Distribuire Microsoft Entra dispositivi aggiunti ibridi usando Intune e Windows Autopilot

• Si applica a:

  ✅ Windows 11, ✅ Windows 10

Importante

Microsoft consiglia di distribuire nuovi dispositivi come nativi del cloud usando Microsoft Entra join. La distribuzione di nuovi dispositivi come Microsoft Entra dispositivi di join ibridi non è consigliata, anche tramite Autopilot. Per altre informazioni, vedere Microsoft Entra aggiunto a e Microsoft Entra aggiunto ibrido negli endpoint nativi del cloud: l'opzione più adatta per l'organizzazione.

È possibile usare Intune e Windows Autopilot per configurare Microsoft Entra dispositivi aggiunti ibridi. A tale scopo, seguire la procedura descritta in questo articolo. Per altre informazioni su Microsoft Entra join ibrido, vedere Informazioni su Microsoft Entra join ibrido e co-gestione.

Prerequisiti

• Configurato correttamente il Microsoft Entra dispositivi aggiunti ibridi. Assicurarsi di verificare la registrazione del dispositivo usando il cmdlet Get-MgDevice .
• Se il filtro basato su dominio e unità organizzativa è configurato come parte di Microsoft Entra Connect, assicurarsi che l'unità organizzativa o il contenitore predefinito destinato ai dispositivi Autopilot sia incluso nell'ambito di sincronizzazione.

Prerequisiti per la registrazione del dispositivo

Il dispositivo da registrare deve soddisfare i requisiti seguenti:

• Usare Windows 11 o Windows 10 versione 1809 o successiva.
• Avere accesso a Internet seguendo i requisiti di rete di Windows Autopilot.
• Avere accesso a un controller di dominio Active Directory.
• Eseguire correttamente il ping del controller di dominio del dominio a cui si sta tentando di partecipare.
• Se si usa Proxy, l'opzione impostazioni proxy WPAD deve essere abilitata e configurata.
• Eseguire l'esperienza predefinita .OOBE ( Out-of-Box Experience).
• Usare un tipo di autorizzazione supportato Microsoft Entra ID in Configurazione guidata.

Anche se non è necessario, la configurazione Microsoft Entra join ibrido per Active Directory Federated Services (AD FS) consente un processo di registrazione più veloce di Windows Autopilot Microsoft Entra durante le distribuzioni. I clienti federati che non supportano l'uso delle password e usano AD FS devono seguire la procedura descritta nell'articolo Active Directory Federation Services supporto dei parametri prompt=login per configurare correttamente l'esperienza di autenticazione.

Prerequisiti del server connettore di Intune

• Intune Connector per Active Directory deve essere installato in un computer che esegue Windows Server 2016 o versioni successive con .NET Framework versione 4.7.2 o successiva.

• Il server che ospita il connettore Intune deve avere accesso a Internet e ad Active Directory.

  Nota

  Il server connettore di Intune richiede l'accesso client di dominio standard ai controller di dominio, che include i requisiti di porta RPC necessari per comunicare con Active Directory. Per altre informazioni, vedere gli articoli seguenti:

  • Panoramica del servizio e requisiti delle porte di rete per Windows
  • Come configurare un firewall per i domini e i trust di Active Directory
  • Porte e protocolli necessari per la soluzione ibrida di gestione delle identità

• Per aumentare la scalabilità e la disponibilità, è possibile installare più connettori nell'ambiente. È consigliabile installare il connettore in un server che non esegue altri connettori di Intune. Ogni connettore deve essere in grado di creare oggetti computer in qualsiasi dominio che si desidera supportare.

• Se l'organizzazione dispone di più domini e si installano più connettori di Intune, è necessario usare un account del servizio di dominio in grado di creare oggetti computer in tutti i domini. Questo requisito è valido anche se si prevede di implementare Microsoft Entra join ibrido solo per un dominio specifico. Se questi domini sono domini non attendibili, è necessario disinstallare i connettori da domini in cui non si vuole usare Windows Autopilot. In caso contrario, con più connettori in più domini, tutti i connettori devono essere in grado di creare oggetti computer in tutti i domini.

  Questo account del servizio connettore deve avere le autorizzazioni seguenti:

  • Accedere come servizio.
  • Deve far parte del gruppo di utenti di dominio .
  • Deve essere un membro del gruppo Administrators locale nel server Windows che ospita il connettore.

  Importante

  Gli account del servizio gestito non sono supportati per l'account del servizio. L'account del servizio deve essere un account di dominio.

• Intune Connector richiede gli stessi endpoint di Intune.

