Aggiunta ibrida Microsoft Entra guidata dall'utente: aumentare il limite dell'account computer nell'unità organizzativa

Procedura di aggiunta ibrida Microsoft Entra guidata dall'utente di Windows Autopilot:

• Passaggio 1: Configurare la registrazione automatica Intune di Windows
• Passaggio 2: Installare Intune Connector per Active Directory

• Passaggio 3: Aumentare il limite dell'account computer nell'unità organizzativa

• Passaggio 4: Registrare i dispositivi come dispositivi Windows Autopilot
• Passaggio 5: Creare un gruppo di dispositivi
• Passaggio 6: Configurare e assegnare la pagina di stato della registrazione di Windows Autopilot (ESP)
• Passaggio 7: Creare e assegnare Microsoft Entra profilo di Windows Autopilot ibrido
• Passaggio 8: Configurare e assegnare il profilo di aggiunta al dominio
• Passaggio 9: Assegnare un dispositivo Windows Autopilot a un utente (facoltativo)
• Passaggio 10: Distribuire il dispositivo

Per una panoramica del flusso di lavoro di aggiunta ibrido Microsoft Entra guidato dall'utente di Windows Autopilot, vedi Panoramica dell'aggiunta ibrida Microsoft Entra guidata dall'utente di Windows Autopilot.

Nota

Se il limite dell'account computer per l'unità organizzativa appropriata è già aumentato, ignorare questo passaggio e passare al passaggio 4: Registrare i dispositivi come dispositivi Windows Autopilot.

Aumentare il limite dell'account computer nell'unità organizzativa

Connettore aggiornato

Importante

Questo passaggio è necessario solo in una delle condizioni seguenti:

• L'amministratore che ha installato e configurato il connettore Intune per Active Directory non dispone dei diritti appropriati come descritto in Intune Connector for Active Directory Requirements(Connettore Intune per i requisiti di Active Directory).
• L'amministratore che ha installato e configurato il connettore Intune dispone dei diritti appropriati come descritto in precedenza, ma all'account del servizio gestito non è stata concessa l'autorizzazione per creare oggetti computer nelle unità organizzative specificate durante l'installazione del connettore Intune.
• Il ODJConnectorEnrollmentWizard.exe.config file XML non è stato modificato per aggiungere unità organizzative per cui l'account del servizio gestito deve disporre delle autorizzazioni.

Lo scopo di Intune Connector per Active Directory è aggiungere i computer a un dominio e aggiungerli a un'unità organizzativa. Per questo motivo, l'account del servizio gestito usato per il connettore Intune per Active Directory deve avere le autorizzazioni per creare account computer nell'unità organizzativa in cui i computer sono aggiunti al dominio locale.

Con le autorizzazioni predefinite in Active Directory, i join di dominio da parte del connettore Intune per Active Directory potrebbero funzionare inizialmente senza alcuna modifica delle autorizzazioni per l'unità organizzativa in Active Directory. Tuttavia, dopo che l'account del servizio gestito tenta di aggiungere più di 10 computer al dominio locale, non funziona perché per impostazione predefinita Active Directory consente solo a un singolo account di aggiungere fino a 10 computer al dominio locale.

Gli utenti seguenti non sono limitati dalla limitazione di aggiunta al dominio di 10 computer:

• Utenti nei gruppi Amministratori o Amministratori di dominio: per rispettare il modello dei principi dei privilegi minimi, Microsoft non consiglia di rendere l'account del servizio gestito un amministratore o un amministratore di dominio.
• Utenti con autorizzazioni delegate per unità organizzativa e contenitori in Active Directory per creare account computer: questo metodo è consigliato perché segue il modello dei principi dei privilegi minimi.

Per correggere questa limitazione, l'account del servizio gestito deve disporre dell'autorizzazione Crea account computer nell'unità organizzativa a cui sono aggiunti i computer nel dominio locale. Il connettore Intune per Active Directory imposta le autorizzazioni per gli account del servizio gestito sulle unità organizzative purché venga soddisfatta una delle condizioni seguenti:

• L'amministratore che installa il connettore Intune per Active Directory dispone delle autorizzazioni necessarie per impostare le autorizzazioni per le unità organizzative.
• L'amministratore che configura il connettore Intune per Active Directory dispone delle autorizzazioni necessarie per impostare le autorizzazioni per le unità organizzative.

