用于预预配部署的 Windows Autopilot Microsoft Entra混合联接步骤:
- 步骤 2:安装适用于 Active Directory 的 Intune 连接器
- 步骤 3: 提高组织单位中的计算机帐户限制 (OU)
- 步骤 4: 将设备注册为 Windows Autopilot 设备
- 步骤 5: 创建设备组
- 步骤 6: 配置和分配 Windows Autopilot 注册状态页 (ESP)
- 步骤 7:创建和分配Microsoft Entra混合加入 Windows Autopilot 配置文件
- 步骤 8: 配置和分配域加入配置文件
- 步骤 9: 将 Windows Autopilot 设备分配给用户 (可选)
- 步骤 10: 技术人员流
- 步骤 11: 用户流
有关预预配部署Microsoft Entra混合加入工作流的 Windows Autopilot 概述,请参阅 Windows Autopilot for pre-provisioned deployment Microsoft Entra混合联接概述。
注意
如果已安装并配置 Active Directory Intune连接器,请跳过此步骤,转到步骤 3:提高组织单位中的计算机帐户限制 (OU) 。
安装适用于 Active Directory 的 Intune 连接器
Intune Active Directory 连接器(也称为脱机域加入 (ODJ) 连接器)在 Windows Autopilot 过程中将计算机加入到本地域。 在域加入过程中,连接器在 Active Directory 中的指定组织单位 (OU) 中创建计算机对象。
重要
从 Intune 2501 开始,更新了 Active Directory 的Intune连接器,并通过使用托管服务帐户 (MSA) 遵循最低特权原则来提高安全性。 从 Intune 下载连接器时,会自动获取更新的版本。
已 弃用的旧连接器仍可用 ,不久将停止接受注册请求。 如果仍使用旧连接器,请立即更新以避免功能丢失。 有关详细信息,请参阅 Windows Autopilot 混合Microsoft Entra加入部署的具有低特权帐户的 Active Directory Intune连接器博客文章。
若要更新连接器,必须:
- 手动卸载旧连接器。 没有自动选项。
- 下载并安装本文) 中所述的更新连接器 (。
提示
如果使用多个域注册 Autopilot 设备:
- 需要为每个域提供单独的连接器实例。 连接器只能处理其安装所在的同一域的注册请求。
- 每个服务器最多可以有 1 个连接器, (VM 或物理) 。 可以为每个域设置额外的服务器来实现冗余,每个服务器都安装了自己的连接器。 在该设置中,如果一个连接器发生故障,请求将发送到同一域中另一台服务器上的另一个连接器。
选择与正在安装的 Intune Active Directory 连接器版本对应的选项卡:
更新的连接器开始之前
在安装之前,请确保满足 Active Directory 服务器要求的所有Intune连接器。
Microsoft建议 (不需要) 安装和配置 active Directory Intune 连接器的管理员具有 active Directory 要求Intune连接器中列出的域权限。 这些权限允许 Intune Connector for Active Directory 安装程序和配置过程在创建计算机对象的计算机容器或 OU 上设置托管服务帐户 (MSA) 的权限。
如果管理员缺少这些权限,则具有适当权限的另一个管理员必须在 组织单位 (OU) 提高计算机帐户限制 。
关闭 Internet Explorer 增强的安全配置
从版本 6.2504.2001.8 开始,更新的 active Directory Intune 连接器切换到使用基于 Microsoft Edge 构建的 WebView2,而不是基于 Microsoft Internet Explorer 构建的 WebBrowser。 此更改意味着不再需要关闭 Windows Server 中的 Internet Explorer 增强安全配置设置。 请确保安装 6.2504.2001.8 或更高版本的 Intune 连接器 Active Directory,以避免 Internet Explorer 增强安全配置设置出现问题。
下载适用于 Active Directory 的 Intune 连接器
在安装了 Intune 连接器 for Active Directory 的服务器上,登录到 Microsoft Intune 管理中心。
在 “主页 ”屏幕中,选择左侧窗格中的“ 设备 ”。
在 设备中 |“概述 ”屏幕的“ 按平台”下,选择“ Windows”。
在 Windows 中 |Windows 设备 屏幕的“ 设备载入”下,选择“ 注册”。
在 Windows 中 |Windows 注册屏幕的“Windows Autopilot”下,选择“Intune Active Directory 连接器”。
在“适用于 Active Directory 的Intune连接器”屏幕中,选择“添加”。
在打开的“添加连接器”窗口中,在“为 Active Directory 配置Intune连接器”下,选择“下载 Active Directory 的本地Intune连接器”。 该链接下载名为 的文件
ODJConnectorBootstrapper.exe。
在服务器上安装适用于 Active Directory 的 Intune 连接器
重要
Intune连接器的 Active Directory 安装需要使用具有以下域权限的帐户来完成:
- 必需 - 在托管服务帐户容器中创建 msDs-ManagedServiceAccount 对象。
- 可选 - 修改 Active Directory 中 OU 中的权限 - 如果安装适用于 Active Directory 的更新Intune连接器的管理员没有此权限,则具有这些权限的管理员需要执行其他配置步骤。 有关详细信息,请参阅步骤/部分 增加组织单位中的计算机帐户限制。
使用具有本地管理员权限的帐户登录到安装了 Intune 连接器 for Active Directory 的服务器。