Configurare la registrazione automatica MDM di Windows

1. Accedere al portale di Azure. Nel riquadro sinistro selezionare Microsoft Intune Microsoft Entra ID>Mobility (MDM e MAM).>

2. Assicurarsi che gli utenti che distribuiscono Microsoft Entra dispositivi aggiunti tramite Intune e Windows siano membri di un gruppo incluso nell'ambito utente MDM.

3. Usare i valori predefiniti nelle caselle MDM Terms of use URL, MDM Discovery URL e MDM Compliance URL (URL di conformità MDM ) e quindi selezionare Salva.

Aumentare il limite dell'account computer nell'unità organizzativa

Il connettore Di Intune per Active Directory crea computer registrati con autopilot nel dominio Active Directory locale. Il computer che ospita il connettore di Intune deve disporre dei diritti per creare gli oggetti computer all'interno del dominio.

In alcuni domini ai computer non vengono concessi i diritti per la creazione di computer. Inoltre, i domini hanno un limite predefinito (predefinito 10) che si applica a tutti gli utenti e i computer che non dispongono di diritti delegati per creare oggetti computer. I diritti devono essere delegati ai computer che ospitano il connettore Intune nell'unità organizzativa in cui vengono creati Microsoft Entra dispositivi aggiunti ibridi.

L'unità organizzativa che dispone dei diritti per la creazione di computer deve corrispondere a:

• Unità organizzativa immessa nel profilo Aggiunta al dominio.
• Se non è selezionato alcun profilo, il nome di dominio del computer per il dominio.

1. Aprire Utenti e computer di Active Directory (DSA.msc).

2. Fare clic con il pulsante destro del mouse sull'unità organizzativa da usare per creare Microsoft Entra controllo delegato dei computer > aggiunti ibridi.

   

3. Nella delega guidata del controllo, selezionare Avanti>Aggiungi>Tipi di oggetto.

4. Nel riquadro Tipi di oggettoselezionare Computer>OK.

   

5. Nel riquadro Seleziona utenti, computer o gruppi immettere il nome del computer in cui è installato il connettore nella casella Immettere i nomi degli oggetti da selezionare .

   

6. Selezionare Controlla nomi per convalidare la voce>OK>Avanti.

7. Selezionare Crea un'attività personalizzata da delegare>Avanti.

8. Selezionare Solo gli oggetti seguenti nella cartella>Oggetti computer.

9. Selezionare Crea oggetti selezionati in questa cartella e Elimina oggetti selezionati in questa cartella.

   

10. Selezionare Avanti.

11. In Autorizzazioni, selezionare la casella di controllo Controllo completo. Questa azione seleziona tutte le altre opzioni.

    

12. Selezionare Avanti>Fine.

Installare in Intune Connector

Prima di iniziare l'installazione, assicurarsi che siano soddisfatti tutti i prerequisiti del server del connettore di Intune .

Procedura di installazione

1. Disattivare La configurazione della sicurezza avanzata di Internet Explorer. Per impostazione predefinita, Windows Server ha la configurazione di sicurezza avanzata di Internet Explorer attivata. Se non è possibile accedere al connettore Di Intune per Active Directory, disattivare Configurazione sicurezza avanzata di Internet Explorer per l'amministratore. Per disattivare La configurazione di sicurezza avanzata di Internet Explorer:

   1. Nel server in cui è installato il connettore di Intune aprire Server Manager.
   2. Nel riquadro sinistro di Server Manager selezionare Server locale.
   3. Nel riquadro PROPRIETÀ di destra di Server Manager selezionare il collegamento Attivato o Disattivato accanto a Configurazione sicurezza avanzata di Internet Explorer.
   4. Nella finestra Configurazione sicurezza avanzata di Internet Explorer selezionare Disattivato in Amministratori: e quindi selezionare OK.

2. Nell'interfaccia di amministrazione Microsoft Intune selezionare Dispositivi>>Registrazione> WindowsWindows Intune Connector per Active Directory>Aggiungi.

3. Seguire le istruzioni per scaricare il connettore.

4. Aprire il file di installazione del connettore scaricato, ODJConnectorBootstrapper.exe, per installare il connettore.

5. Al termine dell'installazione selezionare Configura ora.

6. Scegliere Accedi.

7. Immettere le credenziali del ruolo di amministratore di amministratore globale o Intune. All'account utente deve essere assegnata una licenza di Intune.

8. Passare a Dispositivi>Windows>Enrollment>Intune Connector per Active Directory e quindi verificare che lo stato della connessione sia Attivo.

