重要
Microsoft建议使用Microsoft Entra联接将新设备部署为云原生设备。 不建议将新设备部署为Microsoft Entra混合联接设备,包括通过 Windows Autopilot 部署。 有关详细信息,请参阅在云原生终结点中加入Microsoft Entra与Microsoft Entra混合联接:哪个选项适合你的组织。
Intune和 Windows Autopilot 可用于设置Microsoft Entra混合联接设备。 为此,请执行本文中的步骤。 有关Microsoft Entra混合联接的详细信息,请参阅了解混合联接和共同管理Microsoft Entra。
要求
在 Windows Autopilot 期间执行Microsoft Entra混合联接的要求列表分为三个不同的类别:
- 常规 - 常规要求。
- 设备注册 - 设备注册要求。
- Intune连接器 - Intune连接器满足 Active Directory 要求。
选择相应的选项卡以查看相关要求:
一般信息- 已成功配置Microsoft Entra混合联接设备。 请务必使用 Get-MgDevice cmdlet 验证设备注册。
- 如果基于域和 OU 的筛选配置为 Microsoft Entra Connect 的一部分,请确保同步范围中包含适用于 Windows Autopilot 设备的默认组织单位 (OU) 或容器。
设置 Windows 自动 MDM 注册
登录到Azure 门户并选择“Microsoft Entra ID”。
在左侧窗格中,选择“管理 | 移动性 (MDM 和 WIP) >Microsoft Intune”。
确保使用 Intune 和 Windows 部署已加入Microsoft Entra设备的用户是 MDM 用户范围中包含的组的成员。
在MDM 使用条款 URL、MDM 发现 URL和 MDM 符合性 URL框中使用默认值,然后选择保存。
安装适用于 Active Directory 的 Intune 连接器
Intune Active Directory 连接器(也称为脱机域加入 (ODJ) 连接器)在 Windows Autopilot 过程中将计算机加入到本地域。 在域加入过程中,连接器在 Active Directory 中的指定组织单位 (OU) 中创建计算机对象。
重要
从 Intune 2501 开始,更新了 Active Directory 的Intune连接器,并通过使用托管服务帐户 (MSA) 遵循最低特权原则来提高安全性。 从 Intune 下载连接器时,会自动获取更新的版本。
已 弃用的旧连接器仍可用 ,不久将停止接受注册请求。 如果仍使用旧连接器,请立即更新以避免功能丢失。 有关详细信息,请参阅 Windows Autopilot 混合Microsoft Entra加入部署的具有低特权帐户的 Active Directory Intune连接器博客文章。
若要更新连接器,必须:
- 手动卸载旧连接器。 没有自动选项。
- 下载并安装本文) 中所述的更新连接器 (。
提示
如果使用多个域注册 Autopilot 设备:
- 需要为每个域提供单独的连接器实例。 连接器只能处理其安装所在的同一域的注册请求。
- 每个服务器最多可以有 1 个连接器, (VM 或物理) 。 可以为每个域设置额外的服务器来实现冗余,每个服务器都安装了自己的连接器。 在该设置中,如果一个连接器发生故障,请求将发送到同一域中另一台服务器上的另一个连接器。
选择与正在安装的 Intune Active Directory 连接器版本对应的选项卡:
更新的连接器开始之前
在安装之前,请确保满足 Active Directory 服务器要求的所有Intune连接器。
Microsoft建议 (不需要) 安装和配置 active Directory Intune 连接器的管理员具有 active Directory 要求Intune连接器中列出的域权限。 这些权限允许 Intune Connector for Active Directory 安装程序和配置过程在创建计算机对象的计算机容器或 OU 上设置托管服务帐户 (MSA) 的权限。
如果管理员缺少这些权限,则具有适当权限的另一个管理员必须在 组织单位 (OU) 提高计算机帐户限制 。
关闭 Internet Explorer 增强的安全配置
从版本 6.2504.2001.8 开始,更新的 active Directory Intune 连接器切换到使用基于 Microsoft Edge 构建的 WebView2,而不是基于 Microsoft Internet Explorer 构建的 WebBrowser。 此更改意味着不再需要关闭 Windows Server 中的 Internet Explorer 增强安全配置设置。 请确保安装 6.2504.2001.8 或更高版本的 Intune 连接器 Active Directory,以避免 Internet Explorer 增强安全配置设置出现问题。
