预预配Microsoft Entra混合联接:安装Intune连接器
用于预预配部署的 Windows Autopilot Microsoft Entra混合联接步骤:
- 步骤 2:安装Intune连接器
- 步骤 3: 提高组织单位中的计算机帐户限制 (OU)
- 步骤 4: 将设备注册为 Windows Autopilot 设备
- 步骤 5: 创建设备组
- 步骤 6: 配置和分配 Windows Autopilot 注册状态页 (ESP)
- 步骤 7:创建和分配Microsoft Entra混合加入 Windows Autopilot 配置文件
- 步骤 8: 配置和分配域加入配置文件
- 步骤 9: 将 Windows Autopilot 设备分配给用户 (可选)
- 步骤 10: 技术人员流
- 步骤 11: 用户流
有关预预配部署Microsoft Entra混合加入工作流的 Windows Autopilot 概述,请参阅 Windows Autopilot for pre-provisioned deployment Microsoft Entra混合联接概述。
注意
如果已安装并配置Intune连接器,请跳过此步骤,转到步骤 3:提高组织单位中的计算机帐户限制 (OU) 。
安装适用于 Active Directory 的 Intune 连接器
Active Directory Intune连接器(也称为脱机域加入 (ODJ) 连接器)的目的是在 Windows Autopilot 过程中将计算机加入本地域。 active Directory Intune连接器在域加入过程中在 Active Directory 的指定组织单位 (OU) 中创建计算机对象。
重要
从 Intune 2501 开始,Intune使用适用于 Active Directory 的更新Intune连接器,该连接器通过使用托管服务帐户 (MSA) 来增强安全性并遵循最低特权原则。 从 Intune 内下载适用于 Active Directory 的 Intune 连接器时,将下载更新的 Active Directory 连接器Intune。 以前的旧版 Intune 连接器 for Active Directory 仍可在 Intune Connector for Active Directory 下载,但Microsoft建议今后使用更新的 Intune Connector for Active Directory 安装程序。 以前的旧版 Intune 连接器 for Active Directory 将在 2025 年 5 月的某个时间继续工作。 但是,需要先将其更新到更新的 Intune Connector for Active Directory,以避免功能丢失。 有关详细信息,请参阅使用低特权帐户Intune Active Directory 连接器加入 Autopilot 混合Microsoft Entra加入部署。
不会自动将 active Directory Intune 连接器更新到更新版本。 需要手动卸载适用于 Active Directory 的旧Intune连接器,然后手动下载并安装更新的连接器。 以下各节提供了用于 Active Directory 的 Intune 连接器的手动卸载和安装过程的说明。
选择与正在安装的 Intune Active Directory 连接器版本对应的选项卡:
更新的连接器在开始安装之前,请确保满足所有Intune连接器服务器要求。
提示
安装和配置 active Directory Intune连接器的管理员最好具有适用于 Active Directory 的Intune连接器要求中所述的相应域权限,但不是必需的。 此要求允许 active Directory Intune 连接器安装程序和配置过程在创建计算机对象的计算机容器或 OU 上正确设置 MSA 的权限。 如果管理员没有这些权限,则具有相应权限的管理员需要遵循 增加组织单位中的计算机帐户限制部分。
关闭 Internet Explorer 增强的安全配置
默认情况下,Windows Server 已打开 Internet Explorer 增强的安全配置。 Internet Explorer 增强型安全配置可能会导致登录到 active Directory Intune 连接器时出现问题。 由于 Internet Explorer 已弃用,并且在大多数情况下(甚至未安装在Windows Server上),因此Microsoft建议关闭 Internet Explorer 增强型安全配置。 若要关闭 Internet Explorer 增强的安全配置,请执行以下作:
使用具有本地管理员权限的帐户登录到安装了 Intune 连接器 for Active Directory 的服务器。
打开服务器管理器。
在服务器管理器的左窗格中,选择“本地服务器”。
在服务器管理器的右侧“属性”窗格中,选择“IE 增强的安全配置”旁边的“打开”或“关闭”链接。
在“Internet Explorer 增强的安全配置”窗口中,选择“管理员:”下的“关闭”,然后选择“确定”。
下载适用于 Active Directory 的 Intune 连接器
在安装了 Intune 连接器 for Active Directory 的服务器上,登录到 Microsoft Intune 管理中心。
在 “主页 ”屏幕中,选择左侧窗格中的“ 设备 ”。