Nota

• Il ruolo amministratore globale è un requisito temporaneo al momento dell'installazione.
• Dopo aver eseguito l'accesso al connettore, la visualizzazione nell'interfaccia di amministrazione di Microsoft Intune può richiedere alcuni minuti. Viene visualizzato solo se è in grado di comunicare correttamente con il servizio Intune.
• I connettori inattivi di Intune vengono ancora visualizzati nella pagina Connettori di Intune e verranno puliti automaticamente dopo 30 giorni.

Dopo l'installazione del connettore Intune, verrà avviata la registrazione nel Visualizzatore eventi nel percorso Registri> applicazioni e serviziMicrosoft>Intune>ODJConnectorService. In questo percorso sono disponibili Amministrazione e log operativi.

Nota

Il connettore di Intune originariamente registrato nel Visualizzatore eventi direttamente in Registri applicazioni e servizi in un log denominato SERVIZIO CONNETTORE ODJ. Da allora, tuttavia, la registrazione per il connettore di Intune è stata spostata nel percorso Registri >applicazioni e servizidi Microsoft>Intune>ODJConnectorService. Se il log del servizio connettore ODJ nel percorso originale è vuoto o non viene aggiornato, controllare invece il nuovo percorso del percorso.

Configurare le impostazioni del proxy Web

Se si dispone di un proxy Web nell'ambiente di rete, assicurarsi che il connettore Di Intune per Active Directory funzioni correttamente facendo riferimento a Usare i server proxy locali esistenti.

Creare un gruppo di dispositivi

1. Nell'interfaccia di amministrazione Microsoft Intune selezionare Gruppi>Nuovo gruppo.

2. Nel riquadro Gruppo scegliere le opzioni seguenti:

   1. In Tipo di gruppo selezionare Sicurezza.
   2. Immettere un nome di gruppo e una descrizione del gruppo.
   3. Selezionare un tipo di appartenenza.

3. Se è stata selezionata l'opzione Dispositivi dinamici per il tipo di appartenenza, nel riquadro Gruppo selezionare Membri dispositivo dinamico.

4. Selezionare Modifica nella casella Sintassi regola e immettere una delle righe di codice seguenti:

   • Per creare un gruppo che includa tutti i dispositivi Autopilot, immettere (device.devicePhysicalIDs -any _ -startsWith "[ZTDId]").
   • Il campo Tag di gruppo di Intune esegue il mapping all'attributo OrderID nei dispositivi Microsoft Entra. Se si vuole creare un gruppo che includa tutti i dispositivi Autopilot con un tag di gruppo specifico (OrderID), digitare: (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881").
   • Per creare un gruppo che includa tutti i dispositivi Autopilot con un ID ordine di acquisto specifico, immettere (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342").

5. Selezionare Salva>crea.

Registrare i dispositivi Autopilot

Selezionare uno dei modi seguenti per registrare i dispositivi Autopilot.

Registrare i dispositivi Autopilot già registrati

1. Creare un profilo di distribuzione Autopilot con l'impostazione Converti tutti i dispositivi di destinazione in Autopilot impostata su Sì.

2. Assegnare il profilo a un gruppo che contiene i membri che si desidera registrare automaticamente con Autopilot.

Per altre informazioni, vedere Creare un profilo di distribuzione Autopilot.

Registrare i dispositivi Autopilot non registrati

Se i dispositivi non sono ancora registrati, è possibile registrarli manualmente. Per altre informazioni, vedere Registrazione manuale.

Registrare i dispositivi da un OEM

Se si acquistano nuovi dispositivi, alcuni OEM possono registrare i dispositivi. Per altre informazioni, vedere Registrazione OEM.

Visualizzare il dispositivo Autopilot registrato

Prima di essere registrati in Intune, i dispositivi Autopilot registrati vengono visualizzati in tre posizioni (con nomi impostati sul numero di serie):

• Riquadro Dispositivi Autopilot in Intune nel portale di Azure. Selezionare Registrazione del dispositivo>Registrazione>dispositivi Dispositivi.
• Riquadro Microsoft Entra dispositivi in Intune nel portale di Azure. Selezionare Dispositivi>Microsoft Entra Dispositivi.
• Il riquadro Microsoft Entra Tutti i dispositivi in Microsoft Entra ID nel portale di Azure selezionando Dispositivi>tutti i dispositivi.

Dopo la registrazione, i dispositivi Autopilot vengono visualizzati in quattro posizioni:

• Riquadro Dispositivi Autopilot in Intune nel portale di Azure. Selezionare Registrazione del dispositivo>Registrazione>dispositivi Dispositivi.
• Riquadro Microsoft Entra dispositivi in Intune nel portale di Azure. Selezionare Dispositivi>Microsoft Entra Dispositivi.
• Il riquadro Microsoft Entra Tutti i dispositivi in Microsoft Entra ID nel portale di Azure. Selezionare Dispositivi>tutti i dispositivi.
• Riquadro Tutti i dispositivi in Intune nel portale di Azure. Selezionare Dispositivi>tutti i dispositivi.

