Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Procedura di aggiunta ibrida Microsoft Entra guidata dall'utente di Windows Autopilot:
- Passaggio 2: Installare Intune Connector per Active Directory
- Passaggio 3: Aumentare il limite dell'account computer nell'unità organizzativa
- Passaggio 4: Registrare i dispositivi come dispositivi Windows Autopilot
- Passaggio 5: Creare un gruppo di dispositivi
- Passaggio 6: Configurare e assegnare la pagina di stato della registrazione di Windows Autopilot (ESP)
- Passaggio 7: Creare e assegnare Microsoft Entra profilo di Windows Autopilot ibrido
- Passaggio 8: Configurare e assegnare il profilo di aggiunta al dominio
- Passaggio 9: Assegnare un dispositivo Windows Autopilot a un utente (facoltativo)
- Passaggio 10: Distribuire il dispositivo
Per una panoramica del flusso di lavoro di aggiunta ibrido Microsoft Entra guidato dall'utente di Windows Autopilot, vedi Panoramica dell'aggiunta ibrida Microsoft Entra guidata dall'utente di Windows Autopilot.
Nota
Se il connettore Intune per Active Directory è già installato e configurato, ignorare questo passaggio e passare al passaggio 3: Aumentare il limite dell'account computer nell'unità organizzativa (OU).
Installare Intune Connector per Active Directory
Il connettore Intune per Active Directory, noto anche come connettore ODJ (Offline Domain Join), aggiunge i computer a un dominio locale durante il processo di Windows Autopilot. Il connettore crea oggetti computer in un'unità organizzativa specificata in Active Directory durante il processo di aggiunta al dominio.
Importante
A partire da Intune 2501, il connettore Intune per Active Directory viene aggiornato e migliora la sicurezza seguendo i principi dei privilegi minimi usando un account del servizio gestito. Quando si scarica il connettore da Intune, si ottiene automaticamente la versione aggiornata.
Il connettore legacy deprecato è ancora disponibile e presto smetterà di accettare le richieste di registrazione. Se si usa ancora il connettore legacy, eseguire immediatamente l'aggiornamento per evitare la perdita di funzionalità. Per altre informazioni, vedere il post di blog Intune Connector for Active Directory with low-privileged account for Windows Autopilot Hybrid Microsoft Entra join deployments (Connettore di Intune per Active Directory con account con privilegi limitati per le distribuzioni ibride di Windows Autopilot).
Per aggiornare il connettore, è necessario:
- Disinstallare manualmente il connettore legacy. Non è disponibile un'opzione automatica.
- Scaricare e installare il connettore aggiornato (descritto in questo articolo).
Consiglio
Se si usano più domini per registrare i dispositivi Autopilot:
- È necessaria un'istanza del connettore separata per ogni dominio. Un connettore può elaborare solo le richieste di registrazione per lo stesso dominio del server in cui è stato installato.
- Può essere presente al massimo 1 connettore per server (VM o fisico). È possibile configurare server aggiuntivi per dominio per la ridondanza, ognuno con il proprio connettore installato. In tale configurazione, se un connettore ha esito negativo, le richieste verranno inviate a un altro connettore in un altro server all'interno dello stesso dominio.
Selezionare la scheda corrispondente alla versione del connettore Intune per Active Directory installata:
Connettore aggiornatoPrima di iniziare
Prima di eseguire l'installazione, assicurarsi che siano soddisfatti tutti i requisiti del connettore Intune per il server Active Directory.
Microsoft consiglia (non obbligatorio) che l'amministratore che installa e configura il connettore Intune per Active Directory disponga dei diritti di dominio elencati in Intune Connector per i requisiti di Active Directory. Questi diritti consentono al connettore Intune per il programma di installazione e il processo di configurazione di Active Directory di impostare le autorizzazioni per l'account del servizio gestito (MSA) nel contenitore Computer o nelle unità organizzative in cui vengono creati oggetti computer.
Se l'amministratore non dispone di queste autorizzazioni, un altro amministratore con i diritti appropriati deve aumentare il limite dell'account computer nell'unità organizzativa (OU).
Disattivare la configurazione della sicurezza avanzata di Internet Explorer
A partire dalla versione 6.2504.2001.8, il connettore Intune aggiornato per Active Directory è passato all'uso di WebView2, basato su Microsoft Edge, anziché su WebBrowser, basato su Microsoft Internet Explorer. Questa modifica significa che l'impostazione Configurazione sicurezza avanzata di Internet Explorer in Windows Server non deve più essere disattivata. Assicurarsi di installare la versione 6.2504.2001.8 o successiva del connettore Intune per Active Directory per evitare problemi con l'impostazione Configurazione sicurezza avanzata di Internet Explorer.
