使用 Intune 和 Windows Autopilot 部署 Microsoft Entra 混合式聯結裝置

• 適用於:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

重要事項

Microsoft建議使用 Microsoft Entra 聯結，將新裝置部署為雲端原生裝置。 不建議將新裝置部署為混合式聯結裝置 Microsoft Entra，包括透過 Windows Autopilot。 如需詳細資訊，請參閱 Microsoft Entra 加入與雲端原生端點中混合式加入 Microsoft Entra：哪個選項適合您的組織。

Intune 和 Windows Autopilot 可用來設定 Microsoft Entra 混合式聯結裝置。 若要這樣做，請遵循本文中的步驟。 如需 Microsoft Entra 混合式加入的詳細資訊，請參閱瞭解混合式聯結和共同管理 Microsoft Entra。

需求

在 Windows Autopilot 期間執行 Microsoft Entra 混合式聯結的需求列表分為三個不同的類別：

• 一般 - 一般需求。
• 裝置註冊 - 裝置註冊需求。
• Intune 連接器 - Intune 連接器以符合 Active Directory 需求。

選取適當的索引標籤以查看相關需求：

一般

• 已成功設定 Microsoft Entra 混合式聯結裝置。 請務必使用 Get-MgDevice Cmdlet 來驗證裝置註冊。
• 如果網域和 OU 型篩選設定為 Microsoft Entra Connect 的一部分，請確定預設組織單位 (OU) 或適用於 Autopilot 裝置的容器包含在同步處理範圍中。

裝置註冊

要註冊的裝置必須遵循下列需求：

• 使用目前支援的 Windows 版本。
• 可 遵循 Windows Autopilot 網路需求存取因特網。
• 可存取 Active Directory 域控制器。
• 成功偵測正在加入之網域的域控制器。
• 如果使用 Proxy，則必須啟用和設定 Web Proxy 自動探索通訊協定 (WPAD) Proxy 設定選項。
• 經歷 OOBE) (現成體驗。
• 使用 OOBE 中 Microsoft Entra ID 支援的授權類型。

雖然並非必要，但在部署期間為 Active Directory 同盟服務 (ADFS) 設定 Microsoft Entra 混合式加入，可讓 Windows Autopilot Microsoft Entra 註冊程式更快速。 不支援使用密碼和使用ADFS的同盟客戶必須遵循 Active Directory 同盟服務 prompt=login 參數支援一文中的步驟，才能正確設定驗證體驗。

Intune 連接器

• Intune 連接器 active Directory 也稱為離線網域加入 (ODJ) 連接器，必須安裝在執行 Windows Server 2016 或更新版本且 .NET Framework 4.7.2 版或更新版本的電腦上。

• 裝載 Intune Connector for Active Directory 的伺服器必須能夠存取因特網和 Active Directory。

  注意事項

  適用於 Active Directory 伺服器的 Intune 連接器需要域控制器的標準網域用戶端存取權，其中包括與 Active Directory 通訊所需的 RPC 連接埠需求。 如需詳細資訊，請參閱下列文章：

  • Windows 的服務概述和網路連接埠要求
  • 如何設定 Active Directory 網域及信任的防火牆
  • 混合式身分識別所需的連接埠和通訊協定

• 若要增加規模和可用性，可以在網域中安裝多個連接器。 每個連接器都必須能夠在支援的網域中建立計算機物件。

• 安裝 Intune Connector for Active Directory 的系統管理員必須是安裝 Intune Connector for Active Directory 之伺服器上的本機系統管理員。

• 針對已更新的 Intune Connector for Active Directory，必須使用具有下列網域許可權的帳戶來完成安裝：

  • 必要 - 在受控服務帳戶容器中建立 msDs-ManagedServiceAccount 物件

  • 選擇性 - 在 Active Directory 中修改 OU 的許可權 - 如果安裝更新 Intune Connector for Active Directory 的系統管理員沒有此許可權，則具有這些許可權的系統管理員需要額外的設定步驟。 如需詳細資訊，請參閱本文 中的增加組織單位中的計算機帳戶限制 一節。

    這些許可權可讓 Intune Connector for Active Directory 安裝 (MSA 正確建立受控服務帳戶) ，併為 MSA 新增計算機的 OU 正確設定許可權。

• Intune 連接器的 Active Directory 需要與 Intune 相同的端點。

設定 Windows 自動 MDM 註冊

1. 登入 Azure 入口網站 並選取 [Microsoft Entra ID]。

2. 在左側窗格中，選取 [管理 | 行動 (MDM 和 WIP) Microsoft Intune>。

3. 請確定使用 Intune和 Windows 部署已加入 Microsoft Entra 裝置的使用者是 MDM 用戶範圍中包含的群組成員。

4. 使用 [MDM 使用規定 URL]、[ MDM 探索 URL] 和 [ MDM 合規性 URL ] 方塊中的預設值，然後選取 [ 儲存]。

安裝 Intune Connector for Active Directory

Intune Connector for Active Directory 也稱為離線網域加入 (ODJ) 連接器的用途是在 Windows Autopilot 程式期間將電腦加入內部部署網域。 Intune Connector for Active Directory 會在網域加入程序期間，於 Active Directory 中指定的組織單位 (OU) 中建立計算機物件。

重要事項

從 Intune 2501 開始，Intune 使用適用於 Active Directory 的更新 Intune 連接器，藉由使用 MSA) 的受控服務帳戶來加強安全性，並遵循最低許可權原則 (。 從 Intune 內下載 Intune Connector for Active Directory 時，會下載已更新的 Intune Connector for Active Directory。 舊版 Intune Connector for Active Directory 仍可在 Intune Connector for Active Directory 下載，但Microsoft建議未來使用更新的 Intune Connector for Active Directory 安裝程式。 舊版 Intune Connector for Active Directory 會在 2025 年 5 月的某個時間繼續運作。 不過，之前必須先將它更新為更新的 Intune Connector for Active Directory，以避免遺失功能。 如需詳細資訊，請參閱 Intune Connector for Active Directory 搭配低許可權帳戶進行 Autopilot 混合式 Microsoft Entra 聯結部署。

