Distribuire Microsoft Entra dispositivi aggiunti ibridi usando Intune e Windows Autopilot

• Si applica a:

  ✅ Windows 11, ✅ Windows 10

Importante

Microsoft consiglia di distribuire nuovi dispositivi come nativi del cloud usando Microsoft Entra join. La distribuzione di nuovi dispositivi come Microsoft Entra dispositivi di join ibridi non è consigliata, anche tramite Autopilot. Per altre informazioni, vedere Microsoft Entra aggiunto a e Microsoft Entra aggiunto ibrido negli endpoint nativi del cloud: l'opzione più adatta per l'organizzazione.

Intune e Windows Autopilot possono essere usati per configurare Microsoft Entra dispositivi aggiunti ibridi. A tale scopo, seguire la procedura descritta in questo articolo. Per altre informazioni su Microsoft Entra join ibrido, vedere Informazioni su Microsoft Entra join ibrido e co-gestione.

Requisiti

• Configurato correttamente il Microsoft Entra dispositivi aggiunti ibridi. Assicurarsi di verificare la registrazione del dispositivo usando il cmdlet Get-MgDevice .
• Se il filtro basato su dominio e unità organizzativa è configurato come parte di Microsoft Entra Connect, assicurarsi che l'unità organizzativa o il contenitore predefinito destinato ai dispositivi Autopilot sia incluso nell'ambito di sincronizzazione.

Requisiti di registrazione dei dispositivi

Il dispositivo da registrare deve soddisfare i requisiti seguenti:

• Usare una versione attualmente supportata di Windows.
• Avere accesso a Internet seguendo i requisiti di rete di Windows Autopilot.
• Avere accesso a un controller di dominio Active Directory.
• Eseguire correttamente il ping del controller di dominio del dominio aggiunto.
• Se si usa Proxy, è necessario abilitare e configurare l'opzione Web Proxy Auto-Discovery Protocol (WPAD) Proxy.
• Eseguire l'esperienza predefinita .OOBE ( Out-of-Box Experience).
• Usare un tipo di autorizzazione supportato Microsoft Entra ID in Configurazione guidata.

Sebbene non sia necessario, la configurazione Microsoft Entra join ibrido per Active Directory Federated Services (ADFS) consente un processo di registrazione più veloce di Windows Autopilot Microsoft Entra durante le distribuzioni. I clienti federati che non supportano l'uso delle password e usano AD FS devono seguire la procedura descritta nell'articolo Active Directory Federation Services supporto dei parametri prompt=login per configurare correttamente l'esperienza di autenticazione.

requisiti del server connettore Intune

• Il connettore Intune per Active Directory deve essere installato in un computer che esegue Windows Server 2016 o versioni successive con .NET Framework versione 4.7.2 o successiva.

• Il server che ospita il connettore Intune deve avere accesso a Internet e Active Directory.

  Nota

  Il server Intune Connector richiede l'accesso client di dominio standard ai controller di dominio, che include i requisiti di porta RPC necessari per comunicare con Active Directory. Per altre informazioni, vedere gli articoli seguenti:

  • Panoramica del servizio e requisiti delle porte di rete per Windows
  • Come configurare un firewall per i domini e i trust di Active Directory
  • Porte e protocolli necessari per la soluzione ibrida di gestione delle identità

• Per aumentare la scalabilità e la disponibilità, è possibile installare più connettori nell'ambiente. È consigliabile installare il connettore in un server che non esegue altri connettori Intune. Ogni connettore deve essere in grado di creare oggetti computer in qualsiasi dominio che deve essere supportato.

• Il connettore Intune richiede gli stessi endpoint di Intune.

Configurare la registrazione automatica MDM di Windows

1. Accedere al portale di Azure e selezionare Microsoft Entra ID.

2. Nel riquadro sinistro selezionare Gestisci | mobilità (MDM e WIP)>Microsoft Intune.

3. Assicurarsi che gli utenti che distribuiscono Microsoft Entra dispositivi aggiunti usando Intune e Windows siano membri di un gruppo incluso nell'ambito utente MDM.

