Windows Autopilot 用户驱动Microsoft Entra混合加入步骤:
- 步骤 1: 设置 Windows 自动 Intune 注册
- 步骤 2:安装适用于 Active Directory 的 Intune 连接器
- 步骤 3: 提高组织单位中的计算机帐户限制 (OU)
- 步骤 4: 将设备注册为 Windows Autopilot 设备
- 步骤 5: 创建设备组
- 步骤 6: 配置和分配 Windows Autopilot 注册状态页 (ESP)
- 步骤 7:创建和分配Microsoft Entra混合加入 Windows Autopilot 配置文件
- 步骤 8: 配置和分配域加入配置文件
- 步骤 9: 将 Windows Autopilot 设备分配给用户 (可选)
- 步骤 10: 部署设备
有关 Windows Autopilot 用户驱动Microsoft Entra混合加入工作流的概述,请参阅 Windows Autopilot 用户驱动Microsoft Entra混合加入概述。
注意
如果已安装并配置了适用于 Active Directory 的 Intune 连接器,请跳过此步骤,转到 步骤 3:提高组织单位中的计算机帐户限制 (OU) 。
安装适用于 Active Directory 的 Intune 连接器
Intune Connector for Active Directory(也称为脱机域加入 (ODJ) 连接器)在 Windows Autopilot 过程中将计算机加入到本地域。 在域加入过程中,连接器在 Active Directory 中的指定组织单位 (OU) 中创建计算机对象。
重要
从 Intune 2501 开始,使用 托管服务帐户 (MSA) 遵循最低特权原则,更新了适用于 Active Directory 的 Intune 连接器并提高安全性。 从 Intune 下载连接器时,会自动获取更新的版本。
已 弃用的旧连接器仍可用 ,不久将停止接受注册请求。 如果仍使用旧连接器,请立即更新以避免功能丢失。 有关详细信息,请参阅 Intune Connector for Active Directory with low-privileged account for Windows Autopilot Hybrid Microsoft Entra join deployments 博客文章。
若要更新连接器,必须:
- 手动卸载旧连接器。 没有自动选项。
- 下载并安装本文) 中所述的更新连接器 (。
提示
如果使用多个域注册 Autopilot 设备:
- 需要为每个域提供单独的连接器实例。 连接器只能处理其安装所在的同一域的注册请求。
- 每个服务器最多可以有 1 个连接器, (VM 或物理) 。 可以为每个域设置额外的服务器来实现冗余,每个服务器都安装了自己的连接器。 在该设置中,如果一个连接器发生故障,请求将发送到同一域中另一台服务器上的另一个连接器。
选择与正在安装的适用于 Active Directory 的 Intune 连接器版本对应的选项卡:
更新的连接器开始之前
在安装之前,请确保满足 Active Directory 服务器要求的所有 Intune 连接器 。
Microsoft建议 (不需要) 安装并配置 Intune 连接器 for Active Directory 的管理员具有 Intune Connector for Active Directory 要求中列出的域权限。 这些权限允许 Intune Connector for Active Directory 安装程序和配置过程在创建 计算机对象的计算机 容器或 OU 上设置托管服务帐户 (MSA) 的权限。
如果管理员缺少这些权限,则具有适当权限的另一个管理员必须在 组织单位 (OU) 提高计算机帐户限制 。
关闭 Internet Explorer 增强的安全配置
从版本 6.2504.2001.8 开始,更新的 Intune Connector for Active Directory 切换到使用基于 Microsoft Edge 构建的 WebView2,而不是基于 Microsoft Internet Explorer 构建的 WebBrowser。 此更改意味着不再需要关闭 Windows Server 中的 Internet Explorer 增强安全配置设置。 请确保安装版本 6.2504.2001.8 或更高版本的 Intune Connector for Active Directory,以避免 Internet Explorer 增强的安全配置设置出现问题。
下载适用于 Active Directory 的 Intune 连接器
在安装 Intune Connector for Active Directory 的服务器上,登录到 Microsoft Intune 管理中心。
在 “主页 ”屏幕中,选择左侧窗格中的“ 设备 ”。
在 设备中 |“概述 ”屏幕的“ 按平台”下,选择“ Windows”。
在 Windows 中 |Windows 设备 屏幕的“ 设备载入”下,选择“ 注册”。
在 Windows 中 |Windows 注册 屏幕的 “Windows Autopilot”下,选择“ 适用于 Active Directory 的 Intune 连接器”。
在 “适用于 Active Directory 的 Intune 连接器 ”屏幕中,选择“ 添加”。
在打开的 “添加连接器 ”窗口中, 在“为 Active Directory 配置 Intune 连接器”下,选择“ 下载 Active Directory 的本地 Intune 连接器”。 该链接下载名为 的文件
ODJConnectorBootstrapper.exe。
在服务器上安装适用于 Active Directory 的 Intune 连接器
