使用 Intune 和 Windows Autopilot 部署Microsoft Entra混合联接的设备
- 项目
-
- 适用于:
- ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016
重要
Microsoft建议使用Microsoft Entra联接将新设备部署为云原生设备。 不建议将新设备部署为Microsoft Entra混合联接设备,包括通过 Windows Autopilot 部署。 有关详细信息,请参阅在云原生终结点中加入Microsoft Entra与Microsoft Entra混合联接:哪个选项适合你的组织。
Intune和 Windows Autopilot 可用于设置Microsoft Entra混合联接设备。 为此,请执行本文中的步骤。 有关Microsoft Entra混合联接的详细信息,请参阅了解混合联接和共同管理Microsoft Entra。
要求
在 Windows Autopilot 期间执行Microsoft Entra混合联接的要求列表分为三个不同的类别:
- 常规 - 常规要求。
- 设备注册 - 设备注册要求。
- Intune连接器 - Intune连接器满足 Active Directory 要求。
选择相应的选项卡以查看相关要求:
一般信息- 已成功配置Microsoft Entra混合联接设备。 请务必使用 Get-MgDevice cmdlet 验证设备注册。
- 如果基于域和 OU 的筛选配置为 Microsoft Entra Connect 的一部分,请确保同步范围中包含用于 Autopilot 设备的默认组织单位 (OU) 或容器。
要注册的设备必须遵循以下要求:
- 使用当前支持的 Windows 版本。
- 有权访问遵循 Windows Autopilot 网络要求的 Internet。
- 有权访问 Active Directory 域控制器。
- 成功对要加入的域的域控制器执行 ping作。
- 如果使用代理,则必须启用和配置 Web 代理自动发现协议 (WPAD) 代理设置选项。
- 体验全新体验(OOBE)。
- 使用 OOBE 中Microsoft Entra ID支持的授权类型。
尽管不是必需的,但为 Active Directory Federated Services (ADFS) 配置Microsoft Entra混合联接可以在部署期间更快地完成 Windows Autopilot Microsoft Entra注册过程。 不支持使用密码和使用 ADFS 的联合客户需要按照Active Directory 联合身份验证服务 prompt=login 参数支持一文中的步骤正确配置身份验证体验。
Active Directory 的Intune连接器(也称为脱机域加入 (ODJ) 连接器)必须安装在运行 Windows Server 2016 或更高版本且版本 .NET Framework为 4.7.2 或更高版本的计算机上。
托管 Intune 连接器 for Active Directory 的服务器必须有权访问 Internet 和 Active Directory。
注意
适用于 Active Directory 服务器的 Intune 连接器需要对域控制器进行标准域客户端访问,其中包括与 Active Directory 通信所需的 RPC 端口要求。 有关详细信息,请参阅以下文章:
若要提高规模和可用性,可以在一个域中安装多个连接器。 每个连接器必须能够在它支持的域中创建计算机对象。
安装 Intune 连接器 for Active Directory 的管理员必须是安装 active Directory Intune 连接器的服务器上的本地管理员。
对于更新的 Intune 连接器 for Active Directory,需要使用具有以下域权限的帐户进行安装:
必需 - 在托管服务帐户容器中创建 msDs-ManagedServiceAccount 对象
可选 - 修改 Active Directory 中 OU 中的权限 - 如果安装适用于 Active Directory 的更新Intune连接器的管理员没有此权限,则具有这些权限的管理员需要执行其他配置步骤。 有关详细信息,请参阅本文中的 增加组织单位中的计算机帐户限制 部分。
这些权限允许安装 Intune Connector for Active Directory 正确创建托管服务帐户 (MSA) ,并为 MSA 要向其添加计算机的 OU 正确设置权限。
- 适用于 Active Directory 的Intune连接器需要与 Intune 相同的终结点。
设置 Windows 自动 MDM 注册
登录到Azure 门户并选择“Microsoft Entra ID”。
在左侧窗格中,选择“管理 | 移动性 (MDM 和 WIP) >Microsoft Intune”。
确保使用 Intune 和 Windows 部署已加入Microsoft Entra设备的用户是 MDM 用户范围中包含的组的成员。
在MDM 使用条款 URL、MDM 发现 URL和 MDM 符合性 URL框中使用默认值,然后选择保存。
安装适用于 Active Directory 的 Intune 连接器
Active Directory Intune连接器(也称为脱机域加入 (ODJ) 连接器)的目的是在 Windows Autopilot 过程中将计算机加入本地域。 active Directory Intune连接器在域加入过程中在 Active Directory 的指定组织单位 (OU) 中创建计算机对象。
重要
从 Intune 2501 开始,Intune使用适用于 Active Directory 的更新Intune连接器,该连接器通过使用托管服务帐户 (MSA) 来增强安全性并遵循最低特权原则。 从 Intune 内下载适用于 Active Directory 的 Intune 连接器时,将下载更新的 Active Directory 连接器Intune。 以前的旧版 Intune 连接器 for Active Directory 仍可在 Intune Connector for Active Directory 下载,但Microsoft建议今后使用更新的 Intune Connector for Active Directory 安装程序。 以前的旧版 Intune 连接器 for Active Directory 将在 2025 年 5 月的某个时间继续工作。 但是,需要先将其更新到更新的 Intune Connector for Active Directory,以避免功能丢失。 有关详细信息,请参阅使用低特权帐户Intune Active Directory 连接器加入 Autopilot 混合Microsoft Entra加入部署。