不會自動將 Intune Connector for Active Directory 更新為更新的版本。 舊版 Intune Connector for Active Directory 必須手動卸載，然後手動下載並安裝更新的連接器。 下列各節提供適用於 Active Directory 的 Intune 連接器手動卸載和安裝程式的指示。

選取對應至所安裝 Active Directory Intune 連接器版本的索引標籤：

更新的連接器

開始安裝之前，請確定已符合所有 Intune 連接器伺服器需求。

提示

建議但並非必要，因為安裝和設定 Intune Connector for Active Directory 的系統管理員具有適當的網域許可權，如 Intune Connector for Active Directory 需求中所述。 此需求可讓 active Directory 安裝程式和設定程式 Intune 連接器，在建立計算機對象的電腦容器或 OU 上正確設定 MSA 的許可權。 如果系統管理員沒有這些許可權，則具有適當許可權的系統管理員必須遵循增加 組織單位中的計算機帳戶限制一節。

關閉 Internet Explorer 增強式安全性設定

根據預設，Windows Server 已開啟 Internet Explorer 增強式安全性設定。 Internet Explorer 增強式安全性設定可能會導致登入 Intune Connector for Active Directory 時發生問題。 由於 Internet Explorer 已被取代，而且在大部分情況下，甚至不會安裝在 Windows Server 上，Microsoft建議關閉 Internet Explorer 增強式安全性設定。 若要關閉 Internet Explorer 增強式安全性設定：

1. 使用具有本機系統管理員許可權的帳戶，登入正在安裝 Active Directory Intune 連接器的伺服器。

2. 開啟 伺服器管理員。

3. 在 伺服器管理員 的左窗格中，選取 [本地伺服器]。

4. 在 伺服器管理員 的右側 [屬性] 窗格中，選取 [IE 增強式安全性設定] 旁的 [開啟] 或 [關閉] 連結。

5. 在 [Internet Explorer 增強式安全性設定] 視窗中，選取 [系統管理員：] 底下的 [關閉]，然後選取 [確定]。

下載 Intune Connector for Active Directory

1. 在安裝 Intune Connector for Active Directory 的伺服器上，登入 Microsoft Intune 系統管理中心。

2. 在 [ 首頁] 畫面中，選取左側窗格中的 [ 裝置 ]。

3. 在 [ 裝置] 中 |概觀 畫面， 在 [依平臺] 底下，選取 [Windows]。

4. 在 Windows 中 |Windows 裝置 畫面的 [ 裝置上線] 底下，選取 [ 註冊]。

5. 在 Windows 中 |Windows 註冊畫面，在 [Windows Autopilot] 底下，選取 [Intune 連接器] 作為 [Active Directory]。

6. 在 [Intune Connector for Active Directory] 畫面中，選取 [新增]。

7. 在開啟的 [新增連接器] 視窗中，於 [設定 Active Directory 的 Intune 連接器] 下，選取 [下載內部部署 Intune Connector for Active Directory]。 鏈接會下載名為的 ODJConnectorBootstrapper.exe檔案。

在伺服器上安裝 Intune Connector for Active Directory

重要事項

Intune 連接器的 Active Directory 安裝必須使用具有下列網域許可權的帳戶來完成：

• 必要 - 在受控服務帳戶容器中建立 msDs-ManagedServiceAccount 物件。
• 選擇性 - 在 Active Directory 中修改 OU 的許可權 - 如果安裝更新 Intune Connector for Active Directory 的系統管理員沒有此許可權，則具有這些許可權的系統管理員需要額外的設定步驟。 如需詳細資訊，請參閱在 組織單位中增加計算機帳戶限制的步驟/區段。

1. 使用具有本機系統管理員許可權的帳戶，登入要安裝 Active Directory Intune 連接器的伺服器。

2. 如果已安裝舊版 Intune Connector for Active Directory，請先將它卸載，再安裝更新的 Intune Connector for Active Directory。 如需詳細資訊，請參閱卸載 Intune Connector for Active Directory。

   重要事項

   卸載舊版 Intune Connector for Active Directory 時，請務必在卸載程式中執行舊版 Intune Connector for Active Directory 安裝程式。 如果舊版 Intune Connector for Active Directory 安裝程式在執行時提示將其卸載，請選取將其卸載。 此步驟可確保已完全卸載先前的舊版 Intune Connector for Active Directory。 舊版 Intune Connector for Active Directory 安裝程式可從 Intune Connector for Active Directory 下載。

   提示

   在只有單一 Intune Connector for Active Directory 的網域中，Microsoft建議先在另一部伺服器上安裝更新的 Intune Connector for Active Directory。 您應該先在另一部伺服器上安裝更新的 Intune Connector for Active Directory，然後才能在目前伺服器上卸載舊版 Intune Connector for Active Directory。 在另一個伺服器上安裝 Intune Connector for Active Directory 可避免任何停機時間，而目前伺服器上的 Intune Connector for Active Directory 正在更新。

3. 開啟下載的ODJConnectorBootstrapper.exe檔案，以啟動 Intune Connector for Active Directory 安裝程序安裝。

4. 逐步執行 Intune Connector for Active Directory 安裝程式。

5. 在安裝結束時，選取 [啟動 Intune Connector for Active Directory] 複選框。

   注意事項

   如果不小心關閉 Intune Connector for Active Directory 安裝程式，但未選取 [啟動 Intune Connector for Active Directory] 複選框，則可以選取 Intune Connector for Active Directory 重新開啟 Intune Connector for Active Directory> 設定 Intune[開始] 功能表中的 [Active Directory 連接器]。

登入 Active Directory Intune 連接器

1. 在 [Intune Connector for Active Directory] 視窗的 [註冊] 索引卷標下，選取 [登入]。

2. 在 [登入] 索引標籤下，使用 Intune 系統管理員角色的 Microsoft Entra ID 認證登入。 用戶帳戶必須具有指派的 Intune 授權。 登入程式可能需要幾分鐘的時間才能完成。

   注意事項

   用來註冊 Active Directory Intune 連接器的帳戶，只是安裝時的暫時需求。 註冊伺服器之後，不會使用帳戶。

3. 登入程式完成後：

   1. [Intune 連接器成功註冊的確認視窗隨即出現。 選取 [確定 ] 以關閉視窗。
   2. 名 稱為 「<MSA_name>」 的受控服務帳戶已成功設定 確認視窗隨即出現。 MSA msaODJ########## 的名稱格式為五個隨機字元。 記下已建立的 MSA 名稱，然後選取 [ 確定 ] 關閉視窗。 稍後可能需要 MSA 的名稱，才能設定 MSA 以允許在 OU 中建立計算機物件。