重要
Intune Connector for Active Directory 安装需要使用具有以下域权限的帐户完成:
- 必需 - 在托管服务帐户容器中创建 msDs-ManagedServiceAccount 对象。
- 可选 - 修改 Active Directory 中 OU 中的权限 - 如果安装适用于 Active Directory 的更新 Intune 连接器的管理员没有此权限,则具有这些权限的管理员需要执行其他配置步骤。 有关详细信息,请参阅步骤/部分 增加组织单位中的计算机帐户限制。
使用具有本地管理员权限的帐户登录到安装 Intune 连接器 for Active Directory 的服务器。
如果安装了以前的旧版 Intune 连接器 for Active Directory,请先将其卸载,然后再安装更新的适用于 Active Directory 的 Intune 连接器。 有关详细信息,请参阅 卸载适用于 Active Directory 的 Intune 连接器。
重要
卸载旧版 Intune Connector for Active Directory 时,请确保在卸载过程中运行旧 版 Intune Connector for Active Directory 安装程序。 如果用于 Active Directory 的旧版 Intune 连接器安装程序在运行时提示 卸载 它,请选择卸载它。 此步骤可确保完全卸载旧版适用于 Active Directory 的 Intune 连接器。 可以从适用于 Active Directory 的 Intune 连接器下载旧版 Intune Connector for Active Directory 安装程序。
提示
在只有单个 Intune Connector for Active Directory 的域中,Microsoft建议先在另一台服务器上安装更新的 Intune 连接器 for Active Directory。 在当前服务器上卸载旧版 Intune 连接器 for Active Directory 之前,应在另一台服务器上安装更新的 Intune 连接器 for Active Directory。 在当前服务器上更新 Intune 连接器 for Active Directory 时,首先安装适用于 Active Directory 的 Intune 连接器可避免停机。
打开
ODJConnectorBootstrapper.exe下载以启动 Intune 连接器 for Active Directory 安装程序 安装的文件。单步执行 Intune 连接器 for Active Directory 安装程序 安装。
安装结束时,选中“ 启动适用于 Active Directory 的 Intune 连接器”复选框。
注意
如果在未选中“启动适用于 Active Directory 的 Intune 连接器”复选框的情况下意外关闭 Active Directory 的 Intune 连接器安装,则可以通过从“开始”菜单选择 Intune Connector for Active DirectoryIntune Connector for Active Directory 来重新打开 Intune 连接器 Active Directory> 配置。
登录到适用于 Active Directory 的 Intune 连接器
在 “适用于 Active Directory 的 Intune 连接器 ”窗口中的“ 注册 ”选项卡下,选择“ 登录”。
在“登录”选项卡下,使用 Intune 管理员角色的 Microsoft Entra ID 凭据登录。 必须为用户帐户分配 Intune 许可证。 登录过程可能需要几分钟才能完成。
注意
在安装时,用于注册适用于 Active Directory 的 Intune 连接器的帐户只是临时要求。 注册服务器后,不会使用帐户。
登录过程完成后:
- 此时会显示“已成功注册 Active Directory 的 Intune 连接器” 确认窗口。 选择 “确定” 关闭窗口。
-
名为 “的<托管服务帐户>出现MSA_name“已成功设置 确认窗口。 MSA 的名称的格式
msaODJ##########为 5 个随机字符。 指定已创建的 MSA 的名称,然后选择“ 确定 ”以关闭窗口。 稍后可能需要 MSA 的名称才能将 MSA 配置为允许在 OU 中创建计算机对象。
“ 注册 ”选项卡显示已注册 适用于 Active Directory 的 Intune 连接器。 “ 登录 ”按钮灰显,并且已启用 “配置托管服务帐户 ”。
关闭“ 适用于 Active Directory 的 Intune 连接器 ”窗口。
验证 Active Directory 的 Intune 连接器是否处于活动状态
进行身份验证后,适用于 Active Directory 的 Intune 连接器将完成安装。 安装完成后,请按照以下步骤在 Intune 中验证它是否处于活动状态:
如果 Intune 管理中心仍处于打开状态,请转到Microsoft 。 如果仍显示 “添加连接器 ”窗口,请将其关闭。
如果 Microsoft Intune 管理中心 尚未打开:
在 “主页 ”屏幕中,选择左侧窗格中的“ 设备 ”。
在 设备中 |“概述 ”屏幕的“ 按平台”下,选择“ Windows”。
在 Windows 中 |Windows 设备 屏幕的“ 设备载入”下,选择“ 注册”。
在 Windows 中 |Windows 注册 屏幕的 “Windows Autopilot”下,选择“ 适用于 Active Directory 的 Intune 连接器”。
在 “适用于 Active Directory 的 Intune 连接器”页中 :
