Udostępnij przez

Wdrażanie urządzeń przyłączonych hybrydowo Microsoft Entra przy użyciu Intune i rozwiązania Windows Autopilot

Ważna

Firma Microsoft zaleca wdrażanie nowych urządzeń jako natywnych dla chmury przy użyciu Microsoft Entra join. Wdrażanie nowych urządzeń jako Microsoft Entra urządzeń przyłączania hybrydowego nie jest zalecane, w tym za pośrednictwem rozwiązania Windows Autopilot. Aby uzyskać więcej informacji, zobacz Microsoft Entra sprzężone a Microsoft Entra przyłączone hybrydowo w punktach końcowych natywnych dla chmury: Która opcja jest odpowiednia dla Twojej organizacji.

Intune i rozwiązania Windows Autopilot mogą służyć do konfigurowania Microsoft Entra urządzeń przyłączonych hybrydowo. Aby to zrobić, wykonaj kroki opisane w tym artykule. Aby uzyskać więcej informacji na temat Microsoft Entra przyłączania hybrydowego, zobacz Understanding Microsoft Entra hybrid join and co-management (Omówienie dołączania hybrydowego Microsoft Entra i współzarządzania).

Wymagania

Lista wymagań dotyczących wykonywania przyłączania hybrydowego Microsoft Entra podczas rozwiązania Windows Autopilot jest podzielona na trzy różne kategorie:

  • Ogólne — wymagania ogólne.
  • Rejestrowanie urządzeń — wymagania dotyczące rejestracji urządzeń.
  • łącznik Intune — łącznik Intune dla wymagań usługi Active Directory.

Wybierz odpowiednią kartę, aby wyświetlić odpowiednie wymagania:

Konfigurowanie automatycznej rejestracji mdm systemu Windows

  1. Zaloguj się do Azure Portal i wybierz pozycję Tożsamość Microsoft Entra.

  2. W okienku po lewej stronie wybierz pozycję Zarządzaj | mobilnością (MDM i WIP)>Microsoft Intune.

  3. Upewnij się, że użytkownicy, którzy wdrażają urządzenia przyłączone Microsoft Entra przy użyciu Intune i Systemu Windows, należą do grupy uwzględnionej w zakresie użytkownika rozwiązania MDM.

  4. Użyj wartości domyślnych w polach Adres URL warunków użytkowania mdm, adres URL odnajdywania mdm i adres URL zgodności rozwiązania MDM , a następnie wybierz pozycję Zapisz.

Instalowanie łącznika Intune dla usługi Active Directory

Łącznik Intune dla usługi Active Directory, znany również jako łącznik ODJ (Offline Domain Join), dołącza komputery do domeny lokalnej podczas procesu rozwiązania Windows Autopilot. Łącznik tworzy obiekty komputera w określonej jednostce organizacyjnej (OU) w usłudze Active Directory podczas procesu dołączania do domeny.

Ważna

Łącznik Intune dla usługi Active Directory w wersji starszej niż 6.2501.2000.5 jest przestarzały i nie może już przetwarzać żądań rejestracji. Aby uzyskać więcej informacji, zobacz wpis w blogu Łącznik Intune dla usługi Active Directory z kontem o niskich uprawnieniach dla wdrożeń hybrydowych rozwiązania Windows Autopilot Microsoft Entra dołączania do wdrożeń.

Aby zaktualizować łącznik, musisz:

  1. Ręcznie odinstaluj starszy łącznik. Nie ma opcji automatycznej.
  2. Pobierz i zainstaluj zaktualizowany łącznik (opisany w tym artykule).

Porada

W przypadku korzystania z wielu domen do rejestrowania urządzeń rozwiązania Autopilot:

  • Dla każdej domeny potrzebne jest oddzielne wystąpienie łącznika. Łącznik może przetwarzać tylko żądania rejestracji dla tej samej domeny co serwer, na który został zainstalowany.
  • Może istnieć co najwyżej 1 łącznik na serwer (maszyna wirtualna lub fizyczna). Dodatkowe serwery na domenę można skonfigurować pod kątem nadmiarowości, z których każdy ma zainstalowany własny łącznik. W przypadku awarii jednego łącznika żądania zostaną wysłane do innego łącznika na innym serwerze w tej samej domenie.

Wybierz kartę odpowiadającą wersji zainstalowanego łącznika Intune dla usługi Active Directory:

Przed rozpoczęciem

Wyłączanie konfiguracji rozszerzonych zabezpieczeń programu Internet Explorer

Począwszy od wersji 6.2504.2001.8, zaktualizowany łącznik Intune dla usługi Active Directory przełączył się do korzystania z programu WebView2 opartego na przeglądarce Microsoft Edge, a nie webbrowser, utworzonego w programie Microsoft Internet Explorer. Ta zmiana oznacza, że ustawienie Konfiguracja zwiększonych zabezpieczeń programu Internet Explorer w Windows Server nie musi już być wyłączone. Upewnij się, że zainstalowano wersję 6.2504.2001.8 lub nowszą łącznika Intune dla usługi Active Directory, aby uniknąć problemów z ustawieniem Konfiguracja rozszerzonych zabezpieczeń programu Internet Explorer.

Pobieranie łącznika Intune dla usługi Active Directory

  1. Na serwerze, na którym jest instalowany łącznik Intune dla usługi Active Directory, zaloguj się do centrum administracyjnego Microsoft Intune.