下载适用于 Active Directory 的 Intune 连接器
在安装了 Intune 连接器 for Active Directory 的服务器上,登录到 Microsoft Intune 管理中心。
在 “主页 ”屏幕中,选择左侧窗格中的“ 设备 ”。
在 设备中 |“概述 ”屏幕的“ 按平台”下,选择“ Windows”。
在 Windows 中 |Windows 设备 屏幕的“ 设备载入”下,选择“ 注册”。
在 Windows 中 |Windows 注册屏幕的“Windows Autopilot”下,选择“Intune Active Directory 连接器”。
在“适用于 Active Directory 的Intune连接器”屏幕中,选择“添加”。
在打开的“添加连接器”窗口中,在“为 Active Directory 配置Intune连接器”下,选择“下载 Active Directory 的本地Intune连接器”。 该链接下载名为 的文件
ODJConnectorBootstrapper.exe。
在服务器上安装适用于 Active Directory 的 Intune 连接器
重要
Intune连接器的 Active Directory 安装需要使用具有以下域权限的帐户来完成:
- 必需 - 在托管服务帐户容器中创建 msDs-ManagedServiceAccount 对象。
- 可选 - 修改 Active Directory 中 OU 中的权限 - 如果安装适用于 Active Directory 的更新Intune连接器的管理员没有此权限,则具有这些权限的管理员需要执行其他配置步骤。 有关详细信息,请参阅步骤/部分 增加组织单位中的计算机帐户限制。
使用具有本地管理员权限的帐户登录到安装了 Intune 连接器 for Active Directory 的服务器。
如果安装了以前的旧版 Intune 连接器 for Active Directory,请先卸载它,然后再安装更新的 Intune Active Directory 连接器。 有关详细信息,请参阅卸载适用于 Active Directory 的 Intune 连接器。
重要
卸载旧版 Intune 连接器 for Active Directory 时,请确保在卸载过程中运行旧版 Intune Connector for Active Directory 安装程序。 如果旧版 Intune Connector for Active Directory 安装程序在运行时提示卸载它,请选择卸载它。 此步骤可确保完全卸载以前的旧版 Intune Active Directory 连接器。 可以从 Active Directory Intune Connector for Active Directory 下载旧版 Intune 连接器安装程序。
提示
在只有单个Intune连接器的域中,Microsoft建议先在另一台服务器上安装更新的 Intune 连接器。 应在另一台服务器上安装更新的 Intune Connector for Active Directory,然后再在当前服务器上卸载旧Intune Active Directory 连接器。 在当前服务器上更新 Intune 连接器 for Active Directory 时,首先安装用于 Active Directory 的 Intune 连接器可避免停机。
打开
ODJConnectorBootstrapper.exe下载的文件,以启动 Intune Connector for Active Directory 安装程序安装。单步执行适用于 Active Directory 安装程序的 Intune 连接器安装。
安装结束时,选中“启动 active Directory Intune连接器”复选框。
注意
如果Intune连接器 for Active Directory 安装程序安装意外关闭,但未选中“启动Intune Active Directory 连接器”复选框,则可以通过选择“Intune连接器 for Active> Directory”来重新打开 active Directory Intune连接器配置Intune“开始”菜单中的 Active Directory 连接器。
登录到适用于 Active Directory 的 Intune 连接器
