用戶驅動 Microsoft Entra 混合式聯結:安裝 Intune 連接器
Windows Autopilot 使用者驅動 Microsoft Entra 混合式聯結步驟:
- 步驟 2:安裝 Intune 連接器
- 步驟 3: 增加組織單位 (OU) 中的電腦帳戶限制
- 步驟 4: 將裝置註冊為 Windows Autopilot 裝置
- 步驟 5: 建立裝置群組
- 步驟 6: 設定及指派 Windows Autopilot 註冊狀態頁面 (ESP)
- 步驟 7:建立並指派 Microsoft Entra 混合式聯結 Windows Autopilot 配置檔
- 步驟 8: 設定及指派網域加入配置檔
- 步驟 9: 將 Windows Autopilot 裝置指派給使用者 (選擇性)
- 步驟 10: 部署裝置
如需 Windows Autopilot 使用者驅動 Microsoft Entra 混合式聯結工作流程的概觀,請參閱 Windows Autopilot 使用者驅動 Microsoft Entra 混合式聯結概觀。
注意事項
如果已安裝並設定 Intune 連接器,請略過此步驟並移至步驟 3:增加組織單位 (OU 中的電腦帳戶限制) 。
安裝 Intune Connector for Active Directory
Intune Connector for Active Directory 也稱為離線網域加入 (ODJ) 連接器的用途是在 Windows Autopilot 程式期間將電腦加入內部部署網域。 Intune Connector for Active Directory 會在網域加入程序期間,於 Active Directory 中指定的組織單位 (OU) 中建立計算機物件。
重要事項
從 Intune 2501 開始,Intune 使用適用於 Active Directory 的更新 Intune 連接器,藉由使用 MSA) 的受控服務帳戶 (來加強安全性,並遵循最低許可權原則。 從 Intune 內下載 Intune Connector for Active Directory 時,會下載適用於 Active Directory 的更新 Intune 連接器。 舊版 Intune Connector for Active Directory 仍可在 Intune Connector for Active Directory 下載,但Microsoft建議未來使用更新的 Intune Connector for Active Directory 安裝程式。 舊版 Intune Connector for Active Directory 會在 2025 年 5 月的某個時間繼續運作。 不過,之前必須先將它更新為已更新的 Intune Connector for Active Directory,以避免遺失功能。 如需詳細資訊,請參閱 Intune Connector for Active Directory 搭配低許可權帳戶進行 Autopilot 混合式 Microsoft Entra 聯結部署。
不會自動將 Intune Connector for Active Directory 更新為更新的版本。 舊版 Intune 連接器適用於 Active Directory 必須手動卸載,然後手動下載並安裝更新的連接器。 下列各節提供適用於 Active Directory 的 Intune 連接器手動卸載和安裝程式的指示。
選取對應至所安裝 Active Directory Intune 連接器版本的索引標籤:
更新的連接器開始安裝之前,請確定已符合所有 Intune 連接器伺服器需求。
提示
安裝和設定適用於 Active Directory 的 Intune 連接器的系統管理員最好有適當的網域許可權,如 Intune Connector for Active Directory 需求中所述。 此需求可讓 Intune Connector for Active Directory 安裝程式和設定程式,在建立計算機對象的電腦容器或 OU 上正確設定 MSA 的許可權。 如果系統管理員沒有這些許可權,則具有適當許可權的系統管理員必須遵循增加 組織單位中的計算機帳戶限制一節。
關閉 Internet Explorer 增強式安全性設定
根據預設,Windows Server 已開啟 Internet Explorer 增強式安全性設定。 Internet Explorer 增強式安全性設定可能會導致登入 Active Directory Intune 連接器時發生問題。 由於 Internet Explorer 已被取代,而且在大部分情況下,甚至不會安裝在 Windows Server 上,Microsoft建議關閉 Internet Explorer 增強式安全性設定。 若要關閉 Internet Explorer 增強式安全性設定:
使用具有本機系統管理員許可權的帳戶,登入要安裝 Active Directory Intune 連接器的伺服器。
開啟 伺服器管理員。
在 伺服器管理員 的左窗格中,選取 [本地伺服器]。
在 伺服器管理員 的右側 [屬性] 窗格中,選取 [IE 增強式安全性設定] 旁的 [開啟] 或 [關閉] 連結。
在 [Internet Explorer 增強式安全性設定] 視窗中,選取 [系統管理員:] 底下的 [關閉],然後選取 [確定]。
下載 Intune Connector for Active Directory
在安裝 Intune Connector for Active Directory 的伺服器上,登入 Microsoft Intune 系統管理中心。
在 [ 首頁] 畫面中,選取左側窗格中的 [ 裝置 ]。
在 [ 裝置] 中 |概觀 畫面, 在 [依平臺] 底下,選取 [Windows]。
在 Windows 中 |Windows 裝置 畫面的 [ 裝置上線] 底下,選取 [ 註冊]。
