Sdílet prostřednictvím

Nasazení Microsoft Entra hybridních zařízení pomocí Intune a Windows Autopilotu

Důležité

Microsoft doporučuje nasadit nová zařízení jako nativní pro cloud pomocí Microsoft Entra join. Nasazení nových zařízení jako Microsoft Entra zařízení s hybridním připojováním se nedoporučuje, a to ani prostřednictvím Windows Autopilotu. Další informace najdete v tématu Microsoft Entra join a Microsoft Entra hybrid join v koncových bodech nativních pro cloud: Která možnost je pro vaši organizaci nejvhodnější.

Intune a Windows Autopilot je možné použít k nastavení Microsoft Entra hybridních zařízení. Postupujte podle pokynů v tomto článku. Další informace o Microsoft Entra hybridním připojení najdete v tématu Principy Microsoft Entra hybridního připojení a spolusprávy.

Požadavky

Seznam požadavků pro provádění Microsoft Entra hybridního připojení během Windows Autopilotu je uspořádaný do tří různých kategorií:

  • Obecné – obecné požadavky.
  • Registrace zařízení – požadavky na registraci zařízení.
  • Konektor Intune – Konektor Intune pro požadavky služby Active Directory.

Výběrem příslušné karty zobrazíte příslušné požadavky:

Nastavení automatické registrace MDM ve Windows

  1. Přihlaste se k Azure Portal a vyberte ID Microsoft Entra.

  2. V levém podokně vyberte Spravovat | mobilitu (MDM a WIP)>Microsoft Intune.

  3. Ujistěte se, že uživatelé, kteří nasazují Microsoft Entra připojená zařízení pomocí Intune a Windows, jsou členy skupiny zahrnuté do oboru uživatelů MDM.

  4. Použijte výchozí hodnoty v polích ADRESA URL podmínek použití MDM, ADRESA URL zjišťování MDM a ADRESA URL dodržování předpisů MDM a pak vyberte Uložit.

Instalace konektoru Intune pro Active Directory

Konektor Intune pro Active Directory, označovaný také jako konektor ODJ (Offline Domain Join), připojí počítače k místní doméně během procesu Windows Autopilotu. Konektor vytvoří objekty počítače v zadané organizační jednotce (OU) ve službě Active Directory během procesu připojení k doméně.

Důležité

Od Intune 2501 se konektor Intune pro Active Directory aktualizuje a zlepšuje zabezpečení tím, že se při použití účtu spravované služby (MSA) řídí principy s nejnižšími oprávněními. Když si konektor stáhnete z Intune, automaticky získáte aktualizovanou verzi.

Zastaralý starší konektor je stále dostupný a brzy přestane přijímat žádosti o registraci. Pokud stále používáte starší konektor, proveďte okamžitou aktualizaci, abyste se vyhnuli ztrátě funkčnosti. Další informace najdete v blogovém příspěvku Konektor Intune pro Službu Active Directory s účtem s nízkými oprávněními pro hybridní Microsoft Entra nasazení Windows Autopilot.

Pokud chcete konektor aktualizovat, musíte:

  1. Ručně odinstalujte starší konektor. Automatická možnost neexistuje.
  2. Stáhněte a nainstalujte aktualizovaný konektor (popsaný v tomto článku).

Tip

Pokud k registraci zařízení Autopilot používáte více domén:

  • Pro každou doménu byste potřebovali samostatnou instanci konektoru. Konektor může zpracovávat žádosti o registraci pouze pro stejnou doménu, na které byl nainstalován server.
  • Na server (virtuální počítač nebo fyzický) může existovat maximálně 1 konektor. Pro každou doménu je možné nastavit redundanci dalších serverů, z nichž každý má nainstalovaný vlastní konektor. Pokud v této instalaci selže jeden konektor, požadavky přejdou do jiného konektoru na jiném serveru v rámci stejné domény.

Vyberte kartu, která odpovídá verzi konektoru Intune pro službu Active Directory, která se instaluje:

Než začnete

Vypnutí konfigurace rozšířeného zabezpečení aplikace Internet Explorer

Od verze 6.2504.2001.8 se aktualizovaný konektor Intune pro Active Directory přepnul na používání webView2, který je založený na Prohlížeči Microsoft Edge místo na WebBrowseru založeném na Microsoft Internet Exploreru. Tato změna znamená, že nastavení Konfigurace rozšířeného zabezpečení aplikace Internet Explorer v Windows Server už nemusí být vypnuté. Abyste se vyhnuli problémům s nastavením konfigurace rozšířeného zabezpečení Internet Exploreru, nezapomeňte nainstalovat konektor Intune pro Active Directory verze 6.2504.2001.8 nebo novější.