4. Usare i valori predefiniti nelle caselle MDM Terms of use URL, MDM Discovery URL e MDM Compliance URL (URL di conformità MDM ) e quindi selezionare Salva.

Aumentare il limite dell'account computer nell'unità organizzativa

Il connettore Intune per Active Directory crea computer registrati con autopilot nel dominio Active Directory locale. Il computer che ospita il connettore Intune deve disporre dei diritti per creare gli oggetti computer all'interno del dominio.

In alcuni domini ai computer non vengono concessi i diritti per la creazione di computer. Inoltre, i domini hanno un limite predefinito (predefinito 10) che si applica a tutti gli utenti e i computer che non dispongono di diritti delegati per creare oggetti computer. I diritti devono essere delegati ai computer che ospitano il connettore Intune nell'unità organizzativa in cui vengono creati Microsoft Entra dispositivi aggiunti ibridi.

L'unità organizzativa che dispone dei diritti per la creazione di computer deve corrispondere a:

• Unità organizzativa immessa nel profilo Aggiunta al dominio.
• Se non è selezionato alcun profilo, il nome di dominio del computer per il dominio dell'organizzazione.

1. Aprire Utenti e computer di Active Directory (DSA.msc).

2. Fare clic con il pulsante destro del mouse sull'unità organizzativa da usare per creare Microsoft Entra controllo delegato dei computer > aggiunti ibridi.

   

3. Nella delega guidata del controllo, selezionare Avanti>Aggiungi>Tipi di oggetto.

4. Nel riquadro Tipi di oggettoselezionare Computer>OK.

   

5. Nel riquadro Seleziona utenti, computer o Gruppi immettere il nome del computer in cui è installato il connettore nella casella Immettere i nomi degli oggetti da selezionare.

   

6. Selezionare Controlla nomi per convalidare la voce >OK>Avanti.

7. Selezionare Crea un'attività personalizzata da delegare>Avanti.

8. Selezionare Solo gli oggetti seguenti nella cartella>Oggetti computer.

9. Selezionare Crea oggetti selezionati in questa cartella e Elimina oggetti selezionati in questa cartella.

   

10. Seleziona Avanti.

11. In Autorizzazioni, selezionare la casella di controllo Controllo completo. Questa azione seleziona tutte le altre opzioni.

    

12. Selezionare Avanti>Fine.

Installare Intune Connector

Prima di iniziare l'installazione, assicurarsi che siano soddisfatti tutti i requisiti del server connettore Intune.

Procedura di installazione

1. Per impostazione predefinita, Windows Server ha la configurazione di sicurezza avanzata di Internet Explorer attivata. La configurazione della sicurezza avanzata di Internet Explorer potrebbe causare problemi durante l'accesso al connettore Intune per Active Directory. Poiché Internet Explorer è deprecato e nella maggior parte dei casi, nemmeno installato in Windows Server, Microsoft consiglia di disattivare La configurazione della sicurezza avanzata di Internet Explorer. Per disattivare La configurazione di sicurezza avanzata di Internet Explorer:

   1. Nel server in cui è installato il connettore Intune aprire Server Manager.

   2. Nel riquadro sinistro di Server Manager selezionare Server locale.

   3. Nel riquadro PROPRIETÀ di destra di Server Manager selezionare il collegamento Attivato o Disattivato accanto a Configurazione sicurezza avanzata di Internet Explorer.

   4. Nella finestra Configurazione sicurezza avanzata di Internet Explorer selezionare Disattivato in Amministratori: e quindi selezionare OK.

2. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

3. Nella schermata Home selezionare Dispositivi nel riquadro sinistro.

4. Nei dispositivi | Schermata Panoramica , in Per piattaforma selezionare Windows.

5. In Windows | Schermata Dispositivi Windows , in Onboarding del dispositivo selezionare Registrazione.

6. In Windows | Schermata di registrazione di Windows, in Windows Autopilot selezionare Intune Connector per Active Directory.

