Partilhar via

Associação híbrida Microsoft Entra orientada pelo utilizador: Instalar o Conector do Intune para o Active Directory

Passos de associação híbrida Microsoft Entra baseadas no utilizador do Windows Autopilot:

  • Passo 2: Instalar o Conector do Intune para o Active Directory

Para obter uma descrição geral do fluxo de trabalho de associação híbrida Microsoft Entra orientado pelo utilizador do Windows Autopilot, veja Descrição geral da associação híbrida orientada pelo utilizador do Windows Autopilot Microsoft Entra.

Observação

Se o Conector de Intune do Active Directory já estiver instalado e configurado, ignore este passo e avance para o Passo 3: Aumentar o limite da conta de computador na Unidade Organizacional (UO).

Instalar o Conector do Intune para o Active Directory

O Conector Intune do Active Directory, também conhecido como Conector de Associação a Um Domínio Offline (ODJ), associa computadores a um domínio no local durante o processo do Windows Autopilot. O conector cria objetos de computador numa Unidade Organizacional (UO) especificada no Active Directory durante o processo de associação a um domínio.

Importante

O Conector Intune para versões do Active Directory com mais de 6.2501.2000.5 foram preteridos e já não podem processar pedidos de inscrição. Para obter mais informações, veja a mensagem de blogue conector do Intune do Active Directory para o Active Directory com poucos privilégios para implementações de associação de Microsoft Entra Híbridas do Windows Autopilot.

Para atualizar o conector, tem de:

  1. Desinstale manualmente o conector legado. Não existe uma opção automática.
  2. Transfira e instale o conector atualizado (descrito neste artigo).

Dica

Se estiver a utilizar vários domínios para inscrever dispositivos autopilot:

  • Precisaria de uma instância de conector separada para cada domínio. Um conector só pode processar pedidos de inscrição para o mesmo domínio que o servidor no qual foi instalado.
  • Pode haver, no máximo, 1 conector por servidor (VM ou físico). Podem ser configurados servidores adicionais por domínio para redundância, cada um com o seu próprio conector instalado. Nessa configuração, se um conector falhar, os pedidos irão para outro conector noutro servidor dentro do mesmo domínio.

Selecione o separador que corresponde à versão do Conector do Intune do Active Directory que está a ser instalado:

Antes de começar

Desativar a Configuração de Segurança Avançada da Internet Explorer

A partir da versão 6.2504.2001.8, o Conector de Intune atualizado para o Active Directory mudou para o WebView2, criado no Microsoft Edge, em vez do WebBrowser, criado no Microsoft Internet Explorer. Esta alteração significa que a definição Configuração de Segurança Avançada da Internet Explorer no Windows Server já não precisa de ser desativada. Certifique-se de que instala a versão 6.2504.2001.8 ou posterior do Conector do Intune para o Active Directory para evitar problemas com a definição Configuração de Segurança Avançada da Internet Explorer.

Transferir o Conector do Intune para o Active Directory

  1. No servidor onde o Conector Intune do Active Directory está a ser instalado, inicie sessão no centro de administração do Microsoft Intune.

  2. No ecrã Principal , selecione Dispositivos no painel esquerdo.

  3. Em Dispositivos | Ecrã Descrição geral , em Por plataforma, selecione Windows.

  4. No Windows | Ecrã Dispositivos Windows , em Inclusão de dispositivos, selecione Inscrição.

  5. No Windows | Ecrã de inscrição do Windows, em Windows Autopilot, selecione Intune Conector do Active Directory.

  6. No ecrã Intune Conector do Active Directory, selecione Adicionar.

  7. Na janela Adicionar conector que é aberta, em Configurar o Conector Intune para o Active Directory, selecione Transferir o Conector Intune no local para o Active Directory. A ligação transfere um ficheiro chamado ODJConnectorBootstrapper.exe.