Stažení konektoru Intune pro Active Directory

  1. Na serveru, na kterém se instaluje konektor Intune pro Active Directory, se přihlaste do Centra pro správu Microsoft Intune.

  2. Na domovské obrazovce vyberte v levém podokně Možnost Zařízení .

  3. V části Zařízení | Obrazovka Přehled v části Podle platformy vyberte Windows.

  4. Ve Windows | Obrazovka zařízení s Windows v části Onboarding zařízení vyberte Registrace.

  5. Ve Windows | Obrazovka registrace windows v části Windows Autopilot vyberte Konektor Intune pro Active Directory.

  6. Na obrazovce Intune Connector for Active Directory vyberte Přidat.

  7. V okně Přidat konektor , které se otevře, vyberte v části Konfigurace konektoru Intune pro Active Directorymožnost Stáhnout místní konektor Intune pro Active Directory. Odkaz stáhne soubor s názvem ODJConnectorBootstrapper.exe.

Instalace konektoru Intune pro Active Directory na server

Důležité

Instalaci konektoru Intune pro Active Directory je potřeba provést pomocí účtu, který má následující doménová práva:

  • Povinné – Vytvořte objekty msDs-ManagedServiceAccount v kontejneru Účty spravované služby.
  • Volitelné – Úprava oprávnění v organizačních jednotkách ve službě Active Directory – pokud správce, který instaluje aktualizovaný konektor Intune pro Active Directory, toto právo nemá, vyžaduje správce, který má tato práva, další kroky konfigurace. Další informace najdete v kroku/části Zvýšení limitu účtu počítače v organizační jednotce.

  1. Přihlaste se k serveru, na který se instaluje konektor Intune pro Active Directory, pomocí účtu, který má oprávnění místního správce.

  2. Pokud je nainstalovaný předchozí starší konektor Intune pro Active Directory, odinstalujte ho před instalací aktualizovaného konektoru Intune pro Active Directory. Další informace najdete v tématu Odinstalace konektoru Intune pro Active Directory.

    Důležité

    Při odinstalaci předchozího staršího konektoru Intune pro Active Directory nezapomeňte v rámci procesu odinstalace spustit instalační program starší verze Konektoru Intune pro Active Directory . Pokud instalační program starší verze konektoru Intune pro Active Directory vyzve při spuštění k jeho odinstalaci , vyberte a odinstalujte ho. Tento krok zajistí, že se předchozí starší verze konektoru Intune pro Službu Active Directory úplně odinstaluje. Starší instalační program konektoru Intune pro Active Directory si můžete stáhnout z konektoru Intune pro Active Directory.

    Tip

    V doménách s pouze jedním konektorem Intune pro Službu Active Directory microsoft doporučuje nejprve nainstalovat aktualizovaný konektor Intune pro Active Directory na jiný server. Před odinstalací starší verze konektoru Intune pro Službu Active Directory na aktuálním serveru byste měli nainstalovat aktualizovaný konektor Intune pro Active Directory na jiný server. Instalace konektoru Intune pro Službu Active Directory na jinou první instalaci zabrání výpadkům při aktualizaci konektoru Intune pro Active Directory na aktuálním serveru.

  3. ODJConnectorBootstrapper.exe Otevřete stažený soubor a spusťte instalaci intune Connectoru pro instalaci active directory.

  4. Projděte si instalaci konektoru Intune pro instalaci služby Active Directory .

  5. Na konci instalace zaškrtněte políčko Spustit konektor Intune pro Active Directory.

    Poznámka

    Pokud se instalace Intune Connectoru pro active directory omylem zavře bez zaškrtnutí políčka Spustit Intune Connector pro Active Directory, můžete konfiguraci Intune Connectoru pro Active Directory znovu otevřít tak, že v nabídce Start vyberete Intune Connector for Active Directory>Intune Connector for Active Directory.

Přihlášení ke konektoru Intune pro Active Directory

  1. V okně Intune Connector for Active Directory na kartě Registrace vyberte Přihlásit se.

  2. Na kartě Přihlášení se přihlaste pomocí přihlašovacích údajů Microsoft Entra ID role správce Intune. Uživatelský účet musí mít přiřazenou licenci Intune. Proces přihlášení může trvat několik minut.

