Windows Autopilot ユーザー駆動型Microsoft Entraハイブリッド参加手順:
- 手順 1: Windows の自動Intune登録を設定する
- 手順 2: Active Directory 用のIntune コネクタをインストールする
- 手順 3: 組織単位 (OU) でコンピューター アカウントの制限を増やす
- 手順 4: デバイスを Windows Autopilot デバイスとして登録する
- 手順 5: デバイス グループを作成する
- 手順 6: Windows Autopilot 登録状態ページ (ESP) を構成して割り当てる
- 手順 7: ハイブリッド参加 Windows Autopilot プロファイルMicrosoft Entra作成して割り当てる
- 手順 8: ドメイン参加プロファイルを構成して割り当てる
- 手順 9: Windows Autopilot デバイスをユーザーに割り当てる (省略可能)
- 手順 10: デバイスをデプロイする
Windows Autopilot ユーザードリブン Microsoft Entra ハイブリッド参加ワークフローの概要については、「Windows Autopilot ユーザー駆動型Microsoft Entraハイブリッド参加の概要」を参照してください。
注:
Intune Connector for Active Directory が既にインストールおよび構成されている場合は、この手順をスキップして、「手順 3: 組織単位 (OU) のコンピューター アカウントの制限を増やす」に進みます。
Active Directory 用のIntune コネクタをインストールする
Active Directory 用Intune コネクタ (オフライン ドメイン参加 (ODJ) コネクタとも呼ばれます) は、Windows Autopilot プロセス中にコンピューターをオンプレミス ドメインに参加させます。 コネクタは、ドメイン参加プロセス中に Active Directory の指定された組織単位 (OU) にコンピューター オブジェクトを作成します。
重要
6.2501.2000.5 より前のバージョンの Active Directory 用Intune コネクタは非推奨となり、登録要求を処理できなくなります。 詳細については、Windows Autopilot ハイブリッド Microsoft Entra 参加デプロイの低特権アカウントを持つ Active Directory 用のIntune コネクタに関するブログ記事を参照してください。
コネクタを更新するには、次の手順を実行する必要があります。
- レガシ コネクタを手動でアンインストールします。 自動オプションはありません。
- 更新されたコネクタをダウンロードしてインストールします (この記事で説明します)。
ヒント
複数のドメインを使用して Autopilot デバイスを登録する場合:
- ドメインごとに個別のコネクタ インスタンスが必要です。 コネクタは、インストールされているサーバーと同じドメインに対する登録要求のみを処理できます。
- サーバーあたり最大 1 つのコネクタ (VM または物理) を使用できます。 ドメインごとに追加のサーバーを設定して冗長性を確保できます。それぞれに独自のコネクタがインストールされています。 そのセットアップでは、あるコネクタが失敗した場合、要求は同じドメイン内の別のサーバー上の別のコネクタに送信されます。
インストールされている Active Directory 用のIntune コネクタのバージョンに対応するタブを選択します。
更新されたコネクタ開始する前に
インストールする前に、Active Directory サーバーのIntune コネクタの要件がすべて満たされていることを確認します。
Intune Connector for Active Directory のインストールと構成を行う管理者には、Active Directory の要件に関する Intune コネクタに記載されているドメイン権限があることを推奨しています (必須ではありません)。 これらの権限を使用すると、Active Directory インストーラーと構成プロセス用のIntune コネクタが、コンピューター コンテナーまたはコンピューター オブジェクトが作成される OU 上のマネージド サービス アカウント (MSA) のアクセス許可を設定できます。
管理者にこれらのアクセス許可がない場合、適切な権限を持つ別の管理者は、 組織単位 (OU) でコンピューター アカウントの制限を増やす必要があります。
インターネット エクスプローラーセキュリティ強化構成をオフにする
バージョン 6.2504.2001.8 以降では、更新された Intune Connector for Active Directory が、Microsoft インターネット エクスプローラー上に構築された WebBrowser ではなく、Microsoft Edge 上に構築された WebView2 を使用するように切り替えました。 この変更は、Windows Serverの [インターネット エクスプローラーセキュリティ強化構成] 設定をオフにする必要がなくなったことを意味します。 インターネット エクスプローラーセキュリティ強化構成設定の問題を回避するには、Intune コネクタ for Active Directory のバージョン 6.2504.2001.8 以降をインストールしてください。
Active Directory 用のIntune コネクタをダウンロードする
Intune Connector for Active Directory がインストールされているサーバーで、Microsoft Intune管理センターにサインインします。
[ホーム] 画面で、左側のウィンドウで [デバイス] を選択します。
デバイス |[概要] 画面の [プラットフォーム別] で [Windows] を選択します。
Windows で |[Windows デバイス ] 画面の [ デバイス オンボード] で、[登録] を選択 します。