Se l'amministratore che installa o configura il connettore Intune per Active Directory non dispone delle autorizzazioni necessarie per impostare le autorizzazioni per le unità organizzative, è necessario seguire questa procedura:

1. Accedere a un computer che ha accesso alla console Utenti e computer di Active Directory con un account che come autorizzazioni necessarie per impostare le autorizzazioni per le unità organizzative.

2. Aprire la console Utenti e computer di Active Directory eseguendo DSA.msc.

3. Espandere il dominio desiderato e passare all'unità organizzativa a cui i computer si uniscono durante Windows Autopilot.

   Nota

   L'unità organizzativa aggiunta dai computer durante la distribuzione di Windows Autopilot viene specificata in un secondo momento durante il passaggio Configurare e assegnare il profilo di aggiunta al dominio .

4. Fare clic con il pulsante destro del mouse sull'unità organizzativa e scegliere Proprietà.

   Nota

   Se i computer si uniscono al contenitore Computer predefinito anziché a un'unità organizzativa, fare clic con il pulsante destro del mouse sul contenitore Computer e scegliere Delega controllo.

5. Nella finestra Proprietà unità organizzativa visualizzata selezionare la scheda Sicurezza .

6. Nella scheda Sicurezza selezionare Avanzate.

7. Nella finestra Impostazioni di sicurezza avanzate selezionare Aggiungi.

8. Nelle finestre Voce di autorizzazione , accanto a Entità, selezionare il collegamento Selezionare un'entità .

9. Nella finestra Seleziona utente, computer, account del servizio o gruppo selezionare il pulsante Tipi di oggetto .

10. Nella finestra Tipi di oggetto selezionare la casella di controllo Account servizio e quindi selezionare OK.

11. Nella finestra Seleziona utente, computer, account del servizio o gruppo, in Immettere il nome dell'oggetto da selezionare immettere il nome dell'account del servizio gestito usato per il connettore Intune per Active Directory.

    Consiglio

    L'account del servizio gestito è stato creato durante il passaggio/sezione Installa il connettore Intune per Active Directory e ha il formato del msaODJ##### nome in cui ##### sono cinque caratteri casuali. Se il nome dell'account del servizio gestito non è noto, seguire questa procedura per trovare il nome dell'account del servizio gestito:

    1. Nel server che esegue il connettore Intune per Active Directory fare clic con il pulsante destro del mouse sul menu Start e quindi scegliere Gestione computer.
    2. Nella finestra Gestione computer espandere Servizi e applicazioni e quindi selezionare Servizi.
    3. Nel riquadro dei risultati individuare il servizio con il nome Intune ODJConnector for Active Service. Il nome dell'account del servizio gestito è elencato nella colonna Accesso come .

12. Selezionare Controlla nomi per convalidare la voce del nome dell'account del servizio gestito. Dopo aver convalidato la voce, selezionare OK.

13. Nelle finestre Voce di autorizzazione selezionare il menu a discesa Si applica a: e quindi selezionare Solo questo oggetto.

14. In Autorizzazioni deselezionare tutti gli elementi e quindi selezionare solo la casella di controllo Crea oggetti computer .

15. Selezionare OK per chiudere la finestra Voce di autorizzazione .

16. Nella finestra Impostazioni di sicurezza avanzate selezionare Applica o OK per applicare le modifiche.

Connettore legacy

Lo scopo di Intune Connector per Active Directory è aggiungere i computer a un dominio e aggiungerli a un'unità organizzativa. Per questo motivo, il server che esegue il connettore Intune per Active Directory deve avere le autorizzazioni per creare account computer nell'unità organizzativa in cui i computer sono aggiunti al dominio locale.

Con le autorizzazioni predefinite in Active Directory, i join di dominio da parte del connettore Intune per Active Directory potrebbero funzionare inizialmente senza alcuna modifica delle autorizzazioni per l'unità organizzativa in Active Directory. Tuttavia, dopo che il server che esegue il connettore Intune per Active Directory tenta di aggiungere più di 10 computer al dominio locale, non funziona perché per impostazione predefinita Active Directory consente solo a un singolo account di aggiungere fino a 10 computer al dominio locale.

