Nasazení Microsoft Entra hybridních zařízení pomocí Intune a Windows Autopilotu

Důležité

Microsoft doporučuje nasadit nová zařízení jako nativní pro cloud pomocí Microsoft Entra join. Nasazení nových zařízení jako Microsoft Entra zařízení s hybridním připojováním se nedoporučuje, a to ani prostřednictvím Autopilotu. Další informace najdete v tématu Microsoft Entra join a Microsoft Entra hybrid join v koncových bodech nativních pro cloud: Která možnost je pro vaši organizaci nejvhodnější.

K nastavení Microsoft Entra hybridních zařízení můžete použít Intune a Windows Autopilot. Postupujte podle pokynů v tomto článku. Další informace o Microsoft Entra hybridním připojení najdete v tématu Principy Microsoft Entra hybridního připojení a spolusprávy.

Požadavky

Požadavky na registraci zařízení

Zařízení, které se má zaregistrovat, musí splňovat tyto požadavky:

  • Použijte Windows 11 nebo Windows 10 verze 1809 nebo novější.
  • Mít přístup k internetu podle požadavků na síť Windows Autopilot.
  • Mít přístup k řadiči domény služby Active Directory.
  • Úspěšně odešlete příkaz ping na řadič domény domény, ke které se pokoušíte připojit.
  • Pokud používáte proxy server, musí být povolená a nakonfigurovaná možnost nastavení proxy serveru WPAD.
  • Projděte si prostředí počátečního nastavení počítače (OOBE).
  • Použijte typ autorizace, který Microsoft Entra ID podporuje v počátečním nastavení počítače.

I když to není povinné, konfigurace Microsoft Entra hybridního připojení pro službu AD FS (Active Directory Federated Services) umožňuje rychlejší proces registrace windows Autopilotu Microsoft Entra během nasazování. Federovaný zákazník, který nepodporuje používání hesel a službu AD FS, musí postupovat podle kroků v článku Active Directory Federation Services (AD FS) podpora parametru prompt=login, aby správně nakonfigurovali prostředí ověřování.

Požadavky na server konektoru Intune

  • Konektor Intune pro Službu Active Directory musí být nainstalovaný na počítači se systémem Windows Server 2016 nebo novějším s rozhraním .NET Framework verze 4.7.2 nebo novější.

  • Server, který je hostitelem konektoru Intune, musí mít přístup k internetu a k vaší službě Active Directory.

    Poznámka

    Server Konektoru Intune vyžaduje standardní přístup klienta domény k řadičům domény, který zahrnuje požadavky na porty RPC, které potřebuje ke komunikaci se službou Active Directory. Další informace najdete v následujících článcích:

  • Pokud chcete zvýšit škálování a dostupnost, můžete ve svém prostředí nainstalovat více konektorů. Doporučujeme nainstalovat konektor na server, na kterém nejsou spuštěné žádné jiné konektory Intune. Každý konektor musí být schopný vytvářet objekty počítače v jakékoli doméně, kterou chcete podporovat.

  • Pokud má vaše organizace více domén a nainstalujete více konektorů Intune, musí se použít účet doménové služby, který může vytvářet objekty počítačů ve všech doménách. Tento požadavek platí i v případě, že plánujete implementovat Microsoft Entra hybridní připojení pouze pro konkrétní doménu. Pokud se jedná o nedůvěryhodné domény, musíte konektory odinstalovat z domén, ve kterých nechcete používat Windows Autopilot. V opačném případě musí být všechny konektory schopné vytvářet objekty počítačů ve všech doménách s více konektory.

    Tento účet služby konektoru musí mít následující oprávnění:

    • Přihlaste se jako služba.
    • Musí být součástí skupiny uživatelů domény .
    • Musí být členem místní skupiny Administrators na serveru Windows, který je hostitelem konektoru.

    Důležité

    Účty spravované služby nejsou pro účet služby podporované. Účet služby musí být doménový účet.

  • Intune Connector vyžaduje stejné koncové body jako Intune.

Nastavení automatické registrace MDM ve Windows

  1. Přihlaste se na portál Microsoft Azure. V levém podokně vyberte Microsoft Entra ID>Mobilita (MDM a MAM)>Microsoft Intune.

  2. Ujistěte se, že uživatelé, kteří nasazují Microsoft Entra připojená zařízení pomocí Intune a Windows, jsou členy skupiny zahrnuté do oboru uživatelů MDM.

  3. Použijte výchozí hodnoty v polích ADRESA URL podmínek použití MDM, ADRESA URL zjišťování MDM a ADRESA URL dodržování předpisů MDM a pak vyberte Uložit.

Zvýšení limitu účtu počítače v organizační jednotce

Konektor Intune pro vaši službu Active Directory vytvoří počítače zaregistrované pomocí autopilotu v doméně místní Active Directory. Počítač, který je hostitelem konektoru Intune, musí mít práva k vytváření počítačových objektů v rámci domény.

V některých doménách nejsou počítačům udělena práva k vytváření počítačů. Kromě toho mají domény integrovaný limit (výchozí hodnota 10), který platí pro všechny uživatele a počítače, kteří nemají delegovaná práva k vytváření objektů počítačů. Práva musí být delegovaná počítačům, které hostují konektor Intune v organizační jednotce, ve které se vytvářejí Microsoft Entra hybridní zařízení.

Organizační jednotka, která má práva k vytváření počítačů, musí odpovídat:

  • Organizační jednotka zadaná v profilu připojení k doméně.
  • Pokud není vybraný žádný profil, název domény počítače pro vaši doménu.

  1. Otevřete Uživatelé a počítače služby Active Directory (DSA.msc).

  2. Klikněte pravým tlačítkem na organizační jednotku, která se má použít k vytvoření Microsoft Entra počítače připojené k hybridnímu připojení >delegovat řízení.

    Snímek obrazovky s příkazem Delegovat řízení

  3. V průvodci Delegováním řízení vyberte Další>přidat>typy objektů.

  4. V podokně Typy objektů vyberte Možnost Počítače>OK.

    Snímek obrazovky s podoknem Typy objektů

  5. V podokně Vybrat uživatele, počítače nebo skupiny zadejte do pole Zadejte názvy objektů k výběru název počítače, na kterém je konektor nainstalovaný.

    Snímek obrazovky s podoknem Vybrat uživatele, počítače nebo skupiny

  6. Vyberte Zkontrolovat jména a ověřte svoji položku >OK>Další.

  7. Vyberte Vytvořit vlastní úkol a delegujte>další.

  8. Ve složce >Objekty počítače vyberte Pouze následující objekty.

  9. Vyberte Vytvořit vybrané objekty v této složce a Odstranit vybrané objekty v této složce.

    Snímek obrazovky s podoknem Typ objektu služby Active Directory

  10. Vyberte Další.

  11. V části Oprávnění zaškrtněte políčko Úplné řízení . Tato akce vybere všechny ostatní možnosti.

    Snímek obrazovky s podoknem Oprávnění

  12. Vyberte Další>Dokončit.

Instalace konektoru Intune

Před zahájením instalace se ujistěte, že jsou splněné všechny požadavky na server konektoru Intune .

Postup instalace

  1. Vypněte konfiguraci rozšířeného zabezpečení aplikace Internet Explorer. Ve výchozím nastavení má Systém Windows Server zapnutou konfiguraci rozšířeného zabezpečení aplikace Internet Explorer. Pokud se nemůžete přihlásit ke konektoru Intune pro Active Directory, vypněte konfiguraci rozšířeného zabezpečení Internet Exploreru pro správce. Vypnutí konfigurace rozšířeného zabezpečení aplikace Internet Explorer:

    1. Na serveru, na který se instaluje konektor Intune, otevřete Správce serveru.
    2. V levém podokně Správce serveru vyberte Místní server.
    3. V pravém podokně VLASTNOSTI Správce serveru vyberte odkaz Zapnuto nebo Vypnuto vedle konfigurace rozšířeného zabezpečení IE.
    4. V okně Konfigurace rozšířeného zabezpečení aplikace Internet Explorer vyberte v části Správcimožnost Vypnuto a pak vyberte OK.

  2. V Centru pro správu Microsoft Intune vyberte Zařízení>registrace>Windows>Konektor Intune pro Active Directory>Přidat.

  3. Podle pokynů stáhněte konektor.

  4. Otevřete stažený instalační soubor konektoru ODJConnectorBootstrapper.exea nainstalujte konektor.

  5. Na konci nastavení vyberte Konfigurovat.

  6. Vyberte Přihlásit se.

  7. Zadejte přihlašovací údaje Globální správce nebo role správce Intune. Uživatelský účet musí mít přiřazenou licenci Intune.

  8. Přejděte na Zařízení s>Windows>Registrace>Konektoru Intune pro Active Directory a potvrďte, že je stav připojení Aktivní.

Poznámka

  • Role Globální správce je dočasným požadavkem v době instalace.
  • Po přihlášení ke konektoru může trvat několik minut, než se zobrazí v centru pro správu Microsoft Intune. Zobrazí se pouze v případě, že dokáže úspěšně komunikovat se službou Intune.
  • Neaktivní konektory Intune se stále zobrazují na stránce Konektory Intune a po 30 dnech se automaticky vyčistí.

Po instalaci konektoru Intune se spustí protokolování v Prohlížeč událostí v cestě Aplikace a služby Protokoly>Microsoft>Intune>ODJConnectorService. V této cestě najdete Správa a provozní protokoly.

Poznámka

Konektor Intune původně protokoloval do Prohlížeč událostí přímo v protokolech aplikací a služeb v protokolu s názvem Služba konektoru ODJ. Protokolování konektoru Intune se ale od té doby přesunulo do cesty Aplikace a služby Protokoly>Microsoft>Intune>ODJConnectorService. Pokud zjistíte, že protokol služby konektoru ODJ v původním umístění je prázdný nebo se neaktualizuje, zkontrolujte místo toho nové umístění cesty.

Konfigurace nastavení webového proxy serveru

Pokud máte ve svém síťovém prostředí webový proxy server, ujistěte se, že správně funguje konektor Intune pro Active Directory, a to podle pokynů v tématu Práce s existujícími místními proxy servery.

Vytvoření skupiny zařízení

  1. V Centru pro správu Microsoft Intune vyberte Skupiny>Nová skupina.

  2. V podokně Skupina zvolte následující možnosti:

    1. Jako Typ skupiny vyberte Zabezpečení.
    2. Zadejte Název skupiny a Popis skupiny.
    3. Vyberte typ členství.

  3. Pokud jste jako typ členství vybrali Dynamická zařízení , vyberte v podokně Skupinamožnost Členové dynamických zařízení.

  4. V poli Syntaxe pravidla vyberte Upravit a zadejte jeden z následujících řádků kódu:

    • Pokud chcete vytvořit skupinu, která zahrnuje všechna vaše zařízení Autopilot, zadejte (device.devicePhysicalIDs -any _ -startsWith "[ZTDId]").
    • Pole Značka skupiny Intune se mapuje na atribut OrderID na Microsoft Entra zařízeních. Pokud chcete vytvořit skupinu, která zahrnuje všechna vaše zařízení Autopilot s konkrétní značkou skupiny (OrderID), zadejte: (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881").
    • Pokud chcete vytvořit skupinu, která bude obsahovat všechna vaše zařízení Autopilot s konkrétním ID nákupní objednávky, zadejte (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342").

  5. Vyberte Uložit>vytvořit.

Registrace zařízení Autopilot

Vyberte jeden z následujících způsobů registrace zařízení Autopilot.

Registrace zařízení Autopilot, která jsou už zaregistrovaná

  1. Vytvořte profil nasazení Autopilotu s nastavením Převést všechna cílová zařízení na Autopilot nastaveným na Ano.

  2. Přiřaďte profil skupině obsahující členy, které chcete automaticky zaregistrovat do Autopilotu.

Další informace najdete v tématu Vytvoření profilu nasazení Autopilotu.

Registrace zařízení Autopilotu, která nejsou zaregistrovaná

Pokud vaše zařízení ještě nejsou zaregistrovaná, můžete je zaregistrovat sami. Další informace najdete v tématu Ruční registrace.

Registrace zařízení od výrobce OEM

Pokud si kupujete nová zařízení, můžou je za vás zaregistrovat někteří OEM. Další informace najdete v tématu Registrace výrobce OEM.

Zobrazení registrovaného zařízení Autopilot

Před registrací v Intune se registrovaná zařízení Autopilot zobrazí na třech místech (s názvy nastavenými na jejich sériová čísla):

  • Podokno Zařízení Autopilot v Intune v Azure Portal. Vyberte Registrace> zařízenís Windows Zařízení>.
  • Podokno Microsoft Entra zařízení v Intune v Azure Portal. Vyberte Zařízení>Microsoft Entra Zařízení.
  • Podokno Všechna zařízení Microsoft Entra v Microsoft Entra ID v Azure Portal výběrem možnosti Zařízení>Všechna zařízení.