如果安装了以前的旧版 Intune 连接器 for Active Directory,请先卸载它,然后再安装更新的 Intune Active Directory 连接器。 有关详细信息,请参阅卸载适用于 Active Directory 的 Intune 连接器。
重要
卸载旧版 Intune 连接器 for Active Directory 时,请确保在卸载过程中运行旧版 Intune Connector for Active Directory 安装程序。 如果旧版 Intune Connector for Active Directory 安装程序在运行时提示卸载它,请选择卸载它。 此步骤可确保完全卸载以前的旧版 Intune Active Directory 连接器。 可以从 Active Directory Intune Connector for Active Directory 下载旧版 Intune 连接器安装程序。
提示
在只有单个Intune连接器的域中,Microsoft建议先在另一台服务器上安装更新的 Intune 连接器。 应在另一台服务器上安装更新的 Intune Connector for Active Directory,然后再在当前服务器上卸载旧Intune Active Directory 连接器。 在当前服务器上更新 Intune 连接器 for Active Directory 时,首先安装用于 Active Directory 的 Intune 连接器可避免停机。
打开
ODJConnectorBootstrapper.exe下载的文件,以启动 Intune Connector for Active Directory 安装程序安装。单步执行适用于 Active Directory 安装程序的 Intune 连接器安装。
安装结束时,选中“启动 active Directory Intune连接器”复选框。
注意
如果Intune连接器 for Active Directory 安装程序安装意外关闭,但未选中“启动Intune Active Directory 连接器”复选框,则可以通过选择“Intune连接器 for Active> Directory”来重新打开 active Directory Intune连接器配置Intune“开始”菜单中的 Active Directory 连接器。
登录到适用于 Active Directory 的 Intune 连接器
在“Intune连接器 for Active Directory”窗口中的“注册”选项卡下,选择“登录”。
在“登录”选项卡下,使用Intune管理员角色的Microsoft Entra ID凭据登录。 必须为用户帐户分配 Intune 许可证。 登录过程可能需要几分钟才能完成。
注意
用于注册 Active Directory Intune连接器的帐户只是安装时的临时要求。 注册服务器后,不会使用帐户。
登录过程完成后:
- 此时会显示“active Directory Intune连接器已成功注册”确认窗口。 选择 “确定” 关闭窗口。
-
名为 “的<托管服务帐户>出现MSA_name“已成功设置 确认窗口。 MSA 的名称的格式
msaODJ##########为 5 个随机字符。 指定已创建的 MSA 的名称,然后选择“ 确定 ”以关闭窗口。 稍后可能需要 MSA 的名称才能将 MSA 配置为允许在 OU 中创建计算机对象。
“注册”选项卡显示 Active Directory 连接器已注册Intune。 “ 登录 ”按钮灰显,并且已启用 “配置托管服务帐户 ”。
关闭“Active Directory Intune连接器”窗口。
验证 Active Directory 的Intune连接器是否处于活动状态
进行身份验证后,Intune连接器 for Active Directory 完成安装。 安装完成后,请按照以下步骤在 Intune 中验证它是否处于活动状态:
如果管理中心仍处于打开状态,请转到Microsoft Intune管理中心。 如果仍显示 “添加连接器 ”窗口,请将其关闭。
如果Microsoft Intune管理中心尚未打开:
在 “主页 ”屏幕中,选择左侧窗格中的“ 设备 ”。
在 设备中 |“概述 ”屏幕的“ 按平台”下,选择“ Windows”。
在 Windows 中 |Windows 设备 屏幕的“ 设备载入”下,选择“ 注册”。
在 Windows 中 |Windows 注册屏幕的“Windows Autopilot”下,选择“Intune Active Directory 连接器”。
在 Active Directory 的“Intune连接器”页中:
- 确认服务器显示在“连接器名称”下,并在“状态”下显示为“活动”
- 对于 Active Directory 的更新Intune连接器,请确保版本大于或等于 6.2501.2000.5。
如果未显示服务器,请选择“刷新”或导航离开页面,然后导航回到“Intune Active Directory 连接器”页。
注意
新注册的服务器可能需要几分钟时间才能显示在Microsoft Intune管理中心的“Intune连接器 active Directory”页中。 仅当已注册的服务器能够成功与Intune服务通信时,才会显示该服务器。
Active Directory 的非活动Intune连接器仍显示在 Active Directory Intune连接器页中,并在 30 天后自动清理。
安装 Intune 连接器 for Active Directory 后,它将开始在“应用程序和服务日志>MicrosoftIntuneODJConnectorService”路径下的事件查看器>>中日志记录。 在此路径下,可以找到管理员和作日志。
将 MSA 配置为允许在 OU 中创建对象 (可选)
默认情况下,MSA 仅有权在计算机容器中创建 计算机 对象。 MSA 无权在组织单位 (OU) 中创建计算机对象。 若要允许 MSA 在 OU 中创建对象,需要将 OU 添加到ODJConnectorEnrollmentWizard.exe.config安装 active Directory Intune 连接器的目录中的 ODJConnectorEnrollmentWizard XML 文件中,通常C:\Program Files\Microsoft Intune\ODJConnector\为 。