Scaricare Intune Connector per Active Directory
Nel server in cui è installato il connettore Intune per Active Directory accedere all'interfaccia di amministrazione di Microsoft Intune.
Nella schermata Home selezionare Dispositivi nel riquadro sinistro.
Nei dispositivi | Schermata Panoramica , in Per piattaforma selezionare Windows.
In Windows | Schermata Dispositivi Windows , in Onboarding del dispositivo selezionare Registrazione.
In Windows | Schermata di registrazione di Windows, in Windows Autopilot selezionare Intune Connector per Active Directory.
Nella schermata connettore Intune per Active Directory selezionare Aggiungi.
Nella finestra Aggiungi connettore visualizzata in Configurazione del connettore Intune per Active Directory selezionare Scarica connettore Intune locale per Active Directory. Il collegamento scarica un file denominato
ODJConnectorBootstrapper.exe.
Installare Intune Connector per Active Directory nel server
Importante
L'installazione di Intune Connector per Active Directory deve essere eseguita con un account con i diritti di dominio seguenti:
- Obbligatorio : creare oggetti msDs-ManagedServiceAccount nel contenitore Account del servizio gestito.
- Facoltativo: modificare le autorizzazioni nelle unità organizzative in Active Directory: se l'amministratore che installa il connettore Intune aggiornato per Active Directory non dispone di questo diritto, un amministratore che dispone di questi diritti richiede passaggi di configurazione aggiuntivi. Per altre informazioni, vedere il passaggio/sezione Aumentare il limite dell'account computer nell'unità organizzativa.
Accedere al server in cui viene installato il connettore Intune per Active Directory con un account con diritti di amministratore locale.
Se è installato il connettore Intune legacy precedente per Active Directory, disinstallarlo prima di installare il connettore Intune aggiornato per Active Directory. Per altre informazioni, vedere Disinstallare il connettore Intune per Active Directory.
Importante
Quando si disinstalla il connettore Intune legacy precedente per Active Directory, assicurarsi di eseguire il programma di installazione legacy Intune Connector for Active Directory come parte del processo di disinstallazione. Se il connettore Intune legacy per il programma di installazione di Active Directory richiede di disinstallarlo al momento dell'esecuzione, selezionare per disinstallarlo. Questo passaggio assicura che il connettore Intune legacy precedente per Active Directory sia completamente disinstallato. Il connettore Intune legacy per il programma di installazione di Active Directory può essere scaricato da Intune Connector per Active Directory.
Consiglio
Nei domini con un solo connettore Intune per Active Directory, Microsoft consiglia innanzitutto di installare il connettore Intune aggiornato per Active Directory in un altro server. L'installazione del connettore Intune aggiornato per Active Directory in un altro server deve essere eseguita prima di disinstallare il connettore Intune legacy per Active Directory nel server corrente. L'installazione del connettore Intune per Active Directory in un altro primo momento evita tempi di inattività durante l'aggiornamento del connettore Intune per Active Directory nel server corrente.
Aprire il
ODJConnectorBootstrapper.exefile scaricato per avviare l'installazione del connettore Intune per l'installazione di Active Directory.Eseguire l'installazione del connettore Intune per l'installazione di Active Directory.
Al termine dell'installazione selezionare la casella di controllo Launch Intune Connector for Active Directory (Avvia connettore Intune per Active Directory).
Nota
Se l'installazione del connettore Intune per l'installazione di Active Directory viene chiusa accidentalmente senza selezionare la casella di controllo Avvia connettore Intune per Active Directory, è possibile riaprire la configurazione del connettore Intune per Active Directory selezionando Intune Connettore per Active Directory>Intune Connettore per Active Directory dal menu Start.
Accedere al connettore Intune per Active Directory
Nella finestra connettore Intune per Active Directory selezionare Accedi nella scheda Registrazione.
Nella scheda Accedi accedere con le credenziali di Microsoft Entra ID di un ruolo di amministratore Intune. All'account utente deve essere assegnata una licenza Intune. Il completamento del processo di accesso potrebbe richiedere alcuni minuti.
Nota
L'account usato per registrare il connettore Intune per Active Directory è solo un requisito temporaneo al momento dell'installazione. L'account non viene usato in futuro dopo la registrazione del server.
Al termine del processo di accesso:
- Viene visualizzata la finestra di conferma Intune Connector for Active Directory registrata correttamente. Selezionare OK per chiudere la finestra.