4. [註冊] 索引標籤會顯示 Intune 已註冊 Active Directory 的連接器。 [ 登入] 按鈕呈現灰色，並已啟用 [設定 受控服務帳戶 ]。

5. 關閉 [Intune Connector for Active Directory] 視窗。

確認 Active Directory 的 Intune 連接器為作用中

驗證之後，Intune Connector for Active Directory 會完成安裝。 安裝完成後，請遵循下列步驟，確認其在 Intune 中為作用中：

1. 如果系統管理中心仍然開啟，請移至 Microsoft Intune 系統管理中心。 如果仍然顯示 [ 新增連接器 ] 視窗，請將其關閉。

   如果 Microsoft Intune 系統管理中心仍未開啟：

   1. 登入 Microsoft Intune 系統管理中心。

   2. 在 [ 首頁] 畫面中，選取左側窗格中的 [ 裝置 ]。

   3. 在 [ 裝置] 中 |概觀 畫面， 在 [依平臺] 底下，選取 [Windows]。

   4. 在 Windows 中 |Windows 裝置 畫面的 [ 裝置上線] 底下，選取 [ 註冊]。

   5. 在 Windows 中 |Windows 註冊畫面，在 [Windows Autopilot] 底下，選取 [Intune Connector for Active Directory]。

2. 在 [Intune Connector for Active Directory] 頁面中：

   • 確認伺服器顯示在 [連接器名稱] 底下，並在 [狀態] 下顯示為 [作用中]
   • 針對已更新的 Intune Connector for Active Directory，請確定版本大於 6.2501.2000.5。

   如果未顯示伺服器，請選取 [重新整理] 或瀏覽離開頁面，然後流覽回 [Intune Connector for Active Directory] 頁面。

注意事項

• 新註冊的伺服器可能需要幾分鐘的時間才會出現在 Microsoft Intune 系統管理中心的[Intune Connector for Active Directory] 頁面中。 只有在已註冊的伺服器可以成功與 Intune 服務通訊時，才會出現該伺服器。

• Active Directory 的非作用中 Intune 連接器仍會出現在 [Intune Connector for Active Directory] 頁面中，且會在 30 天后自動清除。

安裝 Intune Connector for Active Directory 之後，它會開始在 [應用程式和服務>記錄] Microsoft Intune ODJConnectorService 路徑下的事件檢視器>> 中進行記錄。 在此路徑下，可以找到 管理員 和作業記錄。

設定 MSA 以允許在 OU 中建立物件 (選擇性)

根據預設，MSA 只能存取在 Computers 容器中 建立計算機物件。 MSA 無法存取在組織單位 (OU) 中建立計算機物件。 若要允許 MSA 以 OU 建立物件，必須將 OU 新增至 ODJConnectorEnrollmentWizard.exe.config XML 檔案，該檔案位於已安裝 Intune Connector for Active Directory 的目錄中ODJConnectorEnrollmentWizard，通常是 C:\Program Files\Microsoft Intune\ODJConnector\。

若要設定 MSA 以允許在 OU 中建立物件，請遵循下列步驟：

1. 在已安裝 Intune Connector for Active Directory 的伺服器上，流覽至ODJConnectorEnrollmentWizard已安裝 Intune Connector for Active Directory 的目錄，通常是 C:\Program Files\Microsoft Intune\ODJConnector\。

2. 在目錄中 ODJConnectorEnrollmentWizard ，在文本編輯器中開啟 ODJConnectorEnrollmentWizard.exe.config XML 檔案，例如記 事本。

3. 在 ODJConnectorEnrollmentWizard.exe.config XML 檔案中，新增 MSA 應該有權在其中建立計算機物件的任何所需 OU。 OU 名稱應該是辨別名稱，如果適用，則必須逸出。 下列範例是具有 OU 辨別名稱的範例 XML 專案：

     <appSettings>
   
       <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format.
           The ODJ Connector will only have permission to create computer objects in these OUs.
           The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure
   
           Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY):
           Domain contains the following OUs:
             - OU=HybridDevices,DC=contoso,DC=com
             - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com
   
           Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" -->
   
       <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" />
     </appSettings>
   

4. 新增所有所需的 OU 之後，請儲存 ODJConnectorEnrollmentWizard.exe.config XML 檔案。

5. 身為具有適當許可權可修改 OU 許可權的系統管理員，請從 [開始] 功能表流覽至 [Intune Connector for Active DirectoryIntune Connector for Active Directory，以開啟 Intune Connector for Active Directory>。

   重要事項

   如果安裝和設定 Intune Connector for Active Directory 的系統管理員沒有修改 OU 許可權的許可權，則在組織單位中增加計算機帳戶限制一節/步驟必須由具有修改 OU 許可權許可權的系統管理員取代。

6. 在 [Intune Connector for Active Directory] 視窗的 [註冊] 索引標籤下，選取 [設定受控服務帳戶]。

7. 名 稱為 「<MSA_name>」 的受控服務帳戶已成功設定 確認視窗隨即出現。 選取 [確定 ] 以關閉視窗。

舊版連接器

重要事項

舊版 Intune Connector for Active Directory 已被取代。 這些指示假設已安裝或已下載適用於 Active Directory 的舊 Intune 連接器。 如果尚未下載舊版 Intune Connector for Active Directory 安裝程式，則可以從 Intune Connector for Active Directory 下載。

不過，最佳做法是下載並安裝更新的 Intune Connector for Active Directory。 如需詳細資訊，請改為選取 [更新的連接器] 索引卷 標。

開始安裝之前，請確定已符合所有 Intune 連接器伺服器需求。

停用 Internet Explorer 增強式安全性組態

根據預設，Windows Server 已開啟 Internet Explorer 增強式安全性設定。 Internet Explorer 增強式安全性設定可能會導致登入 Active Directory Intune 連接器時發生問題。 由於 Internet Explorer 已被取代，而且在大部分情況下，甚至不會安裝在 Windows Server 上，Microsoft建議關閉 Internet Explorer 增強式安全性設定。 若要關閉 Internet Explorer 增強式安全性設定：