在 Windows 中 |Windows 註冊畫面,在 [Windows Autopilot] 底下,選取 [Intune Connector for Active Directory]。
在 [Intune Connector for Active Directory] 畫面中,選取 [新增]。
在開啟的 [新增連接器] 視窗中,於 [設定適用於 Active Directory 的 Intune 連接器] 底下,選取 [下載適用於 Active Directory 的內部部署 Intune 連接器]。 鏈接會下載名為的
ODJConnectorBootstrapper.exe檔案。
在伺服器上安裝 Intune Connector for Active Directory
重要事項
Intune 連接器的 Active Directory 安裝必須使用具有下列網域許可權的帳戶來完成:
- 必要 - 在受控服務帳戶容器中建立 msDs-ManagedServiceAccount 物件。
- 選擇性 - 修改 Active Directory 中 OU 的許可權 - 如果安裝更新 Intune Connector for Active Directory 的系統管理員沒有此許可權,則具有這些許可權的系統管理員需要額外的設定步驟。 如需詳細資訊,請參閱在 組織單位中增加計算機帳戶限制的步驟/區段。
使用具有本機系統管理員許可權的帳戶,登入要安裝 Active Directory Intune 連接器的伺服器。
如果已安裝舊版 Intune Connector for Active Directory,請先將它卸載,再安裝更新的 Intune Connector for Active Directory。 如需詳細資訊,請參閱卸載 Intune Connector for Active Directory。
重要事項
卸載舊版 Intune Connector for Active Directory 時,請務必在卸載程式中執行舊版 Intune Connector for Active Directory 安裝程式。 如果舊版 Intune Connector for Active Directory 安裝程式在執行時提示將它卸載,請選取將其卸載。 此步驟可確保已完全卸載舊版 Intune Connector for Active Directory。 您可以從 Intune Connector for Active Directory 下載適用於 Active Directory 的舊版 Intune 連接器安裝程式。
提示
在只有單一 Intune Connector for Active Directory 的網域中,Microsoft建議先在另一部伺服器上安裝更新的 Intune Connector for Active Directory。 若要在另一部伺服器上安裝已更新的 Intune Connector for Active Directory,請先完成安裝,才能在目前伺服器上卸載舊版 Intune Connector for Active Directory。 在另一個伺服器上安裝 Intune Connector for Active Directory 可避免任何停機時間,而目前伺服器上的 Intune Connector for Active Directory 正在更新。
開啟下載的
ODJConnectorBootstrapper.exe檔案,以啟動 Intune Connector for Active Directory 安裝程序安裝。逐步執行 Intune Connector for Active Directory 安裝程式。
在安裝結束時,選取 [啟動 Intune Connector for Active Directory] 複選框。
注意事項
如果不小心關閉 Intune Connector for Active Directory 安裝程式,但未選取 [啟動 Intune Connector for Active Directory] 複選框,則可以選取 [Intune Connector for Active Directory 來重新開啟適用於 Active Directory> 的 Intune 連接器設定 Intune[開始] 功能表中的 [Active Directory 連接器]。
登入 Active Directory Intune 連接器
在 [Intune Connector for Active Directory] 視窗的 [註冊] 索引卷標下,選取 [登入]。
在 [登入] 索引標籤下,使用 Intune 系統管理員角色的 Microsoft Entra ID 認證登入。 用戶帳戶必須具有指派的 Intune 授權。 登入程式可能需要幾分鐘的時間才能完成。
注意事項
用來註冊 Active Directory Intune 連接器的帳戶,只是安裝時的暫時需求。 註冊伺服器之後,不會使用帳戶。
登入程式完成後:
- [適用於Active Directory 的 Intune 連接器成功註冊的確認視窗隨即出現。 選取 [確定 ] 以關閉視窗。
- 名 稱為 「<MSA_name>」 的受控服務帳戶已成功設定 確認視窗隨即出現。 MSA
msaODJ########## 的名稱格式為五個隨機字元。 記下已建立的 MSA 名稱,然後選取 [ 確定 ] 關閉視窗。 稍後可能需要 MSA 的名稱,才能設定 MSA 以允許在 OU 中建立計算機物件。
[註冊] 索引標籤會顯示 Intune 已註冊 Active Directory 的連接器。 [ 登入] 按鈕呈現灰色,並已啟用 [設定 受控服務帳戶 ]。
關閉 [Intune Connector for Active Directory] 視窗。
確認 Active Directory 的 Intune 連接器為作用中
驗證之後,Intune Connector for Active Directory 會完成安裝。 安裝完成後,請遵循下列步驟,確認其在 Intune 中為作用中:
如果系統管理中心仍然開啟,請移至 Microsoft Intune 系統管理中心。 如果仍然顯示 [ 新增連接器 ] 視窗,請將其關閉。
如果 Microsoft Intune 系統管理中心仍未開啟:
在 [ 首頁] 畫面中,選取左側窗格中的 [ 裝置 ]。
在 [ 裝置] 中 |概觀 畫面, 在 [依平臺] 底下,選取 [Windows]。
在 Windows 中 |Windows 裝置 畫面的 [ 裝置上線] 底下,選取 [ 註冊]。
在 Windows 中 |Windows 註冊畫面,在 [Windows Autopilot] 底下,選取 [Intune Connector for Active Directory]。
在 [Intune Connector for Active Directory] 頁面中:
- 確認伺服器顯示在 [連接器名稱] 底下,並在 [狀態] 下顯示為 [作用中]
- 針對已更新的 Intune Connector for Active Directory,請確定版本大於或等於 6.2501.2000.5。
如果未顯示伺服器,請選取 [重新整理] 或瀏覽離開頁面,然後流覽回 [Intune Connector for Active Directory] 頁面。
注意事項
新註冊的伺服器可能需要幾分鐘的時間才會出現在 Microsoft Intune 系統管理中心的[Intune Connector for Active Directory] 頁面中。 只有在已註冊的伺服器可以成功與 Intune 服務通訊時,才會出現該伺服器。
Active Directory 的非作用中 Intune 連接器仍會出現在 [Intune Connector for Active Directory] 頁面中,且會在 30 天后自動清除。
安裝 Intune Connector for Active Directory 之後,它會開始在 [應用程式和服務>記錄] Microsoft Intune ODJConnectorService 路徑下的事件檢視器>> 中進行記錄。 在此路徑下,可以找到 管理員 和作業記錄。
設定 MSA 以允許在 OU 中建立物件 (選擇性)
根據預設,MSA 只能存取在 Computers 容器中 建立計算機物件。 MSA 無法存取在組織單位 (OU) 中建立計算機物件。 若要允許 MSA 以 OU 建立物件,必須將 OU 新增至 ODJConnectorEnrollmentWizard.exe.config XML 檔案,該檔案位於已安裝 Intune Connector for Active Directory 的目錄中ODJConnectorEnrollmentWizard,通常是 C:\Program Files\Microsoft Intune\ODJConnector\。
若要設定 MSA 以允許在 OU 中建立物件,請遵循下列步驟:
在已安裝 Intune Connector for Active Directory 的伺服器上,流覽至
ODJConnectorEnrollmentWizard已安裝 Intune Connector for Active Directory 的目錄,通常是C:\Program Files\Microsoft Intune\ODJConnector\。在目錄中
ODJConnectorEnrollmentWizard,在文本編輯器中開啟ODJConnectorEnrollmentWizard.exe.configXML 檔案,例如記 事本。在
ODJConnectorEnrollmentWizard.exe.configXML 檔案中,新增 MSA 應該有權在其中建立計算機物件的任何所需 OU。 OU 名稱應該是辨別名稱,如果適用,則必須逸出。 下列範例是具有 OU 辨別名稱的範例 XML 專案:<appSettings> <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format. The ODJ Connector will only have permission to create computer objects in these OUs. The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY): Domain contains the following OUs: - OU=HybridDevices,DC=contoso,DC=com - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" --> <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" /> </appSettings>新增所有所需的 OU 之後,請儲存
ODJConnectorEnrollmentWizard.exe.configXML 檔案。身為具有適當許可權可修改 OU 許可權的系統管理員,請從 [開始] 功能表流覽至 [Intune Connector for Active DirectoryIntune Connector for Active Directory],以開啟 Intune Connector for Active Directory>。
重要事項
如果安裝和設定 Intune Connector for Active Directory 的系統管理員沒有修改 OU 許可權的許可權,則在組織單位中增加計算機帳戶限制一節/步驟必須由具有修改 OU 許可權許可權的系統管理員取代。
在 [Intune Connector for Active Directory] 視窗的 [註冊] 索引標籤下,選取 [設定受控服務帳戶]。
名 稱為 「<MSA_name>」 的受控服務帳戶已成功設定 確認視窗隨即出現。 選取 [確定 ] 以關閉視窗。