Sdílet prostřednictvím

Nasazení Microsoft Entra hybridních zařízení pomocí Intune a Windows Autopilotu

Důležité

Microsoft doporučuje nasadit nová zařízení jako nativní pro cloud pomocí Microsoft Entra join. Nasazení nových zařízení jako Microsoft Entra zařízení s hybridním připojováním se nedoporučuje, a to ani prostřednictvím Autopilotu. Další informace najdete v tématu Microsoft Entra join a Microsoft Entra hybrid join v koncových bodech nativních pro cloud: Která možnost je pro vaši organizaci nejvhodnější.

Intune a Windows Autopilot je možné použít k nastavení Microsoft Entra zařízení připojených k hybridnímu připojení. Postupujte podle pokynů v tomto článku. Další informace o Microsoft Entra hybridním připojení najdete v tématu Principy Microsoft Entra hybridního připojení a spolusprávy.

Požadavky

Požadavky na registraci zařízení

Zařízení, které se má zaregistrovat, musí splňovat tyto požadavky:

  • Použijte aktuálně podporovanou verzi Windows.
  • Mít přístup k internetu podle požadavků na síť Windows Autopilot.
  • Mít přístup k řadiči domény služby Active Directory.
  • Úspěšně otestujte řadič domény připojené domény příkazem ping.
  • Pokud používáte proxy server, musí být povolená a nakonfigurovaná možnost nastavení proxy serveru WPAD (Web Proxy Auto-Discovery Protocol).
  • Projděte si prostředí počátečního nastavení počítače (OOBE).
  • Použijte typ autorizace, který Microsoft Entra ID podporuje v počátečním nastavení počítače.

I když se to nevyžaduje, konfigurace Microsoft Entra hybridního připojení pro službu Ad FS (Active Directory Federated Services) umožňuje rychlejší proces registrace windows Autopilotu Microsoft Entra během nasazení. Federovaný zákazník, který nepodporuje používání hesel a službu AD FS, musí postupovat podle kroků v článku Active Directory Federation Services (AD FS) podpora parametru prompt=login, aby správně nakonfigurovali prostředí ověřování.

požadavky na server konektoru Intune

  • Konektor Intune pro službu Active Directory musí být nainstalovaný v počítači se systémem Windows Server 2016 nebo novějším rozhraním .NET Framework verze 4.7.2 nebo novější.

  • Server, který je hostitelem konektoru Intune, musí mít přístup k internetu a službě Active Directory.

    Poznámka

    Server konektoru Intune vyžaduje standardní přístup klienta domény k řadičům domény, který zahrnuje požadavky na porty RPC, které potřebuje ke komunikaci se službou Active Directory. Další informace najdete v následujících článcích:

  • Pro zvýšení škálování a dostupnosti je možné v prostředí nainstalovat více konektorů. Doporučujeme nainstalovat konektor na server, na kterém nejsou spuštěné žádné jiné konektory Intune. Každý konektor musí být schopen vytvářet objekty počítače v jakékoli doméně, kterou je potřeba podporovat.

Nastavení automatické registrace MDM ve Windows

  1. Přihlaste se k Azure Portal a vyberte Microsoft Entra ID.

  2. V levém podokně vyberte Spravovat | mobilitu (MDM a WIP)>Microsoft Intune.

  3. Ujistěte se, že uživatelé, kteří nasazují Microsoft Entra připojená zařízení pomocí Intune a Windows, jsou členy skupiny zahrnuté v oboru uživatelů MDM.

  4. Použijte výchozí hodnoty v polích ADRESA URL podmínek použití MDM, ADRESA URL zjišťování MDM a ADRESA URL dodržování předpisů MDM a pak vyberte Uložit.

Zvýšení limitu účtu počítače v organizační jednotce

Konektor Intune pro službu Active Directory vytvoří počítače zaregistrované pomocí autopilotu v doméně místní Active Directory. Počítač, který je hostitelem konektoru Intune, musí mít práva k vytváření počítačových objektů v rámci domény.

V některých doménách nejsou počítačům udělena práva k vytváření počítačů. Kromě toho mají domény integrovaný limit (výchozí hodnota 10), který platí pro všechny uživatele a počítače, kteří nemají delegovaná práva k vytváření objektů počítačů. Práva musí být delegovaná počítačům, které jsou hostiteli konektoru Intune v organizační jednotce, kde se vytvářejí Microsoft Entra zařízení připojená k hybridnímu připojení.

Organizační jednotka, která má práva k vytváření počítačů, musí odpovídat:

  • Organizační jednotka zadaná v profilu připojení k doméně.
  • Pokud není vybraný žádný profil, název domény počítače pro doménu organizace.

