Condividi tramite

Distribuire dispositivi aggiunti ibridi a Microsoft Entra usando Intune e Windows Autopilot

Importante

Microsoft consiglia di distribuire nuovi dispositivi come nativi del cloud usando l'aggiunta a Microsoft Entra. La distribuzione di nuovi dispositivi come dispositivi di aggiunta ibrida di Microsoft Entra non è consigliata, anche tramite Autopilot. Per altre informazioni, vedere Aggiunta a Microsoft Entra e Microsoft Entra ibrido aggiunto agli endpoint nativi del cloud: l'opzione più adatta per l'organizzazione.

Intune e Windows Autopilot possono essere usati per configurare i dispositivi aggiunti ibridi a Microsoft Entra. A tale scopo, seguire la procedura descritta in questo articolo. Per altre informazioni sull'aggiunta ibrida di Microsoft Entra, vedere Informazioni sull'aggiunta ibrida e la co-gestione di Microsoft Entra.

Prerequisiti

Prerequisiti per la registrazione del dispositivo

Il dispositivo da registrare deve soddisfare i requisiti seguenti:

  • Usare una versione attualmente supportata di Windows.
  • Avere accesso a Internet seguendo i requisiti di rete di Windows Autopilot.
  • Avere accesso a un controller di dominio Active Directory.
  • Eseguire correttamente il ping del controller di dominio del dominio aggiunto.
  • Se si usa Proxy, è necessario abilitare e configurare l'opzione Web Proxy Auto-Discovery Protocol (WPAD) Proxy.
  • Eseguire l'esperienza predefinita .OOBE ( Out-of-Box Experience).
  • Usare un tipo di autorizzazione supportato da Microsoft Entra ID nella Configurazione guidata.

Anche se non è necessario, la configurazione dell'aggiunta ibrida di Microsoft Entra per Active Directory Federated Services (ADFS) consente un processo di registrazione di Microsoft Entra di Windows Autopilot più veloce durante le distribuzioni. I clienti federati che non supportano l'uso delle password e usano AD FS devono seguire la procedura descritta nell'articolo Supporto dei parametri prompt=login di Active Directory Federation Services per configurare correttamente l'esperienza di autenticazione.

Prerequisiti del server connettore di Intune

  • Se l'organizzazione dispone di più domini e sono installati più connettori di Intune, è necessario usare un account del servizio di dominio in grado di creare oggetti computer in tutti i domini. Questo requisito è vero anche se l'aggiunta ibrida di Microsoft Entra viene implementata solo per un dominio specifico. Se questi domini sono domini non attendibili, i connettori devono essere disinstallati dai domini in cui Non viene usato Windows Autopilot. In caso contrario, con più connettori in più domini, tutti i connettori devono essere in grado di creare oggetti computer in tutti i domini.

    Questo account del servizio connettore deve avere le autorizzazioni seguenti:

    • Accedere come servizio.
    • Deve far parte del gruppo di utenti di dominio .
    • Deve essere un membro del gruppo Administrators locale nel server Windows che ospita il connettore.

    Importante

    Gli account del servizio gestito non sono supportati per l'account del servizio. L'account del servizio deve essere un account di dominio.

  • Intune Connector richiede gli stessi endpoint di Intune.

Configurare la registrazione automatica MDM di Windows

  1. Accedere al portale di Azure e selezionare Microsoft Entra ID.Sign in to the Azure portal and select Microsoft Entra ID.

  2. Nel riquadro sinistro selezionare Gestisci | mobilità (MDM e WIP)>Microsoft Intune.

  3. Assicurarsi che gli utenti che distribuiscono dispositivi aggiunti a Microsoft Entra usando Intune e Windows siano membri di un gruppo incluso nell'ambito utente MDM.

  4. Usare i valori predefiniti nelle caselle MDM Terms of use URL, MDM Discovery URL e MDM Compliance URL (URL di conformità MDM ) e quindi selezionare Salva.