在“Intune连接器 for Active Directory”窗口中的“注册”选项卡下,选择“登录”。
在“登录”选项卡下,使用Intune管理员角色的Microsoft Entra ID凭据登录。 必须为用户帐户分配 Intune 许可证。 登录过程可能需要几分钟才能完成。
注意
用于注册 Active Directory Intune连接器的帐户只是安装时的临时要求。 注册服务器后,不会使用帐户。
登录过程完成后:
- 此时会显示“active Directory Intune连接器已成功注册”确认窗口。 选择 “确定” 关闭窗口。
-
名为 “的<托管服务帐户>出现MSA_name“已成功设置 确认窗口。 MSA 的名称的格式
msaODJ##########为 5 个随机字符。 指定已创建的 MSA 的名称,然后选择“ 确定 ”以关闭窗口。 稍后可能需要 MSA 的名称才能将 MSA 配置为允许在 OU 中创建计算机对象。
“注册”选项卡显示 Active Directory 连接器已注册Intune。 “ 登录 ”按钮灰显,并且已启用 “配置托管服务帐户 ”。
关闭“Active Directory Intune连接器”窗口。
验证 Active Directory 的Intune连接器是否处于活动状态
进行身份验证后,Intune连接器 for Active Directory 完成安装。 安装完成后,请按照以下步骤在 Intune 中验证它是否处于活动状态:
如果管理中心仍处于打开状态,请转到Microsoft Intune管理中心。 如果仍显示 “添加连接器 ”窗口,请将其关闭。
如果Microsoft Intune管理中心尚未打开:
在 “主页 ”屏幕中,选择左侧窗格中的“ 设备 ”。
在 设备中 |“概述 ”屏幕的“ 按平台”下,选择“ Windows”。
在 Windows 中 |Windows 设备 屏幕的“ 设备载入”下,选择“ 注册”。
在 Windows 中 |Windows 注册屏幕的“Windows Autopilot”下,选择“Intune Active Directory 连接器”。
在 Active Directory 的“Intune连接器”页中:
- 确认服务器显示在“连接器名称”下,并在“状态”下显示为“活动”
- 对于 Active Directory 的更新Intune连接器,请确保版本大于或等于 6.2501.2000.5。
如果未显示服务器,请选择“刷新”或导航离开页面,然后导航回到“Intune Active Directory 连接器”页。
注意
新注册的服务器可能需要几分钟时间才能显示在Microsoft Intune管理中心的“Intune连接器 active Directory”页中。 仅当已注册的服务器能够成功与Intune服务通信时,才会显示该服务器。
Active Directory 的非活动Intune连接器仍显示在 Active Directory Intune连接器页中,并在 30 天后自动清理。
安装 Intune 连接器 for Active Directory 后,它将开始在“应用程序和服务日志>MicrosoftIntuneODJConnectorService”路径下的事件查看器>>中日志记录。 在此路径下,可以找到管理员和作日志。
将 MSA 配置为允许在 OU 中创建对象 (可选)
默认情况下,MSA 仅有权在计算机容器中创建 计算机 对象。 MSA 无权在组织单位 (OU) 中创建计算机对象。 若要允许 MSA 在 OU 中创建对象,需要将 OU 添加到ODJConnectorEnrollmentWizard.exe.config安装 active Directory Intune 连接器的目录中的 ODJConnectorEnrollmentWizard XML 文件中,通常C:\Program Files\Microsoft Intune\ODJConnector\为 。
若要将 MSA 配置为允许在 OU 中创建对象,请执行以下步骤:
在安装了 Intune 连接器 for Active Directory 的服务器上,导航到
ODJConnectorEnrollmentWizard安装了 Intune Active Directory 连接器的目录(通常C:\Program Files\Microsoft Intune\ODJConnector\为 )。在
ODJConnectorEnrollmentWizard目录中,在文本编辑器(例如记事本)中打开现有ODJConnectorEnrollmentWizard.exe.configXML 文件。add key在 XML 文件的 元素中ODJConnectorEnrollmentWizard.exe.config:- 在