7. Nella schermata connettore Intune per Active Directory selezionare Aggiungi.

8. Seguire le istruzioni per scaricare il connettore.

9. Aprire il file di installazione del connettore scaricato, ODJConnectorBootstrapper.exe, per installare il connettore.

10. Al termine dell'installazione selezionare Configura ora.

11. Scegliere Accedi.

12. Immettere le credenziali di un ruolo di amministratore Intune. All'account utente deve essere assegnata una licenza Intune.

Nota

Il ruolo di amministratore Intune è un requisito temporaneo al momento dell'installazione.

Dopo l'autenticazione, il connettore Intune per Active Directory termina l'installazione. Al termine dell'installazione, verificare che sia attivo in Intune seguendo questa procedura:

1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

2. Nella schermata Home selezionare Dispositivi nel riquadro sinistro.

3. Nei dispositivi | Schermata Panoramica , in Per piattaforma selezionare Windows.

4. In Windows | Schermata Dispositivi Windows , in Onboarding del dispositivo selezionare Registrazione.

5. In Windows | Schermata di registrazione di Windows, in Windows Autopilot selezionare Intune Connector per Active Directory.

6. Verificare che lo stato della connessione nella colonna Stato sia Attivo.

Nota

• Dopo aver eseguito l'accesso al connettore, la visualizzazione nell'interfaccia di amministrazione Microsoft Intune può richiedere alcuni minuti. Viene visualizzato solo se è in grado di comunicare correttamente con il servizio Intune.

• I connettori Intune inattivi vengono ancora visualizzati nella pagina connettori Intune e verranno puliti automaticamente dopo 30 giorni.

Dopo aver installato il connettore Intune per Active Directory, verrà avviata la registrazione nel Visualizzatore eventi nel percorso Registri> applicazioni e serviziMicrosoft>Intune>ODJConnectorService. In questo percorso sono disponibili Amministrazione e log operativi.

Nota

Il connettore Intune originariamente registrato nel Visualizzatore eventi direttamente in Registri applicazioni e servizi in un log denominato SERVIZIO CONNETTORE ODJ. Tuttavia, la registrazione per Intune Connector è stata spostata nel percorso Registri> applicazioni e serviziMicrosoft> Intune >ODJConnectorService. Se il log del servizio connettore ODJ nella posizione originale è vuoto o non è aggiornato, controllare invece il nuovo percorso del percorso.

Configurare le impostazioni del proxy Web

Se nell'ambiente di rete è presente un proxy Web, assicurarsi che il connettore Intune per Active Directory funzioni correttamente facendo riferimento a Usare i server proxy locali esistenti.

Creare un gruppo di dispositivi

1. Nell'interfaccia di amministrazione Microsoft Intune selezionare Gruppi>Nuovo gruppo.

2. Nel riquadro Gruppo selezionare le opzioni seguenti:

   1. In Tipo di gruppo selezionare Sicurezza.

   2. Immettere un nome di gruppo e una descrizione del gruppo.

   3. Selezionare un tipo di appartenenza.

3. Se è selezionata l'opzione Dispositivi dinamici per il tipo di appartenenza, nel riquadro Gruppo selezionare Membri dispositivo dinamico.

4. Selezionare Modifica nella casella Sintassi regola e immettere una delle righe di codice seguenti:

   • Per creare un gruppo che includa tutti i dispositivi Autopilot, immettere:

     (device.devicePhysicalIDs -any _ -startsWith "[ZTDId]")

   • Il campo Tag di gruppo di Intune esegue il mapping all'attributo OrderID nei dispositivi Microsoft Entra. Per creare un gruppo che includa tutti i dispositivi Autopilot con un tag di gruppo specifico (OrderID), immettere:

     (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")

   • Per creare un gruppo che includa tutti i dispositivi Autopilot con un ID ordine di acquisto specifico, immettere:

     (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")

5. Selezionare Salva>crea.

Registrare i dispositivi Autopilot

Selezionare uno dei modi seguenti per registrare i dispositivi Autopilot.

Registrare i dispositivi Autopilot già registrati

1. Creare un profilo di distribuzione Autopilot con l'impostazione Converti tutti i dispositivi di destinazione in Autopilot impostata su Sì.