不会自动将 active Directory Intune 连接器更新到更新版本。 需要手动卸载适用于 Active Directory 的旧Intune连接器,然后手动下载并安装更新的连接器。 以下各节提供了用于 Active Directory 的 Intune 连接器的手动卸载和安装过程的说明。
选择与正在安装的 Intune Active Directory 连接器版本对应的选项卡:
更新的连接器在开始安装之前,请确保满足所有Intune连接器服务器要求。
提示
安装和配置 active Directory Intune连接器的管理员最好具有适用于 Active Directory 的Intune连接器要求中所述的相应域权限,但不是必需的。 此要求允许 active Directory Intune 连接器安装程序和配置过程在创建计算机对象的计算机容器或 OU 上正确设置 MSA 的权限。 如果管理员没有这些权限,则具有相应权限的管理员需要遵循 增加组织单位中的计算机帐户限制部分。
关闭 Internet Explorer 增强的安全配置
默认情况下,Windows Server 已打开 Internet Explorer 增强的安全配置。 Internet Explorer 增强型安全配置可能会导致登录到 active Directory Intune 连接器时出现问题。 由于 Internet Explorer 已弃用,并且在大多数情况下(甚至未安装在Windows Server上),因此Microsoft建议关闭 Internet Explorer 增强型安全配置。 若要关闭 Internet Explorer 增强的安全配置,请执行以下作:
使用具有本地管理员权限的帐户登录到安装了 Intune 连接器 for Active Directory 的服务器。
打开服务器管理器。
在服务器管理器的左窗格中,选择“本地服务器”。
在服务器管理器的右侧“属性”窗格中,选择“IE 增强的安全配置”旁边的“打开”或“关闭”链接。
在“Internet Explorer 增强的安全配置”窗口中,选择“管理员:”下的“关闭”,然后选择“确定”。
下载适用于 Active Directory 的 Intune 连接器
在安装了 Intune 连接器 for Active Directory 的服务器上,登录到 Microsoft Intune 管理中心。
在 “主页 ”屏幕中,选择左侧窗格中的“ 设备 ”。
在 设备中 |“概述 ”屏幕的“ 按平台”下,选择“ Windows”。
在 Windows 中 |Windows 设备 屏幕的“ 设备载入”下,选择“ 注册”。
在 Windows 中 |Windows 注册屏幕的“Windows Autopilot”下,选择“Intune Active Directory 连接器”。
在“适用于 Active Directory 的Intune连接器”屏幕中,选择“添加”。
在打开的“添加连接器”窗口中,在“为 Active Directory 配置Intune连接器”下,选择“下载 Active Directory 的本地Intune连接器”。 该链接下载名为 的文件
ODJConnectorBootstrapper.exe。
在服务器上安装适用于 Active Directory 的 Intune 连接器
重要
Intune连接器的 Active Directory 安装需要使用具有以下域权限的帐户来完成:
- 必需 - 在托管服务帐户容器中创建 msDs-ManagedServiceAccount 对象。
- 可选 - 修改 Active Directory 中 OU 中的权限 - 如果安装适用于 Active Directory 的更新Intune连接器的管理员没有此权限,则具有这些权限的管理员需要执行其他配置步骤。 有关详细信息,请参阅步骤/部分 增加组织单位中的计算机帐户限制。
使用具有本地管理员权限的帐户登录到安装了 Intune 连接器 for Active Directory 的服务器。
如果安装了以前的旧版 Intune 连接器 for Active Directory,请先卸载它,然后再安装更新的 Intune Active Directory 连接器。 有关详细信息,请参阅卸载适用于 Active Directory 的 Intune 连接器。
重要
卸载旧版 Intune 连接器 for Active Directory 时,请确保在卸载过程中运行旧版 Intune Connector for Active Directory 安装程序。 如果旧版 Intune Connector for Active Directory 安装程序在运行时提示卸载它,请选择卸载它。 此步骤可确保完全卸载以前的旧版 Intune Active Directory 连接器。 可以从 Active Directory Intune Connector for Active Directory 下载旧版 Intune 连接器安装程序。
提示
在只有单个Intune连接器的域中,Microsoft建议先在另一台服务器上安装更新的 Intune 连接器。 应在另一台服务器上安装更新的 Intune Connector for Active Directory,然后再在当前服务器上卸载旧Intune Active Directory 连接器。 在当前服务器上更新 Intune 连接器 for Active Directory 时,首先安装用于 Active Directory 的 Intune 连接器可避免停机。
打开
ODJConnectorBootstrapper.exe下载的文件,以启动 Intune Connector for Active Directory 安装程序安装。单步执行适用于 Active Directory 安装程序的 Intune 连接器安装。