    Poznámka

    Účet použitý k registraci konektoru Intune pro Službu Active Directory je v době instalace pouze dočasným požadavkem. Účet se po registraci serveru dál nepoužívá.

  3. Po dokončení procesu přihlášení:

    1. Zobrazí se potvrzovací okno s potvrzením úspěšné registrace konektoru Intune pro Active Directory . Výběrem OK okno zavřete.
    2. Účet spravované služby s názvem "<>MSA_name" se úspěšně nastavilo potvrzovací okno. Název msa je ve formátu msaODJ##### , kde ##### je pět náhodných znaků. Označte název vytvořeného účtu MSA a pak kliknutím na OK okno zavřete. Název msa může být potřeba později ke konfiguraci MSA tak, aby umožňoval vytváření objektů počítače v organizačních jednotcích.

  4. Na kartě Registracese zobrazuje zaregistrovaný konektor Intune pro Active Directory. Tlačítko Přihlásit se je neaktivní a možnost Konfigurovat účet spravované služby je povolená.

  5. Zavřete okno Intune Connector for Active Directory .

Ověření aktivního konektoru Intune pro Active Directory

Po ověření se dokončí instalace konektoru Intune pro Active Directory. Po dokončení instalace pomocí následujících kroků ověřte, že je v Intune aktivní:

  1. Pokud je centrum pro správu Microsoft Intune stále otevřené, přejděte do centra pro správu Microsoft Intune . Pokud se okno Přidat konektor stále zobrazuje, zavřete ho.

    Pokud centrum pro správu Microsoft Intune stále není otevřené:

    1. Přihlaste se do Centra pro správu Microsoft Intune.

    2. Na domovské obrazovce vyberte v levém podokně Možnost Zařízení .

    3. V části Zařízení | Obrazovka Přehled v části Podle platformy vyberte Windows.

    4. Ve Windows | Obrazovka zařízení s Windows v části Onboarding zařízení vyberte Registrace.

    5. Ve Windows | Obrazovka registrace windows v části Windows Autopilot vyberte Konektor Intune pro Active Directory.

  2. Na stránce Intune Connector for Active Directory :

    • Ověřte, že se server zobrazuje v části Název konektoru a že se v části Stav zobrazuje jako Aktivní.
    • V případě aktualizovaného konektoru Intune pro Active Directory se ujistěte, že je verze větší nebo rovna 6.2501.2000.5.

    Pokud se server nezobrazí, vyberte Aktualizovat nebo přejděte pryč ze stránky a pak přejděte zpět na stránku Konektor Intune pro Active Directory .

Poznámka

  • Může trvat několik minut, než se nově zaregistrovaný server zobrazí na stránce Intune Connector for Active Directory v Centru pro správu Microsoft Intune. Zaregistrovaný server se zobrazí jenom v případě, že může úspěšně komunikovat se službou Intune.

  • Neaktivní konektory Intune pro Active Directory se pořád zobrazují na stránce Intune Connector for Active Directory a po 30 dnech se automaticky vyčistí.

Po instalaci konektoru Intune pro Active Directory se začne protokolovat v Prohlížeč událostí pod cestou Aplikace a služby Protokoly>Microsoft>Intune>ODJConnectorService. V této cestě najdete Správa a provozní protokoly.

Konfigurace MSA tak, aby umožňoval vytváření objektů v organizačních pou (volitelné)

Ve výchozím nastavení mají msa přístup pouze k vytváření objektů počítače v kontejneru Computers . Účty msa nemají přístup k vytváření objektů počítače v organizačních jednotkách. Pokud chcete umožnit msa vytvářet objekty v organizačních jednotkách, je potřeba je přidat do ODJConnectorEnrollmentWizard.exe.config souboru XML, který se nachází v adresáři, kde ODJConnectorEnrollmentWizard byl nainstalovaný konektor Intune pro Active Directory, obvykle C:\Program Files\Microsoft Intune\ODJConnector\.

Pokud chcete nakonfigurovat MSA tak, aby umožňoval vytváření objektů v organizačních jednotkách, postupujte takto:

  1. Na serveru, na kterém je nainstalovaný Konektor Intune pro Active Directory, přejděte do ODJConnectorEnrollmentWizard adresáře, ve kterém byl nainstalovaný Konektor Intune pro Active Directory, obvykle C:\Program Files\Microsoft Intune\ODJConnector\.