Instalar o Conector do Intune para o Active Directory no servidor

Importante

O Conector Intune para instalação do Active Directory tem de ser feito com uma conta que tenha os seguintes direitos de domínio:

  • Obrigatório – crie objetos msDs-ManagedServiceAccount no contentor Contas de Serviço Geridas.
  • Opcional – Modificar permissões em UOs no Active Directory – se o administrador que está a instalar o Conector do Intune atualizado para o Active Directory não tiver este direito, os passos de configuração adicionais são exigidos por um administrador que tenha estes direitos. Para obter mais informações, veja o passo/secção Aumentar o limite da conta de computador na Unidade Organizacional.

  1. Inicie sessão no servidor onde o Conector Intune do Active Directory está a ser instalado com uma conta que tenha direitos de administrador local.

  2. Se o conector do Intune legado anterior do Active Directory estiver instalado, desinstale-o primeiro antes de instalar o Conector Intune atualizado para o Active Directory. Para obter mais informações, veja Desinstalar o Conector Intune do Active Directory.

    Importante

    Ao desinstalar o conector do Intune legado anterior para o Active Directory, certifique-se de que executa o conector do Intune legado para o instalador do Active Directory como parte do processo de desinstalação. Se o instalador legado Intune Connector for Active Directory pedir para Desinstalá-lo quando for executado, selecione para desinstalá-lo. Este passo garante que o conector de Intune legado anterior do Active Directory está totalmente desinstalado. O instalador legado do Intune Connector para o Active Directory pode ser transferido do Intune Connector para o Active Directory.

    Dica

    Em domínios com apenas um único conector de Intune para o Active Directory, a Microsoft recomenda que instale primeiro o Conector Intune atualizado para o Active Directory noutro servidor. A instalação do Conector Intune atualizado para o Active Directory noutro servidor deve ser efetuada antes de desinstalar o Conector do Intune legado para o Active Directory no servidor atual. Instalar o Conector do Intune para o Active Directory noutro primeiro evita qualquer período de indisponibilidade enquanto o Conector Intune do Active Directory está a ser atualizado no servidor atual.

  3. Abra o ODJConnectorBootstrapper.exe ficheiro que transferiu para iniciar a instalação do Conector do Intune para a Configuração do Active Directory.

  4. Siga os passos do conector Intune para a instalação da Configuração do Active Directory.

  5. No final da instalação, selecione a caixa de verificação Iniciar Intune Conector do Active Directory.

    Observação

    Se Intune a instalação do Conector do Active Directory for fechada acidentalmente sem selecionar a caixa de verificação Iniciar Intune Conector do Active Directory, a configuração do Conector Intune do Active Directory pode ser reaberta ao selecionar Intune Conector do Active Directory>Intune Conector do Active Directory no menu Iniciar.

Iniciar sessão no Conector do Intune para o Active Directory

  1. Na janela Intune Conector do Active Directory, no separador Inscrição, selecione Iniciar Sessão.

  2. No separador Iniciar Sessão, inicie sessão com as credenciais Microsoft Entra ID de uma função de administrador Intune. A conta de usuário deve ter uma licença válida do Intune. O processo de início de sessão pode demorar alguns minutos a ser concluído.

    Observação

    A conta utilizada para inscrever o Conector Intune para o Active Directory é apenas um requisito temporário no momento da instalação. A conta não é utilizada no futuro após a inscrição do servidor.

  3. Quando o processo de início de sessão estiver concluído:

    1. É apresentada a janela de confirmação Intune Conector do Active Directory inscrito com êxito. Selecione OK para fechar a janela.
    2. Uma Conta de Serviço Gerida com o nome "<>MSA_name" foi configurada com êxito, é apresentada a janela de confirmação. O nome da MSA está no formato msaODJ##### em que ##### existem cinco carateres aleatórios. Anote o nome da MSA que foi criada e, em seguida, selecione OK para fechar a janela. O nome da MSA poderá ser necessário mais tarde para configurar o MSA para permitir a criação de objetos de computador em UOs.

  4. O separador Inscrição mostra Intune Conector do Active Directory está inscrito. O botão Iniciar Sessão está a cinzento e a opção Configurar Conta de Serviço Gerida está ativada.