安装结束时,选中“启动 active Directory Intune连接器”复选框。
注意
如果Intune连接器 for Active Directory 安装程序安装意外关闭,但未选中“启动Intune Active Directory 连接器”复选框,则可以通过选择“Intune连接器 for Active> Directory”来重新打开 active Directory Intune连接器配置Intune“开始”菜单中的 Active Directory 连接器。
登录到适用于 Active Directory 的 Intune 连接器
在“Intune连接器 for Active Directory”窗口中的“注册”选项卡下,选择“登录”。
在“登录”选项卡下,使用Intune管理员角色的Microsoft Entra ID凭据登录。 必须为用户帐户分配 Intune 许可证。 登录过程可能需要几分钟才能完成。
注意
用于注册 Active Directory Intune连接器的帐户只是安装时的临时要求。 注册服务器后,不会使用帐户。
登录过程完成后:
- 此时会显示“已成功注册 Active Directory 的Intune连接器”确认窗口。 选择 “确定” 关闭窗口。
- 此时会显示 名为“<MSA_name>”的托管服务帐户已成功设置确认 窗口。 MSA 的名称的格式
msaODJ##########为 5 个随机字符。 指定已创建的 MSA 的名称,然后选择“ 确定 ”以关闭窗口。 稍后可能需要 MSA 的名称才能将 MSA 配置为允许在 OU 中创建计算机对象。
“注册”选项卡显示 Active Directory 连接器已注册Intune。 “ 登录 ”按钮灰显,并且已启用 “配置托管服务帐户 ”。
关闭“Active Directory Intune连接器”窗口。
验证 Active Directory 的Intune连接器是否处于活动状态
进行身份验证后,Intune连接器 for Active Directory 完成安装。 安装完成后,请按照以下步骤在 Intune 中验证它是否处于活动状态:
如果管理中心仍处于打开状态,请转到Microsoft Intune管理中心。 如果仍显示 “添加连接器 ”窗口,请将其关闭。
如果Microsoft Intune管理中心尚未打开:
在 “主页 ”屏幕中,选择左侧窗格中的“ 设备 ”。
在 设备中 |“概述 ”屏幕的“ 按平台”下,选择“ Windows”。
在 Windows 中 |Windows 设备 屏幕的“ 设备载入”下,选择“ 注册”。
在 Windows 中 |Windows 注册屏幕的“Windows Autopilot”下,选择“Intune Active Directory 连接器”。
在 Active Directory 的“Intune连接器”页中:
- 确认服务器显示在“连接器名称”下,并在“状态”下显示为“活动”
- 对于更新的 Intune 连接器 for Active Directory,请确保版本大于 6.2501.2000.5。
如果未显示服务器,请选择“刷新”或导航离开页面,然后导航回到“Intune Active Directory 连接器”页。
注意
新注册的服务器可能需要几分钟时间才能显示在Microsoft Intune管理中心的“Intune连接器 active Directory”页中。 仅当已注册的服务器能够成功与Intune服务通信时,才会显示该服务器。
Active Directory 的非活动Intune连接器仍显示在 Active Directory Intune连接器页中,并在 30 天后自动清理。
安装 Intune 连接器 for Active Directory 后,它将开始在“应用程序和服务日志>MicrosoftIntuneODJConnectorService”路径下的事件查看器>>中日志记录。 在此路径下,可以找到管理员和作日志。
将 MSA 配置为允许在 OU 中创建对象 (可选)
默认情况下,MSA 仅有权在计算机容器中创建 计算机 对象。 MSA 无权在组织单位 (OU) 中创建计算机对象。 若要允许 MSA 在 OU 中创建对象,需要将 OU 添加到ODJConnectorEnrollmentWizard.exe.config安装 active Directory Intune 连接器的目录中的 ODJConnectorEnrollmentWizard XML 文件中,通常C:\Program Files\Microsoft Intune\ODJConnector\为 。
若要将 MSA 配置为允许在 OU 中创建对象,请执行以下步骤:
在安装了 Intune 连接器 for Active Directory 的服务器上,导航到
ODJConnectorEnrollmentWizard安装了 Intune Active Directory 连接器的目录(通常C:\Program Files\Microsoft Intune\ODJConnector\为 )。在
ODJConnectorEnrollmentWizard目录中,在文本编辑器(例如记事本)中打开ODJConnectorEnrollmentWizard.exe.configXML 文件。在
ODJConnectorEnrollmentWizard.exe.configXML 文件中,添加 MSA 应有权访问的任何所需 OU 来创建计算机对象。 OU 名称应为可分辨名称,并且(如果适用)需要转义。 以下示例是具有 OU 可分辨名称的示例 XML 条目:<appSettings> <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format. The ODJ Connector will only have permission to create computer objects in these OUs. The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY): Domain contains the following OUs: - OU=HybridDevices,DC=contoso,DC=com - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" --> <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" /> </appSettings>添加所有所需的 OU 后,保存