  2. V adresáři ODJConnectorEnrollmentWizard otevřete existující ODJConnectorEnrollmentWizard.exe.config soubor XML v textovém editoru, například Poznámkový blok.

  3. V elementu add keyODJConnectorEnrollmentWizard.exe.config souboru XML:

    • Vedle přidejte value=všechny požadované organizační objekty, ve kterých by měl mít msa přístup k vytváření objektů počítače.
    • Název organizační jednotky musí být ve formátu rozlišujícího názvu LDAP , a pokud je to možné, musí mít řídicí znak.
    • Více organizačních jednotek se podporuje oddělením jednotlivých organizačních jednotek středníkem (;).
    • Nezapomeňte zachovat uvozovky (") vedle value=položky . Všechny hodnoty organizační jednotky musí být v jednom páru uvozovek.
    • Neměňte název klíčového prvku OrganizationalUnitsUsedForOfflineDomainJoin.

    Následující příklad je příklad položky XML s více organizačními položkami ve formátu rozlišujícího názvu LDAP:

      <appSettings>

    <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format.
        The ODJ Connector will only have permission to create computer objects in these OUs.
        The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure

        Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY):
        Domain contains the following OUs:
          - OU=HybridDevices,DC=contoso,DC=com
          - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com

        Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" -->

    <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" />
  </appSettings>

    Tip

    V příkladu nahraďte příklad červeného textu za value= organizační objekt organizace ve formátu rozlišujícího názvu LDAP. Jak je znázorněno v příkladu, ujistěte se, že jsou všechny položky organizační jednotky v uvozovkách (") a že jsou jednotlivé organizační jednotky oddělené středníkem (;) .

  4. Po přidání všech požadovaných organizačních jednotek uložte ODJConnectorEnrollmentWizard.exe.config soubor XML.

  5. Jako správce, který má příslušná oprávnění k úpravě oprávnění organizační jednotky, otevřete Intune Connector pro Active Directory tak, že v nabídce Start přejdete na Intune Connector for Active Directory>Intune Connector for Active Directory.

    Důležité

    Pokud správce, který instaluje a konfiguruje Intune Connector pro Active Directory, nemá oprávnění k úpravě oprávnění organizační jednotky, musí místo toho postupovat správce, který má oprávnění k úpravě oprávnění organizační jednotky, oddíl/postup Zvýšení limitu účtu počítače v organizační jednotce .

  6. Na kartě Registrace v okně Konektor Intune pro Active Directory vyberte Konfigurovat účet spravované služby.

  7. Zobrazí se potvrzovací okno Účet spravované služby s názvem "<MSA_name>" . Výběrem OK okno zavřete.

Konfigurace nastavení webového proxy serveru

Pokud je v síťovém prostředí webový proxy server, ujistěte se, že konektor Intune pro Active Directory funguje správně. Přečtěte si téma Konfigurace nastavení proxy serveru pro konektor Intune pro Active Directory.

Zvýšení limitu účtu počítače v organizační jednotce

Důležité

Tento krok je nutný pouze za jedné z následujících podmínek:

Účelem konektoru Intune pro Active Directory je připojit počítače k doméně a přidat je do organizační jednotky. Z tohoto důvodu musí mít účet spravované služby používaný pro Konektor Intune pro Službu Active Directory oprávnění k vytváření účtů počítačů v organizační jednotky, kde jsou počítače připojené k místní doméně.

S výchozími oprávněními ve službě Active Directory můžou připojení k doméně konektorem Intune pro Službu Active Directory zpočátku fungovat bez jakýchkoli úprav oprávnění organizační jednotky ve službě Active Directory. Poté, co se microsoft microsoft pokusí připojit více než 10 počítačů k místní doméně, ale přestane fungovat, protože ve výchozím nastavení služba Active Directory umožňuje připojit k místní doméně pouze jeden účet až 10 počítačů.

Následující uživatelé nejsou omezeni omezením 10 připojení k doméně počítače:

  • Uživatelé ve skupinách Správci nebo Správci domény: Aby bylo možné dodržet model s nejnižšími oprávněními, microsoft nedoporučuje, aby byl správcem msa nebo správcem domény.
  • Uživatelé s delegovanými oprávněními k organizační jednotce a kontejnerům ve službě Active Directory k vytváření účtů počítačů: Tato metoda se doporučuje, protože se řídí modelem principů nejnižších oprávnění.

