Przyłączanie hybrydowe Microsoft Entra sterowane przez użytkownika: instalowanie łącznika Intune dla usługi Active Directory

Przed rozpoczęciem

• Przed zainstalowaniem upewnij się, że wszystkie wymagania dotyczące łącznika Intune dla serwera usługi Active Directory zostały spełnione.

• Firma Microsoft zaleca (nie jest to wymagane), aby administrator instalujący i konfigurujący łącznik Intune Connector dla usługi Active Directory miał prawa do domeny wymienione w temacie łącznika Intune dla wymagań usługi Active Directory. Te prawa umożliwiają instalatorowi usługi Active Directory Intune Connector i procesowi konfiguracji ustawianie uprawnień dla zarządzanego konta usługi (MSA) w kontenerze komputera lub jednostkach organizacyjnych, w których są tworzone obiekty komputera.

  Jeśli administrator nie ma tych uprawnień, inny administrator z odpowiednimi uprawnieniami musi zwiększyć limit konta komputera w jednostce organizacyjnej (OU).

Wyłączanie konfiguracji rozszerzonych zabezpieczeń programu Internet Explorer

Począwszy od wersji 6.2504.2001.8, zaktualizowany łącznik Intune dla usługi Active Directory przełączył się do korzystania z programu WebView2 opartego na przeglądarce Microsoft Edge, a nie webbrowser, utworzonego w programie Microsoft Internet Explorer. Ta zmiana oznacza, że ustawienie Konfiguracja zwiększonych zabezpieczeń programu Internet Explorer w Windows Server nie musi już być wyłączone. Upewnij się, że zainstalowano wersję 6.2504.2001.8 lub nowszą łącznika Intune dla usługi Active Directory, aby uniknąć problemów z ustawieniem Konfiguracja rozszerzonych zabezpieczeń programu Internet Explorer.

Pobieranie łącznika Intune dla usługi Active Directory

1. Na serwerze, na którym jest instalowany łącznik Intune dla usługi Active Directory, zaloguj się do centrum administracyjnego Microsoft Intune.

2. Na ekranie głównym wybierz pozycję Urządzenia w okienku po lewej stronie.

3. Na urządzeniach | Ekran przeglądu w obszarze Według platformy wybierz pozycję Windows.

4. W systemie Windows | Ekran urządzeń z systemem Windows w obszarze Dołączanie urządzenia wybierz pozycję Rejestracja.

5. W systemie Windows | Ekran rejestracji systemu Windows w obszarze Windows Autopilot wybierz pozycję łącznik Intune dla usługi Active Directory.

6. Na ekranie łącznika Intune dla usługi Active Directory wybierz pozycję Dodaj.

7. W otwieranym oknie Dodawanie łącznika w obszarze Konfigurowanie łącznika Intune dla usługi Active Directory wybierz pozycję Pobierz lokalny łącznik Intune dla usługi Active Directory. Link pobiera plik o nazwie ODJConnectorBootstrapper.exe.

Instalowanie łącznika Intune dla usługi Active Directory na serwerze

1. Zaloguj się na serwerze, na którym jest instalowany łącznik Intune dla usługi Active Directory przy użyciu konta z uprawnieniami administratora lokalnego.

2. Jeśli zainstalowano poprzedni starszy łącznik Intune dla usługi Active Directory, odinstaluj go najpierw przed zainstalowaniem zaktualizowanego łącznika Intune dla usługi Active Directory. Aby uzyskać więcej informacji, zobacz Odinstalowywanie łącznika Intune dla usługi Active Directory.

   Ważna

   Podczas odinstalowywania poprzedniego starszego łącznika Intune Connector dla usługi Active Directory upewnij się, że w ramach procesu odinstalowywania uruchom starszą wersję łącznika Intune Connector dla instalatora usługi Active Directory. Jeśli starszy łącznik Intune dla instalatora usługi Active Directory wyświetli monit o odinstalowanie go po jego uruchomieniu, wybierz opcję odinstalowania. Ten krok gwarantuje, że poprzedni starszy łącznik Intune dla usługi Active Directory zostanie całkowicie odinstalowany. Starszą wersję łącznika Intune dla instalatora usługi Active Directory można pobrać z łącznika Intune dla usługi Active Directory.

   Porada

   W domenach z tylko jednym łącznikiem Intune dla usługi Active Directory firma Microsoft zaleca najpierw zainstalowanie zaktualizowanego łącznika Intune dla usługi Active Directory na innym serwerze. Przed odinstalowaniem starszego łącznika Intune connector dla usługi Active Directory na bieżącym serwerze należy zainstalować zaktualizowany łącznik Intune dla usługi Active Directory. Zainstalowanie łącznika Intune dla usługi Active Directory na innym serwerze pozwala uniknąć przestojów, gdy łącznik Intune dla usługi Active Directory jest aktualizowany na bieżącym serwerze.