1. 使用具有本機系統管理員許可權和網域系統管理員許可權的帳戶，登入安裝 Active Directory Intune 連接器的伺服器。 需要網域系統管理員許可權，Intune 適用於 Active Directory 的連接器安裝程式才能正確建立 MSA。

2. 開啟 伺服器管理員。

3. 在 伺服器管理員 的左窗格中，選取 [本地伺服器]。

4. 在 伺服器管理員 的右側 [屬性] 窗格中，選取 [IE 增強式安全性設定] 旁的 [開啟] 或 [關閉] 連結。

5. 在 [Internet Explorer 增強式安全性設定] 視窗中，選取 [系統管理員：] 底下的 [關閉]，然後選取 [確定]。

在伺服器上安裝舊版 Intune Connector for Active Directory

1. 開啟先前下載的ODJConnectorBootstrapper.exe檔案，以啟動 Intune Connector for Active Directory 安裝程序安裝。

   注意事項

   如果已安裝適用於 Active Directory 的舊版 Intune 連接器，請移至 Active Directory > 連接器 Intune 連接器 Intune 連接器的 [開始] 選單>，然後繼續登入適用於 Active Directory 的舊版 Intune 連接器。

2. 在 [Intune Connector for Active Directory 安裝程式] 視窗中，選取 [我同意授權條款及條件]，然後選取 [安裝]。

   注意事項

   如果需要 C：\Program Files\Microsoft Intune\ODJConnector 預設值以外的安裝位置，請選取 [選項] 並指定所需的安裝位置。

3. 安裝完成時，請在 [Intune Connector for Active Directory 安裝程式安裝程式] 視窗中選取 [立即設定]。

   注意事項

   如果不小心選取 [關閉] 或不小心關閉 [Intune Connector for Active Directory 安裝程式] 視窗，則可以從 [開始] 功能表中選取 Intune [Intune Connector forActive Directory>Intune Connector for Active Directory 來存取 Active Directory 的連接器設定。

登入舊版 Intune 連接器

1. 在 [Intune Connector for Active Directory] 視窗的 [註冊] 索引卷標下，選取 [登入]。

2. 在 [登入] 索引標籤下，使用 Intune 系統管理員角色的認證登入。 用戶帳戶必須具有指派的 Intune 授權。 登入程式可能需要幾分鐘的時間才能完成。

   注意事項

   用來註冊 Active Directory Intune 連接器的帳戶，只是安裝時的暫時需求。 註冊伺服器之後，不會使用帳戶。

3. 登入程式完成後，[適用於Active Directory 的 Intune 連接器成功註冊確認] 視窗隨即出現。 選取 [確定 ] 以關閉視窗。

4. [註冊] 索引標籤會顯示 Intune 已註冊 Active Directory 的連接器，且 [登入] 按鈕呈現灰色。

5. 關閉 [Intune Connector for Active Directory] 視窗。

確認 Active Directory 的舊 Intune 連接器為作用中

驗證之後，Intune Connector for Active Directory 會完成安裝。 完成安裝後，請依照下列步驟確認其在 Intune 中為作用中：

1. 如果系統管理中心仍然開啟，請移至 Microsoft Intune 系統管理中心。 如果仍然顯示 [ 新增連接器 ] 視窗，請將其關閉。

   如果 Microsoft Intune 系統管理中心仍未開啟：

   1. 登入 Microsoft Intune 系統管理中心。

   2. 在 [ 首頁] 畫面中，選取左側窗格中的 [ 裝置 ]。

   3. 在 [ 裝置] 中 |概觀 畫面， 在 [依平臺] 底下，選取 [Windows]。

   4. 在 Windows 中 |Windows 裝置 畫面的 [ 裝置上線] 底下，選取 [ 註冊]。

   5. 在 Windows 中 |Windows 註冊畫面的 [Windows Autopilot] 底下，選取 [Intune Connector for Active Directory]。

2. 在 [Intune Connector for Active Directory] 頁面中，確認伺服器顯示在 [連接器名稱] 底下，並在 [狀態] 下顯示為 [作用中]。 如果未顯示伺服器，請選取 [重新整理] 或瀏覽離開頁面，然後流覽回 [Intune Connector for Active Directory] 頁面。

注意事項

• 新註冊的伺服器可能需要幾分鐘的時間才會出現在 Microsoft Intune 系統管理中心的 [Intune Connector for Active Directory] 頁面中。 只有在已註冊的伺服器可以成功與 Intune 服務通訊時，才會出現該伺服器。

• 非作用中 Intune Active Directory 的連接器仍會出現在 [Intune Connector for Active Directory] 頁面中，且會在 30 天后自動清除。

安裝 Intune Connector for Active Directory 之後，它會開始在 [應用程式和服務>記錄] Microsoft Intune ODJConnectorService 路徑下的事件檢視器>> 中記錄。 在此路徑下，可以找到 管理員 和作業記錄。

設定 Web Proxy 設定

如果網路環境中有 Web Proxy，請參閱使用現有的內部部署 Proxy 伺服器，以確保適用於 Active Directory 的 Intune 連接器正常運作。

增加組織單位中的計算機帳戶限制

更新的連接器

重要事項

只有在下列其中一個情況下才需要此步驟：

• 安裝和設定 Active Directory Intune 連接器的系統管理員沒有如 Intune Connector for Active Directory 需求中所述的適當許可權。
• ODJConnectorEnrollmentWizard.exe.config XML 檔案未修改為新增 MSA 應具有許可權的 OU。

Intune Connector for Active Directory 的目的是要將電腦加入網域，並將其新增至 OU。 基於這個理由，用於 Active Directory Intune 連接器的 MSA) (受控服務帳戶必須具有許可權，才能在電腦加入內部部署網域的 OU 中建立電腦帳戶。

使用 Active Directory 中的預設許可權，Intune Connector for Active Directory 的網域加入一開始可能不需修改 Active Directory 中的 OU 許可權即可運作。 不過，在 MSA 嘗試將 10 部以上的電腦加入內部部署網域之後，它會停止運作，因為根據預設，Active Directory 只允許任何單一帳戶將最多 10 部電腦加入內部部署網域。