Dopo la registrazione dei dispositivi Autopilot, i relativi nomi diventano il nome host del dispositivo. Per impostazione predefinita, il nome host inizia con DESKTOP-.

Un oggetto dispositivo viene precreato in Microsoft Entra ID dopo la registrazione di un dispositivo in Autopilot. Quando un dispositivo passa attraverso una distribuzione ibrida Microsoft Entra, per progettazione viene creato un altro oggetto dispositivo che genera voci duplicate.

VPN BYO

I client VPN seguenti vengono testati e convalidati:

Client VPN

• Client VPN Windows predefinito
• Cisco AnyConnect (client Win32)
• Pulse Secure (client Win32)
• GlobalProtect (client Win32)
• Checkpoint (client Win32)
• Citrix NetScaler (client Win32)
• SonicWall (client Win32)
• FortiClient VPN (client Win32)

Nota

Questo elenco di client VPN non è un elenco completo di tutti i client VPN che funzionano con Autopilot. Contattare il rispettivo fornitore di VPN per quanto riguarda la compatibilità e il supporto con Autopilot o per eventuali problemi relativi all'uso di una soluzione VPN con Autopilot.

Client VPN non supportati

Le soluzioni VPN seguenti non funzionano con Autopilot e pertanto non sono supportate per l'uso con Autopilot:

• Plug-in VPN basati su UWP
• Tutto ciò che richiede un certificato utente
• Directaccess

Nota

Quando si usano VPN BYO, è consigliabile selezionare Sì per l'opzione Skip AD connectivity check nel profilo di distribuzione di Windows Autopilot. Always-On VPN non deve richiedere questa opzione perché si connette automaticamente.

Creare e assegnare un profilo di distribuzione Autopilot

I profili di distribuzione Autopilot vengono utilizzati per configurare i dispositivi Autopilot.

1. Nell'interfaccia di amministrazione Microsoft Intune selezionare Dispositivi> RegistrazioneWindows>> Profili >di distribuzioneCrea profilo.

2. Nella pagina Informazioni di base digitare un nome e una descrizione facoltativa.

3. Se si desidera che tutti i dispositivi nei gruppi assegnati si registrino automaticamente in Autopilot, impostare Converti tutti i dispositivi di destinazione in Autopilot su Sì. Tutti i dispositivi non Autopilot di proprietà dell'azienda nei gruppi assegnati si registrano con il servizio di distribuzione Autopilot. I dispositivi di proprietà personale non sono registrati in Autopilot. Attendere 48 ore per l'elaborazione della registrazione. Quando il dispositivo viene annullato e reimpostato, Autopilot lo registra di nuovo. Dopo aver registrato un dispositivo in questo modo, la disabilitazione di questa impostazione o la rimozione dell'assegnazione del profilo non rimuoverà il dispositivo dal servizio di distribuzione Autopilot. È invece necessario rimuovere il dispositivo direttamente.

4. Selezionare Avanti.

5. Nella pagina Configurazione guidata selezionare Configurazione guidata dall'utente per Modalità di distribuzione.

6. Nella casella Aggiungi a Microsoft Entra ID come selezionare Microsoft Entra join ibrido.

7. Se si distribuiscono dispositivi dalla rete dell'organizzazione usando il supporto VPN, impostare l'opzione Ignora controllo connettività dominio su Sì. Per altre informazioni, vedere Modalità guidata dall'utente per Microsoft Entra join ibrido con supporto VPN.

8. Configurare le opzioni rimanenti nella pagina Configurazione guidata in base alle esigenze.

9. Selezionare Avanti.

10. Nella pagina Tag ambito selezionare tag di ambito per questo profilo.

11. Selezionare Avanti.

12. Nella pagina Assegnazioni selezionare Seleziona gruppi per includere> la ricerca e selezionare il gruppo > di dispositivi Seleziona.

13. Selezionare Avanti>crea.

Nota

Intune verifica periodicamente la presenza di nuovi dispositivi nei gruppi assegnati e quindi avvia il processo di assegnazione dei profili a tali dispositivi. A causa di diversi fattori coinvolti nel processo di assegnazione del profilo Autopilot, un tempo stimato per l'assegnazione può variare da scenario a scenario. Questi fattori possono includere Microsoft Entra gruppi, regole di appartenenza, hash di un dispositivo, servizio Intune e Autopilot e connessione Internet. Il tempo di assegnazione varia a seconda di tutti i fattori e le variabili coinvolti in uno scenario specifico.