  5. Feche a janela Intune Conector do Active Directory.

Verifique se o Conector Intune do Active Directory está ativo

Após a autenticação, o Conector Intune do Active Directory termina a instalação. Depois de concluir a instalação, verifique se está ativa no Intune ao seguir estes passos:

  1. Aceda ao centro de administração do Microsoft Intune se ainda estiver aberto. Se a janela Adicionar conector ainda estiver apresentada, feche-a.

    Se o centro de administração do Microsoft Intune ainda não estiver aberto:

    1. Entre no Centro de administração do Microsoft Intune.

    2. No ecrã Principal , selecione Dispositivos no painel esquerdo.

    3. Em Dispositivos | Ecrã Descrição geral , em Por plataforma, selecione Windows.

    4. No Windows | Ecrã Dispositivos Windows , em Inclusão de dispositivos, selecione Inscrição.

    5. No Windows | Ecrã de inscrição do Windows, em Windows Autopilot, selecione Intune Conector do Active Directory.

  2. Na página Intune Connector for Active Directory (Conector do Intune para o Active Directory):

    • Confirme que o servidor é apresentado em Nome do conector e apresentado como Ativo em Estado
    • Para o Conector Intune atualizado para o Active Directory, certifique-se de que a versão é maior ou igual a 6.2501.2000.5.

    Se o servidor não for apresentado, selecione Atualizar ou navegue para fora da página e, em seguida, navegue de volta para a página Intune Conector do Active Directory.

Observação

  • O servidor inscrito recentemente pode demorar vários minutos a aparecer na página do Conector do Intune do Active Directory do centro de administração do Microsoft Intune. O servidor inscrito só é apresentado se conseguir comunicar com o serviço Intune com êxito.

  • Os Conectores de Intune Inativos do Active Directory continuam a aparecer na página Intune Connector for Active Directory e serão limpos automaticamente após 30 dias.

Após a instalação do Conector de Intune para o Active Directory, iniciará o registo no Visualizador de Eventos no caminho Applications and Services Logs>Microsoft>Intune>ODJConnectorService. Neste caminho, Administração e Os registos operacionais podem ser encontrados.

Configurar a MSA para permitir a criação de objetos em UOs (opcional)

Por predefinição, os MSAs só têm acesso para criar objetos de computador no contentor Computadores . Os MSAs não têm acesso para criar objetos de computador em Unidades Organizacionais (UOs). Para permitir que a MSA crie objetos em UOs, as UOs têm de ser adicionadas ao ODJConnectorEnrollmentWizard.exe.config ficheiro XML encontrado no ODJConnectorEnrollmentWizard diretório onde o Conector Intune para o Active Directory foi instalado, normalmente C:\Program Files\Microsoft Intune\ODJConnector\.

Para configurar a MSA para permitir a criação de objetos em UOs, siga estes passos:

  1. No servidor onde está instalado o Conector do Intune para o Active Directory, navegue para ODJConnectorEnrollmentWizard o diretório onde o conector Intune do Active Directory foi instalado, normalmente C:\Program Files\Microsoft Intune\ODJConnector\.

  2. ODJConnectorEnrollmentWizard No diretório, abra o ficheiro XML existente ODJConnectorEnrollmentWizard.exe.config num editor de texto, por exemplo, Bloco de notas.

  3. add key No elemento do ODJConnectorEnrollmentWizard.exe.config ficheiro XML:

    • Junto a value=, adicione todas as UOs pretendidas nas quais a MSA deve ter acesso para criar objetos de computador.
    • O nome da UO tem de estar no formato de nome único LDAP e, se aplicável, tem de ser escapado.
    • São suportadas várias UOs ao separar cada UO com um ponto e vírgula (;).
    • Certifique-se de que mantém as aspas (") junto a value=. Todos os valores de UO têm de estar dentro de um par de aspas.
    • Não altere o nome do elemento OrganizationalUnitsUsedForOfflineDomainJoinchave .

    O exemplo seguinte é uma entrada XML de exemplo com várias UOs no formato de nome único LDAP:

      <appSettings>

    <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format.
        The ODJ Connector will only have permission to create computer objects in these OUs.
        The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure

        Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY):
        Domain contains the following OUs:
          - OU=HybridDevices,DC=contoso,DC=com
          - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com

        Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" -->

    <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" />
  </appSettings>

    Dica

    No exemplo, substitua o texto vermelho de exemplo junto a value= pelas UOs da organização no formato de nome único LDAP. Conforme mostrado no exemplo, certifique-se de que todas as entradas de UO estão entre aspas (") e que cada UO está separada por um ponto e vírgula (;) .