- 确认服务器显示在“连接器名称”下,并在“状态”下显示为“活动”
- 对于更新的适用于 Active Directory 的 Intune 连接器,请确保版本大于或等于 6.2501.2000.5。
如果未显示服务器,请选择“ 刷新 ”或离开页面,然后导航回 “适用于 Active Directory 的 Intune 连接器 ”页。
注意
新注册的服务器可能需要几分钟时间才能显示在 Microsoft Intune 管理中心的 Intune Connector for Active Directory 页中。 仅当已注册的服务器能够成功与 Intune 服务通信时,才会显示该服务器。
Active Directory 的非活动 Intune 连接器仍显示在“ 适用于 Active Directory 的 Intune 连接器 ”页中,并在 30 天后自动清理。
安装适用于 Active Directory 的 Intune 连接器后,它将开始在“应用程序和服务日志>MicrosoftIntune>ODJConnectorService”路径下的事件查看器>中日志记录。 在此路径下,可以找到管理员和作日志。
将 MSA 配置为允许在 OU 中创建对象 (可选)
默认情况下,MSA 仅有权在计算机容器中创建 计算机 对象。 MSA 无权在组织单位 (OU) 中创建计算机对象。 若要允许 MSA 在 OU 中创建对象,需要将 OU 添加到 ODJConnectorEnrollmentWizard.exe.config 安装 Intune Connector for Active Directory 的目录中的 ODJConnectorEnrollmentWizard XML 文件中,通常 C:\Program Files\Microsoft Intune\ODJConnector\为 。
若要将 MSA 配置为允许在 OU 中创建对象,请执行以下步骤:
在安装了适用于 Active Directory 的 Intune 连接器的服务器上,导航到
ODJConnectorEnrollmentWizard安装 Intune Connector for Active Directory 的目录,通常为C:\Program Files\Microsoft Intune\ODJConnector\。在
ODJConnectorEnrollmentWizard目录中,在文本编辑器(例如记事本)中打开现有ODJConnectorEnrollmentWizard.exe.configXML 文件。add key在 XML 文件的 元素中ODJConnectorEnrollmentWizard.exe.config:- 在
value=旁边,添加 MSA 应有权访问的任何所需 OU,以在中创建计算机对象。 - OU 名称需要采用 LDAP 可分辨名称 格式,如果适用,则需要进行转义。
- 使用分号 (;) 分隔每个 OU 来支持多个 OU。
- 请确保将引号 (“) 保留在
value=旁边。 所有 OU 值都需要在一对引号内。 - 不要更改键元素
OrganizationalUnitsUsedForOfflineDomainJoin的名称。
以下示例是具有多个 OU 的示例 XML 条目,采用 LDAP 可分辨名称格式:
<appSettings> <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format. The ODJ Connector will only have permission to create computer objects in these OUs. The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://free.blessedness.top/en-us/mem/intune/configuration/domain-join-configure Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY): Domain contains the following OUs: - OU=HybridDevices,DC=contoso,DC=com - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" --> <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" /> </appSettings>提示
在此示例中,将 旁边的
value=示例红色文本替换为 LDAP 可分辨名称格式的组织 OU。 如示例中所示,请确保所有 OU 条目都位于引号 (“) 内,并且每个 OU 都用分号 (;) 分隔。- 在
添加所有所需的 OU 后,保存
ODJConnectorEnrollmentWizard.exe.configXML 文件。作为具有修改 OU 权限的适当权限的管理员,请从“开始”菜单导航到 Intune Connector forActive Directory Intune Connector for Active Directory>,打开适用于 Active Directory 的 Intune 连接器。
重要
如果安装并配置 Intune 连接器 for Active Directory 的管理员没有修改 OU 权限的权限,则需要遵循“ 增加组织单位中的计算机帐户限制 ”部分/步骤,而管理员必须具有修改 OU 权限的权限。
在“适用于 Active Directory 的 Intune 连接器”窗口的“注册”选项卡下,选择“配置托管服务帐户”。
此时会显示 名为“<MSA_name>”的托管服务帐户已成功设置确认 窗口。 选择 “确定” 关闭窗口。