3. Otwórz pobrany ODJConnectorBootstrapper.exe plik, aby uruchomić łącznik Intune dla instalacji usługi Active Directory.

4. Wykonaj kroki instalacji łącznika Intune dla instalatora usługi Active Directory.

5. Na końcu instalacji zaznacz pole wyboru Uruchom łącznik Intune dla usługi Active Directory.

   Uwaga

   Jeśli program Intune Connector dla instalacji usługi Active Directory zostanie przypadkowo zamknięty bez zaznaczenia pola wyboru Uruchom łącznik Intune dla usługi Active Directory, konfigurację łącznika Intune dla usługi Active Directory można ponownie otworzyć, wybierając opcję łącznika Intune dla usługi Active Directory>Intune Łącznik usługi Active Directory z menu Start.

Zaloguj się do łącznika Intune dla usługi Active Directory

1. W oknie łącznika Intune dla usługi Active Directory na karcie Rejestracja wybierz pozycję Zaloguj.

2. Na karcie Logowanie zaloguj się przy użyciu Tożsamość Microsoft Entra poświadczeń roli administratora Intune. Konto użytkownika musi mieć przypisaną licencję Intune. Proces logowania może potrwać kilka minut.

   Uwaga

   Konto używane do rejestrowania łącznika Intune dla usługi Active Directory jest tylko tymczasowym wymaganiem w momencie instalacji. Konto nie jest używane w przyszłości po zarejestrowaniu serwera.

3. Po zakończeniu procesu logowania:

   1. Zostanie wyświetlone okno potwierdzenia pomyślnie zarejestrowanego łącznika Intune dla usługi Active Directory. Wybierz przycisk OK , aby zamknąć okno.
   2. Zarządzane konto usługi o nazwie "<>MSA_name" zostało pomyślnie skonfigurowane okno potwierdzenia. Nazwa msa jest w formacie msaODJ##### , w którym ##### jest pięć losowych znaków. Zanotuj nazwę utworzonego konta msa, a następnie wybierz przycisk OK , aby zamknąć okno. Nazwa msa może być potrzebna później, aby skonfigurować msa, aby umożliwić tworzenie obiektów komputera w jednostkach organizacyjnych.

4. Karta Rejestracja pokazuje, Intune łącznik usługi Active Directory jest zarejestrowany. Przycisk Zaloguj jest wyszarzony i włączono konfigurowanie zarządzanego konta usługi .

5. Zamknij okno łącznika Intune dla usługi Active Directory.

Sprawdź, czy łącznik Intune dla usługi Active Directory jest aktywny

Po uwierzytelnieniu łącznik Intune dla usługi Active Directory zakończy instalację. Po zakończeniu instalacji sprawdź, czy jest aktywny w Intune, wykonując następujące kroki:

1. Przejdź do centrum administracyjnego Microsoft Intune, jeśli jest ono nadal otwarte. Jeśli okno Dodawanie łącznika jest nadal wyświetlane, zamknij je.

   Jeśli centrum administracyjne Microsoft Intune nie jest nadal otwarte:

   1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.

   2. Na ekranie głównym wybierz pozycję Urządzenia w okienku po lewej stronie.

   3. Na urządzeniach | Ekran przeglądu w obszarze Według platformy wybierz pozycję Windows.

   4. W systemie Windows | Ekran urządzeń z systemem Windows w obszarze Dołączanie urządzenia wybierz pozycję Rejestracja.

   5. W systemie Windows | Ekran rejestracji systemu Windows w obszarze Windows Autopilot wybierz pozycję łącznik Intune dla usługi Active Directory.

2. Na stronie łącznika Intune dla usługi Active Directory:

   • Upewnij się, że serwer jest wyświetlany w obszarze Nazwa łącznika i jest wyświetlany jako Aktywny w obszarze Stan
   • W przypadku zaktualizowanego łącznika Intune dla usługi Active Directory upewnij się, że wersja jest większa lub równa 6.2501.2000.5.

   Jeśli serwer nie jest wyświetlany, wybierz pozycję Odśwież lub przejdź z dala od strony, a następnie przejdź z powrotem do strony łącznika Intune dla usługi Active Directory.