  1. Otevřete Uživatelé a počítače služby Active Directory (DSA.msc).

  2. Klikněte pravým tlačítkem na organizační jednotku, která se má použít k vytvoření Microsoft Entra počítače připojené k hybridnímu připojení >delegovat řízení.

    Snímek obrazovky s příkazem Delegovat řízení

  3. V průvodci Delegováním řízení vyberte Další>přidat>typy objektů.

  4. V podokně Typy objektů vyberte Možnost Počítače>OK.

    Snímek obrazovky s podoknem Typy objektů

  5. V podokně Vybrat uživatele, počítače nebo Skupiny zadejte do pole Zadejte názvy objektů k výběru název počítače, na kterém je konektor nainstalovaný.

    Snímek obrazovky s podoknem Vybrat uživatele, počítače nebo Skupiny

  6. Vyberte Zkontrolovat jména a ověřte položku >OK>Další.

  7. Vyberte Vytvořit vlastní úkol a delegujte>další.

  8. Ve složce >Objekty počítače vyberte Pouze následující objekty.

  9. Vyberte Vytvořit vybrané objekty v této složce a Odstranit vybrané objekty v této složce.

    Snímek obrazovky s podoknem Typ objektu služby Active Directory

  10. Vyberte Další.

  11. V části Oprávnění zaškrtněte políčko Úplné řízení . Tato akce vybere všechny ostatní možnosti.

    Snímek obrazovky s podoknem Oprávnění

  12. Vyberte Další>Dokončit.

Instalace konektoru Intune Connector

Před zahájením instalace se ujistěte, že jsou splněné všechny požadavky na server konektoru Intune.

Postup instalace

  1. Ve výchozím nastavení má Systém Windows Server zapnutou konfiguraci rozšířeného zabezpečení aplikace Internet Explorer. Konfigurace rozšířeného zabezpečení aplikace Internet Explorer může způsobit problémy s přihlášením ke konektoru Intune pro službu Active Directory. Vzhledem k tomu, že internet Explorer je zastaralý a ve většině případů ani není nainstalovaný na Windows Serveru, microsoft doporučuje vypnout konfiguraci rozšířeného zabezpečení aplikace Internet Explorer. Vypnutí konfigurace rozšířeného zabezpečení aplikace Internet Explorer:

    1. Na serveru, na který se instaluje konektor Intune, otevřete Správce serveru.

    2. V levém podokně Správce serveru vyberte Místní server.

    3. V pravém podokně VLASTNOSTI Správce serveru vyberte odkaz Zapnuto nebo Vypnuto vedle konfigurace rozšířeného zabezpečení IE.

    4. V okně Konfigurace rozšířeného zabezpečení aplikace Internet Explorer vyberte v části Správcimožnost Vypnuto a pak vyberte OK.

  2. Přihlaste se do Centra pro správu Microsoft Intune.

  3. Na domovské obrazovce vyberte v levém podokně Možnost Zařízení .

  4. V části Zařízení | Obrazovka Přehled v části Podle platformy vyberte Windows.

  5. Ve Windows | Obrazovka zařízení s Windows v části Onboarding zařízení vyberte Registrace.

  6. Ve Windows | Obrazovka registrace windows v části Windows Autopilot vyberte Intune Connector pro Active Directory.

  7. Na obrazovce Intune Connector for Active Directory vyberte Přidat.

  8. Podle pokynů stáhněte konektor.

  9. Otevřete stažený instalační soubor konektoru ODJConnectorBootstrapper.exea nainstalujte konektor.

  10. Na konci nastavení vyberte Konfigurovat.

  11. Vyberte Přihlásit se.

  12. Zadejte přihlašovací údaje role správce Intune. Uživatelský účet musí mít přiřazenou licenci Intune.

Poznámka

Role správce Intune je v době instalace dočasným požadavkem.

Po ověření se dokončí instalace konektoru Intune pro Službu Active Directory. Po dokončení instalace ověřte, že je aktivní v Intune pomocí následujícího postupu:

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Na domovské obrazovce vyberte v levém podokně Možnost Zařízení .

  3. V části Zařízení | Obrazovka Přehled v části Podle platformy vyberte Windows.

  4. Ve Windows | Obrazovka zařízení s Windows v části Onboarding zařízení vyberte Registrace.

  5. Ve Windows | Obrazovka registrace windows v části Windows Autopilot vyberte Intune Connector pro Active Directory.

  6. Ověřte, že stav připojení ve sloupci Stav je Aktivní.

Poznámka

  • Po přihlášení ke konektoru může trvat několik minut, než se zobrazí v Centru pro správu Microsoft Intune. Zobrazí se pouze v případě, že může úspěšně komunikovat se službou Intune.