Gli utenti seguenti non sono limitati dalla limitazione di aggiunta al dominio di 10 computer:

• Utenti nei gruppi Administrators o Domain Administrators: per rispettare il modello dei principi dei privilegi minimi, Microsoft non consiglia di impostare l'account computer che esegue il connettore Intune per Active Directory come amministratore o amministratore di dominio.
• Utenti con autorizzazioni delegate per unità organizzativa e contenitori in Active Directory per creare account computer. Questo metodo è consigliato perché segue il modello dei principi dei privilegi minimi.

Per correggere questa limitazione, il server che esegue il connettore Intune per Active Directory deve disporre dell'autorizzazione Crea account computer nell'unità organizzativa a cui sono aggiunti i computer nel dominio locale:

Per aumentare il limite dell'account computer nell'unità organizzativa a cui i computer si uniscono durante Windows Autopilot, seguire questa procedura in un computer che ha accesso alla console di Utenti e computer di Active Directory:

1. Aprire la console Utenti e computer di Active Directory eseguendo DSA.msc.

2. Espandere il dominio desiderato e passare all'unità organizzativa a cui i computer si uniscono durante Windows Autopilot.

   Nota

   L'unità organizzativa aggiunta dai computer durante la distribuzione di Windows Autopilot viene specificata in un secondo momento durante il passaggio Configurare e assegnare il profilo di aggiunta al dominio .

3. Fare clic con il pulsante destro del mouse sull'unità organizzativa e scegliere Delega controllo.

   Nota

   Se i computer si uniscono al contenitore Computer predefinito anziché a un'unità organizzativa, fare clic con il pulsante destro del mouse sul contenitore Computer e scegliere Delega controllo.

4. Nella finestra Delega guidata controllo della Delega guidata controllo selezionare Avanti.

5. Nella finestra Utenti o gruppi selezionare Aggiungi in Utenti e gruppi selezionati.

6. Accanto a Seleziona questo tipo di oggetto: nella finestra Seleziona utenti, computer o gruppi selezionare Tipi di oggetto.

7. Nella finestra Tipi di oggetto selezionare la casella di controllo Computer e quindi selezionare OK. Gli altri elementi in questa finestra possono essere lasciati come predefiniti.

8. Nella finestra Seleziona utenti, computer o gruppi, nella casella Immettere i nomi degli oggetti da selezionare immettere il nome del computer in cui è stato installato il connettore Intune per Active Directory durante il passaggio Installare il connettore Intune per Active Directory.

9. Selezionare Controlla nomi per convalidare la voce. Dopo aver convalidato la voce, selezionare OK.

10. Nella finestra Utenti o gruppi verificare che il computer corretto sia visualizzato in Utenti e gruppi selezionati e quindi selezionare Avanti.

11. Nella finestra Attività da delegare selezionare Crea un'attività personalizzata da delegare e quindi selezionare Avanti.

12. Nella finestra Tipo di oggetto Active Directory :

    1. Selezionare Solo gli oggetti seguenti nella cartella.

    2. In Solo gli oggetti seguenti nella cartella selezionare Oggetti computer.

    3. Selezionare la casella di controllo Crea oggetti selezionati in questa cartella .

    4. Seleziona Avanti.

13. Nella finestra Autorizzazioni , in Autorizzazioni: selezionare la casella di controllo Controllo completo e quindi selezionare Avanti.

    Nota

    Dopo aver selezionato la casella di controllo Controllo completo , tutte le altre opzioni in Autorizzazioni: vengono selezionate automaticamente. La selezione automatica delle caselle di controllo è normale e prevista. Non deselezionare nessuna delle caselle di controllo dopo che sono state selezionate automaticamente.

14. Nella finestra Completamento della Delega guidata controllo selezionare Fine.

Passaggio successivo: Registrare i dispositivi come dispositivi Windows Autopilot

Passaggio 4: Registrare i dispositivi come dispositivi Windows Autopilot

Contenuto correlato

Per altre informazioni sull'aumento del limite di account computer in un'unità organizzativa, vedere gli articoli seguenti:

• Aumentare il limite dell'account computer nell'unità organizzativa .
• Limite predefinito per il numero di workstation a cui un utente può accedere al dominio.
• Aggiungere workstation al dominio.