Po zainstalowaniu łącznika Intune dla usługi Active Directory rozpocznie on rejestrowanie w Podgląd zdarzeń w obszarze ścieżki Dzienniki> aplikacji i usługMicrosoft>Intune>ODJConnectorService. W tej ścieżce można znaleźć dzienniki Administracja i operacyjne.

Skonfiguruj usługę MSA tak, aby zezwalała na tworzenie obiektów w jednostkach organizacyjnych (opcjonalnie)

Domyślnie administratorzy msa mają dostęp tylko do tworzenia obiektów komputera w kontenerze Komputery . Administratorzy msa nie mają dostępu do tworzenia obiektów komputerów w jednostkach organizacyjnych ( jednostek organizacyjnych). Aby umożliwić usłudze MSA tworzenie obiektów w jednostkach organizacyjnych, jednostki organizacyjne muszą zostać dodane do ODJConnectorEnrollmentWizard.exe.config pliku XML znajdującego się w katalogu, w ODJConnectorEnrollmentWizard którym zainstalowano łącznik Intune dla usługi Active Directory, zwykle C:\Program Files\Microsoft Intune\ODJConnector\.

Aby skonfigurować usługę MSA tak, aby zezwalała na tworzenie obiektów w jednostkach organizacyjnych, wykonaj następujące kroki:

1. Na serwerze, na którym zainstalowano łącznik Intune dla usługi Active Directory, przejdź do ODJConnectorEnrollmentWizard katalogu, w którym zainstalowano łącznik Intune dla usługi Active Directory, zwykle C:\Program Files\Microsoft Intune\ODJConnector\.

2. ODJConnectorEnrollmentWizard W katalogu otwórz istniejący ODJConnectorEnrollmentWizard.exe.config plik XML w edytorze tekstów, na przykład Notatnik.

3. W elemencie add keyODJConnectorEnrollmentWizard.exe.config pliku XML:

   • Obok pozycji value=dodaj dowolne żądane jednostki organizacyjne, do których usługa MSA powinna mieć dostęp do tworzenia obiektów komputera.
   • Nazwa jednostki organizacyjnej musi być w formacie nazwy wyróżnianej LDAP i, jeśli ma to zastosowanie, musi zostać pominięta.
   • Wiele jednostek organizacyjnych jest obsługiwanych przez oddzielenie każdej jednostki organizacyjnej średnikiem (;).
   • Pamiętaj o zachowaniu cudzysłowów (") obok value=elementu . Wszystkie wartości jednostki organizacyjnej muszą znajdować się w jednej parze cudzysłowów.
   • Nie zmieniaj nazwy elementu OrganizationalUnitsUsedForOfflineDomainJoinklucza .

   Poniższy przykład to przykładowy wpis XML z wieloma jednostkami organizacyjnymi w formacie nazwy wyróżniania LDAP:

     <appSettings>
   
       <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format.
           The ODJ Connector will only have permission to create computer objects in these OUs.
           The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure
   
           Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY):
           Domain contains the following OUs:
             - OU=HybridDevices,DC=contoso,DC=com
             - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com
   
           Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" -->
   
       <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" />
     </appSettings>
   

   Porada

   W tym przykładzie zastąp przykładowy czerwony tekst obok value= elementem jednostki organizacyjnej organizacji w formacie nazwy wyróżniającej LDAP. Jak pokazano w przykładzie, upewnij się, że wszystkie wpisy jednostki organizacyjnej znajdują się w cudzysłowie (") i że każda jednostka organizacyjna jest oddzielona średnikiem (;) .

4. Po dodaniu wszystkich żądanych jednostek organizacyjnych zapisz ODJConnectorEnrollmentWizard.exe.config plik XML.

5. Jako administrator, który ma odpowiednie uprawnienia do modyfikowania uprawnień jednostki organizacyjnej, otwórz łącznik Intune dla usługi Active Directory, przechodząc do łącznika Intune dla usługi Active Directory>Intune Connector for Active Directory z menu Start.

   Ważna

   Jeśli administrator instalujący i konfigurujący łącznik Intune dla usługi Active Directory nie ma uprawnień do modyfikowania uprawnień jednostki organizacyjnej, w sekcji/krokach Zwiększanie limitu konta komputera w jednostce organizacyjnej musi być zamiast tego administrator, który ma uprawnienia do modyfikowania uprawnień jednostki organizacyjnej.

6. Na karcie Rejestracja w oknie łącznika Intune dla usługi Active Directory wybierz pozycję Konfiguruj zarządzane konto usługi.

7. Zostanie wyświetlone okno potwierdzenia zarządzanego konta usługi o nazwie "<MSA_name>". Wybierz przycisk OK , aby zamknąć okno.