下列使用者不受 10 個電腦網域加入限制的限制：

• 系統管理員或網域系統管理員群組中的使用者：為了符合最低許可權原則模型，Microsoft不建議將 MSA 設為系統管理員或網域系統管理員。
• 具有組織單位委派許可權的使用者 (OU) 和 Active Directory 中的容器來建立電腦帳戶：建議使用此方法，因為它遵循最低許可權原則模型。

若要修正這項限制，MSA 需要組織單位中的 [建立計算機帳戶] 許可權 (OU) 其中計算機已加入內部部署網域。 Intune 連接器適用於 Active Directory 會將 MSA 的許可權設定為 OU，只要符合下列其中一個條件：

• 安裝 Intune Connector for Active Directory 的系統管理員具有設定 OU 許可權的必要許可權。
• 設定 Intune Connector for Active Directory 的系統管理員具有設定 OU 許可權的必要許可權。

如果安裝或設定 Intune Connector for Active Directory 的系統管理員沒有設定 OU 許可權的必要許可權，則必須遵循下列步驟：

1. 使用帳戶登入可存取 Active Directory 使用者和電腦 主控台的計算機，該帳戶是設定 OU 許可權的必要許可權。

2. 執行 DSA.msc 以開啟 Active Directory 使用者和電腦 主控台。

3. 展開所需的網域，並流覽至計算機在 Windows Autopilot 期間加入的組織單位 (OU) 。

   注意事項

   稍後在設定 和指派網域加入配置檔 步驟期間，會指定計算機在 Windows Autopilot 部署期間加入的 OU。

4. 以滑鼠右鍵按兩下 OU，然後選取 [ 屬性]。

   注意事項

   如果計算機加入預設 的計算機 容器，而不是 OU，請以滑鼠右鍵按兩下 [ 計算機 ] 容器，然後選取 [ 委派控制]。

5. 在開啟的 [OU 屬性] 視窗中，選取 [ 安全性] 索引 標籤。

6. 在 [ 安全性] 索引 標籤中，選取 [ 進階]。

7. 在 [ 進階安全性設定] 視窗中 ，選取 [ 新增]。

8. 在 [權 限專案 ] 視窗的 [ 主體] 旁，選取 [ 選取主體] 連結。

9. 在 [ 選取使用者、計算機、服務帳戶或群組 ] 視窗中，選取 [ 物件類型...] 按鈕。

10. 在 [ 物件類型] 視窗中，選取 [ 服務帳戶] 複選框，然後選取 [ 確定]。

11. 在 [選取使用者、計算機、服務帳戶或群組] 視窗的 [輸入要選取的物件名稱] 底下，輸入用於 Active Directory Intune 連接器的 MSA 名稱。

    提示

    MSA 是在安裝 Intune Connector for Active Directory 步驟/區段期間建立的，其名稱格式為 ，其中 ##### 為五個msaODJ#####隨機字元。 如果 MSA 名稱未知，請遵循下列步驟來尋找 MSA 名稱：

    1. 在執行 Intune Connector for Active Directory 的伺服器上，以滑鼠右鍵按兩下 [開始] 功能表，然後選取 [計算機管理]。
    2. 在 [ 計算機管理] 視窗中，展開 [ 服務和應用程式] ，然後選取 [ 服務]。
    3. 在結果窗格中，找出名稱為 Intune ODJConnector for Active Service 的服務。 MSA 的名稱會列在 [登入 身 分] 資料行中。

12. 選 取 [檢查名稱 ] 以驗證 MSA 名稱專案。 驗證項目之後，請選取 [ 確定]。

13. 在 [權 限專案] 視窗中，選取 [ 適用於：] 下拉菜單，然後選取 [ 僅限此物件]。

14. 在 [ 許可權] 下，取消選取所有專案，然後只選取 [ 建立計算機物件] 複 選框。

15. 選取 [確定 ] 以關閉 [ 許可權輸入] 視窗。

16. 在 [ 進階安全性設定] 視窗中 ，選取 [ 套 用] 或 [ 確定] 以套用變更。

舊版連接器

Intune Connector for Active Directory 的目的是要將電腦加入網域，並將其新增至 OU。 基於這個理由，執行 Intune Connector for Active Directory 的伺服器必須具有許可權，才能在計算機加入內部部署網域的 OU 中建立計算機帳戶。

使用 Active Directory 中的預設許可權，Intune Connector for Active Directory 的網域加入一開始可能不需修改 Active Directory 中的 OU 許可權即可運作。 不過，在執行 Intune Connector for Active Directory 的伺服器嘗試將 10 部以上的電腦加入內部部署網域之後，它會停止運作，因為根據預設，Active Directory 只允許任何單一帳戶將最多 10 部計算機加入內部部署網域。

下列使用者不受 10 個電腦網域加入限制的限制：

• 系統管理員或網域系統管理員群組中的使用者 - 為了符合最低許可權原則模型，Microsoft不建議將執行 Active Directory Intune 連接器的電腦帳戶設為系統管理員或網域系統管理員。
• 具有組織單位委派許可權的使用者 (OU) 和 Active Directory 中的容器來建立電腦帳戶 - 建議使用此方法，因為它遵循最低許可權原則模型。

若要修正此限制，執行 Intune Connector for Active Directory 的伺服器需要在組織單位 (OU) 中建立計算機帳戶許可權，其中計算機已加入內部部署網域中：

若要在 Windows Autopilot 期間加入的組織單位 (OU) 中增加計算機帳戶限制，請在可存取 Active Directory 使用者和電腦 控制台的計算機上遵循下列步驟：