在 设备中 |“概述 ”屏幕的“ 按平台”下,选择“ Windows”。
在 Windows 中 |Windows 设备 屏幕的“ 设备载入”下,选择“ 注册”。
在 Windows 中 |Windows 注册屏幕的“Windows Autopilot”下,选择“Intune Active Directory 连接器”。
在“适用于 Active Directory 的Intune连接器”屏幕中,选择“添加”。
在打开的“添加连接器”窗口中,在“为 Active Directory 配置Intune连接器”下,选择“下载 Active Directory 的本地Intune连接器”。 该链接下载名为 的文件
ODJConnectorBootstrapper.exe。
在服务器上安装适用于 Active Directory 的 Intune 连接器
重要
Intune连接器的 Active Directory 安装需要使用具有以下域权限的帐户来完成:
- 必需 - 在托管服务帐户容器中创建 msDs-ManagedServiceAccount 对象。
- 可选 - 修改 Active Directory 中 OU 中的权限 - 如果安装适用于 Active Directory 的更新Intune连接器的管理员没有此权限,则具有这些权限的管理员需要执行其他配置步骤。 有关详细信息,请参阅步骤/部分 增加组织单位中的计算机帐户限制。
使用具有本地管理员权限的帐户登录到安装了 Intune 连接器 for Active Directory 的服务器。
如果安装了以前的旧版 Intune 连接器 for Active Directory,请先卸载它,然后再安装更新的 Intune Active Directory 连接器。 有关详细信息,请参阅卸载适用于 Active Directory 的 Intune 连接器。
重要
卸载旧版 Intune 连接器 for Active Directory 时,请确保在卸载过程中运行旧版 Intune Connector for Active Directory 安装程序。 如果旧版 Intune Connector for Active Directory 安装程序在运行时提示卸载它,请选择卸载它。 此步骤可确保完全卸载以前的旧版 Intune Active Directory 连接器。 可以从 Active Directory Intune Connector for Active Directory 下载旧版 Intune 连接器安装程序。
提示
在只有单个Intune连接器的域中,Microsoft建议先在另一台服务器上安装更新的 Intune 连接器。 应在另一台服务器上安装更新的 Intune Connector for Active Directory,然后再在当前服务器上卸载旧Intune Active Directory 连接器。 在当前服务器上更新 Intune 连接器 for Active Directory 时,首先安装用于 Active Directory 的 Intune 连接器可避免停机。
打开
ODJConnectorBootstrapper.exe下载的文件,以启动 Intune Connector for Active Directory 安装程序安装。单步执行适用于 Active Directory 安装程序的 Intune 连接器安装。
安装结束时,选中“启动 active Directory Intune连接器”复选框。
注意
如果Intune连接器 for Active Directory 安装程序安装意外关闭,但未选中“启动Intune Active Directory 连接器”复选框,则可以通过选择“Intune连接器 for Active> Directory”来重新打开 active Directory Intune连接器配置Intune“开始”菜单中的 Active Directory 连接器。
登录到适用于 Active Directory 的 Intune 连接器
在“Intune连接器 for Active Directory”窗口中的“注册”选项卡下,选择“登录”。
在“登录”选项卡下,使用Intune管理员角色的Microsoft Entra ID凭据登录。 必须为用户帐户分配 Intune 许可证。 登录过程可能需要几分钟才能完成。
注意
用于注册 Active Directory Intune连接器的帐户只是安装时的临时要求。 注册服务器后,不会使用帐户。
登录过程完成后:
- 此时会显示“已成功注册 Active Directory 的Intune连接器”确认窗口。 选择 “确定” 关闭窗口。
- 此时会显示 名为“<MSA_name>”的托管服务帐户已成功设置确认 窗口。 MSA 的名称的格式
msaODJ##########为 5 个随机字符。 指定已创建的 MSA 的名称,然后选择“ 确定 ”以关闭窗口。 稍后可能需要 MSA 的名称才能将 MSA 配置为允许在 OU 中创建计算机对象。
“注册”选项卡显示 Active Directory 连接器已注册Intune。 “ 登录 ”按钮灰显,并且已启用 “配置托管服务帐户 ”。
关闭“Active Directory Intune连接器”窗口。
验证 Active Directory 的Intune连接器是否处于活动状态