value=旁边,添加 MSA 应有权访问的任何所需 OU,以在中创建计算机对象。 - OU 名称需要采用 LDAP 可分辨名称 格式,如果适用,则需要进行转义。
- 使用分号 (;) 分隔每个 OU 来支持多个 OU。
- 请确保将引号 (“) 保留在
value=旁边。 所有 OU 值都需要在一对引号内。 - 不要更改键元素
OrganizationalUnitsUsedForOfflineDomainJoin的名称。
以下示例是具有多个 OU 的示例 XML 条目,采用 LDAP 可分辨名称格式:
<appSettings> <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format. The ODJ Connector will only have permission to create computer objects in these OUs. The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY): Domain contains the following OUs: - OU=HybridDevices,DC=contoso,DC=com - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" --> <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" /> </appSettings>提示
在此示例中,将 旁边的
value=示例红色文本替换为 LDAP 可分辨名称格式的组织 OU。 如示例中所示,请确保所有 OU 条目都位于引号 (“) 内,并且每个 OU 都用分号 (;) 分隔。- 在
添加所有所需的 OU 后,保存
ODJConnectorEnrollmentWizard.exe.configXML 文件。作为具有修改 OU 权限的适当权限的管理员,请从“开始”菜单导航到“Intune Active Directory> 连接器Intune Active Directory 连接器”,打开 Active Directory Intune连接器。
重要
如果安装和配置 Intune 连接器 for Active Directory 的管理员没有修改 OU 权限的权限,则部分/步骤需要在组织单位中增加计算机帐户限制后跟有权限修改 OU 权限的管理员。
在“Intune连接器 active Directory”窗口中的“注册”选项卡下,选择“配置托管服务帐户”。
此时会显示 名为“<MSA_name>”的托管服务帐户已成功设置确认 窗口。 选择 “确定” 关闭窗口。
使用自定义托管服务帐户 (可选)
(可选)可以将连接器配置为使用自己的托管服务帐户,而不是连接器自动设置的 MSA。
MSA 要求
本部分介绍 MSA 要求。
提供的帐户必须是 Active Directory 中具有以下对象类别之一的服务帐户:
CN=ms-DS-Group-Managed-Service-Account,CN=Schema,CN=Configuration,DC=contoso,DC=comCN=ms-DS-Managed-Service-Account,CN=Schema,CN=Configuration,DC=contoso,DC=com
服务帐户的配置值需要采用以下格式:
<msaAccountName@domain>服务帐户需要与 ODJ 连接器的服务器位于同一域中。
需要在托管 ODJ 连接器的服务器上安装服务帐户。 有关详细信息,请参阅 Install-ADServiceAccount。
- 如果使用 sMSA,则帐户只能链接到一台计算机。
- 如果使用 gMSA,则安装 gMSA 的服务器需要有权访问密码。
服务帐户需要具有本地 登录即服务 权限,可以直接或通过组成员身份设置。 有关详细信息,请参阅 启用服务登录。
需要为服务帐户手动授予权限,以便为混合 Autopilot 流创建计算机对象。 有关详细信息,请参阅 提高组织单位中的计算机帐户限制 (OU) 。
如何设置
更新 ODJConnectorEnrollmentWizard.exe.config。 其默认位置为 C:\Program Files\Microsoft Intune\ODJConnector\ODJConnectorEnrollmentWizard。
- 在文件的 appSettings 部分中 ,添加以下行:
<add key="TenantConfiguredManagedServiceAccount" value="{accountname}" /> - 登录到连接器。