Windows で |Windows 登録画面の [Windows Autopilot] で、[Intune コネクタ for Active Directory] を選択します。
[Intune コネクタ for Active Directory] 画面で、[追加] を選択します。
開いた [コネクタの追加] ウィンドウの [Intune コネクタの構成] で、[Active Directory 用のオンプレミス Intune コネクタのダウンロード] を選択します。 リンクは、
ODJConnectorBootstrapper.exeというファイルをダウンロードします。
Active Directory 用Intune コネクタをサーバーにインストールする
重要
Active Directory 用のIntune コネクタのインストールは、次のドメイン権限を持つアカウントで行う必要があります。
- 必須 - マネージド サービス アカウント コンテナーに msDs-ManagedServiceAccount オブジェクトを作成します。
- 省略可能 - Active Directory の OU のアクセス許可を変更する - 更新された Intune Connector for Active Directory をインストールする管理者にこの権限がない場合は、これらの権限を持つ管理者が追加の構成手順を実行する必要があります。 詳細については、「 組織単位でコンピューター アカウントの制限を増やす」の手順/セクションを参照してください。
ローカル管理者権限を持つアカウントを使用して、Intune Connector for Active Directory がインストールされているサーバーにサインインします。
以前のレガシ Intune Connector for Active Directory がインストールされている場合は、更新された Intune Connector for Active Directory をインストールする前にアンインストールします。 詳細については、「Active Directory 用のIntune コネクタをアンインストールする」を参照してください。
重要
以前のレガシ Intune Connector for Active Directory をアンインストールする場合は、アンインストール プロセスの一環としてレガシ Intune Connector for Active Directory インストーラーを実行してください。 従来の Intune Connector for Active Directory インストーラーで、実行時にアンインストールするように求めるメッセージが表示された場合は、それを選択してアンインストールします。 この手順により、以前のレガシ Intune Connector for Active Directory が完全にアンインストールされます。 従来の Intune Connector for Active Directory インストーラーは、Intune Connector for Active Directory からダウンロードできます。
ヒント
Active Directory 用の Intune コネクタが 1 つだけのドメインでは、最初に更新された Intune Connector for Active Directory を別のサーバーにインストールすることをお勧めします。 更新された Intune Connector for Active Directory を別のサーバーにインストールしてから、現在のサーバーでレガシ Intune Connector for Active Directory をアンインストールする必要があります。 Intune コネクタ for Active Directory を別のサーバーにインストールすると、現在のサーバーで Intune Connector for Active Directory が更新されている間、ダウンタイムが回避されます。
ダウンロードした
ODJConnectorBootstrapper.exeファイルを開き、Intune コネクタ for Active Directory セットアップ インストールを起動します。Intune コネクタ for Active Directory セットアップ インストールの手順を実行します。
インストールの最後に、[Active Directory のコネクタIntune起動] チェック ボックスをオンにします。
注:
[Intune コネクタ for Active Directory の起動] チェック ボックスをオンにせずに Active Directory セットアップ用コネクタIntuneインストールが誤って閉じられた場合は、[Active Directory用コネクタ] Intune を選択してIntune コネクタを再度開くことができます>Intune[スタート] メニューから Active Directory 用コネクタ。
Active Directory 用のIntune コネクタにサインインする
[Intune コネクタ for Active Directory] ウィンドウの [登録] タブで、[サインイン] を選択します。
[サインイン] タブで、Intune管理者ロールのMicrosoft Entra ID資格情報でサインインします。 ユーザー アカウントに Intune ライセンスが割り当てられている必要があります。 サインイン プロセスが完了するまでに数分かかる場合があります。
注:
Intune Connector for Active Directory の登録に使用されるアカウントは、インストール時の一時的な要件にすぎません。 このアカウントは、サーバーが登録された後は使用されません。
サインイン プロセスが完了したら、次の手順を実行します。
- [Intune コネクタ for Active Directory が正常に登録されました] 確認ウィンドウが表示されます。 [ OK] を選択 してウィンドウを閉じます。
-