-
Un account del servizio gestito con nome "<>MSA_name" è stata configurata correttamente la finestra di conferma. Il nome dell'account del servizio gestito è nel formato
msaODJ#####in cui ##### sono presenti cinque caratteri casuali. Annota il nome dell'account del servizio gestito creato e quindi seleziona OK per chiudere la finestra. Il nome dell'account del servizio gestito potrebbe essere necessario in un secondo momento per configurare l'account del servizio gestito per consentire la creazione di oggetti computer in unità organizzative.
La scheda Registrazione mostra Intune Connettore per Active Directory è registrato. Il pulsante Accedi è disattivato e Configura account del servizio gestito è abilitato.
Chiudere la finestra connettore Intune per Active Directory.
Verificare che Intune Connector per Active Directory sia attivo
Dopo l'autenticazione, il connettore Intune per Active Directory termina l'installazione. Al termine dell'installazione, verificare che sia attivo in Intune seguendo questa procedura:
Passare all'interfaccia di amministrazione Microsoft Intune se è ancora aperta. Se la finestra Aggiungi connettore è ancora visualizzata, chiuderla.
Se l'interfaccia di amministrazione Microsoft Intune non è ancora aperta:
Accedere all'Interfaccia di amministrazione di Microsoft Intune.
Nella schermata Home selezionare Dispositivi nel riquadro sinistro.
Nei dispositivi | Schermata Panoramica , in Per piattaforma selezionare Windows.
In Windows | Schermata Dispositivi Windows , in Onboarding del dispositivo selezionare Registrazione.
In Windows | Schermata di registrazione di Windows, in Windows Autopilot selezionare Intune Connector per Active Directory.
Nella pagina connettore Intune per Active Directory:
- Verificare che il server sia visualizzato in Nome connettore e visualizzato come Attivo in Stato
- Per il connettore Intune aggiornato per Active Directory, verificare che la versione sia maggiore o uguale a 6.2501.2000.5.
Se il server non viene visualizzato, selezionare Aggiorna o spostarsi dalla pagina e quindi tornare alla pagina connettore Intune per Active Directory.
Nota
La visualizzazione del server appena registrato nella pagina connettore Intune per Active Directory dell'interfaccia di amministrazione Microsoft Intune può richiedere alcuni minuti. Il server registrato viene visualizzato solo se è in grado di comunicare correttamente con il servizio Intune.
I connettori Intune inattivi per Active Directory vengono ancora visualizzati nella pagina connettore Intune per Active Directory e verranno puliti automaticamente dopo 30 giorni.
Dopo aver installato il connettore Intune per Active Directory, verrà avviata la registrazione nel Visualizzatore eventi nel percorso Registri> applicazioni e serviziMicrosoft>Intune>ODJConnectorService. In questo percorso sono disponibili Amministrazione e log operativi.
Configurare l'account del servizio gestito per consentire la creazione di oggetti nelle unità organizzative (facoltativo)
Per impostazione predefinita, gli account del servizio gestito hanno accesso solo per creare oggetti computer nel contenitore Computer . Gli account del servizio gestito non hanno accesso per creare oggetti computer in unità organizzative ( OU). Per consentire all'account del servizio gestito di creare oggetti in unità organizzative, è necessario aggiungere le unità organizzative al ODJConnectorEnrollmentWizard.exe.config file XML presente nella directory in ODJConnectorEnrollmentWizard cui è stato installato il connettore Intune per Active Directory, in genere C:\Program Files\Microsoft Intune\ODJConnector\.
Per configurare l'account del servizio gestito per consentire la creazione di oggetti nelle unità organizzative, seguire questa procedura:
Nel server in cui è installato il connettore Intune per Active Directory passare alla
ODJConnectorEnrollmentWizarddirectory in cui è stato installato il connettore Intune per Active Directory, in genereC:\Program Files\Microsoft Intune\ODJConnector\.ODJConnectorEnrollmentWizardNella directory aprire il file XML esistenteODJConnectorEnrollmentWizard.exe.configin un editor di testo, ad esempio Blocco note.Nell'elemento
add keydelODJConnectorEnrollmentWizard.exe.configfile XML:- Accanto a
value=aggiungere tutte le unità organizzative desiderate in cui l'account del servizio gestito deve avere accesso per creare oggetti computer. - Il nome dell'unità organizzativa deve essere nel formato del nome distinto LDAP e, se applicabile, deve essere preceduto da caratteri di escape.
- Più unità organizzative sono supportate separando ogni unità organizzativa con un punto e virgola (;).
- Assicurarsi di mantenere le virgolette (") accanto a
value=. Tutti i valori dell'unità organizzativa devono trovarsi all'interno di una coppia di virgolette. - Non modificare il nome dell'elemento
OrganizationalUnitsUsedForOfflineDomainJoinchiave .