进行身份验证后,Intune连接器 for Active Directory 完成安装。 安装完成后,请按照以下步骤在 Intune 中验证它是否处于活动状态:
如果管理中心仍处于打开状态,请转到Microsoft Intune管理中心。 如果仍显示 “添加连接器 ”窗口,请将其关闭。
如果Microsoft Intune管理中心尚未打开:
在 “主页 ”屏幕中,选择左侧窗格中的“ 设备 ”。
在 设备中 |“概述 ”屏幕的“ 按平台”下,选择“ Windows”。
在 Windows 中 |Windows 设备 屏幕的“ 设备载入”下,选择“ 注册”。
在 Windows 中 |Windows 注册屏幕的“Windows Autopilot”下,选择“Intune Active Directory 连接器”。
在 Active Directory 的“Intune连接器”页中:
- 确认服务器显示在“连接器名称”下,并在“状态”下显示为“活动”
- 对于 Active Directory 的更新Intune连接器,请确保版本大于或等于 6.2501.2000.5。
如果未显示服务器,请选择“刷新”或导航离开页面,然后导航回到“Intune Active Directory 连接器”页。
注意
新注册的服务器可能需要几分钟时间才能显示在Microsoft Intune管理中心的“Intune连接器 active Directory”页中。 仅当已注册的服务器能够成功与Intune服务通信时,才会显示该服务器。
Active Directory 的非活动Intune连接器仍显示在 Active Directory Intune连接器页中,并在 30 天后自动清理。
安装 Intune 连接器 for Active Directory 后,它将开始在“应用程序和服务日志>MicrosoftIntuneODJConnectorService”路径下的事件查看器>>中日志记录。 在此路径下,可以找到管理员和作日志。
将 MSA 配置为允许在 OU 中创建对象 (可选)
默认情况下,MSA 仅有权在计算机容器中创建 计算机 对象。 MSA 无权在组织单位 (OU) 中创建计算机对象。 若要允许 MSA 在 OU 中创建对象,需要将 OU 添加到ODJConnectorEnrollmentWizard.exe.config安装 active Directory Intune 连接器的目录中的 ODJConnectorEnrollmentWizard XML 文件中,通常C:\Program Files\Microsoft Intune\ODJConnector\为 。
若要将 MSA 配置为允许在 OU 中创建对象,请执行以下步骤:
在安装了 Intune 连接器 for Active Directory 的服务器上,导航到
ODJConnectorEnrollmentWizard安装了 Intune Active Directory 连接器的目录(通常C:\Program Files\Microsoft Intune\ODJConnector\为 )。在
ODJConnectorEnrollmentWizard目录中,在文本编辑器(例如记事本)中打开ODJConnectorEnrollmentWizard.exe.configXML 文件。在
ODJConnectorEnrollmentWizard.exe.configXML 文件中,添加 MSA 应有权访问的任何所需 OU 来创建计算机对象。 OU 名称应为可分辨名称,并且(如果适用)需要转义。 以下示例是具有 OU 可分辨名称的示例 XML 条目:<appSettings> <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format. The ODJ Connector will only have permission to create computer objects in these OUs. The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY): Domain contains the following OUs: - OU=HybridDevices,DC=contoso,DC=com - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" --> <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" /> </appSettings>添加所有所需的 OU 后,保存
ODJConnectorEnrollmentWizard.exe.configXML 文件。作为具有修改 OU 权限的适当权限的管理员,请从“开始”菜单导航到“Intune Active Directory> 连接器Intune Active Directory 连接器”,打开 Active Directory Intune连接器。
重要
如果安装和配置 Intune 连接器 for Active Directory 的管理员没有修改 OU 权限的权限,则部分/步骤需要在组织单位中增加计算机帐户限制后跟有权限修改 OU 权限的管理员。
在“Intune连接器 active Directory”窗口中的“注册”选项卡下,选择“配置托管服务帐户”。
此时会显示 名为“<MSA_name>”的托管服务帐户已成功设置确认 窗口。 选择 “确定” 关闭窗口。