  • Neaktivní konektory Intune se stále zobrazují na stránce Intune Konektory a po 30 dnech se automaticky vyčistí.

Po instalaci konektoru Intune pro Službu Active Directory se spustí protokolování v Prohlížeč událostí v cestě Protokoly> aplikací a služebMicrosoft>Intune>ODJConnectorService. V této cestě najdete Správa a provozní protokoly.

Poznámka

Konektor Intune původně protokoloval do Prohlížeč událostí přímo v části Protokoly aplikací a služeb v protokolu s názvem Služba konektoru ODJ. Protokolování konektoru Intune se ale od té doby přesunulo do cesty Protokoly> aplikací a služebMicrosoft>Intune>ODJConnectorService. Pokud je protokol služby konektoru ODJ v původním umístění prázdný nebo se neaktualizuje, zkontrolujte místo toho nové umístění cesty.

Konfigurace nastavení webového proxy serveru

Pokud je v síťovém prostředí webový proxy server, ujistěte se, že konektor Intune pro Službu Active Directory funguje správně. Najdete v tématu Práce s existujícími místními proxy servery.

Vytvoření skupiny zařízení

  1. V Centru pro správu Microsoft Intune vyberte Skupiny>Nová skupina.

  2. V podokně Skupina vyberte následující možnosti:

    1. Jako Typ skupiny vyberte Zabezpečení.

    2. Zadejte Název skupiny a Popis skupiny.

    3. Vyberte typ členství.

  3. Pokud je jako typ členství vybraná možnost Dynamická zařízení , vyberte v podokně Skupinamožnost Členové dynamických zařízení.

  4. V poli Syntaxe pravidla vyberte Upravit a zadejte jeden z následujících řádků kódu:

    • Pokud chcete vytvořit skupinu, která zahrnuje všechna zařízení Autopilot, zadejte:

      (device.devicePhysicalIDs -any _ -startsWith "[ZTDId]")

    • Pole Značka skupiny Intune se mapuje na atribut OrderID na Microsoft Entra zařízeních. Pokud chcete vytvořit skupinu, která zahrnuje všechna zařízení Autopilot s konkrétní značkou skupiny (OrderID), zadejte:

      (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")

    • Pokud chcete vytvořit skupinu, která zahrnuje všechna zařízení Autopilot s konkrétním ID nákupní objednávky, zadejte:

      (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")

  5. Vyberte Uložit>vytvořit.

Registrace zařízení Autopilot

Vyberte jeden z následujících způsobů registrace zařízení Autopilot.

Registrace zařízení Autopilot, která jsou už zaregistrovaná

  1. Vytvořte profil nasazení Autopilotu s nastavením Převést všechna cílová zařízení na Autopilot nastaveným na Ano.

  2. Přiřaďte profil skupině, která obsahuje členy, které je potřeba automaticky zaregistrovat ve službě Autopilot.

Další informace najdete v tématu Vytvoření profilu nasazení Autopilotu.

Registrace zařízení Autopilotu, která nejsou zaregistrovaná

Zařízení, která ještě nejsou zaregistrovaná ve Windows Autopilotu, je možné registrovat ručně. Další informace najdete v tématu Ruční registrace.

Registrace zařízení od výrobce OEM

Pokud pořizujete nová zařízení, můžou je někteří OEM registrovat jménem organizace. Další informace najdete v tématu Registrace výrobce OEM.

Zobrazení registrovaného zařízení Autopilot

Než se zařízení zaregistruje do Intune, zobrazí se registrovaná zařízení Windows Autopilot na třech místech (s názvy nastavenými na jejich sériová čísla):

Po registraci zařízení Windows Autopilot se zařízení zobrazí na čtyřech místech:

Poznámka

Po registraci zařízení se zařízení stále zobrazují v podokně Zařízení Windows Autopilot v Centru pro správu Microsoft Intune a v podokně Autopilot v Centrum pro správu Microsoftu 365, ale tyto objekty jsou objekty zaregistrované ve Windows Autopilot.

Objekt zařízení se předem vytvoří v Microsoft Entra ID po registraci zařízení v Autopilotu. Když zařízení prochází hybridním Microsoft Entra nasazením, vytvoří se z návrhu jiný objekt zařízení, což vede k duplicitním položkám.