  2. Na ekranie głównym wybierz pozycję Urządzenia w okienku po lewej stronie.

  3. Na urządzeniach | Ekran przeglądu w obszarze Według platformy wybierz pozycję Windows.

  4. W systemie Windows | Ekran urządzeń z systemem Windows w obszarze Dołączanie urządzenia wybierz pozycję Rejestracja.

  5. W systemie Windows | Ekran rejestracji systemu Windows w obszarze Windows Autopilot wybierz pozycję łącznik Intune dla usługi Active Directory.

  6. Na ekranie łącznika Intune dla usługi Active Directory wybierz pozycję Dodaj.

  7. W otwieranym oknie Dodawanie łącznika w obszarze Konfigurowanie łącznika Intune dla usługi Active Directory wybierz pozycję Pobierz lokalny łącznik Intune dla usługi Active Directory. Link pobiera plik o nazwie ODJConnectorBootstrapper.exe.

Instalowanie łącznika Intune dla usługi Active Directory na serwerze

Ważna

Instalacja łącznika Intune dla usługi Active Directory musi być wykonana przy użyciu konta z następującymi prawami do domeny:

  • Wymagane — utwórz obiekty msDs-ManagedServiceAccount w kontenerze Zarządzane konta usług.
  • Opcjonalne — modyfikowanie uprawnień w jednostkach organizacyjnych w usłudze Active Directory — jeśli administrator instalujący zaktualizowany łącznik Intune Connector dla usługi Active Directory nie ma tego prawa, administrator, który ma te prawa, musi wykonać dodatkowe kroki konfiguracji. Aby uzyskać więcej informacji, zobacz krok/sekcja Zwiększanie limitu konta komputera w jednostce organizacyjnej.

  1. Zaloguj się na serwerze, na którym jest instalowany łącznik Intune dla usługi Active Directory przy użyciu konta z uprawnieniami administratora lokalnego.

  2. Jeśli zainstalowano poprzedni starszy łącznik Intune dla usługi Active Directory, odinstaluj go najpierw przed zainstalowaniem zaktualizowanego łącznika Intune dla usługi Active Directory. Aby uzyskać więcej informacji, zobacz Odinstalowywanie łącznika Intune dla usługi Active Directory.

    Ważna

    Podczas odinstalowywania poprzedniego starszego łącznika Intune Connector dla usługi Active Directory upewnij się, że w ramach procesu odinstalowywania uruchom starszą wersję łącznika Intune Connector dla instalatora usługi Active Directory. Jeśli starszy łącznik Intune dla instalatora usługi Active Directory wyświetli monit o odinstalowanie go po jego uruchomieniu, wybierz opcję odinstalowania. Ten krok gwarantuje, że poprzedni starszy łącznik Intune dla usługi Active Directory zostanie całkowicie odinstalowany. Starszą wersję łącznika Intune dla instalatora usługi Active Directory można pobrać z łącznika Intune dla usługi Active Directory.

    Porada

    W domenach z tylko jednym łącznikiem Intune dla usługi Active Directory firma Microsoft zaleca najpierw zainstalowanie zaktualizowanego łącznika Intune dla usługi Active Directory na innym serwerze. Przed odinstalowaniem starszego łącznika Intune connector dla usługi Active Directory na bieżącym serwerze należy zainstalować zaktualizowany łącznik Intune dla usługi Active Directory. Zainstalowanie łącznika Intune dla usługi Active Directory na innym serwerze pozwala uniknąć przestojów, gdy łącznik Intune dla usługi Active Directory jest aktualizowany na bieżącym serwerze.

  3. Otwórz pobrany ODJConnectorBootstrapper.exe plik, aby uruchomić łącznik Intune dla instalacji usługi Active Directory.

  4. Wykonaj kroki instalacji łącznika Intune dla instalatora usługi Active Directory.

  5. Na końcu instalacji zaznacz pole wyboru Uruchom łącznik Intune dla usługi Active Directory.

    Uwaga

    Jeśli program Intune Connector dla instalacji usługi Active Directory zostanie przypadkowo zamknięty bez zaznaczenia pola wyboru Uruchom łącznik Intune dla usługi Active Directory, konfigurację łącznika Intune dla usługi Active Directory można ponownie otworzyć, wybierając opcję łącznika Intune dla usługi Active Directory>Intune Łącznik usługi Active Directory z menu Start.

Zaloguj się do łącznika Intune dla usługi Active Directory

  1. W oknie łącznika Intune dla usługi Active Directory na karcie Rejestracja wybierz pozycję Zaloguj.

  2. Na karcie Logowanie zaloguj się przy użyciu Tożsamość Microsoft Entra poświadczeń roli administratora Intune. Konto użytkownika musi mieć przypisaną licencję Intune. Proces logowania może potrwać kilka minut.

    Uwaga

    Konto używane do rejestrowania łącznika Intune dla usługi Active Directory jest tylko tymczasowym wymaganiem w momencie instalacji. Konto nie jest używane w przyszłości po zarejestrowaniu serwera.

  3. Po zakończeniu procesu logowania:

    1. Zostanie wyświetlone okno potwierdzenia pomyślnie zarejestrowanego łącznika Intune dla usługi Active Directory. Wybierz przycisk OK , aby zamknąć okno.
    2. Zarządzane konto usługi o nazwie "<>MSA_name" zostało pomyślnie skonfigurowane okno potwierdzenia. Nazwa msa jest w formacie msaODJ##### , w którym ##### jest pięć losowych znaków. Zanotuj nazwę utworzonego konta msa, a następnie wybierz przycisk OK , aby zamknąć okno. Nazwa msa może być potrzebna później, aby skonfigurować msa, aby umożliwić tworzenie obiektów komputera w jednostkach organizacyjnych.