1. 執行 DSA.msc 以開啟 Active Directory 使用者和電腦 主控台。

2. 展開所需的網域，並流覽至計算機在 Windows Autopilot 期間加入的組織單位 (OU) 。

   注意事項

   稍後在設定 和指派網域加入配置檔 步驟期間，會指定計算機在 Windows Autopilot 部署期間加入的 OU。

3. 以滑鼠右鍵按兩下 OU，然後選取 [ 委派控件]。

   注意事項

   如果計算機加入預設 的計算機 容器，而不是 OU，請以滑鼠右鍵按兩下 [ 計算機 ] 容器，然後選取 [ 委派控制]。

4. 在 [委派控件精靈] 的 [歡迎使用控制精靈 委派] 視窗 中，選取 [ 下一步]。

5. 在 [ 使用者或群組] 視窗的 [ 選取的使用者和群組] 下，選取 [ 新增]。

6. 在 [ 選取此物件類型 ] 旁：在 [ 選取使用者、計算機或群組 ] 視窗中，選取 [ 物件類型]。

7. 在 [ 物件類型] 視窗中，選取 [ 計算機] 複選框，然後選取 [ 確定]。 此視窗中的其他專案可以保留預設值。

8. 在 [選取使用者、計算機或群組] 視窗的 [輸入要選取的物件名稱] 方塊底下，輸入安裝 Intune Connector for Active Directory 期間安裝 Intune 連接器步驟的計算機名稱。

9. 選 取 [檢查名稱 ] 以驗證專案。 驗證項目之後，請選取 [ 確定]。

10. 在 [ 使用者或群組] 視窗中，確認 [ 選取的使用者和群組] 下方顯示正確的計算機，然後選取 [ 下一步]。

11. 在 [ 要委派的工作 ] 視窗中，選取 [ 建立要委派的自定義工作]，然後選取 [ 下一步]。

12. 在 [ Active Directory 物件類型] 視窗中：

    1. 只選取資料夾中的下列物件。

    2. 在 [僅限資料夾中的下列物件] 下，選取 [ 計算機物件]。

    3. 選取 [ 在此資料夾中建立選取的物件 ] 複選框。

    4. 選取 [下一步]。

13. 在 [許可權] 視窗 的 [權 限：] 下，選取 [ 完全控制] 複 選框，然後選取 [ 下一步]。

    注意事項

    選取 [ 完全控制] 複 選框之後，會自動選取 [權 限： ] 底下的所有其他選項。 自動選取複選框是正常且預期的。 自動選取任何複選框之後，請勿取消選取這些複選框。

14. 在 [ 完成控件委派精靈] 視窗中 ，選取 [ 完成]。

建立裝置群組

1. 在 [Microsoft Intune 系統管理中心] 中，選取 [群組>][新增群組]。

2. 在 [ 群組 ] 窗格中，選取下列選項：

   1. 針對 [群組類型]，選取 [ 安全性]。

   2. 輸入 [組名 ] 和 [群組描述]。

   3. 選取 成員資格類型。

3. 如果選取 [動態裝置 ] 作為成員資格類型，請在 [ 群組 ] 窗格中選取 [動態裝置成員]。

4. 在 [規則語法] 方塊中選取 [編輯]，然後輸入下列其中一個程式代碼行：

   • 若要建立包含所有 Windows Autopilot 裝置的群組，請輸入：

     (device.devicePhysicalIDs -any _ -startsWith "[ZTDId]")

   • Intune 的 [群組卷標] 字段會對應至 Microsoft Entra 裝置上的 OrderID 屬性。 若要建立包含所有具有特定群組卷標的 Windows Autopilot 裝置 (OrderID) 的群組，請輸入：

     (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")

   • 若要建立包含具有特定採購單標識符之所有 Windows Autopilot 裝置的群組，請輸入：

     (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")

5. 選 取 [儲存>建立]。

註冊 Windows Autopilot 裝置

選取下列其中一種方式來註冊 Windows Autopilot 裝置。

註冊已註冊的 Windows Autopilot 裝置

1. 建立 Windows Autopilot 部署配置檔，並將 [ 將所有目標裝置轉換為 Autopilot ] 設定為 [ 是]。

2. 將配置檔指派給包含需要自動向 Windows Autopilot 註冊之成員的群組。

如需詳細資訊，請 參閱建立 Autopilot 部署配置檔。

註冊未註冊的 Windows Autopilot 裝置

尚未註冊到 Windows Autopilot 的裝置可以手動註冊。 如需詳細資訊，請 參閱手動註冊。

從 OEM 註冊裝置

如果購買新裝置，某些 OEM 可以代表組織註冊裝置。 如需詳細資訊，請參閱 OEM 註冊。

顯示已註冊的 Windows Autopilot 裝置

在裝置註冊 Intune 之前，已註冊的 Windows Autopilot 裝置會顯示在三個位置 (名稱設定為其序號) ：

• Microsoft Intune 系統管理中心的[Windows Autopilot 裝置] 窗格。 依平台選取 裝置>|Windows>裝置上線 |註冊。 在 [Windows Autopilot] 底下，選取 [ 裝置]。
• 裝置 |Azure 入口網站 中的所有裝置窗格。 選 取 [所有>裝置的裝置]。
• Microsoft 365 系統管理中心 中的Autopilot 窗格。 選 取 [裝置>][Autopilot]。

註冊 Windows Autopilot 裝置之後，裝置會顯示在四個位置：

• 裝置 |Microsoft Intune 系統管理中心的 [所有裝置] 窗格。 選 取 [裝置>][所有裝置]。
• Windows |Microsoft Intune系統管理中心的 [Windows 裝置] 窗格。 依平台選取 裝置>|Windows。
• 裝置 |Azure 入口網站 中的所有裝置窗格。 選 取 [所有>裝置的裝置]。
• Microsoft 365 系統管理中心 中的 [作用中裝置] 窗格。 選 取 [裝置>] [作用中裝置]。

注意事項

註冊裝置之後，裝置仍會顯示在 Microsoft Intune 系統管理中心的[Windows Autopilot 裝置] 窗格中，以及 Microsoft 365 系統管理中心 的 [Autopilot] 窗格中，但這些物件是 Windows Autopilot 註冊的物件。

一旦裝置在 Windows Autopilot 中註冊，就會在 Microsoft Entra ID 中預先建立裝置物件。 當裝置通過混合式 Microsoft Entra 部署時，根據設計，會建立另一個裝置物件，以產生重複的專案。

VPN

下列 VPN 用戶端經過測試和驗證：

• 內建 Windows VPN 用戶端
• Cisco AnyConnect (Win32 用戶端)
• Pulse Secure (Win32 用戶端)
• GlobalProtect (Win32 用戶端)
• Win32 用戶端 (點)
• Citrix NetScaler (Win32 用戶端)
• SonicWall (Win32 用戶端)
• FortiClient VPN (Win32 用戶端)