ODJConnectorEnrollmentWizard.exe.configXML 文件。作为具有修改 OU 权限的适当权限的管理员,请从“开始”菜单导航到“Intune Active Directory> 连接器Intune Active Directory 连接器”,打开 Active Directory Intune连接器。
重要
如果安装和配置 Intune 连接器 for Active Directory 的管理员没有修改 OU 权限的权限,则部分/步骤需要在组织单位中增加计算机帐户限制后跟有权限修改 OU 权限的管理员。
在“Intune连接器 active Directory”窗口中的“注册”选项卡下,选择“配置托管服务帐户”。
此时会显示 名为“<MSA_name>”的托管服务帐户已成功设置确认 窗口。 选择 “确定” 关闭窗口。
重要
适用于 Active Directory 的旧Intune连接器已弃用。 这些说明假定已安装或已下载适用于 Active Directory 的旧版 Intune 连接器。 如果尚未下载旧版 Intune Connector for Active Directory 安装程序,可以从 Intune Connector for Active Directory 下载。
但是,最佳做法是下载并安装适用于 Active Directory 的更新Intune连接器。 有关详细信息,请改为选择“ 更新的连接器 ”选项卡。
在开始安装之前,请确保满足所有Intune连接器服务器要求。
禁用 Internet Explorer“增强的安全配置”
默认情况下,Windows Server 已打开 Internet Explorer 增强的安全配置。 Internet Explorer 增强型安全配置可能会导致登录到 active Directory Intune 连接器时出现问题。 由于 Internet Explorer 已弃用,并且在大多数情况下(甚至未安装在Windows Server上),因此Microsoft建议关闭 Internet Explorer 增强型安全配置。 若要关闭 Internet Explorer 增强的安全配置,请执行以下作:
使用具有本地管理员权限和域管理员权限的帐户登录到安装了 Intune 连接器 for Active Directory 的服务器。 需要域管理员权限,以便 Intune Connector for Active Directory 安装程序能够正确创建 MSA。
打开服务器管理器。
在服务器管理器的左窗格中,选择“本地服务器”。
在服务器管理器的右侧“属性”窗格中,选择“IE 增强的安全配置”旁边的“打开”或“关闭”链接。
在“Internet Explorer 增强的安全配置”窗口中,选择“管理员:”下的“关闭”,然后选择“确定”。
在服务器上安装适用于 Active Directory 的旧Intune连接器
打开以前下载
ODJConnectorBootstrapper.exe的文件以启动 Intune Connector for Active Directory 安装程序安装。注意
如果已安装适用于 Active Directory 的旧版Intune连接器,请转到“开始”菜单>Intune连接器 for Active Directory>Intune连接器“,然后继续登录到 Active Directory 的旧版Intune连接器。
在“Intune连接器 active Directory 安装程序”窗口中,选择“我同意许可条款和条件”,然后选择“安装”。
注意
如果需要除默认 C:\Program Files\Microsoft Intune\ODJConnector 以外的安装位置,请选择“选项”并指定所需的安装位置。
安装完成后,在“Intune连接器 active Directory 安装程序安装程序”窗口中选择“立即配置”。
注意
如果意外选择了“关闭”或意外关闭了“适用于 Active Directory 的Intune连接器安装程序”窗口,则可以通过从“开始”菜单中选择“activeDirectory Intune连接器>Intune Active Directory 连接器”来访问 Active Directory 的Intune连接器配置。
登录到旧版Intune连接器
在“Intune连接器 for Active Directory”窗口中的“注册”选项卡下,选择“登录”。
在“登录”选项卡下,使用Intune管理员角色的凭据登录。 必须为用户帐户分配 Intune 许可证。 登录过程可能需要几分钟才能完成。
注意
用于注册 Active Directory Intune连接器的帐户只是安装时的临时要求。 注册服务器后,不会使用帐户。
登录过程完成后,将显示“已成功注册 Active Directory Intune连接器”确认窗口。 选择 “确定” 关闭窗口。
“注册”选项卡显示 Active Directory 连接器已注册Intune,并且“登录”按钮灰显。
关闭“Active Directory Intune连接器”窗口。
验证 Active Directory 的旧Intune连接器是否处于活动状态
进行身份验证后,Intune连接器 for Active Directory 完成安装。 安装完成后,请按照以下步骤在 Intune 中验证它是否处于活动状态:
如果管理中心仍处于打开状态,请转到Microsoft Intune管理中心。 如果仍显示 “添加连接器 ”窗口,请将其关闭。
如果Microsoft Intune管理中心尚未打开:
在 “主页 ”屏幕中,选择左侧窗格中的“ 设备 ”。
在 设备中 |“概述 ”屏幕的“ 按平台”下,选择“ Windows”。
在 Windows 中 |Windows 设备 屏幕的“ 设备载入”下,选择“ 注册”。