  4. Karta Rejestracja pokazuje, Intune łącznik usługi Active Directory jest zarejestrowany. Przycisk Zaloguj jest wyszarzony i włączono konfigurowanie zarządzanego konta usługi .

  5. Zamknij okno łącznika Intune dla usługi Active Directory.

Sprawdź, czy łącznik Intune dla usługi Active Directory jest aktywny

Po uwierzytelnieniu łącznik Intune dla usługi Active Directory zakończy instalację. Po zakończeniu instalacji sprawdź, czy jest aktywny w Intune, wykonując następujące kroki:

  1. Przejdź do centrum administracyjnego Microsoft Intune, jeśli jest ono nadal otwarte. Jeśli okno Dodawanie łącznika jest nadal wyświetlane, zamknij je.

    Jeśli centrum administracyjne Microsoft Intune nie jest nadal otwarte:

    1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.

    2. Na ekranie głównym wybierz pozycję Urządzenia w okienku po lewej stronie.

    3. Na urządzeniach | Ekran przeglądu w obszarze Według platformy wybierz pozycję Windows.

    4. W systemie Windows | Ekran urządzeń z systemem Windows w obszarze Dołączanie urządzenia wybierz pozycję Rejestracja.

    5. W systemie Windows | Ekran rejestracji systemu Windows w obszarze Windows Autopilot wybierz pozycję łącznik Intune dla usługi Active Directory.

  2. Na stronie łącznika Intune dla usługi Active Directory:

    • Upewnij się, że serwer jest wyświetlany w obszarze Nazwa łącznika i jest wyświetlany jako Aktywny w obszarze Stan
    • W przypadku zaktualizowanego łącznika Intune dla usługi Active Directory upewnij się, że wersja jest większa lub równa 6.2501.2000.5.

    Jeśli serwer nie jest wyświetlany, wybierz pozycję Odśwież lub przejdź z dala od strony, a następnie przejdź z powrotem do strony łącznika Intune dla usługi Active Directory.

Uwaga

  • Wyświetlenie nowo zarejestrowanego serwera na stronie łącznika Intune dla usługi Active Directory w centrum administracyjnym Microsoft Intune może potrwać kilka minut. Zarejestrowany serwer jest wyświetlany tylko wtedy, gdy może pomyślnie komunikować się z usługą Intune.

  • Nieaktywne łączniki Intune dla usługi Active Directory nadal są wyświetlane na stronie łącznika Intune dla usługi Active Directory i zostaną automatycznie wyczyszczone po 30 dniach.

Po zainstalowaniu łącznika Intune dla usługi Active Directory rozpocznie on rejestrowanie w Podgląd zdarzeń w obszarze ścieżki Dzienniki> aplikacji i usługMicrosoft>Intune>ODJConnectorService. W tej ścieżce można znaleźć dzienniki Administracja i operacyjne.

Skonfiguruj usługę MSA tak, aby zezwalała na tworzenie obiektów w jednostkach organizacyjnych (opcjonalnie)

Domyślnie administratorzy msa mają dostęp tylko do tworzenia obiektów komputera w kontenerze Komputery . Administratorzy msa nie mają dostępu do tworzenia obiektów komputerów w jednostkach organizacyjnych ( jednostek organizacyjnych). Aby umożliwić usłudze MSA tworzenie obiektów w jednostkach organizacyjnych, jednostki organizacyjne muszą zostać dodane do ODJConnectorEnrollmentWizard.exe.config pliku XML znajdującego się w katalogu, w ODJConnectorEnrollmentWizard którym zainstalowano łącznik Intune dla usługi Active Directory, zwykle C:\Program Files\Microsoft Intune\ODJConnector\.

Aby skonfigurować usługę MSA tak, aby zezwalała na tworzenie obiektów w jednostkach organizacyjnych, wykonaj następujące kroki:

  1. Na serwerze, na którym zainstalowano łącznik Intune dla usługi Active Directory, przejdź do ODJConnectorEnrollmentWizard katalogu, w którym zainstalowano łącznik Intune dla usługi Active Directory, zwykle C:\Program Files\Microsoft Intune\ODJConnector\.

  2. ODJConnectorEnrollmentWizard W katalogu otwórz istniejący ODJConnectorEnrollmentWizard.exe.config plik XML w edytorze tekstów, na przykład Notatnik.

  3. W elemencie add keyODJConnectorEnrollmentWizard.exe.config pliku XML:

    • Obok pozycji value=dodaj dowolne żądane jednostki organizacyjne, do których usługa MSA powinna mieć dostęp do tworzenia obiektów komputera.
    • Nazwa jednostki organizacyjnej musi być w formacie nazwy wyróżnianej LDAP i, jeśli ma to zastosowanie, musi zostać pominięta.
    • Wiele jednostek organizacyjnych jest obsługiwanych przez oddzielenie każdej jednostki organizacyjnej średnikiem (;).
    • Pamiętaj o zachowaniu cudzysłowów (") obok value=elementu . Wszystkie wartości jednostki organizacyjnej muszą znajdować się w jednej parze cudzysłowów.
    • Nie zmieniaj nazwy elementu OrganizationalUnitsUsedForOfflineDomainJoinklucza .