2. Assegnare il profilo a un gruppo che contiene i membri che devono essere registrati automaticamente con Autopilot.

Per altre informazioni, vedere Creare un profilo di distribuzione Autopilot.

Registrare i dispositivi Autopilot non registrati

I dispositivi che non sono ancora registrati in Windows Autopilot possono essere registrati manualmente. Per altre informazioni, vedere Registrazione manuale.

Registrare i dispositivi da un OEM

Se si acquistano nuovi dispositivi, alcuni OEM possono registrare i dispositivi per conto dell'organizzazione. Per altre informazioni, vedere Registrazione OEM.

Visualizzare il dispositivo Autopilot registrato

Prima che i dispositivi si registrino in Intune, i dispositivi Windows Autopilot registrati vengono visualizzati in tre posizioni (con nomi impostati sul numero di serie):

• Riquadro Dispositivi Windows Autopilotnell'interfaccia di amministrazione Microsoft Intune. Selezionare Dispositivi>per piattaforma | Onboarding dei dispositivi Windows >| Registrazione. In Windows Autopilot selezionare Dispositivi.
• Dispositivi | Riquadro Tutti i dispositivi nel portale di Azure. Selezionare Dispositivi>tutti i dispositivi.
• Riquadro Autopilot in interfaccia di amministrazione di Microsoft 365. Selezionare Dispositivi>Autopilot.

Dopo la registrazione dei dispositivi Windows Autopilot, i dispositivi vengono visualizzati in quattro posizioni:

• Dispositivi | Riquadro Tutti i dispositivinell'interfaccia di amministrazione Microsoft Intune. Selezionare Dispositivi>Tutti i dispositivi.
• Windows | Riquadro Dispositivi Windowsnell'interfaccia di amministrazione Microsoft Intune. Selezionare Dispositivi>per piattaforma | Windows.
• Dispositivi | Riquadro Tutti i dispositivi nel portale di Azure. Selezionare Dispositivi>tutti i dispositivi.
• Riquadro Dispositivi attivi in interfaccia di amministrazione di Microsoft 365. Selezionare Dispositivi>dispositivi attivi.

Nota

Dopo la registrazione dei dispositivi, i dispositivi vengono comunque visualizzati nel riquadro Dispositivi Windows Autopilotnell'interfaccia di amministrazione Microsoft Intune e nel riquadro Autopilot in interfaccia di amministrazione di Microsoft 365, ma tali oggetti sono gli oggetti registrati di Windows Autopilot.

Un oggetto dispositivo viene creato in precedenza in Microsoft Entra ID dopo la registrazione di un dispositivo in Autopilot. Quando un dispositivo passa attraverso una distribuzione ibrida Microsoft Entra, per progettazione viene creato un altro oggetto dispositivo che genera voci duplicate.

VPN

I client VPN seguenti vengono testati e convalidati:

• Client VPN Windows predefinito
• Cisco AnyConnect (client Win32)
• Pulse Secure (client Win32)
• GlobalProtect (client Win32)
• Checkpoint (client Win32)
• Citrix NetScaler (client Win32)
• SonicWall (client Win32)
• FortiClient VPN (client Win32)

Quando si usano VPN, selezionare Sì per l'opzione Skip AD connectivity check nel profilo di distribuzione di Windows Autopilot. Always-On VPN non deve richiedere questa opzione perché si connette automaticamente.

Nota

Questo elenco di client VPN non è un elenco completo di tutti i client VPN che funzionano con Windows Autopilot. Contattare il rispettivo fornitore vpn per quanto riguarda la compatibilità e il supporto con Windows Autopilot o per eventuali problemi relativi all'uso di una soluzione VPN con Windows Autopilot.

Client VPN non supportati

Le soluzioni VPN seguenti non funzionano con Windows Autopilot e pertanto non sono supportate per l'uso con Windows Autopilot:

• Plug-in VPN basati su UWP
• Tutto ciò che richiede un certificato utente
• DirectAccess

Nota

L'omissione di un client VPN specifico da questo elenco non significa automaticamente che sia supportato o che funzioni con Windows Autopilot. Questo elenco elenca solo i client VPN che non funzionano con Windows Autopilot.