在 Windows 中 |Windows 注册屏幕的“Windows Autopilot”下,选择“Intune Active Directory 连接器”。
在“Intune连接器 for Active Directory”页中,确认服务器显示在“连接器名称”下,并在“状态”下显示为“活动”。 如果未显示服务器,请选择“刷新”或导航离开页面,然后导航回到“Intune Active Directory 连接器”页。
注意
新注册的服务器可能需要几分钟时间才能显示在Microsoft Intune管理中心的“Intune连接器 active Directory”页中。 仅当已注册的服务器能够成功与Intune服务通信时,才会显示该服务器。
Active Directory 的非活动Intune连接器仍显示在 Active Directory Intune连接器页中,并在 30 天后自动清理。
安装 Intune 连接器 for Active Directory 后,它将开始在“应用程序和服务日志>MicrosoftIntuneODJConnectorService”路径下的事件查看器>>中日志记录。 在此路径下,可以找到管理员和作日志。
配置 Web 代理设置
如果网络环境中存在 Web 代理,则通过引用使用现有本地代理服务器,确保适用于 Active Directory 的 Intune 连接器正常工作。
增加组织单位中的计算机帐户限制
重要
只有在以下情况之一时才需要此步骤:
- 安装并配置 Intune 连接器 for Active Directory 的管理员没有Intune连接器 Active Directory 要求中所述的相应权限。
-
ODJConnectorEnrollmentWizard.exe.configXML 文件未修改为添加 MSA 应具有其权限的 OU。
Intune连接器 for Active Directory 的目的是将计算机加入域并将其添加到 OU。 因此,用于 Active Directory Intune连接器的托管服务帐户 (MSA) 需要有权在计算机加入本地域的 OU 中创建计算机帐户。
使用 Active Directory 中的默认权限时,Active Directory Intune连接器的域加入最初可能无需对 Active Directory 中的 OU 进行任何权限修改即可正常工作。 但是,在 MSA 尝试将 10 台计算机加入本地域后,它将停止工作,因为默认情况下,Active Directory 仅允许任何单个帐户将最多 10 台计算机加入本地域。
以下用户不受 10 个计算机域加入限制的限制:
- 管理员或域管理员组中的用户:为了遵守最低特权原则模型,Microsoft不建议将 MSA 设置为管理员或域管理员。
- 对组织单位具有委派权限的用户 (OU) 和容器在 Active Directory 中创建计算机帐户:建议使用此方法,因为它遵循最低特权原则模型。
若要修复此限制,MSA 需要在本地域中将计算机加入到的组织单位 (OU) 中创建计算机帐户 权限。 只要满足以下条件之一,Active Directory Intune连接器会将 MSA 的权限设置为 OU:
- 安装 Intune 连接器 for Active Directory 的管理员具有设置 OU 权限所需的权限。
- 配置 active Directory Intune 连接器的管理员具有设置 OU 权限所需的权限。
如果安装或配置 active Directory Intune连接器的管理员没有设置 OU 权限所需的权限,则需要执行以下步骤:
使用一个帐户登录到有权访问 Active Directory 用户和计算机 控制台的计算机,该帐户是设置 OU 权限的必要权限。
通过运行 DSA.msc 打开Active Directory 用户和计算机控制台。
展开所需的域,导航到计算机在 Windows Autopilot 期间加入的组织单位 (OU) 。
注意
稍后在 配置和分配域加入配置文件 步骤中,将指定计算机在 Windows Autopilot 部署期间加入的 OU。
右键单击 OU 并选择 “属性”。
注意
如果计算机正在加入默认 的“计算机” 容器而不是 OU,请右键单击“ 计算机 ”容器,然后选择“ 委托控制”。
在打开的“OU 属性” 窗口中,选择“ 安全性 ”选项卡。
在“ 安全性 ”选项卡中,选择“ 高级”。
在 “高级安全设置” 窗口中,选择“ 添加”。
在 “权限输入” 窗口的 “主体”旁边,选择“ 选择主体” 链接。
在 “选择用户、计算机、服务帐户或组 ”窗口中,选择“ 对象类型...” 按钮。
在“对象类型”窗口中,选择“服务帐户检查”框,然后选择“确定”。
在“选择用户、计算机、服务帐户或组”窗口中,在“输入要选择的对象名称”下,输入用于 Active Directory Intune 连接器的 MSA 的名称。
提示
MSA 是在安装 active Directory Intune连接器步骤/节期间创建的,其名称格式
msaODJ##########为 5 个随机字符。 如果 MSA 名称未知,请按照以下步骤查找 MSA 名称:- 在运行 Intune 连接器 for Active Directory 的服务器上,右键单击“开始”菜单,然后选择“计算机管理”。
- 在 “计算机管理 ”窗口中,展开“ 服务和应用程序” ,然后选择“ 服务”。
- 在结果窗格中,找到名称Intune ODJConnector for Active Service 的服务。 MSA 的名称列在 “登录为 ”列中。
选择“ 检查名称” 以验证 MSA 名称条目。 验证条目后,选择“ 确定”。
在 “权限条目 ”窗口中,选择“ 应用于: ”下拉菜单,然后选择“ 仅此对象”。
在“权限”下,取消选择所有项,然后仅选中“检查创建计算机对象”框。
选择 “确定” 以关闭 “权限输入” 窗口。
在 “高级安全设置” 窗口中,选择“ 应用 ”或“ 确定” 以应用更改。
Intune连接器 for Active Directory 的目的是将计算机加入域并将其添加到 OU。 因此,运行 Intune 连接器 for Active Directory 的服务器需要有权在 OU 中创建计算机加入本地域的计算机帐户。