    Poniższy przykład to przykładowy wpis XML z wieloma jednostkami organizacyjnymi w formacie nazwy wyróżniania LDAP:

      <appSettings>

    <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format.
        The ODJ Connector will only have permission to create computer objects in these OUs.
        The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure

        Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY):
        Domain contains the following OUs:
          - OU=HybridDevices,DC=contoso,DC=com
          - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com

        Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" -->

    <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" />
  </appSettings>

    Porada

    W tym przykładzie zastąp przykładowy czerwony tekst obok value= elementem jednostki organizacyjnej organizacji w formacie nazwy wyróżniającej LDAP. Jak pokazano w przykładzie, upewnij się, że wszystkie wpisy jednostki organizacyjnej znajdują się w cudzysłowie (") i że każda jednostka organizacyjna jest oddzielona średnikiem (;) .

  4. Po dodaniu wszystkich żądanych jednostek organizacyjnych zapisz ODJConnectorEnrollmentWizard.exe.config plik XML.

  5. Jako administrator, który ma odpowiednie uprawnienia do modyfikowania uprawnień jednostki organizacyjnej, otwórz łącznik Intune dla usługi Active Directory, przechodząc do łącznika Intune dla usługi Active Directory>Intune Connector for Active Directory z menu Start.

    Ważna

    Jeśli administrator instalujący i konfigurujący łącznik Intune dla usługi Active Directory nie ma uprawnień do modyfikowania uprawnień jednostki organizacyjnej, w sekcji/krokach Zwiększanie limitu konta komputera w jednostce organizacyjnej musi być zamiast tego administrator, który ma uprawnienia do modyfikowania uprawnień jednostki organizacyjnej.

  6. Na karcie Rejestracja w oknie łącznika Intune dla usługi Active Directory wybierz pozycję Konfiguruj zarządzane konto usługi.

  7. Zostanie wyświetlone okno potwierdzenia zarządzanego konta usługi o nazwie "<MSA_name>". Wybierz przycisk OK , aby zamknąć okno.

Używanie niestandardowego zarządzanego konta usługi (opcjonalnie)

Opcjonalnie można skonfigurować łącznik do korzystania z własnego zarządzanego konta usługi, w przeciwieństwie do usługi MSA automatycznie skonfigurowanej przez łącznik.

Wymagania dotyczące msa

W tej sekcji opisano wymagania msa.

  • Podane konto musi być kontem usługi z jedną z następujących kategorii obiektów w usłudze Active Directory:

    • CN=ms-DS-Group-Managed-Service-Account,CN=Schema,CN=Configuration,DC=contoso,DC=com

    • CN=ms-DS-Managed-Service-Account,CN=Schema,CN=Configuration,DC=contoso,DC=com

  • Wartość konfiguracji konta usługi musi mieć następujący format: <msaAccountName@domain>

  • Konto usługi musi istnieć w tej samej domenie co serwer łącznika ODJ.

  • Konto usługi musi być zainstalowane na serwerze hostującym łącznik ODJ. Aby uzyskać więcej informacji, zobacz Install-ADServiceAccount.

    • W przypadku korzystania z usługi sMSA konto może być połączone tylko z jedną maszyną.
    • W przypadku korzystania z usługi gMSA serwer, na którym instalujesz usługę gMSA, musi mieć dostęp do hasła.

  • Konto usługi musi mieć uprawnienia logowania lokalnego jako usługi , które można ustawić bezpośrednio lub za pośrednictwem członkostwa w grupie. Aby uzyskać więcej informacji, zobacz Włączanie logowania do usługi.

  • Należy przyznać uprawnienia ręcznie dla kont usług do tworzenia obiektów komputera dla hybrydowych przepływów rozwiązania Autopilot. Aby uzyskać więcej informacji, zobacz Zwiększanie limitu konta komputera w jednostce organizacyjnej (OU).

Jak skonfigurować

Zaktualizuj ODJConnectorEnrollmentWizard.exe.config. Jego domyślną lokalizacją jest C:\Program Files\Microsoft Intune\ODJConnector\ODJConnectorEnrollmentWizard.

  1. W sekcji appSettings pliku dodaj następujący wiersz: <add key="TenantConfiguredManagedServiceAccount" value="{accountname}" />
  2. Zaloguj się do łącznika.
Wyłączanie aktualizacji jednostki organizacyjnej

Użycie własnego konta msa spowoduje wyłączenie łącznika z dokonywania jakichkolwiek aktualizacji jednostki organizacyjnej, niezależnie od wszelkich skonfigurowanych w OrganizationalUnitsUsedForOfflineDomainJoin. Aby zapobiec błędom, wyłącz aktualizacje jednostki organizacyjnej, aktualizując ODJConnectorEnrollmentWizard.exe.configelement . Jego domyślną lokalizacją jest C:\Program Files\Microsoft Intune\ODJConnector\ODJConnectorEnrollmentWizard.

  1. W sekcji appSettings pliku dodaj następujący wiersz: <add key="DisableOUUpdates" value="true" />
  2. Zaloguj się do łącznika.

Konfigurowanie ustawień internetowego serwera proxy

Jeśli w środowisku sieciowym istnieje internetowy serwer proxy, upewnij się, że łącznik Intune dla usługi Active Directory działa prawidłowo, odwołując się do tematu Konfigurowanie ustawień serwera proxy dla łącznika Intune dla usługi Active Directory.

Zwiększanie limitu konta komputera w jednostce organizacyjnej

Ważna

Ten krok jest wymagany tylko w jednym z następujących warunków:

Celem łącznika Intune dla usługi Active Directory jest dołączenie komputerów do domeny i dodanie ich do jednostki organizacyjnej. Z tego powodu konto usługi zarządzanej używane dla łącznika Intune dla usługi Active Directory musi mieć uprawnienia do tworzenia kont komputerów w jednostce organizacyjnej, do której komputery są przyłączone do domeny lokalnej.