"<" という名前のマネージド サービス アカウントMSA_name>"が正常に設定されました 確認ウィンドウが表示されます。 MSA の名前は、#####が 5 文字のランダム文字である
msaODJ#####形式です。 作成された MSA の名前を書き込み、[ OK] を 選択してウィンドウを閉じます。 MSA の名前は、後で、コンピューター オブジェクトを OU に作成できるように MSA を構成するために必要になる場合があります。
[登録] タブには、Active Directory 用コネクタが登録Intuneが表示されます。 [サインイン] ボタンが灰色表示され、[マネージド サービス アカウントの構成] が有効になっています。
[Intune コネクタ for Active Directory] ウィンドウを閉じます。
Active Directory 用のIntune コネクタがアクティブであることを確認する
認証後、Active Directory 用のIntune コネクタのインストールが完了します。 インストールが完了したら、次の手順に従って、Intuneでアクティブであることを確認します。
まだ開いている場合は、Microsoft Intune管理センターに移動します。 [コネクタの追加] ウィンドウがまだ表示されている場合は、閉じます。
Microsoft Intune管理センターがまだ開いていない場合:
Microsoft Intune 管理センターにサインインします。
[ホーム] 画面で、左側のウィンドウで [デバイス] を選択します。
デバイス |[概要] 画面の [プラットフォーム別] で [Windows] を選択します。
Windows で |[Windows デバイス ] 画面の [ デバイス オンボード] で、[登録] を選択 します。
Windows で |Windows 登録画面の [Windows Autopilot] で、[Intune コネクタ for Active Directory] を選択します。
[Intune コネクタ for Active Directory] ページで、次の手順を実行します。
- [コネクタ名] にサーバーが表示され、[状態] に [アクティブ] と表示されていることを確認します
- Active Directory 用の更新されたIntune コネクタのバージョンが 6.2501.2000.5 以上であることを確認します。
サーバーが表示されない場合は、[更新] を選択するか、ページから移動し、[Intune コネクタ for Active Directory] ページに戻ります。
注:
新しく登録されたサーバーが、Microsoft Intune管理センターの [Intune コネクタ for Active Directory] ページに表示されるまでに数分かかることがあります。 登録済みサーバーは、Intune サービスと正常に通信できる場合にのみ表示されます。
Active Directory 用の非アクティブなIntune コネクタは引き続き [Intune コネクタ for Active Directory] ページに表示され、30 日後に自動的にクリーンアップされます。
Active Directory 用のIntune コネクタがインストールされると、アプリケーションとサービス のログ>Microsoft>Intune>ODJConnectorService のパスの下にあるイベント ビューアーのログインが開始されます。 このパスの下には、管理ログと運用ログがあります。
OU でのオブジェクトの作成を許可するように MSA を構成する (省略可能)
既定では、MSA は Computers コンテナーにコンピューター オブジェクトを作成するためのみアクセスできます。 MSA には、組織単位 (OU) でコンピューター オブジェクトを作成するためのアクセス権がありません。 MSA が OU でオブジェクトを作成できるようにするには、INTUNE コネクタ for Active Directory がインストールされたディレクトリODJConnectorEnrollmentWizardディレクトリにある ODJConnectorEnrollmentWizard.exe.config XML ファイルに OU を追加する必要があります (通常はC:\Program Files\Microsoft Intune\ODJConnector\)。
OU でのオブジェクトの作成を許可するように MSA を構成するには、次の手順に従います。
Intune Connector for Active Directory がインストールされているサーバーで、Intune Connector for Active Directory がインストールされている
ODJConnectorEnrollmentWizardディレクトリ (通常はC:\Program Files\Microsoft Intune\ODJConnector\) に移動します。ODJConnectorEnrollmentWizardディレクトリで、テキスト エディターで既存のODJConnectorEnrollmentWizard.exe.configXML ファイル (メモ帳など) を開きます。ODJConnectorEnrollmentWizard.exe.configXML ファイルのadd key要素で、-
value=の横に、MSA がコンピューター オブジェクトを作成するためのアクセス権を持つ必要がある任意の OU を追加します。 - OU 名は LDAP 識別名 形式である必要があり、該当する場合はエスケープする必要があります。
- 複数の OU をサポートするには、各 OU をセミコロン (;)で区切ります。
-
value=の横にある引用符 (") を必ず保持してください。 すべての OU 値は、1 組の引用符内にある必要があります。 -
OrganizationalUnitsUsedForOfflineDomainJoinキー要素の名前は変更しないでください。
次の例は、LDAP 識別名形式の複数の OU を含む XML エントリの例です。