使用 Active Directory 中的默认权限时,Active Directory Intune连接器的域加入最初可能无需对 Active Directory 中的 OU 进行任何权限修改即可正常工作。 但是,在运行 Intune 连接器 for Active Directory 的服务器尝试将 10 台计算机加入本地域后,它将停止工作,因为默认情况下,Active Directory 仅允许任何一个帐户将最多 10 台计算机加入本地域。
以下用户不受 10 个计算机域加入限制的限制:
- 管理员或域管理员组中的用户 - 为了遵守最低特权原则模型,Microsoft不建议将运行 active Directory Intune 连接器的计算机帐户设置为管理员或域管理员。
- 对组织单位具有委派权限的用户 (OU) 和容器在 Active Directory 中创建计算机帐户 - 建议使用此方法,因为它遵循最低特权原则模型。
若要修复此限制,运行适用于 Active Directory 的 Intune 连接器的服务器需要在本地域中将计算机加入到的组织单位 (OU) 中创建计算机帐户权限:
若要在 Windows Autopilot 期间提高计算机要加入的组织单位 (OU) 的计算机帐户限制,请在有权访问 Active Directory 用户和计算机 控制台的计算机上执行以下步骤:
通过运行 DSA.msc 打开Active Directory 用户和计算机控制台。
展开所需的域,导航到计算机在 Windows Autopilot 期间加入的组织单位 (OU) 。
注意
稍后在 配置和分配域加入配置文件 步骤中,将指定计算机在 Windows Autopilot 部署期间加入的 OU。
右键单击 OU,然后选择“ 委托控件”。
注意
如果计算机正在加入默认 的“计算机” 容器而不是 OU,请右键单击“ 计算机 ”容器,然后选择“ 委托控制”。
在“控件委派向导”的“欢迎使用控件委派向导”窗口中,选择“下一步”。
在 “用户或组” 窗口中的 “所选用户和组”下,选择“ 添加”。
在 “选择此对象类型”旁边: 在 “选择用户、计算机或组” 窗口中,选择“ 对象类型”。
在“对象类型”窗口中,选择“计算机检查”框,然后选择“确定”。 此窗口中的其他项可以保留为默认值。
在“选择用户、计算机或组”窗口中的“输入要选择的对象名称”框下,输入安装 Intune 连接器步骤期间安装了 active Directory Intune 连接器的计算机的名称。
选择“ 检查名称” 以验证条目。 验证条目后,选择“ 确定”。
在 “用户或组” 窗口中,验证“ 所选用户和组:”下是否显示正确的计算机,然后选择“ 下一步”。
在 “要委托的任务” 窗口中,选择“ 创建要委派的自定义任务”,然后选择“ 下一步”。
在 “Active Directory 对象类型 ”窗口中:
在 文件夹中选择“仅以下对象”。
在“ 仅文件夹中的以下对象”下,选择“ 计算机对象”。
选中“ 在此文件夹中创建所选对象 ”复选框。
选择 下一步。
在“权限”窗口中的“权限:”下,选择“完全控制检查”框,然后选择“下一步”。
注意
选择“完全控制检查”框后,将自动选择“权限:”下的所有其他选项。 自动选择复选框是正常和预期的。 在自动选择任何检查框后,不要取消选择这些框。
在 “完成控件委派向导” 窗口中,选择“ 完成”。
创建设备组
在Microsoft Intune管理中心,选择“组>”“新建组”。
在“ 组 ”窗格中,选择以下选项:
对于组类型,选择安全组。
输入组名称和组说明。
选择成员身份类型。
如果为成员身份类型选择了 “动态设备” ,请在“ 组 ”窗格中选择“ 动态设备成员”。
在规则语法框中选择编辑,然后输入以下代码行之一:
若要创建包含所有 Windows Autopilot 设备的组,请输入:
(device.devicePhysicalIDs -any _ -startsWith "[ZTDId]")Intune的“组标记”字段映射到Microsoft Entra设备上的 OrderID 属性。 若要创建包含具有特定组标记 (OrderID) 的所有 Windows Autopilot 设备的组,请输入:
(device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")若要创建包含具有特定采购订单 ID 的所有 Windows Autopilot 设备的组,请输入:
(device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")
选择保存>创建。
注册 Windows Autopilot 设备
选择以下方法之一来注册 Windows Autopilot 设备。
注册已注册的 Windows Autopilot 设备
创建 Windows Autopilot 部署配置文件,并将“ 将所有目标设备转换为 Autopilot ”设置为 “是”。
将配置文件分配给包含需要自动注册到 Windows Autopilot 的成员的组。
有关详细信息,请参阅创建 Autopilot 部署配置文件。
注册未注册的 Windows Autopilot 设备
尚未注册到 Windows Autopilot 的设备可以手动注册。 有关详细信息,请参阅手动注册。
从 OEM 注册设备
如果购买新设备,某些 OEM 可以代表组织注册设备。 有关详细信息,请参阅 OEM 注册。
显示已注册的 Windows Autopilot 设备
在设备注册Intune之前,已注册的 Windows Autopilot 设备会显示在三个位置, (将名称设置为其序列号) :
- Microsoft Intune管理中心中的“Windows Autopilot 设备”窗格。 选择 “设备>”“平台”|Windows>设备载入 |注册。 在 “Windows Autopilot”下,选择“ 设备”。
- 设备 |Azure 门户中的所有设备窗格。 选择设备>所有设备。
- Microsoft 365 管理中心中的 Autopilot 窗格。 选择 “设备>”“Autopilot”。
注册 Windows Autopilot 设备后,设备会显示在四个位置:
- 设备 |Microsoft Intune管理中心内的“所有设备”窗格。 选择“设备”>“所有设备”。
- Windows |Microsoft Intune管理中心中的“Windows 设备”窗格。 选择 “设备>”“平台”|Windows。