W przypadku uprawnień domyślnych w usłudze Active Directory sprzężenia domeny przez łącznik Intune dla usługi Active Directory mogą początkowo działać bez żadnych modyfikacji uprawnień do jednostki organizacyjnej w usłudze Active Directory. Jednak po próbie dołączenia ponad 10 komputerów do domeny lokalnej usługa MSA przestanie działać, ponieważ domyślnie usługa Active Directory zezwala na dołączanie maksymalnie 10 komputerów do domeny lokalnej przez dowolne pojedyncze konto.

Ograniczenie 10 przyłączeń do domeny komputera nie ogranicza następujących użytkowników:

  • Użytkownicy w grupach Administratorzy lub Administratorzy domeny: Aby zapewnić zgodność z modelem zasad najniższych uprawnień, firma Microsoft nie zaleca, aby administrator lub administrator domeny zarządzane było.
  • Użytkownicy z uprawnieniami delegowanymi do jednostki organizacyjnej (OU) i kontenerów w usłudze Active Directory do tworzenia kont komputerów: Ta metoda jest zalecana, ponieważ jest zgodna z modelem zasad najniższych uprawnień.

Aby rozwiązać ten problem, administrator konta musi mieć uprawnienie Utwórz konta komputera w jednostce organizacyjnej (OU), do której komputery są przyłączone w domenie lokalnej. Łącznik Intune dla usługi Active Directory ustawia uprawnienia dla msa na jednostki organizacyjne, o ile spełniony jest jeden z następujących warunków:

  • Administrator instalujący łącznik Intune dla usługi Active Directory ma uprawnienia niezbędne do ustawiania uprawnień dla jednostek organizacyjnych.
  • Administrator konfigurujący łącznik Intune dla usługi Active Directory ma uprawnienia niezbędne do ustawiania uprawnień dla jednostek organizacyjnych.

Jeśli administrator instalujący lub konfigurujący łącznik Intune dla usługi Active Directory nie ma uprawnień niezbędnych do ustawiania uprawnień dla jednostek organizacyjnych, należy wykonać następujące kroki:

  1. Zaloguj się do komputera z dostępem do konsoli Użytkownicy i komputery usługi Active Directory przy użyciu konta, które jest niezbędne do ustawienia uprawnień dla jednostek organizacyjnych.

  2. Otwórz konsolę Użytkownicy i komputery usługi Active Directory, uruchamiając plik DSA.msc.

  3. Rozwiń żądaną domenę i przejdź do jednostki organizacyjnej (OU), do którą komputery dołączają podczas rozwiązania Windows Autopilot.

    Uwaga

    Jednostka organizacyjna dołączana przez komputery podczas wdrażania rozwiązania Windows Autopilot jest określona później podczas kroku Konfigurowanie i przypisywanie profilu przyłączania do domeny .

  4. Kliknij prawym przyciskiem myszy jednostkę organizacyjną i wybierz pozycję Właściwości.

    Uwaga

    Jeśli komputery dołączają do domyślnego kontenera Komputery zamiast jednostki organizacyjnej, kliknij prawym przyciskiem myszy kontener Komputery i wybierz pozycję Deleguj kontrolę.

  5. W oknach Właściwości jednostki organizacyjnej, które zostanie otwarte, wybierz kartę Zabezpieczenia .

  6. Na karcie Zabezpieczenia wybierz pozycję Zaawansowane.

  7. W oknie Zaawansowane ustawienia zabezpieczeń wybierz pozycję Dodaj.

  8. W oknach Wpis uprawnień obok pozycji Jednostka wybierz link Wybierz podmiot zabezpieczeń .

  9. W oknie Wybieranie użytkownika, komputera, konta usługi lub grupy wybierz przycisk Typy obiektów...

  10. W oknie Typy obiektów zaznacz pole wyboru Konta usług , a następnie wybierz przycisk OK.

  11. W oknie Wybieranie użytkownika, komputera, konta usługi lub grupy w obszarze Wprowadź nazwę obiektu do wybrania wprowadź nazwę msa używaną dla łącznika Intune dla usługi Active Directory.

    Porada

    Msa została utworzona podczas instalowania łącznika Intune dla usługi Active Directory krok/sekcja i ma format nazwy, msaODJ##### gdzie ##### jest pięć losowych znaków. Jeśli nazwa msa nie jest znana, wykonaj następujące kroki, aby znaleźć nazwę msa:

    1. Na serwerze z uruchomionym łącznikiem Intune dla usługi Active Directory kliknij prawym przyciskiem myszy menu Start, a następnie wybierz pozycję Zarządzanie komputerem.
    2. W oknie Zarządzanie komputerem rozwiń węzeł Usługi i aplikacje , a następnie wybierz pozycję Usługi.
    3. W okienku wyników znajdź usługę o nazwie Intune ODJConnector dla usługi Active Service. Nazwa msa jest wymieniona w logowanie jako kolumny.

  12. Wybierz pozycję Sprawdź nazwy , aby zweryfikować wpis nazwy msa. Po zweryfikowaniu wpisu wybierz przycisk OK.

  13. W oknach Wpis uprawnień wybierz menu rozwijane Zastosuj do: , a następnie wybierz pozycję Tylko ten obiekt.

  14. W obszarze Uprawnienia usuń zaznaczenie wszystkich elementów, a następnie zaznacz pole wyboru Utwórz obiekty komputera .