若要将 MSA 配置为允许在 OU 中创建对象,请执行以下步骤:
在安装了 Intune 连接器 for Active Directory 的服务器上,导航到
ODJConnectorEnrollmentWizard安装了 Intune Active Directory 连接器的目录(通常C:\Program Files\Microsoft Intune\ODJConnector\为 )。在
ODJConnectorEnrollmentWizard目录中,在文本编辑器(例如记事本)中打开现有ODJConnectorEnrollmentWizard.exe.configXML 文件。add key在 XML 文件的 元素中ODJConnectorEnrollmentWizard.exe.config:- 在
value=旁边,添加 MSA 应有权访问的任何所需 OU,以在中创建计算机对象。 - OU 名称需要采用 LDAP 可分辨名称 格式,如果适用,则需要进行转义。
- 使用分号 (;) 分隔每个 OU 来支持多个 OU。
- 请确保将引号 (“) 保留在
value=旁边。 所有 OU 值都需要在一对引号内。 - 不要更改键元素
OrganizationalUnitsUsedForOfflineDomainJoin的名称。
以下示例是具有多个 OU 的示例 XML 条目,采用 LDAP 可分辨名称格式:
<appSettings> <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format. The ODJ Connector will only have permission to create computer objects in these OUs. The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY): Domain contains the following OUs: - OU=HybridDevices,DC=contoso,DC=com - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" --> <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" /> </appSettings>提示
在此示例中,将 旁边的
value=示例红色文本替换为 LDAP 可分辨名称格式的组织 OU。 如示例中所示,请确保所有 OU 条目都位于引号 (“) 内,并且每个 OU 都用分号 (;) 分隔。- 在
添加所有所需的 OU 后,保存
ODJConnectorEnrollmentWizard.exe.configXML 文件。作为具有修改 OU 权限的适当权限的管理员,请从“开始”菜单导航到“Intune Active Directory> 连接器Intune Active Directory 连接器”,打开 Active Directory Intune连接器。
重要
如果安装和配置 Intune 连接器 for Active Directory 的管理员没有修改 OU 权限的权限,则部分/步骤需要在组织单位中增加计算机帐户限制后跟有权限修改 OU 权限的管理员。
在“Intune连接器 active Directory”窗口中的“注册”选项卡下,选择“配置托管服务帐户”。
此时会显示 名为“<MSA_name>”的托管服务帐户已成功设置确认 窗口。 选择 “确定” 关闭窗口。
使用自定义托管服务帐户 (可选)
(可选)可以将连接器配置为使用自己的托管服务帐户,而不是连接器自动设置的 MSA。
MSA 要求
本部分介绍 MSA 要求。
提供的帐户必须是 Active Directory 中具有以下对象类别之一的服务帐户:
CN=ms-DS-Group-Managed-Service-Account,CN=Schema,CN=Configuration,DC=contoso,DC=comCN=ms-DS-Managed-Service-Account,CN=Schema,CN=Configuration,DC=contoso,DC=com
服务帐户的配置值需要采用以下格式:
<msaAccountName@domain>服务帐户需要与 ODJ 连接器的服务器位于同一域中。
需要在托管 ODJ 连接器的服务器上安装服务帐户。 有关详细信息,请参阅 Install-ADServiceAccount。
- 如果使用 sMSA,则帐户只能链接到一台计算机。
- 如果使用 gMSA,则安装 gMSA 的服务器需要有权访问密码。
服务帐户需要具有本地 登录即服务 权限,可以直接或通过组成员身份设置。 有关详细信息,请参阅 启用服务登录。
需要为服务帐户手动授予权限,以便为混合 Autopilot 流创建计算机对象。 有关详细信息,请参阅 提高组织单位中的计算机帐户限制 (OU) 。
如何设置
更新 ODJConnectorEnrollmentWizard.exe.config。 其默认位置为 C:\Program Files\Microsoft Intune\ODJConnector\ODJConnectorEnrollmentWizard。
- 在文件的 appSettings 部分中 ,添加以下行:
<add key="TenantConfiguredManagedServiceAccount" value="{accountname}" /> - 登录到连接器。
禁用 OU 更新
使用自己的 MSA 将禁止连接器进行任何 OU 更新,而不考虑在 OrganizationUnitsUsedForOfflineDomainJoin 中进行任何配置。 若要防止错误,请通过更新 ODJConnectorEnrollmentWizard.exe.config禁用 OU 更新。 其默认位置为 C:\Program Files\Microsoft Intune\ODJConnector\ODJConnectorEnrollmentWizard。
- 在文件的 appSettings 部分中 ,添加以下行:
<add key="DisableOUUpdates" value="true" /> - 登录到连接器。