs.
           The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure
   
           Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY):
           Domain contains the following OUs:
             - OU=HybridDevices,DC=contoso,DC=com
             - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com
   
           Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" -->
   
       <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" />
     </appSettings>
   

4. När alla önskade organisationsenheter har lagts till sparar ODJConnectorEnrollmentWizard.exe.config du XML-filen.

5. Som administratör som har rätt behörigheter för att ändra organisationsenhetsbehörigheter öppnar du Intune Connector för Active Directory genom att gå till Intune Connector för Active Directory>Intune Connector för Active Directory från Start-menyn.

   Viktigt

   Om administratören som installerar och konfigurerar Intune Connector för Active Directory inte har behörighet att ändra organisationsenhetsbehörigheter måste avsnittet/stegen Öka gränsen för datorkontot i organisationsenheten i stället följas av en administratör som har behörighet att ändra organisationsenhetsbehörigheter.

6. Under fliken Registrering i fönstret Intune Connector för Active Directory väljer du Konfigurera hanterat tjänstkonto.

7. Ett konto för en hanterad tjänst med namnet "<MSA_name>" har konfigurerats visas som bekräftelsefönster. Välj OK för att stänga fönstret.

Äldre anslutningsapp

Viktigt

Den äldre Intune-anslutningsappen för Active Directory är inaktuell. Dessa instruktioner förutsätter att den äldre Intune Connector för Active Directory redan är installerad eller redan har laddats ned. Om det äldre Intune-anslutningsprogrammet för Active Directory-installationsprogrammet inte redan har laddats ned kan det laddas ned från Intune Connector för Active Directory.

Bästa praxis är dock att ladda ned och installera den uppdaterade Intune Connector för Active Directory. Om du vill ha mer information väljer du fliken Uppdaterad anslutningsapp i stället.

Innan du påbörjar installationen kontrollerar du att alla krav för Intune-anslutningsservern är uppfyllda.

Inaktivera Förbättrad säkerhetskonfiguration i Internet Explorer

Som standard har Windows Server Förbättrad säkerhetskonfiguration i Internet Explorer aktiverat. Internet Explorer Enhanced Security Configuration kan orsaka problem med att logga in på Intune Connector för Active Directory. Eftersom Internet Explorer är inaktuellt och i de flesta fall inte ens installerat på Windows Server rekommenderar Microsoft att du inaktiverar Förbättrad säkerhetskonfiguration i Internet Explorer. Så här inaktiverar du Förbättrad säkerhetskonfiguration i Internet Explorer:

1. Logga in på den server där Intune Connector för Active Directory installeras med ett konto som har lokala administratörsrättigheter och domänadministratörsrättigheter. Domänadministratörsrättigheter krävs så att Intune Connector för Active Directory-installationsprogrammet kan skapa en MSA på rätt sätt.

2. Öppna Serverhanteraren.

3. I den vänstra rutan i Serverhanteraren väljer du Lokal server.

4. I den högra rutan EGENSKAPER i Serverhanteraren väljer du länken På eller Av bredvid Förbättrad säkerhetskonfiguration i IE.

5. I fönstret Förbättrad säkerhetskonfiguration i Internet Explorer väljer du Av under Administratörer: och sedan OK.

Installera den äldre Intune-anslutningsappen för Active Directory på servern

1. Öppna den tidigare nedladdade ODJConnectorBootstrapper.exe filen för att starta installationen av Intune Connector för Active Directory-installationsprogrammet.

   Obs!

   Om den äldre Intune Connector för Active Directory redan är installerad går du till Start-menyn>Intune Connector för Active Directory>Intune Connector för Active Directory och fortsätter sedan till Logga in på den äldre Intune Connector för Active Directory.

2. I fönstret Intune Connector for Active Directory Setup installer (Installationsprogram för Active Directory) väljer du Jag godkänner licensvillkoren och väljer sedan Installera.

   Obs!

   Om en annan installationsplats än standardinställningen C:\Program Files\Microsoft Intune\ODJConnector är önskad väljer du Alternativ och anger önskad installationsplats.

3. När installationen är klar väljer du Konfigurera nu i Intune-anslutningsprogrammet för installationsprogrammet för Active Directory.

   Obs!

   Om Stäng har valts av misstag eller om installationsinstallationsfönstret för Intune Connector för Active Directory har stängts av misstag kan du komma åt Intune Connector för Active Directory-konfigurationen genom att välja Intune Connector för Active Directory>Intune Connector för Active Directory på Start-menyn.

Logga in på den äldre Intune Connector

1. I fönstret Intune Connector för Active Directory går du till fliken Registrering och väljer Logga in.

2. Logga in med autentiseringsuppgifterna för en Intune administratörsroll under fliken Logga in. Användarkontot måste ha en tilldelad Intune licens. Inloggningsprocessen kan ta några minuter att slutföra.

   Obs!

   Kontot som används för att registrera Intune Connector för Active Directory är bara ett tillfälligt krav vid tidpunkten för installationen. Kontot används inte framöver när servern har registrerats.

3. När inloggningsprocessen är klar visas bekräftelsefönstret The Intune Connector for Active Directory successfully enrolled (Den Intune-anslutningsappen för Active Directory har registrerats). Välj OK för att stänga fönstret.

4. Fliken Registrering visar Intune Connector för Active Directory har registrerats och knappen Logga in är nedtonad.

5. Stäng fönstret Intune Connector för Active Directory.

Kontrollera att den äldre Intune-anslutningsappen för Active Directory är aktiv

När du har autentiserats slutförs installationen av Intune Connector för Active Directory. När installationen är klar kontrollerar du att den är aktiv i Intune genom att följa dessa steg:

1. Gå till Microsoft Intune administrationscenter om det fortfarande är öppet. Om fönstret Lägg till anslutningsapp fortfarande visas stänger du det.

   Om Microsoft Intune administrationscenter inte fortfarande är öppet:

   1. Logga in på Microsoft Intune administrationscenter.

   2. På startskärmen väljer du Enheter i den vänstra rutan.

   3. I Enheter | Översiktsskärmen , under Efter plattform, väljer du Windows.

   4. I Windows | Skärmen Windows-enheter går till Enhetsregistrering och väljer Registrering.

   5. I Windows | Windows-registreringsskärmen under Windows Autopilot väljer du Intune Connector för Active Directory.

2. På sidan Intune Connector för Active Directory kontrollerar du att servern visas under Anslutningsappens namn och visas som Aktiv under Status. Om servern inte visas väljer du Uppdatera eller navigerar bort från sidan och går sedan tillbaka till sidan Intune Connector för Active Directory.

Obs!

• Det kan ta flera minuter innan den nyligen registrerade servern visas på sidan Intune Connector för Active Directory i Microsoft Intune administrationscenter. Den registrerade servern visas bara om den kan kommunicera med Intune-tjänsten.

• Inaktiva Intune-anslutningsappar för Active Directory visas fortfarande på sidan Intune Connector för Active Directory och rensas automatiskt efter 30 dagar.

När Intune Connector för Active Directory har installerats börjar den logga in Loggboken under sökvägen Program- och tjänstloggar>Microsoft>Intune>ODJConnectorService. Under den här sökvägen finns Admin- och driftloggar.

Nästa steg: Öka datorkontogränsen i organisationsenheten (OU)

Steg 3: Öka gränsen för datorkontot i organisationsenheten (OU)