禁用 OU 更新
使用自己的 MSA 将禁止连接器进行任何 OU 更新,而不考虑在 OrganizationUnitsUsedForOfflineDomainJoin 中进行任何配置。 若要防止错误,请通过更新 ODJConnectorEnrollmentWizard.exe.config禁用 OU 更新。 其默认位置为 C:\Program Files\Microsoft Intune\ODJConnector\ODJConnectorEnrollmentWizard。
- 在文件的 appSettings 部分中 ,添加以下行:
<add key="DisableOUUpdates" value="true" /> - 登录到连接器。
配置 Web 代理设置
如果网络环境中存在 Web 代理,请参阅为 Active Directory Intune连接器配置代理设置,确保适用于 Active Directory 的Intune连接器正常工作。
增加组织单位中的计算机帐户限制
重要
只有在以下情况之一时才需要此步骤:
- 安装并配置 Intune 连接器 for Active Directory 的管理员没有Intune连接器 Active Directory 要求中所述的相应权限。
- 安装和配置 Intune 连接器的管理员具有上述适当权限,但无法向 MSA (托管服务帐户) 授予在组织单位中创建计算机对象的权限, (Intune连接器安装期间指定的) 。 有关详细信息,请参阅使用最低特权原则为 Active Directory 配置新的 Microsoft Intune 连接器。
-
ODJConnectorEnrollmentWizard.exe.configXML 文件未修改为添加 MSA 应具有其权限的 OU。
Intune连接器 for Active Directory 的目的是将计算机加入域并将其添加到 OU。 因此,用于 Active Directory Intune连接器的托管服务帐户需要有权在计算机加入到本地域的 OU 中创建计算机帐户。
使用 Active Directory 中的默认权限时,Active Directory Intune连接器的域加入最初可能无需对 Active Directory 中的 OU 进行任何权限修改即可正常工作。 但是,在 MSA 尝试将 10 台计算机加入本地域后,它将停止工作,因为默认情况下,Active Directory 仅允许任何单个帐户将最多 10 台计算机加入本地域。
以下用户不受 10 个计算机域加入限制的限制:
- 管理员或域管理员组中的用户:为了遵守最低特权原则模型,Microsoft不建议将 MSA 设置为管理员或域管理员。
- 对组织单位具有委派权限的用户 (OU) 和容器在 Active Directory 中创建计算机帐户:建议使用此方法,因为它遵循最低特权原则模型。
若要修复此限制,MSA 需要在本地域中将计算机加入到的组织单位 (OU) 中创建计算机帐户 权限。 只要满足以下条件之一,Active Directory Intune连接器会将 MSA 的权限设置为 OU:
- 安装 Intune 连接器 for Active Directory 的管理员具有设置 OU 权限所需的权限。
- 配置 active Directory Intune 连接器的管理员具有设置 OU 权限所需的权限。
如果安装或配置 active Directory Intune连接器的管理员没有设置 OU 权限所需的权限,则需要执行以下步骤:
使用一个帐户登录到有权访问 Active Directory 用户和计算机 控制台的计算机,该帐户是设置 OU 权限的必要权限。
通过运行 DSA.msc 打开Active Directory 用户和计算机控制台。
展开所需的域,导航到计算机在 Windows Autopilot 期间加入的组织单位 (OU) 。
注意
稍后在 配置和分配域加入配置文件 步骤中,将指定计算机在 Windows Autopilot 部署期间加入的 OU。
右键单击 OU 并选择 “属性”。
注意
如果计算机正在加入默认 的“计算机” 容器而不是 OU,请右键单击“ 计算机 ”容器,然后选择“ 委托控制”。
在打开的“OU 属性” 窗口中,选择“ 安全性 ”选项卡。
在“ 安全性 ”选项卡中,选择“ 高级”。
在 “高级安全设置” 窗口中,选择“ 添加”。
在 “权限输入” 窗口的 “主体”旁边,选择“ 选择主体” 链接。
在 “选择用户、计算机、服务帐户或组 ”窗口中,选择“ 对象类型...” 按钮。
在“对象类型”窗口中,选择“服务帐户检查”框,然后选择“确定”。