Aby bylo toto omezení opraveno, potřebuje správce msa oprávnění k vytváření účtů počítačů v organizační jednotce(OU), ke které jsou počítače v místní doméně připojené. Konektor Intune pro Službu Active Directory nastaví oprávnění pro msa na organizační jednotce za předpokladu, že je splněna jedna z následujících podmínek:

  • Správce, který instaluje Intune Connector pro Active Directory, má potřebná oprávnění k nastavení oprávnění k organizačním jednotce.
  • Správce konfigurující konektor Intune pro Službu Active Directory má potřebná oprávnění k nastavení oprávnění u organizačních jednotek.

Pokud správce, který instaluje nebo konfiguruje Intune Connector pro Službu Active Directory, nemá potřebná oprávnění k nastavení oprávnění u organizačních jednotek, je potřeba postupovat podle následujících kroků:

  1. Přihlaste se k počítači, který má přístup ke konzole Uživatelé a počítače služby Active Directory pomocí účtu, který má potřebná oprávnění k nastavení oprávnění u organizačních jednotek.

  2. Otevřete konzolu Uživatelé a počítače služby Active Directory spuštěním příkazu DSA.msc.

  3. Rozbalte požadovanou doménu a přejděte k organizační jednotce(OU), ke které se počítače připojují během windows Autopilotu.

    Poznámka

    Organizační jednotka, ke které se počítače připojí během nasazení Windows Autopilotu, se zadává později během kroku Konfigurace a přiřazení profilu připojení k doméně .

  4. Klikněte pravým tlačítkem na organizační jednotky a vyberte Vlastnosti.

    Poznámka

    Pokud počítače místo organizační jednotky připojují výchozí kontejner Počítače , klikněte pravým tlačítkem na kontejner Počítače a vyberte Delegovat řízení.

  5. V okně Vlastnosti organizační jednotky, které se otevře, vyberte kartu Zabezpečení .

  6. Na kartě Zabezpečení vyberte Upřesnit.

  7. V okně Upřesnit nastavení zabezpečení vyberte Přidat.

  8. V oknech Položka oprávnění vedle položky Objekt zabezpečení vyberte odkaz Vybrat objekt zabezpečení .

  9. V okně Vybrat uživatele, počítač, účet služby nebo skupinu vyberte tlačítko Typy objektů .

  10. V okně Typy objektů zaškrtněte políčko Účty služeb a pak vyberte OK.

  11. V okně Vybrat uživatele, počítač, účet služby nebo skupinu zadejte v části Zadejte název objektu, který chcete vybrat, název MSA, který se používá pro konektor Intune pro Službu Active Directory.

    Tip

    Účet MSA se vytvořil během kroku/části Instalace konektoru Intune pro Active Directory a má formát názvu, ve kterém ##### je pět náhodných msaODJ##### znaků. Pokud název MSA není známý, vyhledejte ho následujícím postupem:

    1. Na serveru, na kterém běží Intune Connector for Active Directory, klikněte pravým tlačítkem na nabídku Start a pak vyberte Správa počítače.
    2. V okně Správa počítače rozbalte položku Služby a aplikace a pak vyberte Služby.
    3. V podokně výsledků vyhledejte službu s názvem Intune ODJConnector pro Active Service. Název msa je uvedený ve sloupci Přihlásit se jako .

  12. Vyberte Zkontrolovat názvy a ověřte položku názvu MSA. Po ověření položky vyberte OK.

  13. V oknech Položka oprávnění vyberte rozevírací nabídku Platí pro: a pak vyberte Pouze tento objekt.

  14. V části Oprávnění zrušte výběr všech položek a pak zaškrtněte pouze políčko Vytvořit objekty počítače .

  15. Výběrem OK zavřete okno Položka oprávnění .

  16. V okně Upřesnit nastavení zabezpečení vyberte Použít nebo OK , aby se změny použily.

Vytvoření skupiny zařízení

  1. V Centru pro správu Microsoft Intune vyberte Skupiny>Nová skupina.

  2. V podokně Skupina vyberte následující možnosti:

    1. Jako Typ skupiny vyberte Zabezpečení.

    2. Zadejte Název skupiny a Popis skupiny.

    3. Vyberte typ členství.

  3. Pokud je jako typ členství vybraná možnost Dynamická zařízení , vyberte v podokně Skupinamožnost Členové dynamických zařízení.