(Facoltativo) Attivare la pagina di stato della registrazione

1. Nell'interfaccia di amministrazione Microsoft Intune selezionare Dispositivi>Paginastato registrazione>Windows> Windows.

2. Nel riquadro Pagina stato registrazione selezionareImpostazionipredefinite>.

3. Nella casella Mostra stato dell'installazione dell'app e del profilo selezionare Sì.

4. Configurare le altre opzioni in base alle esigenze.

5. Seleziona Salva.

Creare e assegnare un profilo di aggiunta al dominio

1. Nell'interfaccia di amministrazione Microsoft Intune selezionareProfili di configurazionedei dispositivi>>Crea profilo.

2. Immettere le seguenti proprietà:

   • Nome: immettere un nome descrittivo per il nuovo profilo.
   • Descrizione: immettere una descrizione per il profilo.
   • Piattaforma: selezionare Windows 10 e versioni successive.
   • Tipo di profilo: selezionare Modelli, scegliere il nome del modello Aggiunta al dominio e selezionare Crea.

3. Immettere nome edescrizione e selezionare Avanti.

4. Specificare un prefisso del nome computer e un nome di dominio.

5. (Facoltativo) Fornire un'unità organizzativa in formato DN. Le opzioni includono:

   • Specificare un'unità organizzativa in cui il controllo viene delegato al dispositivo Windows 2016 che esegue il connettore Intune.
   • Specificare un'unità organizzativa in cui il controllo viene delegato ai computer radice nel Active Directory locale.
   • Se si lascia vuoto questo valore, l'oggetto computer viene creato nel contenitore predefinito di Active Directory (CN=Computers se non è mai stato modificato).

   Ecco alcuni esempi validi:

   • OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com
   • OU=Mine,DC=contoso,DC=com

   Ecco alcuni esempi che non sono validi:

   • CN=Computers,DC=contoso,DC=com Non è possibile specificare un contenitore, ma lasciare vuoto il valore per usare il valore predefinito per il dominio.
   • OU=Mine (è necessario specificare il dominio tramite gli DC= attributi)

   Nota

   Non usare virgolette intorno al valore nell'unità organizzativa.

6. Selezionare OK>Crea. Il profilo viene creato e visualizzato nell'elenco.

7. Assegnare un profilo di dispositivo allo stesso gruppo usato nel passaggio Creare un gruppo di dispositivi. Se è necessario aggiungere dispositivi a domini o unità organizzative diversi, è possibile usare gruppi diversi.

Nota

La funzionalità di denominazione per Windows Autopilot per Microsoft Entra join ibrido non supporta variabili come %SERIAL%. Supporta solo i prefissi per il nome del computer.

Disinstallare il connettore ODJ

Il connettore ODJ viene installato localmente in un computer tramite un file eseguibile. Se il connettore ODJ deve essere disinstallato da un computer, deve essere eseguito anche in locale nel computer. Il connettore ODJ non può essere rimosso tramite il portale di Intune o tramite una chiamata api graph.

Per disinstallare il connettore ODJ dal computer, seguire questa procedura:

1. Accedere al computer che ospita il connettore ODJ.
2. Fare clic con il pulsante destro del mouse sul menu Start e scegliere Impostazioni.
3. Nella finestra Impostazioni di Windows selezionare App.
4. In App & funzionalità individuare e selezionare Connettore Intune per Active Directory.
5. In Connettore Intune per Active Directory selezionare il pulsante Disinstalla e quindi selezionare di nuovo il pulsante Disinstalla .
6. Il connettore ODJ procede alla disinstallazione.

Passaggi successivi

Dopo aver configurato Windows Autopilot, scopri come gestire tali dispositivi. Per altre informazioni, vedere Che cos'è Microsoft Intune gestione dei dispositivi?.

Articoli correlati

• Che cos'è un'identità del dispositivo?.
• Altre informazioni sugli endpoint nativi del cloud.
• Microsoft Entra aggiunto a e Microsoft Entra ibrido aggiunto agli endpoint nativi del cloud.
• Esercitazione: Configurare e configurare un endpoint Windows nativo del cloud con Microsoft Intune.
• Procedura: Pianificare l'implementazione del join Microsoft Entra.
• Framework per la trasformazione di gestione degli endpoint di Windows.
• Informazioni sugli scenari ibridi di Azure AD e co-gestione.
• Esito positivo con Windows Autopilot remoto e aggiunta ad Azure Active Directory ibrido.