Sítě VPN

Testují se a ověřují následující klienti VPN:

  • In-box Windows VPN client
  • Cisco AnyConnect (klient Win32)
  • Pulse Secure (klient Win32)
  • GlobalProtect (klient Win32)
  • Kontrolní bod (klient Win32)
  • Citrix NetScaler (klient Win32)
  • SonicWall (klient Win32)
  • FortiClient VPN (klient Win32)

Pokud používáte sítě VPN, vyberte v profilu nasazení Windows Autopilot možnost Ano u možnosti Přeskočit připojení AD . Always-On sítě VPN by tuto možnost neměly vyžadovat, protože se připojuje automaticky.

Poznámka

Tento seznam klientů VPN není úplný seznam všech klientů VPN, kteří pracují s Windows Autopilotem. Pokud jde o kompatibilitu a možnosti podpory s Windows Autopilotem nebo jakékoli problémy s používáním řešení VPN s Windows Autopilotem, obraťte se na příslušného dodavatele sítě VPN.

Nepodporované klienty VPN

O následujících řešeních VPN se ví, že nefungují s Windows Autopilotem, a proto nejsou podporovaná pro použití s Windows Autopilotem:

  • Moduly plug-in VPN založené na UPW
  • Cokoli, co vyžaduje uživatelský certifikát
  • DirectAccess

Poznámka

Vynechání konkrétního klienta VPN z tohoto seznamu neznamená automaticky, že je podporovaný nebo že funguje s Windows Autopilotem. Tento seznam obsahuje pouze klienty VPN, o kterých je známo , že nefungují s Windows Autopilotem.

Vytvoření a přiřazení profilu nasazení Autopilotu

Profily nasazení Autopilotu se používají ke konfiguraci zařízení Autopilot.

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Na domovské obrazovce vyberte v levém podokně Možnost Zařízení .

  3. V části Zařízení | Obrazovka Přehled v části Podle platformy vyberte Windows.

  4. Ve Windows | Obrazovka zařízení s Windows v části Onboarding zařízení vyberte Registrace.

  5. Ve Windows | Obrazovka registrace Windows v části Windows Autopilot vyberte Profily nasazení.

  6. Na obrazovce Profily nasazení Windows Autopilot vyberte rozevírací nabídku Vytvořit profil a pak vyberte Počítač s Windows.

  7. Na obrazovce Vytvořit profil na stránce Základy zadejte Název a volitelný popis.

  8. Pokud se všechna zařízení v přiřazených skupinách mají automaticky zaregistrovat do Windows Autopilotu, nastavte Možnost Převést všechna cílová zařízení na Autopilot na Ano. Všechna zařízení vlastněná společností, která nejsou zařízení Autopilot v přiřazených skupinách, se registrují ve službě nasazení Autopilot. Zařízení v osobním vlastnictví nejsou zaregistrovaná ve službě Autopilot. Počkejte 48 hodin, než se registrace zpracuje. Když se registrace zařízení zruší a resetuje, Autopilot ho znovu zaregistruje. Po registraci zařízení tímto způsobem se zakázáním tohoto nastavení nebo odebráním přiřazení profilu neodebere ze služby nasazení Autopilotu. Místo toho je potřeba zařízení odstranit přímo. Další informace najdete v tématu Odstranění zařízení Autopilot.

  9. Vyberte Další.

  10. Na stránce Předdefinované prostředí (OOBE) vyberte v části Režim nasazenímožnost Řízený uživatelem.

  11. V poli Připojit k Microsoft Entra ID jako vyberte Microsoft Entra hybrid join.

  12. Pokud nasazujete zařízení mimo síť organizace pomocí podpory sítě VPN, nastavte možnost Přeskočit kontrolu připojení k doméně na Ano. Další informace najdete v tématu Režim řízený uživatelem pro Microsoft Entra hybridní připojení s podporou sítě VPN.

  13. Podle potřeby nakonfigurujte zbývající možnosti na stránce Prostředí počátečního nastavení počítače (OOBE).

  14. Vyberte Další.

  15. Na stránce Značky oboru vyberte značky oboru pro tento profil.

  16. Vyberte Další.

  17. Na stránce Přiřazení vyberte Vybrat skupiny, které se mají zahrnout> do hledání, a vyberte skupinu > zařízení Vybrat.

  18. Vyberte Další>vytvořit.

Poznámka

Intune pravidelně kontrolovat nová zařízení v přiřazených skupinách a pak zahájit proces přiřazování profilů k těmto zařízením. Vzhledem k několika různým faktorům, které jsou součástí procesu přiřazování profilu Autopilotu, se odhadovaná doba přiřazení může v jednotlivých scénářích lišit. Mezi tyto faktory patří skupiny Microsoft Entra, pravidla členství, hodnota hash zařízení, Intune a služba Autopilot a připojení k internetu. Doba přiřazení se liší v závislosti na všech faktorech a proměnných zahrnutých v konkrétním scénáři.