  15. Wybierz przycisk OK , aby zamknąć okno Wpis uprawnień .

  16. W oknie Zaawansowane ustawienia zabezpieczeń wybierz pozycję Zastosuj lub OK , aby zastosować zmiany.

Tworzenie grupy urządzeń

  1. W centrum administracyjnym Microsoft Intune wybierz pozycję Grupy>Nowa grupa.

  2. W okienku Grupa wybierz następujące opcje:

    1. W polu Typ grupy wybierz pozycję Zabezpieczenia.

    2. Wprowadź nazwę grupy i opis grupy.

    3. Wybierz typ członkostwa.

  3. Jeśli dla typu członkostwa wybrano pozycję Urządzenia dynamiczne , w okienku Grupa wybierz pozycję Dynamiczne elementy członkowskie urządzenia.

  4. Wybierz pozycję Edytuj w polu Składnia reguły i wprowadź jeden z następujących wierszy kodu:

    • Aby utworzyć grupę obejmującą wszystkie urządzenia z rozwiązaniem Windows Autopilot, wprowadź:

      (device.devicePhysicalIDs -any _ -startsWith "[ZTDId]")

    • Pole Tag grupy Intune jest mapowany na atrybut OrderID na urządzeniach Microsoft Entra. Aby utworzyć grupę zawierającą wszystkie urządzenia z rozwiązaniem Windows Autopilot z określonym tagiem grupy (OrderID), wprowadź:

      (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")

    • Aby utworzyć grupę zawierającą wszystkie urządzenia z rozwiązaniem Windows Autopilot z określonym identyfikatorem zamówienia zakupu, wprowadź:

      (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")

  5. Wybierz pozycję Zapisz>utwórz.

Rejestrowanie urządzeń z rozwiązaniem Windows Autopilot

Wybierz jeden z następujących sposobów rejestrowania urządzeń z rozwiązaniem Windows Autopilot.

Rejestrowanie urządzeń z rozwiązaniem Windows Autopilot, które zostały już zarejestrowane

  1. Utwórz profil wdrożenia rozwiązania Windows Autopilot z ustawieniem Konwertuj wszystkie urządzenia docelowe na rozwiązanie Autopilot ustawione na wartość Tak.

  2. Przypisz profil do grupy zawierającej elementy członkowskie, które muszą zostać automatycznie zarejestrowane przy użyciu rozwiązania Windows Autopilot.

Aby uzyskać więcej informacji, zobacz Konfigurowanie profilów rozwiązania Windows Autopilot.

Rejestrowanie urządzeń z rozwiązaniem Windows Autopilot, które nie są zarejestrowane

Urządzenia, które nie zostały jeszcze zarejestrowane w rozwiązaniu Windows Autopilot, można zarejestrować ręcznie. Aby uzyskać więcej informacji, zobacz Ręczna rejestracja.

Rejestrowanie urządzeń z producenta OEM

W przypadku zakupu nowych urządzeń niektórzy OEM mogą zarejestrować urządzenia w imieniu organizacji. Aby uzyskać więcej informacji, zobacz Rejestracja OEM.

Wyświetlanie zarejestrowanego urządzenia z rozwiązaniem Windows Autopilot

Przed zarejestrowaniem urządzeń w Intune zarejestrowane urządzenia z rozwiązaniem Windows Autopilot są wyświetlane w trzech miejscach (z nazwami ustawionymi na ich numery seryjne):

Po zarejestrowaniu urządzeń z rozwiązaniem Windows Autopilot urządzenia są wyświetlane w czterech miejscach:

Uwaga

Po zarejestrowaniu urządzeń urządzenia są nadal wyświetlane w okienku Urządzenia z rozwiązaniem Windows Autopilot w centrum administracyjnym Microsoft Intune i w okienku rozwiązania Autopilot w Centrum administracyjne platformy Microsoft 365, ale te obiekty są zarejestrowanymi obiektami rozwiązania Windows Autopilot.

Obiekt urządzenia jest wstępnie tworzony w Tożsamość Microsoft Entra po zarejestrowaniu urządzenia w rozwiązaniu Windows Autopilot. Gdy urządzenie przechodzi wdrożenie hybrydowego Microsoft Entra, zgodnie z projektem tworzony jest inny obiekt urządzenia, co powoduje zduplikowanie wpisów.

Vpn

Testowanie i weryfikowanie następujących klientów sieci VPN:

  • Klient sieci VPN systemu Windows w pudełku
  • Cisco AnyConnect (klient Win32)
  • Pulse Secure (klient Win32)
  • GlobalProtect (klient Win32)
  • Punkt kontrolny (klient Win32)
  • Citrix NetScaler (klient Win32)
  • SonicWall (klient Win32)
  • FortiClient VPN (klient Win32)

W przypadku korzystania z sieci VPN wybierz pozycję Tak , aby wybrać opcję Pomiń sprawdzanie łączności usługi AD w profilu wdrożenia rozwiązania Windows Autopilot. Always-On sieci VPN nie powinny wymagać tej opcji, ponieważ łączą się automatycznie.

Uwaga

Ta lista klientów sieci VPN nie jest pełną listą wszystkich klientów sieci VPN, którzy pracują z rozwiązaniem Windows Autopilot. Skontaktuj się z odpowiednim dostawcą sieci VPN w sprawie zgodności i możliwości obsługi rozwiązania Windows Autopilot lub wszelkich problemów z używaniem rozwiązania sieci VPN z rozwiązaniem Windows Autopilot.