  4. V poli Syntaxe pravidla vyberte Upravit a zadejte jeden z následujících řádků kódu:

    • Pokud chcete vytvořit skupinu, která zahrnuje všechna zařízení Windows Autopilot, zadejte:

      (device.devicePhysicalIDs -any _ -startsWith "[ZTDId]")

    • Pole Značka skupiny Intune se mapuje na atribut OrderID na Microsoft Entra zařízeních. Pokud chcete vytvořit skupinu, která zahrnuje všechna zařízení Windows Autopilot s konkrétní značkou skupiny (OrderID), zadejte:

      (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")

    • Pokud chcete vytvořit skupinu, která zahrnuje všechna zařízení Windows Autopilot s konkrétním ID nákupní objednávky, zadejte:

      (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")

  5. Vyberte Uložit>vytvořit.

Registrace zařízení Windows Autopilot

Vyberte jeden z následujících způsobů registrace zařízení Windows Autopilot.

Registrace zařízení Windows Autopilot, která jsou už zaregistrovaná

  1. Vytvořte profil nasazení Windows Autopilot s nastavením Převést všechna cílová zařízení na Autopilot nastavenou na Ano.

  2. Přiřaďte profil ke skupině obsahující členy, které je potřeba automaticky zaregistrovat ve Windows Autopilotu.

Další informace najdete v tématu Konfigurace profilů Windows Autopilotu.

Registrace zařízení Windows Autopilot, která nejsou zaregistrovaná

Zařízení, která ještě nejsou zaregistrovaná ve Windows Autopilotu, je možné registrovat ručně. Další informace najdete v tématu Ruční registrace.

Registrace zařízení od výrobce OEM

Pokud pořizujete nová zařízení, můžou je někteří OEM registrovat jménem organizace. Další informace najdete v tématu Registrace výrobce OEM.

Zobrazení zaregistrovaného zařízení Windows Autopilot

Než se zařízení zaregistrují do Intune, zobrazí se registrovaná zařízení Windows Autopilot na třech místech (s názvy nastavenými na jejich sériová čísla):

Po registraci zařízení Windows Autopilot se zařízení zobrazí na čtyřech místech:

Poznámka

Po registraci se zařízení pořád zobrazují v podokně Zařízení Windows Autopilot v Centru pro správu Microsoft Intune a v podokně Autopilot v Centrum pro správu Microsoftu 365, ale tyto objekty jsou objekty zaregistrované ve Windows Autopilotu.

Objekt zařízení se předem vytvoří v id Microsoft Entra, jakmile je zařízení zaregistrované ve Windows Autopilotu. Když zařízení prochází hybridním Microsoft Entra nasazením, vytvoří se z návrhu jiný objekt zařízení, což vede k duplicitním položkám.

Sítě VPN

Testují se a ověřují následující klienti VPN:

  • In-box Windows VPN client
  • Cisco AnyConnect (klient Win32)
  • Pulse Secure (klient Win32)
  • GlobalProtect (klient Win32)
  • Kontrolní bod (klient Win32)
  • Citrix NetScaler (klient Win32)
  • SonicWall (klient Win32)
  • FortiClient VPN (klient Win32)

Pokud používáte sítě VPN, vyberte v profilu nasazení Windows Autopilot možnost Ano u možnosti Přeskočit připojení AD . Always-On sítě VPN by tuto možnost neměly vyžadovat, protože se připojuje automaticky.

Poznámka

Tento seznam klientů VPN není úplný seznam všech klientů VPN, kteří pracují s Windows Autopilotem. Pokud jde o kompatibilitu a možnosti podpory s Windows Autopilotem nebo jakékoli problémy s používáním řešení VPN s Windows Autopilotem, obraťte se na příslušného dodavatele sítě VPN.

Nepodporované klienty VPN

O následujících řešeních VPN se ví, že nefungují s Windows Autopilotem, a proto nejsou podporovaná pro použití s Windows Autopilotem:

  • Moduly plug-in VPN založené na UPW
  • Cokoli, co vyžaduje uživatelský certifikát
  • DirectAccess

Poznámka

Vynechání konkrétního klienta VPN z tohoto seznamu neznamená automaticky, že je podporovaný nebo že funguje s Windows Autopilotem. Tento seznam obsahuje pouze klienty VPN, o kterých je známo , že nefungují s Windows Autopilotem.

Vytvoření a přiřazení profilu nasazení Windows Autopilotu

Profily nasazení Windows Autopilot se používají ke konfiguraci zařízení Windows Autopilot.