- 设备 |Azure 门户中的所有设备窗格。 选择设备>所有设备。
- Microsoft 365 管理中心中的“活动设备”窗格。 选择 “设备>”“活动设备”。
注意
注册设备后,设备仍显示在Microsoft Intune管理中心的“Windows Autopilot 设备”窗格和Microsoft 365 管理中心的“Autopilot”窗格中,但这些对象是 Windows Autopilot 注册的对象。
在 Windows Autopilot 中注册设备后,在 Microsoft Entra ID 中预先创建设备对象。 当设备经过混合Microsoft Entra部署时,根据设计,会创建另一个设备对象,从而导致重复条目。
VPN
以下 VPN 客户端已经过测试和验证:
- In-box Windows VPN 客户端
- Cisco AnyConnect(Win32 客户端)
- 脉冲安全(Win32 客户端)
- GlobalProtect(Win32 客户端)
- 检查点(Win32 客户端)
- Citrix NetScaler(Win32 客户端)
- SonicWall(Win32 客户端)
- FortiClient VPN(Win32 客户端)
使用 VPN 时,对于 Windows Autopilot 部署配置文件中的“跳过 AD 连接检查”选项,请选择“是”。 Always-On VPN 不应要求此选项,因为它会自动连接。
注意
此 VPN 客户端列表并不是使用 Windows Autopilot 的所有 VPN 客户端的完整列表。 有关 Windows Autopilot 的兼容性和可支持性,或者有关将 VPN 解决方案与 Windows Autopilot 配合使用的任何问题,请联系相应的 VPN 供应商。
不支持的 VPN 客户端
已知以下 VPN 解决方案不适用于 Windows Autopilot,因此不支持与 Windows Autopilot 配合使用:
- 基于 UWP 的 VPN 插件
- 需要用户证书的一切内容
- DirectAccess
注意
从此列表中省略特定 VPN 客户端并不自动表示它受支持或适用于 Windows Autopilot。 此列表仅列出 已知 不适用于 Windows Autopilot 的 VPN 客户端。
创建和分配 Windows Autopilot 部署配置文件
Windows Autopilot 部署配置文件用于配置 Windows Autopilot 设备。
在 “主页 ”屏幕中,选择左侧窗格中的“ 设备 ”。
在 设备中 |“概述 ”屏幕的“ 按平台”下,选择“ Windows”。
在 Windows 中 |Windows 设备 屏幕的“ 设备载入”下,选择“ 注册”。
在 Windows 中 |Windows 注册 屏幕的 “Windows Autopilot”下,选择“ 部署配置文件”。
在 “Windows Autopilot 部署配置文件” 屏幕中,选择“ 创建配置文件” 下拉菜单,然后选择“ Windows 电脑”。
在 “创建配置文件” 屏幕的 “基本信息 ”页上,输入 “名称” 和“ 说明”(可选)。
如果分配的组中的所有设备都应自动注册到 Windows Autopilot,请将“将所有目标设备转换为 Autopilot”设置为“是”。 分配的组中所有企业拥有的非 Windows Autopilot 设备都注册到 Windows Autopilot 部署服务。 个人拥有的设备不会注册到 Windows Autopilot。 等待 48 小时来处理注册。 取消注册并重置设备后,Windows Autopilot 会再次注册它。 以这种方式注册设备后,禁用此设置或删除配置文件分配不会从 Windows Autopilot 部署服务中删除该设备。 相反,需要直接删除设备。 有关详细信息,请参阅 删除 Autopilot 设备。
选择 下一步。
在“全新体验 (OOBE)”页上,对于“部署模式”,选择“用户驱动”。
在“加入到Microsoft Entra ID为”框中,选择“Microsoft Entra混合联接”。
如果使用 VPN 支持从组织网络部署设备,请将 “跳过域连接检查 ”选项设置为 “是”。 有关详细信息,请参阅使用 VPN 支持Microsoft Entra混合加入的用户驱动模式。
根据需要,在全新体验 (OOBE)上配置剩余选项。
选择 下一步。
在作用域标记页上,为此配置文件选择“作用域标记。
选择 下一步。
在 “分配” 页上,选择“ 选择要包括> 搜索的组”,然后选择设备组 >“选择”。
选择“下一步”>“创建”。
注意
Intune定期检查已分配组中的新设备,然后开始向这些设备分配配置文件的过程。 由于 Windows Autopilot 配置文件分配过程中涉及多种不同因素,因此分配的估计时间可能因方案而异。 这些因素可能包括Microsoft Entra组、成员身份规则、设备的哈希、Intune和 Windows Autopilot 服务以及 Internet 连接。 分配时间因特定方案中涉及的所有因素和变量而异。
(可选)打开注册状态页
在 “主页 ”屏幕中,选择左侧窗格中的“ 设备 ”。
在 设备中 |“概述 ”屏幕的“ 按平台”下,选择“ Windows”。
在 Windows 中 |Windows 设备 屏幕的“ 设备载入”下,选择“ 注册”。
在 Windows 中 |Windows 注册 屏幕的 “Windows Autopilot”下,选择“ 注册状态页”。
在注册状态页窗格中,选择默认>设置。
在“显示应用和配置文件安装进度”中,选择“确定”。
根据需要配置其他选项。
选择“保存”。
创建并分配”域加入”配置文件
在Microsoft Intune管理中心,选择“设备>管理设备|配置>策略>创建新>策略。
在打开 的“创建配置文件 ”窗口中,输入以下属性:
- 名称:输入新配置文件的描述性名称。
- 说明:输入配置文件的说明。
- 平台:选择Windows 10 及更高版本。
- 配置文件类型:选择 “模板”,选择模板名称 “域加入”,然后选择“ 创建”。
输入名称和说明,然后选择下一步。
提供计算机名称前缀和域名。
(可选)提供 DN 格式的“组织单位”(OU)。 选项包括:
- 提供一个 OU,其中控件委托给运行 Intune 连接器 for Active Directory 的 Windows 设备。
- 提供一个 OU,其中控件委托给组织本地 Active Directory中的根计算机。
- 如果此字段留空,则会在 Active Directory 默认容器中创建计算机对象。 默认容器通常是
CN=Computers容器。 有关详细信息,请参阅 重定向 Active Directory 域中的用户和计算机容器。
有效示例:
OU=SubOU,OU=TopLevelOU,DC=contoso,DC=comOU=Mine,DC=contoso,DC=com
无效示例:
-
CN=Computers,DC=contoso,DC=com- 无法指定容器。 相反,将该值留空以使用域的默认值。 -
OU=Mine- 必须通过DC=属性指定域。
请确保不要在 组织单位的值周围使用引号。
选择确定>创建。 此时,配置文件创建完成,并显示在列表中。
注意
适用于Microsoft Entra混合联接的 Windows Autopilot 的命名功能不支持 %SERIAL% 等变量。 它仅支持计算机名称的前缀。
卸载适用于 Active Directory 的Intune连接器
Intune 连接器通过可执行文件在本地安装在计算机上。 如果需要从计算机中卸载适用于 Active Directory 的Intune连接器,则还需要在计算机上本地完成此作。 无法通过Intune门户或图形 API 调用删除适用于 Active Directory 的Intune连接器。
若要从服务器卸载适用于 Active Directory 的 Intune 连接器,请选择适用于 Windows Server OS 版本的选项卡,然后执行以下步骤:
登录到托管 Intune 连接器 for Active Directory 的计算机。
右键单击“ 开始 ”菜单,然后选择 “设置>应用>”“已安装应用”。
或
选择以下 “应用 > 已安装应用” 快捷方式:
在“已安装应用的应用>”窗口中,找到适用于 Active Directory 的Intune连接器。
在“active Directory Intune连接器”旁边,选择“...”>卸载,然后选择“卸载”按钮。
Active Directory 的Intune连接器将继续卸载。
在某些情况下,在重新运行适用于 Active Directory 的原始Intune连接器安装程序
ODJConnectorBootstrapper.exe之前,可能无法完全卸载适用于 Active Directory 的Intune连接器。 若要验证 Active Directory Intune 连接器是否已完全卸载,请ODJConnectorBootstrapper.exe再次运行安装程序。 如果提示 “卸载”,请选择卸载它。 否则,请ODJConnectorBootstrapper.exe关闭安装程序。注意
可以从适用于 Active Directory 的 Intune 连接器下载用于 Active Directory 的旧版 Intune 连接器安装程序,并且只能用于卸载。 对于新安装,请使用适用于 Active Directory 的更新Intune连接器。
登录到托管 Intune 连接器 for Active Directory 的计算机。
右键单击“ 开始 ”菜单,然后选择 “设置>应用”。
或
选择以下 应用 快捷方式:
在“应用 & 功能”下,找到并选择“Intune Active Directory 连接器”。
在“active Directory Intune连接器”下,选择“卸载”按钮,然后再次选择“卸载”按钮。
Active Directory 的Intune连接器将继续卸载。
在某些情况下,在重新运行适用于 Active Directory 的原始Intune连接器安装程序
ODJConnectorBootstrapper.exe之前,可能无法完全卸载适用于 Active Directory 的Intune连接器。 若要验证 Active Directory Intune 连接器是否已完全卸载,请ODJConnectorBootstrapper.exe再次运行安装程序。 如果提示 “卸载”,请选择卸载它。 否则,请ODJConnectorBootstrapper.exe关闭安装程序。注意
可以从适用于 Active Directory 的 Intune 连接器下载用于 Active Directory 的旧版 Intune 连接器安装程序,并且只能用于卸载。 对于新安装,请使用适用于 Active Directory 的更新Intune连接器。
登录到托管 Intune 连接器 for Active Directory 的计算机。
右键单击“ 开始 ”菜单,然后选择 “设置>系统>应用 & 功能”。
或
选择以下 应用 快捷方式:
在“应用 & 功能”下,找到并选择“Intune Active Directory 连接器”。
在“active Directory Intune连接器”下,选择“卸载”按钮,然后再次选择“卸载”按钮。
Active Directory 的Intune连接器将继续卸载。
在某些情况下,在重新运行适用于 Active Directory 的原始Intune连接器安装程序
ODJConnectorBootstrapper.exe之前,可能无法完全卸载适用于 Active Directory 的Intune连接器。 若要验证 Active Directory Intune 连接器是否已完全卸载,请ODJConnectorBootstrapper.exe再次运行安装程序。 如果提示 “卸载”,请选择卸载它。 否则,请ODJConnectorBootstrapper.exe关闭安装程序。注意
可以从适用于 Active Directory 的 Intune 连接器下载用于 Active Directory 的旧版 Intune 连接器安装程序,并且只能用于卸载。 对于新安装,请使用适用于 Active Directory 的更新Intune连接器。
后续步骤
配置 Windows Autopilot 后,了解如何管理这些设备。 有关详细信息,请参阅什么是 Microsoft Intune 设备管理?。
相关内容
反馈
此页面是否有帮助?