(Volitelné) Zapnutí stránky stavu registrace

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Na domovské obrazovce vyberte v levém podokně Možnost Zařízení .

  3. V části Zařízení | Obrazovka Přehled v části Podle platformy vyberte Windows.

  4. Ve Windows | Obrazovka zařízení s Windows v části Onboarding zařízení vyberte Registrace.

  5. Ve Windows | Obrazovka registrace Windows v části Windows Autopilot vyberte Stránka stavu registrace.

  6. V podokně Stránka stavu registrace vyberte Výchozí>nastavení.

  7. V poli Zobrazit průběh instalace aplikace a profilu vyberte Ano.

  8. Podle potřeby nakonfigurujte další možnosti.

  9. Vyberte Uložit.

Vytvoření a přiřazení profilu připojení k doméně

  1. V Centru pro správu Microsoft Intune vyberte Zařízení>Spravovat zařízení | Zásady> konfigurace>: Vytvořte>nové zásady.

  2. V okně vytvořit profil , které se otevře, zadejte následující vlastnosti:

    • Název: Zadejte popisný název nového profilu.
    • Popis: Zadejte popis profilu.
    • Platforma: Zvolte Windows 10 a novější.
    • Typ profilu: Vyberte Šablony, vyberte šablonu s názvem Připojení k doméně a vyberte Vytvořit.

  3. Zadejte Název a Popis a vyberte Další.

  4. Zadejte předponu názvu počítače a Název domény.

  5. (Volitelné) Zadejte organizační jednotku (OU) ve formátu DN. Mezi tyto možnosti patří:

    • Zadejte organizační jednotky, ve které je ovládací prvek delegovaný na zařízení s Windows, na kterém běží konektor Intune.
    • Zadejte organizační jednotky, ve které je ovládací prvek delegovaný na kořenové počítače v místní Active Directory organizace.
    • Pokud je toto pole prázdné, objekt počítače se vytvoří ve výchozím kontejneru služby Active Directory. Výchozím kontejnerem CN=Computers je obvykle kontejner. Další informace najdete v tématu Přesměrování kontejnerů uživatelů a počítačů v doménách služby Active Directory.

    Platné příklady:

    • OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com
    • OU=Mine,DC=contoso,DC=com

    Neplatné příklady:

    • CN=Computers,DC=contoso,DC=com – Kontejner nejde zadat. Místo toho nechte hodnotu prázdnou, aby se použila výchozí hodnota pro doménu.
    • OU=Mine – doména musí být určena DC= prostřednictvím atributů.

    Ujistěte se, že u hodnoty v organizační jednotce nepoužíváte uvozovky.

  6. Vyberte OK>Vytvořit. Profil se vytvoří a zobrazí v seznamu.

  7. Přiřaďte profil zařízení stejné skupině, kterou jste použili v kroku Vytvoření skupiny zařízení. Pokud je potřeba připojit zařízení k různým doménám nebo organizačním jednotce, můžete použít různé skupiny.

Poznámka

Funkce pojmenování pro Windows Autopilot pro Microsoft Entra hybrid join nepodporuje proměnné, jako je %SERIAL%. Podporuje pouze předpony pro název počítače.

Odinstalace konektoru ODJ

Konektor ODJ se instaluje místně do počítače prostřednictvím spustitelného souboru. Pokud je potřeba konektor ODJ odinstalovat z počítače, je potřeba to provést také místně na počítači. Konektor ODJ nejde odebrat prostřednictvím portálu Intune ani voláním rozhraní GRAPH API.

Chcete-li odinstalovat konektor ODJ z počítače, postupujte takto:

  1. Přihlaste se k počítači, který je hostitelem konektoru ODJ.
  2. Klikněte pravým tlačítkem na nabídku Start a vyberte Nastavení.
  3. V okně Nastavení systému Windows vyberte Aplikace.
  4. V části Aplikace & funkce vyhledejte a vyberte konektor Intune pro Službu Active Directory.
  5. V části konektor Intune pro Active Directory vyberte tlačítko Odinstalovat a pak znovu vyberte tlačítko Odinstalovat.
  6. Konektor ODJ pokračuje odinstalací.

Další kroky

Po nakonfigurování Windows Autopilotu se dozvíte, jak tato zařízení spravovat. Další informace najdete v tématu Co je Microsoft Intune správa zařízení?.

Související obsah