<appSettings> <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format. The ODJ Connector will only have permission to create computer objects in these OUs. The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY): Domain contains the following OUs: - OU=HybridDevices,DC=contoso,DC=com - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" --> <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" /> </appSettings>ヒント
この例では、
value=の横にある例の赤いテキストを、LDAP 識別名形式のorganizationの OU に置き換えます。 例に示すように、すべての OU エントリが引用符 (") 内にあり、各 OU がセミコロン (;) で区切られているか確認します。-
必要なすべての OU が追加されたら、
ODJConnectorEnrollmentWizard.exe.configXML ファイルを保存します。OU のアクセス許可を変更するための適切なアクセス許可を持つ管理者は、[スタート] メニューから [Intune コネクタ for Active Directory>Intune Connector for Active Directory に移動して、Intune コネクタ for Active Directory を開きます。
重要
Active Directory 用Intune コネクタをインストールして構成する管理者に OU アクセス許可を変更するアクセス許可がない場合は、セクション/手順「組織単位のコンピューター アカウントの制限を増やす」に従う必要があります。代わりに、OU のアクセス許可を変更するアクセス許可を持つ管理者が従う必要があります。
[Intune コネクタ for Active Directory] ウィンドウの [登録] タブで、[マネージド サービス アカウントの構成] を選択します。
"<MSA_name>" という名前のマネージド サービス アカウントが正常に設定された確認ウィンドウが表示されます。 [ OK] を選択 してウィンドウを閉じます。
カスタムのマネージド サービス アカウントを使用する (省略可能)
必要に応じて、コネクタによって自動的に設定される MSA ではなく、独自のマネージド サービス アカウントを使用するようにコネクタを構成できます。
MSA 要件
このセクションでは、MSA の要件について説明します。
指定されたアカウントは、Active Directory で次のいずれかのオブジェクト カテゴリを持つサービス アカウントである必要があります。
CN=ms-DS-Group-Managed-Service-Account,CN=Schema,CN=Configuration,DC=contoso,DC=comCN=ms-DS-Managed-Service-Account,CN=Schema,CN=Configuration,DC=contoso,DC=com
サービス アカウントの構成値は、次の形式である必要があります。
<msaAccountName@domain>サービス アカウントは、ODJ コネクタのサーバーと同じドメインに存在する必要があります。
サービス アカウントは、ODJ コネクタをホストしているサーバーにインストールする必要があります。 詳細については、「 Install-ADServiceAccount」を参照してください。
- sMSA を使用している場合、アカウントは 1 台のマシンにのみリンクできます。
- gMSA を使用している場合は、gMSA をインストールするサーバーがパスワードにアクセスできる必要があります。
サービス アカウントには、直接またはグループ メンバーシップを使用して設定できる ローカル の [サービスとしてのログオン ] アクセス許可が必要です。 詳細については、「 サービス ログオンを有効にする」を参照してください。
ハイブリッド Autopilot フローのコンピューター オブジェクトを作成するには、サービス アカウントに対して手動でアクセス許可を付与する必要があります。 詳細については、「 組織単位 (OU) でコンピューター アカウントの制限を増やす」を参照してください。
設定方法
ODJConnectorEnrollmentWizard.exe.configを更新します。 既定の場所は C:\Program Files\Microsoft Intune\ODJConnector\ODJConnectorEnrollmentWizard。
- ファイルの appSettings セクション で、次の行を追加します。
<add key="TenantConfiguredManagedServiceAccount" value="{accountname}" /> - コネクタにサインインします。
OU の更新を無効にする
独自の MSA を使用すると、OrganizationUnitsUsedForOfflineDomainJoin で構成されているに関係なく、コネクタが OU 更新を行うことを無効にします。 エラーを回避するには、 ODJConnectorEnrollmentWizard.exe.configを更新して OU の更新を無効にします。 既定の場所は C:\Program Files\Microsoft Intune\ODJConnector\ODJConnectorEnrollmentWizard。
- ファイルの appSettings セクション で、次の行を追加します。
<add key="DisableOUUpdates" value="true" /> - コネクタにサインインします。