Creare e assegnare un profilo di distribuzione Autopilot

I profili di distribuzione Autopilot vengono utilizzati per configurare i dispositivi Autopilot.

1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

2. Nella schermata Home selezionare Dispositivi nel riquadro sinistro.

3. Nei dispositivi | Schermata Panoramica , in Per piattaforma selezionare Windows.

4. In Windows | Schermata Dispositivi Windows , in Onboarding del dispositivo selezionare Registrazione.

5. In Windows | Schermata di registrazione di Windows , in Windows Autopilot selezionare Profili di distribuzione.

6. Nella schermata Profili di distribuzione di Windows Autopilot selezionare il menu a discesa Crea profilo e quindi selezionare PC Windows.

7. Nella schermata Crea profilo immettere un nome e una descrizione facoltativa nella pagina Informazioni di base.

8. Se tutti i dispositivi nei gruppi assegnati devono registrarsi automaticamente a Windows Autopilot, impostare Converti tutti i dispositivi di destinazione in Autopilot su Sì. Tutti i dispositivi non Autopilot di proprietà dell'azienda nei gruppi assegnati si registrano con il servizio di distribuzione Autopilot. I dispositivi di proprietà personale non sono registrati in Autopilot. Attendere 48 ore per l'elaborazione della registrazione. Quando il dispositivo viene annullato e reimpostato, Autopilot lo registra di nuovo. Dopo aver registrato un dispositivo in questo modo, la disabilitazione di questa impostazione o la rimozione dell'assegnazione del profilo non rimuoverà il dispositivo dal servizio di distribuzione Autopilot. I dispositivi devono invece essere eliminati direttamente. Per altre informazioni, vedere Eliminare i dispositivi Autopilot.

9. Seleziona Avanti.

10. Nella pagina Configurazione guidata selezionare Configurazione guidata dall'utente per Modalità di distribuzione.

11. Nella casella Aggiungi a Microsoft Entra ID come selezionare Microsoft Entra join ibrido.

12. Se si distribuiscono dispositivi fuori dalla rete dell'organizzazione usando il supporto VPN, impostare l'opzione Ignora controllo connettività dominio su Sì. Per altre informazioni, vedere Modalità guidata dall'utente per Microsoft Entra join ibrido con supporto VPN.

13. Configurare le opzioni rimanenti nella pagina Configurazione guidata in base alle esigenze.

14. Seleziona Avanti.

15. Nella pagina Tag ambito selezionare tag di ambito per questo profilo.

16. Seleziona Avanti.

17. Nella pagina Assegnazioni selezionare Seleziona gruppi per includere> la ricerca e selezionare il gruppo > di dispositivi Seleziona.

18. Selezionare Avanti>crea.

Nota

Intune verifica periodicamente la presenza di nuovi dispositivi nei gruppi assegnati e quindi avvia il processo di assegnazione dei profili a tali dispositivi. A causa di diversi fattori coinvolti nel processo di assegnazione del profilo Autopilot, un tempo stimato per l'assegnazione può variare da scenario a scenario. Questi fattori possono includere Microsoft Entra gruppi, regole di appartenenza, hash di un dispositivo, servizio Intune e Autopilot e connessione Internet. Il tempo di assegnazione varia a seconda di tutti i fattori e le variabili coinvolti in uno scenario specifico.

(Facoltativo) Attivare la pagina di stato della registrazione

1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

2. Nella schermata Home selezionare Dispositivi nel riquadro sinistro.

3. Nei dispositivi | Schermata Panoramica , in Per piattaforma selezionare Windows.

4. In Windows | Schermata Dispositivi Windows , in Onboarding del dispositivo selezionare Registrazione.

5. In Windows | Schermata di registrazione di Windows , in Windows Autopilot selezionare Pagina stato registrazione.

6. Nel riquadro Pagina stato registrazione selezionareImpostazionipredefinite>.

7. Nella casella Mostra stato dell'installazione dell'app e del profilo selezionare Sì.

8. Configurare le altre opzioni in base alle esigenze.

9. Selezionare Salva.

Creare e assegnare un profilo di aggiunta al dominio

1. Nell'interfaccia di amministrazione Microsoft Intune selezionare Dispositivi>Gestisci dispositivi | Icriteri di> configurazione >creano>nuovi criteri.