L'esempio seguente è una voce XML di esempio con più unità organizzative in formato nome distinto LDAP:
<appSettings> <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format. The ODJ Connector will only have permission to create computer objects in these OUs. The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY): Domain contains the following OUs: - OU=HybridDevices,DC=contoso,DC=com - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" --> <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" /> </appSettings>Consiglio
Nell'esempio sostituire il testo rosso di esempio accanto a
value=con le unità organizzative dell'organizzazione in formato nome distinto LDAP. Come illustrato nell'esempio, verificare che tutte le voci dell'unità organizzativa siano incluse tra virgolette (") e che ogni unità organizzativa sia separata da un punto e virgola (;) .- Accanto a
Dopo aver aggiunto tutte le unità organizzative desiderate, salvare il
ODJConnectorEnrollmentWizard.exe.configfile XML.In qualità di amministratore che dispone delle autorizzazioni appropriate per modificare le autorizzazioni dell'unità organizzativa, aprire Intune Connector for Active Directory passando a Intune Connector for Active Directory>Intune Connector for Active Directory dal menu Start.
Importante
Se l'amministratore che installa e configura il connettore Intune per Active Directory non dispone delle autorizzazioni per modificare le autorizzazioni dell'unità organizzativa, la sezione/passaggi Aumentare il limite di account computer nell'unità organizzativa deve essere seguita da un amministratore che disponga delle autorizzazioni per modificare le autorizzazioni dell'unità organizzativa.
Nella scheda Registrazione della finestra connettore Intune per Active Directory selezionare Configura account del servizio gestito.
Viene visualizzata una finestra di conferma di un account del servizio gestito con nome "<MSA_name>". Selezionare OK per chiudere la finestra.
Usare un account del servizio gestito personalizzato (facoltativo)
Facoltativamente, è possibile configurare il connettore in modo che usi il proprio account del servizio gestito, anziché l'account del servizio gestito configurato automaticamente dal connettore.
Requisiti dell'account del servizio gestito
Questa sezione descrive i requisiti dell'account del servizio gestito.
L'account specificato deve essere un account del servizio con una delle categorie di oggetti seguenti in Active Directory:
CN=ms-DS-Group-Managed-Service-Account,CN=Schema,CN=Configuration,DC=contoso,DC=comCN=ms-DS-Managed-Service-Account,CN=Schema,CN=Configuration,DC=contoso,DC=com
Il valore di configurazione per l'account del servizio deve essere nel formato seguente:
<msaAccountName@domain>L'account del servizio deve esistere nello stesso dominio del server del connettore ODJ.
L'account del servizio deve essere installato nel server che ospita il connettore ODJ. Per altre informazioni, vedere Install-ADServiceAccount.
- Se si usa sMSA, l'account può essere collegato solo a un singolo computer.
- Se si usa un account del servizio gestito di gruppo, il server in cui si sta installando l'account del servizio gestito del gruppo deve avere accesso alla password.
L'account del servizio deve disporre dell'autorizzazione di accesso locale come servizio che può essere impostata direttamente o tramite l'appartenenza al gruppo. Per altre informazioni, vedere Abilitare l'accesso al servizio.
È necessario concedere manualmente l'autorizzazione per gli account del servizio per creare oggetti computer per i flussi autopilot ibridi. Per altre informazioni, vedere Aumentare il limite dell'account computer nell'unità organizzativa (OU).
Come si configura
Aggiornare ODJConnectorEnrollmentWizard.exe.config. Il percorso predefinito è C:\Program Files\Microsoft Intune\ODJConnector\ODJConnectorEnrollmentWizard.
- Nella sezione appSettings del file aggiungere la riga seguente:
<add key="TenantConfiguredManagedServiceAccount" value="{accountname}" /> - Accedere al connettore.
Disabilitare gli aggiornamenti delle unità organizzative
L'uso del proprio account del servizio gestito disabiliterà il connettore dall'effettuare aggiornamenti dell'unità organizzativa, indipendentemente da qualsiasi configurazione in OrganizationalUnitsUsedForOfflineDomainJoin. Per evitare errori, disabilitare gli aggiornamenti delle unità organizzative aggiornando ODJConnectorEnrollmentWizard.exe.config. Il percorso predefinito è C:\Program Files\Microsoft Intune\ODJConnector\ODJConnectorEnrollmentWizard.
- Nella sezione appSettings del file aggiungere la riga seguente:
<add key="DisableOUUpdates" value="true" /> - Accedere al connettore.