預先布建 Microsoft Entra 混合式加入:增加組織單位 (OU) 中的計算機帳戶限制
適用於預先布建部署的 Windows Autopilot Microsoft Entra 混合式聯結步驟:
- 步驟 1:設定 Windows 自動 Intune 註冊
- 步驟 2:安裝 Intune 連接器
- 步驟 3:增加組織單位 (OU 中的電腦帳戶限制)
- 步驟 4: 將裝置註冊為 Windows Autopilot 裝置
- 步驟 5: 建立裝置群組
- 步驟 6: 設定及指派 Windows Autopilot 註冊狀態頁面 (ESP)
- 步驟 7:建立並指派 Microsoft Entra 混合式聯結 Windows Autopilot 配置檔
- 步驟 8: 設定及指派網域加入配置檔
- 步驟 9: 將 Windows Autopilot 裝置指派給使用者 (選擇性)
- 步驟 10: 技術人員流程
- 步驟 11: 使用者流程
如需混合式聯結工作流程 Microsoft Entra 預先布建部署的 Windows Autopilot 概觀,請參閱 Windows Autopilot 以取得預先布建的部署 Microsoft Entra 混合式聯結概觀。
注意事項
如果已增加適當組織單位 (OU) 的計算機帳戶限制,請略過此步驟並移至 步驟 4:將裝置註冊為 Windows Autopilot 裝置。
增加組織單位 (OU) 中的電腦帳戶限制
更新的連接器重要事項
只有在下列其中一個情況下才需要此步驟:
- 安裝及設定 active Directory Intune 連接器的系統管理員沒有如 Intune Connector for Active Directory 需求中所述的適當許可權。
-
ODJConnectorEnrollmentWizard.exe.configXML 檔案未修改為新增 MSA 應具有許可權的 OU。
Intune Connector for Active Directory 的目的是要將電腦加入網域,並將其新增至 OU。 基於這個理由,用於 Active Directory Intune 連接器的 MSA) (受控服務帳戶必須具有許可權,才能在電腦加入內部部署網域的 OU 中建立電腦帳戶。
使用 Active Directory 中的預設許可權時,Intune Connector for Active Directory 的網域加入一開始可能不需修改 Active Directory 中的 OU 許可權即可運作。 不過,在 MSA 嘗試將 10 部以上的電腦加入內部部署網域之後,它會停止運作,因為根據預設,Active Directory 只允許任何單一帳戶將最多 10 部電腦加入內部部署網域。
下列使用者不受 10 個電腦網域加入限制的限制:
- 系統管理員或網域系統管理員群組中的使用者:為了符合最低許可權原則模型,Microsoft不建議將 MSA 設為系統管理員或網域系統管理員。
- 具有組織單位委派許可權的使用者 (OU) 和 Active Directory 中的容器來建立電腦帳戶:建議使用此方法,因為它遵循最低許可權原則模型。
若要修正這項限制,MSA 需要組織單位中的 [建立計算機帳戶] 許可權 (OU) 其中計算機已加入內部部署網域。 Intune 連接器適用於 Active Directory 會將 MSA 的許可權設定為 OU,只要符合下列其中一個條件:
- 安裝 Intune Connector for Active Directory 的系統管理員具有設定 OU 許可權的必要許可權。
- 設定 Intune Connector for Active Directory 的系統管理員具有設定 OU 許可權的必要許可權。
如果安裝或設定 Intune Connector for Active Directory 的系統管理員沒有設定 OU 許可權的必要許可權,則必須遵循下列步驟:
使用帳戶登入可存取 Active Directory 使用者和電腦 主控台的計算機,該帳戶是設定 OU 許可權的必要許可權。
執行 DSA.msc 以開啟 Active Directory 使用者和電腦 主控台。
展開所需的網域,並流覽至計算機在 Windows Autopilot 期間加入的組織單位 (OU) 。
注意事項
稍後在設定 和指派網域加入配置檔 步驟期間,會指定計算機在 Windows Autopilot 部署期間加入的 OU。
以滑鼠右鍵按兩下 OU,然後選取 [ 屬性]。
注意事項
如果計算機加入預設 的計算機 容器,而不是 OU,請以滑鼠右鍵按兩下 [ 計算機 ] 容器,然後選取 [ 委派控制]。
在開啟的 [OU 屬性] 視窗中,選取 [ 安全性] 索引 標籤。
在 [ 安全性] 索引 標籤中,選取 [ 進階]。
在 [ 進階安全性設定] 視窗中 ,選取 [ 新增]。
在 [權 限專案 ] 視窗的 [ 主體] 旁,選取 [ 選取主體] 連結。
在 [ 選取使用者、計算機、服務帳戶或群組 ] 視窗中,選取 [ 物件類型...] 按鈕。
在 [ 物件類型] 視窗中,選取 [ 服務帳戶] 複選框,然後選取 [ 確定]。
在 [選取使用者、計算機、服務帳戶或群組] 視窗的 [輸入要選取的物件名稱] 底下,輸入用於 Active Directory Intune 連接器的 MSA 名稱。
提示
MSA 是在安裝 Intune Connector for Active Directory 步驟/區段期間建立的,其名稱格式為
msaODJ#####,其中 ##### 為五個隨機字元。 如果 MSA 名稱未知,請遵循下列步驟來尋找 MSA 名稱:- 在執行 Intune Connector for Active Directory 的伺服器上,以滑鼠右鍵按兩下 [開始] 功能表,然後選取 [計算機管理]。
- 在 [ 計算機管理] 視窗中,展開 [ 服務和應用程式] ,然後選取 [ 服務]。
- 在結果窗格中,找出名稱為 Intune ODJConnector for Active Service 的服務。 MSA 的名稱會列在 [登入 身 分] 資料行中。
選 取 [檢查名稱 ] 以驗證 MSA 名稱專案。 驗證項目之後,請選取 [ 確定]。
在 [權 限專案] 視窗中,選取 [ 適用於:] 下拉菜單,然後選取 [ 僅限此物件]。
在 [ 許可權] 下,取消選取所有專案,然後只選取 [ 建立計算機物件] 複 選框。
選取 [確定 ] 以關閉 [ 許可權輸入] 視窗。
在 [ 進階安全性設定] 視窗中 ,選取 [ 套 用] 或 [ 確定] 以套用變更。
下一個步驟:將裝置註冊為 Windows Autopilot 裝置
相關內容
如需增加組織單位中計算機帳戶限制的詳細資訊,請參閱下列文章: