Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Windows Autopilot řízený uživatelem Microsoft Entra kroky hybridního připojení:
- Krok 2: Instalace konektoru Intune pro Službu Active Directory
- Krok 3: Zvýšení limitu účtu počítače v organizační jednotce (OU)
- Krok 4: Registrace zařízení jako zařízení Windows Autopilot
- Krok 5: Vytvoření skupiny zařízení
- Krok 6: Konfigurace a přiřazení stránky stavu registrace windows Autopilotu (ESP)
- Krok 7: Vytvoření a přiřazení profilu windows Autopilotu Microsoft Entra hybridního připojení
- Krok 8: Konfigurace a přiřazení profilu připojení k doméně
- Krok 9: Přiřazení zařízení Windows Autopilot uživateli (volitelné)
- Krok 10: Nasazení zařízení
Přehled pracovního postupu windows Autopilotu řízeného uživatelem Microsoft Entra hybridního připojení najdete v přehledu windows Autopilotu řízeného uživatelem Microsoft Entra hybridního připojení.
Poznámka
Pokud je konektor Intune pro Službu Active Directory už nainstalovaný a nakonfigurovaný, přeskočte tento krok a přejděte ke kroku 3: Zvýšení limitu účtu počítače v organizační jednotce (OU).
Instalace konektoru Intune pro Službu Active Directory
Konektor Intune pro Službu Active Directory, označovaný také jako konektor ODJ (Offline Domain Join), připojí počítače k místní doméně během procesu Windows Autopilotu. Konektor vytvoří objekty počítače v zadané organizační jednotce (OU) ve službě Active Directory během procesu připojení k doméně.
Důležité
Od verze Intune 2501 se aktualizuje konektor Intune pro službu Active Directory a zlepšuje zabezpečení tím, že se řídí zásadami nejnižších oprávnění pomocí účtu spravované služby (MSA). Když si konektor stáhnete z Intune, automaticky získáte aktualizovanou verzi.
Zastaralý starší konektor je stále dostupný a brzy přestane přijímat žádosti o registraci. Pokud stále používáte starší konektor, proveďte okamžitou aktualizaci, abyste se vyhnuli ztrátě funkčnosti. Další informace najdete v blogovém příspěvku Intune Connector pro službu Active Directory s účtem s nízkými oprávněními pro nasazení Windows Autopilot Hybrid Microsoft Entra join.
Pokud chcete konektor aktualizovat, musíte:
- Ručně odinstalujte starší konektor. Automatická možnost neexistuje.
- Stáhněte a nainstalujte aktualizovaný konektor (popsaný v tomto článku).
Tip
Pokud k registraci zařízení Autopilot používáte více domén:
- Pro každou doménu byste potřebovali samostatnou instanci konektoru. Konektor může zpracovávat žádosti o registraci pouze pro stejnou doménu, na které byl nainstalován server.
- Na server (virtuální počítač nebo fyzický) může existovat maximálně 1 konektor. Pro každou doménu je možné nastavit redundanci dalších serverů, z nichž každý má nainstalovaný vlastní konektor. Pokud v této instalaci selže jeden konektor, požadavky přejdou do jiného konektoru na jiném serveru v rámci stejné domény.
Vyberte kartu, která odpovídá verzi konektoru Intune pro službu Active Directory, která se instaluje:
Aktualizovaný konektorNež začnete
Před instalací se ujistěte, že jsou splněné všechny Intune konektory pro server Služby Active Directory.
Společnost Microsoft doporučuje (nevyžaduje se), aby správce, který instaluje a konfiguroval konektor Intune pro službu Active Directory, má doménová práva uvedená v Intune Connectoru pro požadavky služby Active Directory. Tato práva umožňují konektoru Intune pro instalační program a proces konfigurace služby Active Directory nastavit oprávnění pro účet spravované služby (MSA) v kontejneru Počítače nebo organizačních jednotek, ve kterých jsou vytvořeny objekty počítače.
Pokud správce tato oprávnění nemá, musí jiný správce s příslušnými právy zvýšit limit účtu počítače v organizační jednotce (OU).
Vypnutí konfigurace rozšířeného zabezpečení aplikace Internet Explorer
Od verze 6.2504.2001.8 se aktualizovaný konektor Intune pro Službu Active Directory přepnul na používání webView2, který je založený na Prohlížeči Microsoft Edge místo na WebBrowseru založeném na Microsoft Internet Exploreru. Tato změna znamená, že nastavení Konfigurace rozšířeného zabezpečení aplikace Internet Explorer v Windows Server už nemusí být vypnuté. Ujistěte se, že jste nainstalovali konektor Intune pro Službu Active Directory verze 6.2504.2001.8 nebo novější, abyste se vyhnuli problémům s nastavením konfigurace rozšířeného zabezpečení aplikace Internet Explorer.
Stažení konektoru Intune pro Active Directory
Na serveru, na který se instaluje konektor Intune pro Službu Active Directory, se přihlaste do Centra pro správu Microsoft Intune.
Na domovské obrazovce vyberte v levém podokně Možnost Zařízení .
V části Zařízení | Obrazovka Přehled v části Podle platformy vyberte Windows.
Ve Windows | Obrazovka zařízení s Windows v části Onboarding zařízení vyberte Registrace.
Ve Windows | Obrazovka registrace windows v části Windows Autopilot vyberte Intune Connector pro Active Directory.
Na obrazovce Intune Connector for Active Directory vyberte Přidat.
V okně Přidat konektor, které se otevře, vyberte v části Konfigurace konektoru Intune pro Službu Active Directorymožnost Stáhnout místní konektor Intune Pro Active Directory. Odkaz stáhne soubor s názvem
ODJConnectorBootstrapper.exe.
Instalace konektoru Intune pro Službu Active Directory na server
Důležité
Konektor Intune pro instalaci služby Active Directory je potřeba provést pomocí účtu, který má následující doménová práva:
- Povinné – Vytvořte objekty msDs-ManagedServiceAccount v kontejneru Účty spravované služby.
- Volitelné – Úprava oprávnění v organizačních jednotkách ve službě Active Directory – pokud správce, který instaluje aktualizovaný konektor Intune pro Službu Active Directory, toto právo nemá, musí správce, který má tato práva, provést další kroky konfigurace. Další informace najdete v kroku/části Zvýšení limitu účtu počítače v organizační jednotce.
Přihlaste se k serveru, na který se instaluje Intune Connector pro Active Directory, pomocí účtu, který má oprávnění místního správce.
Pokud je nainstalovaná předchozí starší verze konektoru Intune pro Službu Active Directory, odinstalujte ho před instalací aktualizovaného konektoru Intune pro Active Directory. Další informace najdete v tématu Odinstalace konektoru Intune pro Službu Active Directory.
Důležité
Při odinstalaci starší verze konektoru Intune pro Službu Active Directory nezapomeňte v rámci procesu odinstalace spustit instalační program starší verze konektoru Intune Connector pro službu Active Directory. Pokud se starší verze konektoru Intune pro službu Active Directory při spuštění zobrazí výzvu k jeho odinstalaci, vyberte a odinstalujte ho. Tento krok zajistí, že se předchozí starší verze konektoru Intune pro Službu Active Directory úplně odinstaluje. Starší verzi instalačního programu Intune Connector pro Active Directory si můžete stáhnout z Intune Connectoru pro Active Directory.
Tip
V doménách s pouze jedním konektorem Intune pro službu Active Directory microsoft doporučuje nejprve nainstalovat aktualizovaný konektor Intune pro službu Active Directory na jiný server. Před odinstalací starší verze konektoru Intune pro službu Active Directory na aktuálním serveru by se měla nainstalovat aktualizovaná služba Intune Connector pro službu Active Directory na jiný server. Instalace konektoru Intune pro Službu Active Directory na jiný server zabrání výpadkům, když se na aktuálním serveru aktualizuje konektor Intune pro Službu Active Directory.
ODJConnectorBootstrapper.exeOtevřete stažený soubor a spusťte instalaci konektoru Intune pro instalaci služby Active Directory.Projděte si Intune Connector pro instalaci služby Active Directory.
Na konci instalace zaškrtněte políčko Spustit konektor Intune pro Službu Active Directory.
Poznámka
Pokud se instalace Intune Connectoru pro instalaci služby Active Directory omylem zavře bez zaškrtnutí políčka Spustit konektor Intune pro Službu Active Directory, můžete znovu otevřít konfiguraci konektoru Intune pro Službu Active Directory výběrem možnosti Intune Connector pro službu Active Directory>Intune Konektor pro Active Directory z nabídky Start.
Přihlaste se ke Intune Connectoru pro Active Directory.
V okně Intune Connector for Active Directory na kartě Registrace vyberte Přihlásit se.
Na kartě Přihlásit se přihlaste pomocí Microsoft Entra ID přihlašovacích údajů role správce Intune. Uživatelský účet musí mít přiřazenou licenci Intune. Proces přihlášení může trvat několik minut.
Poznámka
Účet použitý k registraci konektoru Intune pro Službu Active Directory je v době instalace pouze dočasným požadavkem. Účet se po registraci serveru dál nepoužívá.