Używanie niestandardowego zarządzanego konta usługi (opcjonalnie)

Opcjonalnie można skonfigurować łącznik do korzystania z własnego zarządzanego konta usługi, w przeciwieństwie do usługi MSA automatycznie skonfigurowanej przez łącznik.

Wymagania dotyczące msa

W tej sekcji opisano wymagania msa.

• Podane konto musi być kontem usługi z jedną z następujących kategorii obiektów w usłudze Active Directory:

  • CN=ms-DS-Group-Managed-Service-Account,CN=Schema,CN=Configuration,DC=contoso,DC=com

  • CN=ms-DS-Managed-Service-Account,CN=Schema,CN=Configuration,DC=contoso,DC=com

• Wartość konfiguracji konta usługi musi mieć następujący format: <msaAccountName@domain>

• Konto usługi musi istnieć w tej samej domenie co serwer łącznika ODJ.

• Konto usługi musi być zainstalowane na serwerze hostującym łącznik ODJ. Aby uzyskać więcej informacji, zobacz Install-ADServiceAccount.

  • W przypadku korzystania z usługi sMSA konto może być połączone tylko z jedną maszyną.
  • W przypadku korzystania z usługi gMSA serwer, na którym instalujesz usługę gMSA, musi mieć dostęp do hasła.

• Konto usługi musi mieć uprawnienia logowania lokalnego jako usługi , które można ustawić bezpośrednio lub za pośrednictwem członkostwa w grupie. Aby uzyskać więcej informacji, zobacz Włączanie logowania do usługi.

• Należy przyznać uprawnienia ręcznie dla kont usług do tworzenia obiektów komputera dla hybrydowych przepływów rozwiązania Autopilot. Aby uzyskać więcej informacji, zobacz Zwiększanie limitu konta komputera w jednostce organizacyjnej (OU).

Jak skonfigurować

Zaktualizuj ODJConnectorEnrollmentWizard.exe.config. Jego domyślną lokalizacją jest C:\Program Files\Microsoft Intune\ODJConnector\ODJConnectorEnrollmentWizard.

1. W sekcji appSettings pliku dodaj następujący wiersz: <add key="TenantConfiguredManagedServiceAccount" value="{accountname}" />
2. Zaloguj się do łącznika.

Wyłączanie aktualizacji jednostki organizacyjnej

Użycie własnego konta msa spowoduje wyłączenie łącznika z dokonywania jakichkolwiek aktualizacji jednostki organizacyjnej, niezależnie od wszelkich skonfigurowanych w OrganizationalUnitsUsedForOfflineDomainJoin. Aby zapobiec błędom, wyłącz aktualizacje jednostki organizacyjnej, aktualizując ODJConnectorEnrollmentWizard.exe.configelement . Jego domyślną lokalizacją jest C:\Program Files\Microsoft Intune\ODJConnector\ODJConnectorEnrollmentWizard.

1. W sekcji appSettings pliku dodaj następujący wiersz: <add key="DisableOUUpdates" value="true" />
2. Zaloguj się do łącznika.

Przed rozpoczęciem instalacji upewnij się, że wszystkie wymagania dotyczące łącznika Intune dla serwera usługi Active Directory zostały spełnione.

Wyłączanie konfiguracji rozszerzonych zabezpieczeń programu Internet Explorer

Domyślnie Windows Server włączono rozszerzoną konfigurację zabezpieczeń programu Internet Explorer. Konfiguracja zwiększonych zabezpieczeń programu Internet Explorer może powodować problemy z logowaniem się do łącznika Intune dla usługi Active Directory. Ponieważ program Internet Explorer jest przestarzały i w większości wystąpień nie jest nawet zainstalowany na Windows Server, firma Microsoft zaleca wyłączenie konfiguracji zwiększonych zabezpieczeń programu Internet Explorer. Aby wyłączyć konfigurację rozszerzonych zabezpieczeń programu Internet Explorer:

1. Zaloguj się na serwerze, na którym jest instalowany łącznik Intune dla usługi Active Directory przy użyciu konta z uprawnieniami administratora lokalnego i praw administratora domeny. Uprawnienia administratora domeny są wymagane, aby łącznik Intune dla instalatora usługi Active Directory mógł prawidłowo utworzyć msa.

2. Otwórz Menedżer serwera.

3. W lewym okienku Menedżer serwera wybierz pozycję Serwer lokalny.

4. W okienku WŁAŚCIWOŚCI po prawej stronie Menedżer serwera wybierz link Wł. lub Wył. obok pozycji Konfiguracja zwiększonych zabezpieczeń programu IE.