在“选择用户、计算机、服务帐户或组”窗口中,在“输入要选择的对象名称”下,输入用于 Active Directory Intune 连接器的 MSA 的名称。
提示
MSA 是在安装 active Directory Intune连接器步骤/节期间创建的,其名称格式
msaODJ##########为 5 个随机字符。 如果 MSA 名称未知,请按照以下步骤查找 MSA 名称:- 在运行 Intune 连接器 for Active Directory 的服务器上,右键单击“开始”菜单,然后选择“计算机管理”。
- 在 “计算机管理 ”窗口中,展开“ 服务和应用程序” ,然后选择“ 服务”。
- 在结果窗格中,找到名称Intune ODJConnector for Active Service 的服务。 MSA 的名称列在 “登录为 ”列中。
选择“ 检查名称” 以验证 MSA 名称条目。 验证条目后,选择“ 确定”。
在 “权限条目 ”窗口中,选择“ 应用于: ”下拉菜单,然后选择“ 仅此对象”。
在“权限”下,取消选择所有项,然后仅选中“检查创建计算机对象”框。
选择 “确定” 以关闭 “权限输入” 窗口。
在 “高级安全设置” 窗口中,选择“ 应用 ”或“ 确定” 以应用更改。
创建设备组
在Microsoft Intune管理中心,选择“组>”“新建组”。
在“ 组 ”窗格中,选择以下选项:
对于组类型,选择安全组。
输入组名称和组说明。
选择成员身份类型。
如果为成员身份类型选择了 “动态设备” ,请在“ 组 ”窗格中选择“ 动态设备成员”。
在规则语法框中选择编辑,然后输入以下代码行之一:
若要创建包含所有 Windows Autopilot 设备的组,请输入:
(device.devicePhysicalIDs -any _ -startsWith "[ZTDId]")Intune的“组标记”字段映射到Microsoft Entra设备上的 OrderID 属性。 若要创建包含具有特定组标记 (OrderID) 的所有 Windows Autopilot 设备的组,请输入:
(device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")若要创建包含具有特定采购订单 ID 的所有 Windows Autopilot 设备的组,请输入:
(device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")
选择保存>创建。
注册 Windows Autopilot 设备
选择以下方法之一来注册 Windows Autopilot 设备。
注册已注册的 Windows Autopilot 设备
创建 Windows Autopilot 部署配置文件,并将“ 将所有目标设备转换为 Autopilot ”设置为 “是”。
将配置文件分配给包含需要自动注册到 Windows Autopilot 的成员的组。
有关详细信息,请参阅 配置 Windows Autopilot 配置文件。
注册未注册的 Windows Autopilot 设备
尚未注册到 Windows Autopilot 的设备可以手动注册。 有关详细信息,请参阅手动注册。
从 OEM 注册设备
如果购买新设备,某些 OEM 可以代表组织注册设备。 有关详细信息,请参阅 OEM 注册。
显示已注册的 Windows Autopilot 设备
在设备注册Intune之前,已注册的 Windows Autopilot 设备会显示在三个位置, (将名称设置为其序列号) :
- Microsoft Intune管理中心中的“Windows Autopilot 设备”窗格。 选择 “设备>”“平台”|Windows>设备载入 |注册。 在 “Windows Autopilot”下,选择“ 设备”。
- 设备 |Azure 门户中的所有设备窗格。 选择设备>所有设备。
- Microsoft 365 管理中心中的 Autopilot 窗格。 选择 “设备>”“Autopilot”。
注册 Windows Autopilot 设备后,设备会显示在四个位置:
- 设备 |Microsoft Intune管理中心内的“所有设备”窗格。 选择“设备”>“所有设备”。
- Windows |Microsoft Intune管理中心中的“Windows 设备”窗格。 选择 “设备>”“平台”|Windows。
- 设备 |Azure 门户中的所有设备窗格。 选择设备>所有设备。
- Microsoft 365 管理中心中的“活动设备”窗格。 选择 “设备>”“活动设备”。
注意