2. Nella finestra crea un profilo visualizzata immettere le proprietà seguenti:

   • Nome: immettere un nome descrittivo per il nuovo profilo.
   • Descrizione: immettere una descrizione per il profilo.
   • Piattaforma: selezionare Windows 10 e versioni successive.
   • Tipo di profilo: selezionare Modelli, selezionare il nome del modello Aggiunta al dominio e selezionare Crea.

3. Immettere nome edescrizione e selezionare Avanti.

4. Specificare un prefisso del nome computer e un nome di dominio.

5. (Facoltativo) Fornire un'unità organizzativa in formato DN. Le opzioni includono:

   • Specificare un'unità organizzativa in cui il controllo viene delegato al dispositivo Windows che esegue il connettore Intune.
   • Specificare un'unità organizzativa in cui il controllo viene delegato ai computer radice nella Active Directory locale dell'organizzazione.
   • Se questo campo viene lasciato vuoto, l'oggetto computer viene creato nel contenitore predefinito di Active Directory. Il contenitore predefinito è in genere il CN=Computers contenitore. Per altre informazioni, vedere Reindirizzare i contenitori di utenti e computer nei domini di Active Directory.

   Esempi validi:

   • OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com
   • OU=Mine,DC=contoso,DC=com

   Esempi non validi:

   • CN=Computers,DC=contoso,DC=com - Non è possibile specificare un contenitore. Lasciare invece vuoto il valore per usare il valore predefinito per il dominio.
   • OU=Mine : il dominio deve essere specificato tramite gli DC= attributi.

   Assicurarsi di non usare le virgolette intorno al valore nell'unità organizzativa.

6. Selezionare OK>Crea. Il profilo viene creato e visualizzato nell'elenco.

7. Assegnare un profilo di dispositivo allo stesso gruppo usato nel passaggio Creare un gruppo di dispositivi. Se è necessario aggiungere dispositivi a domini o unità organizzative diversi, è possibile usare gruppi diversi.

Nota

La funzionalità di denominazione per Windows Autopilot per Microsoft Entra join ibrido non supporta variabili come %SERIAL%. Supporta solo i prefissi per il nome del computer.

Disinstallare il connettore ODJ

Il connettore ODJ viene installato localmente in un computer tramite un file eseguibile. Se il connettore ODJ deve essere disinstallato da un computer, deve essere eseguito anche in locale nel computer. Il connettore ODJ non può essere rimosso tramite il portale di Intune o tramite una chiamata API Graph.

Per disinstallare il connettore ODJ dal computer, seguire questa procedura:

1. Accedere al computer che ospita il connettore ODJ.
2. Fare clic con il pulsante destro del mouse sul menu Start e scegliere Impostazioni.
3. Nella finestra Impostazioni di Windows selezionare App.
4. In App & funzionalità individuare e selezionare Intune Connettore per Active Directory.
5. In Intune Connettore per Active Directory selezionare il pulsante Disinstalla e quindi selezionare di nuovo il pulsante Disinstalla.
6. Il connettore ODJ procede alla disinstallazione.

Passaggi successivi

Dopo aver configurato Windows Autopilot, scopri come gestire tali dispositivi. Per altre informazioni, vedere Che cos'è Microsoft Intune gestione dei dispositivi?.

Contenuto correlato

• Che cos'è un'identità del dispositivo?.
• Altre informazioni sugli endpoint nativi del cloud.
• Microsoft Entra aggiunto a e Microsoft Entra ibrido aggiunto agli endpoint nativi del cloud.
• Esercitazione: Configurare e configurare un endpoint Windows nativo del cloud con Microsoft Intune.
• Procedura: Pianificare l'implementazione del join Microsoft Entra.
• Framework per la trasformazione di gestione degli endpoint di Windows.
• Informazioni sugli scenari ibridi di Azure AD e co-gestione.
• Esito positivo con Windows Autopilot remoto e aggiunta ad Azure Active Directory ibrido.