  4. Assim que todas as UOs pretendidas forem adicionadas, guarde o ODJConnectorEnrollmentWizard.exe.config ficheiro XML.

  5. Enquanto administrador com permissões adequadas para modificar permissões de UO, abra o Conector Intune do Active Directory ao navegar para Intune Conector do Active Directory>Intune Conector do Active Directory a partir do menu Iniciar.

    Importante

    Se o administrador que está a instalar e configurar o Conector do Intune para o Active Directory não tiver permissões para modificar permissões de UO, a secção/passos Aumentar o limite da conta de computador na Unidade Organizacional tem de ser seguido por um administrador que tenha permissões para modificar permissões de UO.

  6. No separador Inscrição, na janela Intune Conector do Active Directory, selecione Configurar Conta de Serviço Gerida.

  7. É apresentada uma Conta de Serviço Gerida com o nome "<MSA_name>" que foi configurada com êxito na janela de confirmação. Selecione OK para fechar a janela.

Utilizar uma Conta de Serviço Gerida personalizada (opcional)

Opcionalmente, pode configurar o conector para utilizar a sua própria Conta de Serviço Gerida, ao contrário da MSA configurada automaticamente pelo conector.

Requisitos do MSA

Esta secção descreve os requisitos do MSA.

  • A conta fornecida tem de ser uma conta de serviço com qualquer uma das seguintes categorias de objetos no Active Directory:

    • CN=ms-DS-Group-Managed-Service-Account,CN=Schema,CN=Configuration,DC=contoso,DC=com

    • CN=ms-DS-Managed-Service-Account,CN=Schema,CN=Configuration,DC=contoso,DC=com

  • O valor de configuração da conta de serviço tem de estar no seguinte formato: <msaAccountName@domain>

  • A conta de serviço tem de existir no mesmo domínio que o servidor do Conector ODJ.

  • A conta de serviço tem de ser instalada no servidor que aloja o Conector ODJ. Para obter mais informações, veja Install-ADServiceAccount.

    • Se utilizar sMSA, a conta só pode ser associada a um único computador.
    • Se estiver a utilizar uma gMSA, o servidor no qual está a instalar a gMSA tem de ter acesso à palavra-passe.

  • A conta de serviço tem de ter a permissão iniciar sessão como serviço local, que pode ser definida diretamente ou através da associação ao grupo. Para obter mais informações, veja Ativar o início de sessão do serviço.

  • A permissão tem de ser concedida manualmente para que as contas de serviço criem objetos de computador para fluxos híbridos do Autopilot. Para obter mais informações, veja Aumentar o limite da conta de computador na Unidade Organizacional (UO).

Como configurar

Atualizar ODJConnectorEnrollmentWizard.exe.config. A localização predefinida é C:\Program Files\Microsoft Intune\ODJConnector\ODJConnectorEnrollmentWizard.

  1. Na secção appSettings do ficheiro, adicione a seguinte linha: <add key="TenantConfiguredManagedServiceAccount" value="{accountname}" />
  2. Inicie sessão no conector.
Desativar atualizações da UO

A utilização do seu próprio MSA irá desativar o conector de efetuar quaisquer atualizações de UO, independentemente das configuradas em OrganizationalUnitsUsedForOfflineDomainJoin. Para evitar erros, desative as atualizações da UO ao atualizar ODJConnectorEnrollmentWizard.exe.config. A localização predefinida é C:\Program Files\Microsoft Intune\ODJConnector\ODJConnectorEnrollmentWizard.

  1. Na secção appSettings do ficheiro, adicione a seguinte linha: <add key="DisableOUUpdates" value="true" />
  2. Inicie sessão no conector.

Passo seguinte: Aumentar o limite da conta de computador na Unidade Organizacional (UO)

Passo 3: aumentar o limite da conta de computador na Unidade Organizacional (UO)

  • Last updated on