使用 VPN 時，針對 Windows Autopilot 部署配置檔中的 [略過 AD 連線能力] 檢查選項，選取 [是]。 Always-On VPN 應該不需要此選項，因為它會自動連線。

注意事項

這份 VPN 用戶端清單並非使用 Windows Autopilot 的所有 VPN 用戶端的完整清單。 請連絡個別的 VPN 廠商，以瞭解與 Windows Autopilot 的相容性和支援性，或有關搭配 Windows Autopilot 使用 VPN 解決方案的任何問題。

不支援的 VPN 用戶端

已知下列 VPN 解決方案無法與 Windows Autopilot 搭配使用，因此不支援與 Windows Autopilot 搭配使用：

• UWP 型 VPN 外掛程式
• 任何需要用戶憑證的專案
• DirectAccess

注意事項

從此清單中省略特定 VPN 用戶端，並不會自動表示它受到支援或與 Windows Autopilot 搭配運作。 此清單只會列出 已知 無法使用 Windows Autopilot 的 VPN 用戶端。

建立及指派 Windows Autopilot 部署配置檔

Windows Autopilot 部署配置檔可用來設定 Windows Autopilot 裝置。

1. 登入 Microsoft Intune 系統管理中心。

2. 在 [ 首頁] 畫面中，選取左側窗格中的 [ 裝置 ]。

3. 在 [ 裝置] 中 |概觀 畫面， 在 [依平臺] 底下，選取 [Windows]。

4. 在 Windows 中 |Windows 裝置 畫面的 [ 裝置上線] 底下，選取 [ 註冊]。

5. 在 Windows 中 |Windows 註冊 畫面，在 [Windows Autopilot] 底下，選取 [ 部署配置檔]。

6. 在 [Windows Autopilot 部署配置檔 ] 畫面中，選取 [ 建立配置檔 ] 下拉功能表，然後選取 [Windows 計算機]。

7. 在 [ 建立配置檔] 畫面的 [ 基本 ] 頁面上，輸入 [名稱 ] 和選用的 [描述]。

8. 如果指派群組中的所有裝置都應該自動向 Windows Autopilot 註冊，請將 [ 將所有目標裝置轉換為 Autopilot ] 設定為 [ 是]。 指派群組中所有公司擁有的非 Windows Autopilot 裝置都會向 Windows Autopilot 部署服務註冊。 個人擁有的裝置未向 Windows Autopilot 註冊。 允許 48 小時來處理註冊。 當裝置取消註冊並重設時，Windows Autopilot 會再次註冊它。 以這種方式註冊裝置之後，停用此設定或移除配置檔指派並不會從 Windows Autopilot 部署服務中移除裝置。 而是需要直接刪除裝置。 如需詳細資訊，請 參閱刪除 Autopilot 裝置。

9. 選取 [下一步]。

10. 在 [ 全新體驗 (OOBE) ] 頁面上，針對 [ 部署模式] 選取 [ 用戶驅動]。

11. 在 [加入 Microsoft Entra ID 身分] 方塊中，選取 [Microsoft Entra 混合式聯結]。

12. 如果使用 VPN 支援從組織的網路部署裝置，請將 [ 略過網域連線檢查 ] 選項設定為 [ 是]。 如需詳細資訊，請參閱使用 VPN 支援 Microsoft Entra 混合式聯結的使用者驅動模式。

13. 視需要在全新 體驗 (OOBE) 頁面上設定其餘選項。

14. 選取 [下一步]。

15. 在 [ 範圍卷標] 頁面上，選取此配置檔 的範圍標籤 。

16. 選取 [下一步]。

17. 在 [ 指派] 頁面上， 選取 [選取要包含> 搜尋的群組]，然後選取裝置群組 >[選取]。

18. 選 取 [下一步>建立]。

注意事項

Intune 定期檢查指派群組中的新裝置，然後開始將配置檔指派給這些裝置的程式。 由於 Windows Autopilot 配置檔指派程式涉及數個不同的因素，因此指派的預估時間可能會因案例而異。 這些因素可能包括 Microsoft Entra 群組、成員資格規則、裝置哈希、Intune 和 Windows Autopilot 服務，以及因特網連線。 指派時間會根據特定案例中涉及的所有因素和變數而有所不同。

(選擇性) 開啟註冊狀態頁面

1. 登入 Microsoft Intune 系統管理中心。

2. 在 [ 首頁] 畫面中，選取左側窗格中的 [ 裝置 ]。

3. 在 [ 裝置] 中 |概觀 畫面， 在 [依平臺] 底下，選取 [Windows]。

4. 在 Windows 中 |Windows 裝置 畫面的 [ 裝置上線] 底下，選取 [ 註冊]。

5. 在 Windows 中 |Windows 註冊 畫面，在 [Windows Autopilot] 底下，選取 [ 註冊狀態頁面]。

6. 在 [ 註冊狀態] 頁面 窗格中，選取 [ 預設>設定]。

7. 在 [ 顯示應用程式和配置檔安裝進度 ] 方塊中，選取 [ 是]。

8. 視需要設定其他選項。

9. 選取 [儲存]。

建立及指派網域加入配置檔

1. 在 Microsoft Intune 系統管理中心中，選取 [裝置>管理裝置] |設定>原則>建立>新原則。

2. 在開啟 的 [建立設定檔 ] 視窗中，輸入下列屬性：

   • 名稱：輸入新配置檔的描述性名稱。
   • 描述：輸入設定檔的描述。
   • 平台：選取 [Windows 10 及更新版本]。
   • 配置檔類型：選取 [範本]，選取範本名稱 [ 加入網域]，然後選取 [ 建立]。

3. 輸入 [名稱 ] 和 [ 描述] ，然後選取 [ 下一步]。

4. 提供 [計算機名稱前置詞 ] 和 [功能變數名稱]。

5. (選擇性) 以 DN 格式提供組織單位 (OU) 。 選項包括:

   • 提供 OU，其中控件會委派給執行 Intune Connector for Active Directory 的 Windows 裝置。
   • 提供 OU，其中控制件會委派給組織 內部部署的 Active Directory 中的根計算機。
   • 如果此欄位保留空白，則會在 Active Directory 預設容器中建立電腦物件。 默認容器通常是 CN=Computers 容器。 如需詳細資訊，請 參閱在 Active Directory 網域中重新導向使用者和計算機容器。