Po registraci se zařízení Autopilot zobrazí na čtyřech místech:

  • Podokno Zařízení Autopilot v Intune v Azure Portal. Vyberte Registrace> zařízenís Windows Zařízení>.
  • Podokno Microsoft Entra zařízení v Intune v Azure Portal. Vyberte Zařízení>Microsoft Entra Zařízení.
  • Podokno Microsoft Entra Všechna zařízení v Microsoft Entra ID v Azure Portal. Vyberte Zařízení>Všechna zařízení.
  • Podokno Všechna zařízení v Intune v Azure Portal. Vyberte Zařízení>Všechna zařízení.

Po registraci zařízení Autopilot se jejich názvy stanou názvem hostitele zařízení. Ve výchozím nastavení začíná název hostitele na DESKTOP-.

Objekt zařízení se v Microsoft Entra ID předem vytvoří, jakmile je zařízení zaregistrované v Autopilotu. Když zařízení prochází hybridním Microsoft Entra nasazením, vytvoří se z návrhu jiný objekt zařízení, což vede k duplicitním položkám.

SÍTĚ VPN BYO

Testují se a ověřují následující klienti VPN:

Klienti VPN

  • In-box Windows VPN client
  • Cisco AnyConnect (klient Win32)
  • Pulse Secure (klient Win32)
  • GlobalProtect (klient Win32)
  • Kontrolní bod (klient Win32)
  • Citrix NetScaler (klient Win32)
  • SonicWall (klient Win32)
  • FortiClient VPN (klient Win32)

Poznámka

Tento seznam klientů VPN není úplný seznam všech klientů VPN, kteří pracují s Autopilotem. V případě kompatibility a možností podpory se službou Autopilot nebo jakýchkoli problémů s používáním řešení VPN se službou Autopilot obraťte na příslušného dodavatele sítě VPN.

Nepodporovaná klienti VPN

O následujících řešeních VPN je známo, že nefungují s Autopilotem, a proto se s Autopilotem nepodporují:

  • Moduly plug-in VPN založené na UPW
  • Cokoli, co vyžaduje uživatelský certifikát
  • Directaccess

Poznámka

Pokud používáte sítě VPN typu BYO, měli byste u možnosti Přeskočit připojení AD v profilu nasazení Windows Autopilot vybrat Ano. Always-On sítě VPN by tuto možnost neměly vyžadovat, protože se připojuje automaticky.

Vytvoření a přiřazení profilu nasazení Autopilotu

Profily nasazení Autopilotu se používají ke konfiguraci zařízení Autopilot.

  1. V Centru pro správu Microsoft Intune vyberte Zařízení registrace>>Windows>Profily> nasazeníVytvořit profil.

  2. Na stránce Základy zadejte Název a volitelně Popis.

  3. Pokud chcete, aby se všechna zařízení v přiřazených skupinách automaticky zaregistrovala do Autopilotu, nastavte Možnost Převést všechna cílová zařízení na Autopilot na Ano. Všechna zařízení vlastněná společností, která nejsou zařízení Autopilot v přiřazených skupinách, se registrují ve službě nasazení Autopilot. Zařízení v osobním vlastnictví nejsou zaregistrovaná ve službě Autopilot. Počkejte 48 hodin, než se registrace zpracuje. Když se registrace zařízení zruší a resetuje, Autopilot ho znovu zaregistruje. Po registraci zařízení tímto způsobem se zakázáním tohoto nastavení nebo odebráním přiřazení profilu neodebere ze služby nasazení Autopilotu. Místo toho musíte zařízení odebrat přímo.

  4. Vyberte Další.

  5. Na stránce Předdefinované prostředí (OOBE) vyberte v části Režim nasazenímožnost Řízený uživatelem.

  6. V poli Připojit k Microsoft Entra ID jako vyberte Microsoft Entra hybrid join.

  7. Pokud nasazujete zařízení mimo síť organizace pomocí podpory sítě VPN, nastavte možnost Přeskočit kontrolu připojení k doméně na Ano. Další informace najdete v tématu Režim řízený uživatelem pro Microsoft Entra hybridní připojení s podporou sítě VPN.

  8. Podle potřeby nakonfigurujte zbývající možnosti na stránce Prostředí počátečního nastavení počítače (OOBE).

  9. Vyberte Další.

  10. Na stránce Značky oboru vyberte značky oboru pro tento profil.

  11. Vyberte Další.

  12. Na stránce Přiřazení vyberte Vybrat skupiny, které se mají zahrnout> do hledání, a vyberte skupinu > zařízení Vybrat.