Nieobsługiwani klienci sieci VPN

Znane są następujące rozwiązania sieci VPN, które nie współpracują z rozwiązaniem Windows Autopilot i dlatego nie są obsługiwane do użycia z rozwiązaniem Windows Autopilot:

  • Wtyczki sieci VPN oparte na platformie UWP
  • Wszystko, co wymaga certyfikatu użytkownika
  • Funkcji directaccess

Uwaga

Pominięcie określonego klienta sieci VPN z tej listy nie oznacza, że jest on obsługiwany lub działa z rozwiązaniem Windows Autopilot. Ta lista zawiera tylko klientów sieci VPN, o których wiadomo , że nie pracują z rozwiązaniem Windows Autopilot.

Tworzenie i przypisywanie profilu wdrożenia rozwiązania Windows Autopilot

Profile wdrażania rozwiązania Windows Autopilot są używane do konfigurowania urządzeń z rozwiązaniem Windows Autopilot.

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.

  2. Na ekranie głównym wybierz pozycję Urządzenia w okienku po lewej stronie.

  3. Na urządzeniach | Ekran przeglądu w obszarze Według platformy wybierz pozycję Windows.

  4. W systemie Windows | Ekran urządzeń z systemem Windows w obszarze Dołączanie urządzenia wybierz pozycję Rejestracja.

  5. W systemie Windows | Ekran rejestracji systemu Windows w obszarze Windows Autopilot wybierz pozycję Profile wdrożenia.

  6. Na ekranie Profile wdrażania rozwiązania Windows Autopilot wybierz menu rozwijane Tworzenie profilu , a następnie wybierz pozycję Komputer z systemem Windows.

  7. Na ekranie Tworzenie profilu na stronie Podstawy wprowadź nazwę i opcjonalny opis.

  8. Jeśli wszystkie urządzenia w przypisanych grupach powinny automatycznie rejestrować się w rozwiązaniu Windows Autopilot, ustaw opcję Konwertuj wszystkie urządzenia docelowe na rozwiązanie Autopilot na wartość Tak. Wszystkie należące do firmy urządzenia z rozwiązaniem Autopilot spoza systemu Windows w przypisanych grupach rejestrują się w usłudze wdrażania rozwiązania Windows Autopilot. Urządzenia należące do użytkownika nie są zarejestrowane w rozwiązanie Windows Autopilot. Poczekaj 48 godzin na przetworzenie rejestracji. Gdy urządzenie zostanie wyrejestrowane i zresetowane, rozwiązanie Windows Autopilot zarejestruje je ponownie. Po zarejestrowaniu urządzenia w ten sposób wyłączenie tego ustawienia lub usunięcie przypisania profilu nie spowoduje usunięcia urządzenia z usługi wdrażania rozwiązania Windows Autopilot. Zamiast tego urządzenia muszą zostać bezpośrednio usunięte. Aby uzyskać więcej informacji, zobacz Usuwanie urządzeń z rozwiązaniem Windows Autopilot.

  9. Wybierz pozycję Dalej.

  10. Na stronie Środowisko out-of-box (OOBE) w obszarze Tryb wdrażania wybierz pozycję Sterowane przez użytkownika.

  11. W polu Dołącz do Tożsamość Microsoft Entra jako wybierz pozycję Microsoft Entra przyłączone hybrydowo.

  12. W przypadku wdrażania urządzeń poza siecią organizacji przy użyciu obsługi sieci VPN ustaw opcję Pomiń sprawdzanie łączności z domeną na wartość Tak. Aby uzyskać więcej informacji, zobacz Tryb sterowany przez użytkownika dla Microsoft Entra sprzężenia hybrydowego z obsługą sieci VPN.

  13. W razie potrzeby skonfiguruj pozostałe opcje na stronie Środowisko out-of-box (OOBE ).

  14. Wybierz pozycję Dalej.

  15. Na stronie Tagi zakresu wybierz tagi zakresu dla tego profilu.

  16. Wybierz pozycję Dalej.

  17. Na stronie Przypisania wybierz pozycję Wybierz grupy do uwzględnienia> w wyszukiwaniu i wybierz grupę > urządzeń Wybierz.

  18. Wybierz pozycję Dalej>utwórz.

Uwaga

Intune okresowo sprawdza nowe urządzenia w przypisanych grupach, a następnie rozpoczyna proces przypisywania profilów do tych urządzeń. Ze względu na kilka różnych czynników związanych z procesem przypisywania profilu rozwiązania Windows Autopilot szacowany czas przypisania może się różnić w zależności od scenariusza. Te czynniki mogą obejmować grupy Microsoft Entra, reguły członkostwa, skrót urządzenia, usługę Intune i windows Autopilot oraz połączenie z Internetem. Czas przypisania różni się w zależności od wszystkich czynników i zmiennych związanych z określonym scenariuszem.

(Opcjonalnie) Włączanie strony ze stanem rejestracji

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.

  2. Na ekranie głównym wybierz pozycję Urządzenia w okienku po lewej stronie.

  3. Na urządzeniach | Ekran przeglądu w obszarze Według platformy wybierz pozycję Windows.

  4. W systemie Windows | Ekran urządzeń z systemem Windows w obszarze Dołączanie urządzenia wybierz pozycję Rejestracja.

  5. W systemie Windows | Ekran rejestracji systemu Windows w obszarze Windows Autopilot wybierz pozycję Strona stanu rejestracji.