Po dokončení procesu přihlášení:
- Zobrazí se potvrzovací okno konektoru Intune pro úspěšně zaregistrovanou službu Active Directory. Výběrem OK okno zavřete.
-
Účet spravované služby s názvem "<>MSA_name" se úspěšně nastavilo potvrzovací okno. Název msa je ve formátu
msaODJ#####, kde ##### je pět náhodných znaků. Označte název vytvořeného účtu MSA a pak kliknutím na OK okno zavřete. Název msa může být potřeba později ke konfiguraci MSA tak, aby umožňoval vytváření objektů počítače v organizačních jednotcích.
Na kartě Registrace se zobrazuje Intune Konektor pro Službu Active Directory je zaregistrovaný. Tlačítko Přihlásit se je neaktivní a možnost Konfigurovat účet spravované služby je povolená.
Zavřete okno konektoru Intune pro Službu Active Directory.
Ověřte, že je konektor Intune pro Službu Active Directory aktivní.
Po ověření se dokončí instalace konektoru Intune pro Službu Active Directory. Po dokončení instalace pomocí následujícího postupu ověřte, že je aktivní v Intune:
Pokud je centrum pro správu Microsoft Intune stále otevřené, přejděte do něj. Pokud se okno Přidat konektor stále zobrazuje, zavřete ho.
Pokud centrum pro správu Microsoft Intune stále není otevřené:
Přihlaste se do Centra pro správu Microsoft Intune.
Na domovské obrazovce vyberte v levém podokně Možnost Zařízení .
V části Zařízení | Obrazovka Přehled v části Podle platformy vyberte Windows.
Ve Windows | Obrazovka zařízení s Windows v části Onboarding zařízení vyberte Registrace.
Ve Windows | Obrazovka registrace windows v části Windows Autopilot vyberte Intune Connector pro Active Directory.
Na stránce konektoru Intune pro Službu Active Directory:
- Ověřte, že se server zobrazuje v části Název konektoru a že se v části Stav zobrazuje jako Aktivní.
- V případě aktualizovaného konektoru Intune pro Službu Active Directory se ujistěte, že je verze vyšší nebo rovna 6.2501.2000.5.
Pokud se server nezobrazí, vyberte Aktualizovat nebo přejděte pryč ze stránky a pak přejděte zpět na stránku Intune Connector for Active Directory.
Poznámka
Může trvat několik minut, než se nově zaregistrovaný server zobrazí na stránce Intune Connector for Active Directory v Centru pro správu Microsoft Intune. Zaregistrovaný server se zobrazí jenom v případě, že může úspěšně komunikovat se službou Intune.
Neaktivní konektory Intune pro Službu Active Directory se stále zobrazují na stránce Intune Connector for Active Directory a po 30 dnech se automaticky vyčistí.
Po instalaci konektoru Intune pro Službu Active Directory se spustí protokolování v Prohlížeč událostí v cestě Protokoly> aplikací a služebMicrosoft>Intune>ODJConnectorService. V této cestě najdete Správa a provozní protokoly.
Konfigurace MSA tak, aby umožňoval vytváření objektů v organizačních pou (volitelné)
Ve výchozím nastavení mají msa přístup pouze k vytváření objektů počítače v kontejneru Computers . Účty msa nemají přístup k vytváření objektů počítače v organizačních jednotkách. Aby služba MSA mohla vytvářet objekty v organizačních jednotkách, je potřeba je přidat do ODJConnectorEnrollmentWizard.exe.config souboru XML, který se nachází v adresáři, ve ODJConnectorEnrollmentWizard kterém byl nainstalován konektor Intune pro Službu Active Directory, obvykle C:\Program Files\Microsoft Intune\ODJConnector\.
Pokud chcete nakonfigurovat MSA tak, aby umožňoval vytváření objektů v organizačních jednotkách, postupujte takto:
Na serveru, na kterém je nainstalovaný konektor Intune pro Službu Active Directory, přejděte do
ODJConnectorEnrollmentWizardadresáře, ve kterém byl nainstalován konektor Intune pro Službu Active Directory, obvykleC:\Program Files\Microsoft Intune\ODJConnector\.V adresáři
ODJConnectorEnrollmentWizardotevřete existujícíODJConnectorEnrollmentWizard.exe.configsoubor XML v textovém editoru, například Poznámkový blok.V elementu
add keyODJConnectorEnrollmentWizard.exe.configsouboru XML:- Vedle přidejte
value=všechny požadované organizační objekty, ve kterých by měl mít msa přístup k vytváření objektů počítače. - Název organizační jednotky musí být ve formátu rozlišujícího názvu LDAP , a pokud je to možné, musí mít řídicí znak.