  13. Vyberte Další>vytvořit.

Poznámka

Intune pravidelně kontroluje nová zařízení v přiřazených skupinách a pak zahájí proces přiřazování profilů k těmto zařízením. Vzhledem k několika různým faktorům, které jsou součástí procesu přiřazování profilu Autopilotu, se odhadovaná doba přiřazení může v jednotlivých scénářích lišit. Mezi tyto faktory patří skupiny Microsoft Entra, pravidla členství, hodnota hash zařízení, Intune a služba Autopilot a připojení k internetu. Doba přiřazení se liší v závislosti na všech faktorech a proměnných zahrnutých v konkrétním scénáři.

(Volitelné) Zapnutí stránky stavu registrace

  1. V Centru pro správu Microsoft Intune vyberte Zařízení Se>>stránkou stavu registracewindows>.

  2. V podokně Stránka stavu registrace vyberte Výchozí>nastavení.

  3. V poli Zobrazit průběh instalace aplikace a profilu vyberte Ano.

  4. Podle potřeby nakonfigurujte další možnosti.

  5. Vyberte Uložit.

Vytvoření a přiřazení profilu připojení k doméně

  1. V Centru pro správu Microsoft Intune vyberteProfily> konfigurace zařízení>Vytvořit profil.

  2. Zadejte tyto vlastnosti:

    • Název: Zadejte popisný název nového profilu.
    • Popis: Zadejte popis profilu.
    • Platforma: Vyberte Windows 10 a novější.
    • Typ profilu: Vyberte Šablony, zvolte šablonu s názvem Připojení k doméně a vyberte Vytvořit.

  3. Zadejte Název a Popis a vyberte Další.

  4. Zadejte předponu názvu počítače a Název domény.

  5. (Volitelné) Zadejte organizační jednotku (OU) ve formátu DN. Mezi vaše možnosti patří:

    • Zadejte organizační jednotky, ve které je ovládací prvek delegovaný na zařízení s Windows 2016, na kterém běží Konektor Intune.
    • Zadejte organizační jednotky, ve které je ovládací prvek delegovaný na kořenové počítače v místní Active Directory.
    • Pokud tuto možnost ponecháte prázdnou, objekt počítače se vytvoří ve výchozím kontejneru služby Active Directory (CN=Computers pokud jste ho nikdy nezměnili).

    Tady je několik platných příkladů:

    • OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com
    • OU=Mine,DC=contoso,DC=com

    Tady je několik příkladů, které nejsou platné:

    • CN=Computers,DC=contoso,DC=com (nemůžete zadat kontejner, místo toho nechte hodnotu prázdnou, aby se použila výchozí hodnota pro doménu.)
    • OU=Mine (doménu musíte zadat prostřednictvím DC= atributů)

    Poznámka

    Nepoužívejte uvozovky kolem hodnoty v organizační jednotce.

  6. Vyberte OK>Vytvořit. Profil se vytvoří a zobrazí v seznamu.

  7. Přiřaďte profil zařízení stejné skupině, kterou jste použili v kroku Vytvoření skupiny zařízení. Pokud je potřeba připojit zařízení k různým doménám nebo organizačním jednotce, můžete použít různé skupiny.

Poznámka

Funkce pojmenování pro Windows Autopilot pro Microsoft Entra hybrid join nepodporuje proměnné, jako je %SERIAL%. Podporuje pouze předpony pro název počítače.

Odinstalace konektoru ODJ

Konektor ODJ se instaluje místně do počítače prostřednictvím spustitelného souboru. Pokud je potřeba konektor ODJ odinstalovat z počítače, je potřeba to provést také místně na počítači. Konektor ODJ nejde odebrat prostřednictvím portálu Intune ani voláním rozhraní GRAPH API.

Chcete-li odinstalovat konektor ODJ z počítače, postupujte takto:

  1. Přihlaste se k počítači, který je hostitelem konektoru ODJ.
  2. Klikněte pravým tlačítkem na nabídku Start a vyberte Nastavení.
  3. V okně Nastavení systému Windows vyberte Aplikace.
  4. V části Aplikace & funkce vyhledejte a vyberte Konektor Intune pro Active Directory.
  5. V části Intune Connector for Active Directory vyberte tlačítko Odinstalovat a pak znovu vyberte tlačítko Odinstalovat .
  6. Konektor ODJ pokračuje odinstalací.

Další kroky

Po konfiguraci Windows Autopilotu se dozvíte, jak tato zařízení spravovat. Další informace najdete v tématu Co je Microsoft Intune správa zařízení?.