注册设备后,设备仍显示在Microsoft Intune管理中心的“Windows Autopilot 设备”窗格和Microsoft 365 管理中心的“Autopilot”窗格中,但这些对象是 Windows Autopilot 注册的对象。
在 Windows Autopilot 中注册设备后,在 Microsoft Entra ID 中预先创建设备对象。 当设备经过混合Microsoft Entra部署时,根据设计,会创建另一个设备对象,从而导致重复条目。
VPN
以下 VPN 客户端已经过测试和验证:
- In-box Windows VPN 客户端
- Cisco AnyConnect(Win32 客户端)
- 脉冲安全(Win32 客户端)
- GlobalProtect(Win32 客户端)
- 检查点(Win32 客户端)
- Citrix NetScaler(Win32 客户端)
- SonicWall(Win32 客户端)
- FortiClient VPN(Win32 客户端)
使用 VPN 时,对于 Windows Autopilot 部署配置文件中的“跳过 AD 连接检查”选项,请选择“是”。 Always-On VPN 不应要求此选项,因为它会自动连接。
注意
此 VPN 客户端列表并不是使用 Windows Autopilot 的所有 VPN 客户端的完整列表。 有关 Windows Autopilot 的兼容性和可支持性,或者有关将 VPN 解决方案与 Windows Autopilot 配合使用的任何问题,请联系相应的 VPN 供应商。
不支持的 VPN 客户端
已知以下 VPN 解决方案不适用于 Windows Autopilot,因此不支持与 Windows Autopilot 配合使用:
- 基于 UWP 的 VPN 插件
- 需要用户证书的一切内容
- DirectAccess
注意
从此列表中省略特定 VPN 客户端并不自动表示它受支持或适用于 Windows Autopilot。 此列表仅列出 已知 不适用于 Windows Autopilot 的 VPN 客户端。
创建和分配 Windows Autopilot 部署配置文件
Windows Autopilot 部署配置文件用于配置 Windows Autopilot 设备。
在 “主页 ”屏幕中,选择左侧窗格中的“ 设备 ”。
在 设备中 |“概述 ”屏幕的“ 按平台”下,选择“ Windows”。
在 Windows 中 |Windows 设备 屏幕的“ 设备载入”下,选择“ 注册”。
在 Windows 中 |Windows 注册 屏幕的 “Windows Autopilot”下,选择“ 部署配置文件”。
在 “Windows Autopilot 部署配置文件” 屏幕中,选择“ 创建配置文件” 下拉菜单,然后选择“ Windows 电脑”。
在 “创建配置文件” 屏幕的 “基本信息 ”页上,输入 “名称” 和“ 说明”(可选)。
如果分配的组中的所有设备都应自动注册到 Windows Autopilot,请将“将所有目标设备转换为 Autopilot”设置为“是”。 分配的组中所有企业拥有的非 Windows Autopilot 设备都注册到 Windows Autopilot 部署服务。 个人拥有的设备不会注册到 Windows Autopilot。 等待 48 小时来处理注册。 取消注册并重置设备后,Windows Autopilot 会再次注册它。 以这种方式注册设备后,禁用此设置或删除配置文件分配不会从 Windows Autopilot 部署服务中删除该设备。 相反,需要直接删除设备。 有关详细信息,请参阅 删除 Windows Autopilot 设备。
选择 下一步。
在“全新体验 (OOBE)”页上,对于“部署模式”,选择“用户驱动”。
在“加入到Microsoft Entra ID为”框中,选择“Microsoft Entra混合联接”。
如果使用 VPN 支持从组织网络部署设备,请将 “跳过域连接检查 ”选项设置为 “是”。 有关详细信息,请参阅使用 VPN 支持Microsoft Entra混合加入的用户驱动模式。
根据需要,在全新体验 (OOBE)上配置剩余选项。
选择 下一步。
在作用域标记页上,为此配置文件选择“作用域标记。
选择 下一步。
在 “分配” 页上,选择“ 选择要包括> 搜索的组”,然后选择设备组 >“选择”。
选择“下一步”>“创建”。
注意
Intune定期检查已分配组中的新设备,然后开始向这些设备分配配置文件的过程。 由于 Windows Autopilot 配置文件分配过程中涉及多种不同因素,因此分配的估计时间可能因方案而异。 这些因素可能包括Microsoft Entra组、成员身份规则、设备的哈希、Intune和 Windows Autopilot 服务以及 Internet 连接。 分配时间因特定方案中涉及的所有因素和变量而异。