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Na domovské obrazovce vyberte v levém podokně Možnost Zařízení .

  3. V části Zařízení | Obrazovka Přehled v části Podle platformy vyberte Windows.

  4. Ve Windows | Obrazovka zařízení s Windows v části Onboarding zařízení vyberte Registrace.

  5. Ve Windows | Obrazovka registrace Windows v části Windows Autopilot vyberte Profily nasazení.

  6. Na obrazovce Profily nasazení Windows Autopilot vyberte rozevírací nabídku Vytvořit profil a pak vyberte Počítač s Windows.

  7. Na obrazovce Vytvořit profil na stránce Základy zadejte Název a volitelný popis.

  8. Pokud se všechna zařízení v přiřazených skupinách mají automaticky zaregistrovat do Windows Autopilotu, nastavte Možnost Převést všechna cílová zařízení na Autopilot na Ano. Všechna zařízení ve vlastnictví společnosti, která nejsou ve windows Autopilotu v přiřazených skupinách, se registrují ve službě nasazení Windows Autopilot. Zařízení v osobním vlastnictví nejsou zaregistrovaná ve Windows Autopilotu. Počkejte 48 hodin, než se registrace zpracuje. Když se registrace zařízení zruší a resetuje, Windows Autopilot ho znovu zaregistruje. Po registraci zařízení tímto způsobem se zakázáním tohoto nastavení nebo odebráním přiřazení profilu neodebere ze služby nasazení Windows Autopilot. Místo toho je potřeba zařízení odstranit přímo. Další informace najdete v tématu Odstranění zařízení Windows Autopilot.

  9. Vyberte Další.

  10. Na stránce Předdefinované prostředí (OOBE) vyberte v části Režim nasazenímožnost Řízený uživatelem.

  11. V poli Připojit k Microsoft Entra ID jako vyberte Microsoft Entra hybrid join.

  12. Pokud nasazujete zařízení mimo síť organizace pomocí podpory sítě VPN, nastavte možnost Přeskočit kontrolu připojení k doméně na Ano. Další informace najdete v tématu Režim řízený uživatelem pro Microsoft Entra hybridní připojení s podporou sítě VPN.

  13. Podle potřeby nakonfigurujte zbývající možnosti na stránce Prostředí počátečního nastavení počítače (OOBE).

  14. Vyberte Další.

  15. Na stránce Značky oboru vyberte značky oboru pro tento profil.

  16. Vyberte Další.

  17. Na stránce Přiřazení vyberte Vybrat skupiny, které se mají zahrnout> do hledání, a vyberte skupinu > zařízení Vybrat.

  18. Vyberte Další>vytvořit.

Poznámka

Intune pravidelně kontroluje nová zařízení v přiřazených skupinách a pak zahájí proces přiřazování profilů k těmto zařízením. Vzhledem k několika různým faktorům, které jsou součástí procesu přiřazování profilu Windows Autopilot, se odhadovaná doba přiřazení může v jednotlivých scénářích lišit. Mezi tyto faktory patří skupiny Microsoft Entra, pravidla členství, hodnota hash zařízení, služba Intune a Windows Autopilot a připojení k internetu. Doba přiřazení se liší v závislosti na všech faktorech a proměnných zahrnutých v konkrétním scénáři.

(Volitelné) Zapnutí stránky stavu registrace

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Na domovské obrazovce vyberte v levém podokně Možnost Zařízení .

  3. V části Zařízení | Obrazovka Přehled v části Podle platformy vyberte Windows.

  4. Ve Windows | Obrazovka zařízení s Windows v části Onboarding zařízení vyberte Registrace.

  5. Ve Windows | Obrazovka registrace Windows v části Windows Autopilot vyberte Stránka stavu registrace.

  6. V podokně Stránka stavu registrace vyberte Výchozí>nastavení.

  7. V poli Zobrazit průběh instalace aplikace a profilu vyberte Ano.

  8. Podle potřeby nakonfigurujte další možnosti.

  9. Vyberte Uložit.

Vytvoření a přiřazení profilu připojení k doméně

  1. V Centru pro správu Microsoft Intune vyberte Zařízení>Spravovat zařízení | Zásady> konfigurace>: Vytvořte>nové zásady.