5. W oknie Konfiguracja rozszerzonych zabezpieczeń programu Internet Explorer wybierz pozycję Wyłączone w obszarze Administratorzy:, a następnie wybierz przycisk OK.

Instalowanie starszego łącznika Intune dla usługi Active Directory na serwerze

1. Otwórz wcześniej pobrany ODJConnectorBootstrapper.exe plik, aby uruchomić łącznik Intune dla instalacji usługi Active Directory.

   Uwaga

   Jeśli starszy łącznik Intune dla usługi Active Directory jest już zainstalowany, przejdź do menu >StartIntune Connector for Active Directory>Intune Connector for Active Directory, a następnie przejdź do pozycji Zaloguj się do starszej wersji łącznika Intune dla usługi Active Directory.

2. W oknie instalatora instalatora Intune Connector for Active Directory wybierz pozycję Wyrażam zgodę na warunki i postanowienia licencyjne, a następnie wybierz pozycję Zainstaluj.

   Uwaga

   Jeśli lokalizacja instalacji inna niż domyślna C:\Program Files\Microsoft Intune\ODJConnector jest pożądana, wybierz pozycję Opcje i określ żądaną lokalizację instalacji.

3. Po zakończeniu instalacji wybierz pozycję Konfiguruj teraz w oknie instalatora instalatora Intune Connector dla usługi Active Directory.

   Uwaga

   W przypadku przypadkowego wybrania opcji Zamknij lub przypadkowego zamknięcia okna instalatora instalatora Intune Connector dla usługi Active Directory można uzyskać dostęp do łącznika Intune dla usługi Active Directory, wybierając pozycję łącznik Intune dla usługi Active Directory>Intune Connector dla usługi Active Directory z menu Start.

Zaloguj się do starszego łącznika Intune

1. W oknie łącznika Intune dla usługi Active Directory na karcie Rejestracja wybierz pozycję Zaloguj.

2. Na karcie Logowanie zaloguj się przy użyciu poświadczeń roli administratora Intune. Konto użytkownika musi mieć przypisaną licencję Intune. Proces logowania może potrwać kilka minut.

   Uwaga

   Konto używane do rejestrowania łącznika Intune dla usługi Active Directory jest tylko tymczasowym wymaganiem w momencie instalacji. Konto nie jest używane w przyszłości po zarejestrowaniu serwera.

3. Po zakończeniu procesu logowania zostanie wyświetlone okno potwierdzenia Łącznik Intune dla usługi Active Directory pomyślnie zarejestrowany. Wybierz przycisk OK , aby zamknąć okno.

4. Karta Rejestracja pokazuje, Intune Łącznik usługi Active Directory jest zarejestrowany, a przycisk Logowania jest wyszarzone.

5. Zamknij okno łącznika Intune dla usługi Active Directory.

Sprawdź, czy starszy łącznik Intune dla usługi Active Directory jest aktywny

Po uwierzytelnieniu łącznik Intune dla usługi Active Directory zakończy instalację. Po zakończeniu instalacji sprawdź, czy jest aktywny w Intune, wykonując następujące kroki:

1. Przejdź do centrum administracyjnego Microsoft Intune, jeśli jest ono nadal otwarte. Jeśli okno Dodawanie łącznika jest nadal wyświetlane, zamknij je.

   Jeśli centrum administracyjne Microsoft Intune nie jest nadal otwarte:

   1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.

   2. Na ekranie głównym wybierz pozycję Urządzenia w okienku po lewej stronie.

   3. Na urządzeniach | Ekran przeglądu w obszarze Według platformy wybierz pozycję Windows.

   4. W systemie Windows | Ekran urządzeń z systemem Windows w obszarze Dołączanie urządzenia wybierz pozycję Rejestracja.

   5. W systemie Windows | Ekran rejestracji systemu Windows w obszarze Windows Autopilot wybierz pozycję łącznik Intune dla usługi Active Directory.

2. Na stronie łącznika Intune dla usługi Active Directory upewnij się, że serwer jest wyświetlany w obszarze Nazwa łącznika i jest wyświetlany jako Aktywny w obszarze Stan. Jeśli serwer nie jest wyświetlany, wybierz pozycję Odśwież lub przejdź z dala od strony, a następnie przejdź z powrotem do strony łącznika Intune dla usługi Active Directory.

Po zainstalowaniu łącznika Intune dla usługi Active Directory rozpocznie on rejestrowanie w Podgląd zdarzeń w obszarze ścieżki Dzienniki> aplikacji i usługMicrosoft>Intune>ODJConnectorService. W tej ścieżce można znaleźć dzienniki Administracja i operacyjne.