   有效範例：

   • OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com
   • OU=Mine,DC=contoso,DC=com

   無效的範例：

   • CN=Computers,DC=contoso,DC=com - 無法指定容器。 相反地，請將值保留空白，以使用網域的預設值。
   • OU=Mine - 網域必須透過 DC= 屬性指定。

   請務必不要在 組織單位的值周圍使用引號。

6. 選取 [確定>建立]。 配置檔隨即建立並顯示在清單中。

7. 將裝置配置檔指派 給在 建立裝置群組步驟中使用的相同群組。 如果需要將裝置加入不同的網域或 OU，可以使用不同的群組。

注意事項

適用於 Microsoft Entra 混合式聯結的 Windows Autopilot 命名功能不支援 %SERIAL%之類的變數。 它只支援計算機名稱的前置詞。

卸載 Intune Connector for Active Directory

Intune Connector for Active Directory 會透過可執行檔安裝在本機電腦上。 如果必須從電腦卸載 Intune Connector for Active Directory，則也必須在本機電腦上完成。 Intune 連接器無法透過 Intune 入口網站或透過圖形 API 呼叫來移除。

若要從伺服器卸載 Intune Connector for Active Directory，請選取 Windows Server OS 版本的適當索引卷標，然後遵循下列步驟：

Windows Server 2025

1. 登入裝載 Intune Connector for Active Directory 的電腦。

2. 以滑鼠右鍵按兩下 [開始] 選單，然後選取 [設定應用程式>已安裝的>應用程式]。

   或

   選取下列 應用程式已安裝的 > 應用程式 快捷方式：

   開啟應用程式 > 已安裝的應用程式

3. 在 [應用程式已安裝的>應用程式] 視窗中，尋找 Intune Connector for Active Directory]。

4. 在 Intune Connector for Active Directory] 旁，選取 [...>]卸載，然後選取 [卸載] 按鈕。

5. Intune Connector for Active Directory 會繼續卸載。

6. 在某些情況下，Intune Connector for Active Directory 可能不會完全卸載，直到 Active Directory 安裝程式的原始 Intune 連接器ODJConnectorBootstrapper.exe再次執行為止。 若要確認 Active Directory 的 Intune 連接器已完全卸載，請ODJConnectorBootstrapper.exe再次執行安裝程式。 如果提示您卸 載，請選取將其卸載。 否則，請關閉 ODJConnectorBootstrapper.exe 安裝程式。

   注意事項

   舊版 Intune Connector for Active Directory 安裝程式可從適用於 Active Directory 的 Intune 連接器下載，且只能用於卸載。 針對新的安裝，請使用適用於 Active Directory 的更新 Intune 連接器。

Windows Server 2019/2022

1. 登入裝載 Intune Connector for Active Directory 的電腦。

2. 以滑鼠右鍵按兩下 [ 開始 ] 選單，然後選取 [ 設定>應用程式]。

   或

   選取下列 應用程式 快捷方式：

   開啟應用程式

3. 在 [應用程式 & 功能] 底下，尋找並選取 [Intune Connector for Active Directory]。

4. 在 [Intune Connector for Active Directory] 底下，選取 [卸載] 按鈕，然後再次選取 [卸載] 按鈕。

5. Intune Connector for Active Directory 會繼續卸載。

6. 在某些情況下，Intune Connector for Active Directory 可能不會完全卸載，直到 Active Directory 安裝程式的原始 Intune 連接器ODJConnectorBootstrapper.exe再次執行為止。 若要確認 Active Directory 的 Intune 連接器已完全卸載，請ODJConnectorBootstrapper.exe再次執行安裝程式。 如果提示您卸 載，請選取將其卸載。 否則，請關閉 ODJConnectorBootstrapper.exe 安裝程式。

   注意事項

   舊版 Intune Connector for Active Directory 安裝程式可從適用於 Active Directory 的 Intune 連接器下載，且只能用於卸載。 針對新的安裝，請使用適用於 Active Directory 的更新 Intune 連接器。

Windows Server 2016

1. 登入裝載 Intune Connector for Active Directory 的電腦。

2. 以滑鼠右鍵按兩下 [ 開始 ] 選單，然後選取 [ 設定>系統>應用程式 & 功能]。

   或

   選取下列 應用程式 快捷方式：

   開啟應用程式

3. 在 [應用程式 & 功能] 底下，尋找並選取 [Intune Connector for Active Directory]。

4. 在 Intune Connector for Active Directory] 底下，選取 [卸載] 按鈕，然後再次選取 [卸載] 按鈕。

5. 適用於 Active Directory 的 Intune 連接器會繼續卸載。

6. 在某些情況下，在 Active Directory 安裝程式的原始 Intune 連接器再次執行之前，Intune Connector for Active Directory ODJConnectorBootstrapper.exe 可能無法完全卸載。 若要確認已完全卸載 Intune Connector for Active Directory，ODJConnectorBootstrapper.exe請再次執行安裝程式。 如果提示您卸 載，請選取將其卸載。 否則，請關閉 ODJConnectorBootstrapper.exe 安裝程式。

   注意事項

   舊版 Intune Connector for Active Directory 安裝程式可從適用於 Active Directory 的 Intune 連接器下載，且僅適用於卸載。 針對新的安裝，請使用適用於 Active Directory 的更新 Intune 連接器。

後續步驟

設定 Windows Autopilot 之後，請瞭解如何管理這些裝置。 如需詳細資訊，請參閱什麼是 Microsoft Intune 裝置管理？。

相關內容

• 什麼是裝置身分識別？。
• 深入瞭解雲端原生端點。
• Microsoft Entra 已加入與雲端原生端點 Microsoft Entra 混合式聯結。
• 教學課程：使用 Microsoft Intune 來設定雲端原生 Windows 端點。
• 如何：規劃您的 Microsoft Entra 聯結實作。
• Windows 端點管理轉換的架構。
• 瞭解混合式 Azure AD 和共同管理案例。
• 成功加入遠端 Windows Autopilot 和混合式 Azure Active Directory。