- Více organizačních jednotek se podporuje oddělením jednotlivých organizačních jednotek středníkem (;).
- Nezapomeňte zachovat uvozovky (") vedle
value=položky . Všechny hodnoty organizační jednotky musí být v jednom páru uvozovek. - Neměňte název klíčového prvku
OrganizationalUnitsUsedForOfflineDomainJoin.
Následující příklad je příklad položky XML s více organizačními položkami ve formátu rozlišujícího názvu LDAP:
<appSettings> <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format. The ODJ Connector will only have permission to create computer objects in these OUs. The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY): Domain contains the following OUs: - OU=HybridDevices,DC=contoso,DC=com - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" --> <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" /> </appSettings>Tip
V příkladu nahraďte příklad červeného textu za
value=organizační objekt organizace ve formátu rozlišujícího názvu LDAP. Jak je znázorněno v příkladu, ujistěte se, že jsou všechny položky organizační jednotky v uvozovkách (") a že jsou jednotlivé organizační jednotky oddělené středníkem (;) .- Vedle přidejte
Po přidání všech požadovaných organizačních jednotek uložte
ODJConnectorEnrollmentWizard.exe.configsoubor XML.Jako správce, který má příslušná oprávnění ke změně oprávnění organizační jednotky, otevřete konektor Intune pro Službu Active Directory tak, že v nabídce Start přejdete na Intune Connector pro Active Directory>Intune Connector pro Active Directory.
Důležité
Pokud správce, který instaluje a konfiguruje konektor Intune pro Službu Active Directory, nemá oprávnění k úpravě oprávnění organizační jednotky, musí místo toho postupovat správce, který má oprávnění k úpravě oprávnění organizační jednotky, oddíl/postup Zvýšení limitu účtu počítače v organizační jednotce.
Na kartě Registrace v okně Intune Connector for Active Directory vyberte Konfigurovat účet spravované služby.
Zobrazí se potvrzovací okno Účet spravované služby s názvem "<MSA_name>" . Výběrem OK okno zavřete.
Použití vlastního účtu spravované služby (volitelné)
Volitelně můžete konektor nakonfigurovat tak, aby používal váš vlastní účet spravované služby na rozdíl od msa automaticky nastaveného konektorem.
Požadavky na MSA
Tato část popisuje požadavky MSA.
Zadaným účtem musí být účet služby s některou z následujících kategorií objektů ve službě Active Directory:
CN=ms-DS-Group-Managed-Service-Account,CN=Schema,CN=Configuration,DC=contoso,DC=comCN=ms-DS-Managed-Service-Account,CN=Schema,CN=Configuration,DC=contoso,DC=com
Konfigurační hodnota pro účet služby musí být v následujícím formátu:
<msaAccountName@domain>Účet služby musí existovat ve stejné doméně jako server konektoru ODJ.
Účet služby musí být nainstalovaný na serveru, který je hostitelem konektoru ODJ. Další informace najdete v tématu Install-ADServiceAccount.
- Pokud používáte sMSA, je možné účet propojit jenom s jedním počítačem.
- Pokud používáte gMSA, server, na který gMSA instalujete, musí mít přístup k heslu.
Účet služby musí mít místní oprávnění k přihlášení jako služby , které je možné nastavit přímo nebo prostřednictvím členství ve skupině. Další informace najdete v tématu Povolení přihlášení ke službě.
Oprávnění je potřeba udělit ručně účtům služeb, aby bylo možné vytvářet objekty počítačů pro hybridní toky Autopilotu. Další informace najdete v tématu Zvýšení limitu účtu počítače v organizační jednotce (OU).
Jak nastavit
Aktualizujte ODJConnectorEnrollmentWizard.exe.config. Jeho výchozí umístění je C:\Program Files\Microsoft Intune\ODJConnector\ODJConnectorEnrollmentWizard.
- V části souboru appSettings přidejte následující řádek:
<add key="TenantConfiguredManagedServiceAccount" value="{accountname}" /> - Přihlaste se ke konektoru.
Zakázání aktualizací organizačních jednotky
Použití vlastního MSA zakáže konektoru provádět jakékoli aktualizace organizačních jednotek bez ohledu na to, které jsou nakonfigurované v organizační jednotceUsedForOfflineDomainJoin. Pokud chcete zabránit chybám, zakažte aktualizace organizačních jednotky aktualizací ODJConnectorEnrollmentWizard.exe.config. Jeho výchozí umístění je C:\Program Files\Microsoft Intune\ODJConnector\ODJConnectorEnrollmentWizard.
- V části souboru appSettings přidejte následující řádek:
<add key="DisableOUUpdates" value="true" /> - Přihlaste se ke konektoru.