(可选)打开注册状态页
在 “主页 ”屏幕中,选择左侧窗格中的“ 设备 ”。
在 设备中 |“概述 ”屏幕的“ 按平台”下,选择“ Windows”。
在 Windows 中 |Windows 设备 屏幕的“ 设备载入”下,选择“ 注册”。
在 Windows 中 |Windows 注册 屏幕的 “Windows Autopilot”下,选择“ 注册状态页”。
在注册状态页窗格中,选择默认>设置。
在“显示应用和配置文件安装进度”中,选择“确定”。
根据需要配置其他选项。
选择“保存”。
创建并分配”域加入”配置文件
在Microsoft Intune管理中心,选择“设备>管理设备|配置>策略>创建新>策略。
在打开 的“创建配置文件 ”窗口中,输入以下属性:
- 名称:输入新配置文件的描述性名称。
- 说明:输入配置文件的说明。
- 平台:选择Windows 10 及更高版本。
- 配置文件类型:选择 “模板”,选择模板名称 “域加入”,然后选择“ 创建”。
输入名称和说明,然后选择下一步。
提供计算机名称前缀和域名。
(可选)提供 DN 格式的“组织单位”(OU)。 选项包括:
- 提供一个 OU,其中控件委托给运行 Intune 连接器 for Active Directory 的 Windows 设备。
- 提供一个 OU,其中控件委托给组织本地 Active Directory中的根计算机。
- 如果此字段留空,则会在 Active Directory 默认容器中创建计算机对象。 默认容器通常是
CN=Computers容器。 有关详细信息,请参阅 重定向 Active Directory 域中的用户和计算机容器。
有效示例:
OU=SubOU,OU=TopLevelOU,DC=contoso,DC=comOU=Mine,DC=contoso,DC=com
无效示例:
-
CN=Computers,DC=contoso,DC=com- 无法指定容器。 相反,将该值留空以使用域的默认值。 -
OU=Mine- 必须通过DC=属性指定域。
请确保不要在 组织单位的值周围使用引号。
选择确定>创建。 此时,配置文件创建完成,并显示在列表中。
注意
适用于Microsoft Entra混合联接的 Windows Autopilot 的命名功能不支持 %SERIAL% 等变量。 它仅支持计算机名称的前缀。
卸载适用于 Active Directory 的Intune连接器
Intune 连接器通过可执行文件在本地安装在计算机上。 如果需要从计算机中卸载适用于 Active Directory 的Intune连接器,则还需要在计算机上本地完成此作。 无法通过Intune门户或图形 API 调用删除适用于 Active Directory 的Intune连接器。
若要从服务器卸载适用于 Active Directory 的 Intune 连接器,请选择适用于 Windows Server OS 版本的选项卡,然后执行以下步骤:
登录到托管 Intune 连接器 for Active Directory 的计算机。
右键单击“ 开始 ”菜单,然后选择 “设置>应用>”“已安装应用”。
或
选择以下 “应用 > 已安装应用” 快捷方式:
在“已安装应用的应用>”窗口中,找到适用于 Active Directory 的Intune连接器。
在“active Directory Intune连接器”旁边,选择“...”>卸载,然后选择“卸载”按钮。
Active Directory 的Intune连接器将继续卸载。
在某些情况下,在重新运行适用于 Active Directory 的原始Intune连接器安装程序
ODJConnectorBootstrapper.exe之前,可能无法完全卸载适用于 Active Directory 的Intune连接器。 若要验证 Active Directory Intune 连接器是否已完全卸载,请ODJConnectorBootstrapper.exe再次运行安装程序。 如果提示 “卸载”,请选择卸载它。 否则,请ODJConnectorBootstrapper.exe关闭安装程序。注意
可以从适用于 Active Directory 的 Intune 连接器下载用于 Active Directory 的旧版 Intune 连接器安装程序,并且只能用于卸载。 对于新安装,请使用适用于 Active Directory 的更新Intune连接器。
后续步骤
配置 Windows Autopilot 后,了解如何管理这些设备。 有关详细信息,请参阅什么是 Microsoft Intune 设备管理?。