  6. W okienku Strona stanu rejestracji wybierz pozycjęUstawieniadomyślne>.

  7. W polu Pokaż postęp instalacji aplikacji i profilu wybierz pozycję Tak.

  8. Skonfiguruj inne opcje zgodnie z potrzebami.

  9. Wybierz Zapisz.

Tworzenie i przypisywanie profilu przyłączania do domeny

  1. W centrum administracyjnym Microsoft Intune wybierz pozycję Urządzenia>Zarządzaj urządzeniami | Zasady> konfiguracji >Utwórz>nowe zasady.

  2. W oknie tworzenia profilu , które zostanie otwarte, wprowadź następujące właściwości:

    • Nazwa: wprowadź opisową nazwę nowego profilu.
    • Opis: wprowadź opis profilu.
    • Platforma: wybierz pozycję Windows 10 i nowsze.
    • Typ profilu: wybierz pozycję Szablony, wybierz nazwę szablonu Przyłącz do domeny, a następnie wybierz pozycję Utwórz.

  3. Wprowadź pola Nazwa i Opis , a następnie wybierz pozycję Dalej.

  4. Podaj prefiks nazwy komputera i nazwę domeny.

  5. (Opcjonalnie) Podaj jednostkę organizacyjną (OU) w formacie DN. Dostępne są następujące opcje:

    • Podaj jednostkę organizacyjną, w której kontrolka jest delegowana do urządzenia z systemem Windows z uruchomionym łącznikiem Intune dla usługi Active Directory.
    • Podaj jednostkę organizacyjną, w której kontrolka jest delegowana do komputerów głównych w lokalna usługa Active Directory organizacji.
    • Jeśli to pole pozostanie puste, obiekt komputera zostanie utworzony w domyślnym kontenerze usługi Active Directory. Kontener domyślny jest zwykle kontenerem CN=Computers . Aby uzyskać więcej informacji, zobacz Przekierowanie kontenerów użytkowników i komputerów w domenach usługi Active Directory.

    Prawidłowe przykłady:

    • OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com
    • OU=Mine,DC=contoso,DC=com

    Nieprawidłowe przykłady:

    • CN=Computers,DC=contoso,DC=com — nie można określić kontenera. Zamiast tego pozostaw wartość pustą, aby użyć wartości domyślnej dla domeny.
    • OU=Mine — domena musi być określona za pośrednictwem DC= atrybutów.

    Upewnij się, że nie używasz cudzysłowów wokół wartości w jednostce organizacyjnej.

  6. Wybierz pozycję OK>Utwórz. Profil zostanie utworzony i wyświetlony na liście.

  7. Przypisz profil urządzenia do tej samej grupy, która została użyta w kroku Tworzenie grupy urządzeń. W przypadku konieczności dołączania urządzeń do różnych domen lub jednostek organizacyjnych można używać różnych grup.

Uwaga

Funkcja nazewnictwa rozwiązania Windows Autopilot dla Microsoft Entra sprzężenia hybrydowego nie obsługuje zmiennych, takich jak %SERIAL%. Obsługuje tylko prefiksy nazwy komputera.

Odinstalowywanie łącznika Intune dla usługi Active Directory

Łącznik Intune dla usługi Active Directory jest instalowany lokalnie na komputerze za pośrednictwem pliku wykonywalnego. Jeśli łącznik Intune dla usługi Active Directory musi zostać odinstalowany z komputera, należy go również wykonać lokalnie na komputerze. Nie można usunąć łącznika Intune dla usługi Active Directory za pośrednictwem portalu Intune ani wywołania interfejsu API grafu.

Aby odinstalować łącznik Intune dla usługi Active Directory z serwera, wybierz odpowiednią kartę dla wersji systemu operacyjnego Windows Server, a następnie wykonaj następujące kroki:

  1. Zaloguj się do komputera hostującego łącznik Intune dla usługi Active Directory.

  2. Kliknij prawym przyciskiem myszy menu Start, a następnie wybierz pozycję Ustawienia>AplikacjeZainstalowane aplikacje>.

    Lub

    Wybierz następujący skrót Aplikacje zainstalowane aplikacje>:

    Otwórz aplikacje zainstalowane aplikacje >

  3. W oknie Aplikacje zainstalowane aplikacje > znajdź łącznik Intune dla usługi Active Directory.

  4. Obok pozycji Intune Connector for Active Directory wybierz pozycję ...>Odinstaluj, a następnie wybierz przycisk Odinstaluj.

  5. Łącznik Intune dla usługi Active Directory przechodzi do odinstalowywania.

  6. W niektórych przypadkach łącznik Intune dla usługi Active Directory może nie zostać w pełni odinstalowany, dopóki oryginalny łącznik Intune dla instalatora ODJConnectorBootstrapper.exe usługi Active Directory nie zostanie uruchomiony ponownie. Aby sprawdzić, czy łącznik Intune dla usługi Active Directory jest w pełni odinstalowany, uruchom ODJConnectorBootstrapper.exe ponownie instalatora. Jeśli zostanie wyświetlony monit o odinstalowanie, wybierz polecenie , aby go odinstalować. W przeciwnym razie zamknij ODJConnectorBootstrapper.exe instalatora.

    Uwaga

    Starszy łącznik Intune dla instalatora usługi Active Directory można pobrać z łącznika Intune dla usługi Active Directory i powinien być używany tylko do odinstalowywania. W przypadku nowych instalacji użyj zaktualizowanego łącznika Intune dla usługi Active Directory.

Następne kroki

Po skonfigurowaniu rozwiązania Windows Autopilot dowiedz się, jak zarządzać tymi urządzeniami. Aby uzyskać więcej informacji, zobacz Co to jest zarządzanie urządzeniami Microsoft Intune?.

Zawartość pokrewna

  • Last updated on