  2. V okně vytvořit profil , které se otevře, zadejte následující vlastnosti:

    • Název: Zadejte popisný název nového profilu.
    • Popis: Zadejte popis profilu.
    • Platforma: Zvolte Windows 10 a novější.
    • Typ profilu: Vyberte Šablony, vyberte šablonu s názvem Připojení k doméně a vyberte Vytvořit.

  3. Zadejte Název a Popis a vyberte Další.

  4. Zadejte předponu názvu počítače a Název domény.

  5. (Volitelné) Zadejte organizační jednotku (OU) ve formátu DN. Mezi tyto možnosti patří:

    • Zadejte organizační jednotky, ve které je ovládací prvek delegovaný na zařízení s Windows, na kterém běží Konektor Intune pro Active Directory.
    • Zadejte organizační jednotky, ve které je ovládací prvek delegovaný na kořenové počítače v místní Active Directory organizace.
    • Pokud je toto pole prázdné, objekt počítače se vytvoří ve výchozím kontejneru služby Active Directory. Výchozím kontejnerem CN=Computers je obvykle kontejner. Další informace najdete v tématu Přesměrování kontejnerů uživatelů a počítačů v doménách služby Active Directory.

    Platné příklady:

    • OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com
    • OU=Mine,DC=contoso,DC=com

    Neplatné příklady:

    • CN=Computers,DC=contoso,DC=com – Kontejner nejde zadat. Místo toho nechte hodnotu prázdnou, aby se použila výchozí hodnota pro doménu.
    • OU=Mine – doména musí být určena DC= prostřednictvím atributů.

    Ujistěte se, že u hodnoty v organizační jednotce nepoužíváte uvozovky.

  6. Vyberte OK>Vytvořit. Profil se vytvoří a zobrazí v seznamu.

  7. Přiřaďte profil zařízení stejné skupině, kterou jste použili v kroku Vytvoření skupiny zařízení. Pokud je potřeba připojit zařízení k různým doménám nebo organizačním jednotce, můžete použít různé skupiny.

Poznámka

Funkce pojmenování pro Windows Autopilot pro Microsoft Entra hybrid join nepodporuje proměnné, jako je %SERIAL%. Podporuje pouze předpony pro název počítače.

Odinstalace konektoru Intune pro Active Directory

Intune Connector pro Active Directory se místně nainstaluje do počítače prostřednictvím spustitelného souboru. Pokud je potřeba z počítače odinstalovat konektor Intune pro Active Directory, je potřeba to provést také místně na počítači. Konektor Intune pro Active Directory nejde odebrat prostřednictvím portálu Intune ani voláním rozhraní GRAPH API.

Pokud chcete ze serveru odinstalovat Intune Connector pro Active Directory, vyberte příslušnou kartu pro verzi operačního systému Windows Server a postupujte podle těchto kroků:

  1. Přihlaste se k počítači, který je hostitelem konektoru Intune pro Active Directory.

  2. Klikněte pravým tlačítkem na nabídku Start a pak vyberte Nastavení>Aplikace>Nainstalované aplikace.

    Nebo

    Vyberte následující zástupce Nainstalovaných aplikací>:

    Otevřít nainstalované aplikace >

  3. V okně Nainstalované aplikace > vyhledejte Konektor Intune pro Active Directory.

  4. Vedle konektoru Intune pro Active Directory vyberte ...>Odinstalujte a pak vyberte tlačítko Odinstalovat .

  5. Konektor Intune pro Active Directory pokračuje v odinstalaci.

  6. V některých případech se nemusí konektor Intune pro Active Directory úplně odinstalovat, dokud se znovu nespustí původní instalační program ODJConnectorBootstrapper.exe konektoru Intune pro Active Directory. Pokud chcete ověřit, že je konektor Intune pro Active Directory úplně odinstalovaný, spusťte ODJConnectorBootstrapper.exe instalační program znovu. Pokud se zobrazí výzva k odinstalaci, vyberte ji a odinstalujte ji. V opačném případě instalační program zavřete ODJConnectorBootstrapper.exe .

    Poznámka

    Starší instalační program konektoru Intune pro Active Directory je možné stáhnout z konektoru Intune pro Active Directory a měl by se používat jenom pro odinstalace. V případě nových instalací použijte aktualizovaný konektor Intune pro Active Directory.

Další kroky

Po nakonfigurování Windows Autopilotu se dozvíte, jak tato zařízení spravovat. Další informace najdete v tématu Co je správa zařízení v Microsoft Intune.

Související obsah

  • Last updated on