Aumentare il limite dell'account computer nell'unità organizzativa

Il connettore Intune per Active Directory crea computer registrati con autopilot nel dominio active directory locale. Il computer che ospita il connettore di Intune deve disporre dei diritti per creare gli oggetti computer all'interno del dominio.

In alcuni domini ai computer non vengono concessi i diritti per la creazione di computer. Inoltre, i domini hanno un limite predefinito (predefinito 10) che si applica a tutti gli utenti e i computer che non dispongono di diritti delegati per creare oggetti computer. I diritti devono essere delegati ai computer che ospitano il connettore Intune nell'unità organizzativa in cui vengono creati i dispositivi aggiunti ibridi di Microsoft Entra.

L'unità organizzativa che dispone dei diritti per la creazione di computer deve corrispondere a:

  • Unità organizzativa immessa nel profilo Aggiunta al dominio.
  • Se non è selezionato alcun profilo, il nome di dominio del computer per il dominio dell'organizzazione.

  1. Aprire Utenti e computer di Active Directory (DSA.msc).

  2. Fare clic con il pulsante destro del mouse sull'unità organizzativa da usare per creare i computer > aggiunti ibridi di Microsoft Entra Delegare il controllo.

    Screenshot del comando Delega controllo.

  3. Nella delega guidata del controllo, selezionare Avanti>Aggiungi>Tipi di oggetto.

  4. Nel riquadro Tipi di oggettoselezionare Computer>OK.

    Screenshot del riquadro Tipi di oggetto.

  5. Nel riquadro Seleziona utenti, computer o gruppi immettere il nome del computer in cui è installato il connettore nella casella Immettere i nomi degli oggetti da selezionare .

    Screenshot del riquadro Seleziona utenti, computer o gruppi.

  6. Selezionare Controlla nomi per convalidare la voce >OK>Avanti.

  7. Selezionare Crea un'attività personalizzata da delegare>Avanti.

  8. Selezionare Solo gli oggetti seguenti nella cartella>Oggetti computer.

  9. Selezionare Crea oggetti selezionati in questa cartella e Elimina oggetti selezionati in questa cartella.

    Screenshot del riquadro Tipo di oggetto Active Directory.

  10. Seleziona Avanti.

  11. In Autorizzazioni, selezionare la casella di controllo Controllo completo. Questa azione seleziona tutte le altre opzioni.

    Screenshot del riquadro Autorizzazioni.

  12. Selezionare Avanti>Fine.

Installare in Intune Connector

Prima di iniziare l'installazione, assicurarsi che siano soddisfatti tutti i prerequisiti del server del connettore di Intune .

Procedura di installazione

  1. Per impostazione predefinita, Windows Server ha la configurazione di sicurezza avanzata di Internet Explorer attivata. La configurazione della sicurezza avanzata di Internet Explorer potrebbe causare problemi durante il canto nel connettore Intune per Active Directory. Poiché Internet Explorer è deprecato e nella maggior parte dei casi, nemmeno installato in Windows Server, Microsoft consiglia di disattivare La configurazione della sicurezza avanzata di Internet Explorer. Per disattivare La configurazione di sicurezza avanzata di Internet Explorer:

    1. Nel server in cui è in corso l'installazione del connettore Intune aprire Server Manager.

    2. Nel riquadro sinistro di Server Manager selezionare Server locale.

    3. Nel riquadro PROPRIETÀ destro di Server Manager selezionare il collegamento Attivato o Disattivato accanto a Configurazione sicurezza avanzata di Internet Explorer.

    4. Nella finestra Configurazione sicurezza avanzata di Internet Explorer selezionare Disattivato in Amministratori: e quindi selezionare OK.

  2. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

  3. Nella schermata Home selezionare Dispositivi nel riquadro sinistro.

  4. Nei dispositivi | Schermata Panoramica , in Per piattaforma selezionare Windows.

  5. In Windows | Schermata Dispositivi Windows , in Onboarding del dispositivo selezionare Registrazione.

  6. In Windows | Schermata di registrazione di Windows , in Windows Autopilot selezionare Connettore Intune per Active Directory.

  7. Nella schermata Connettore Intune per Active Directory selezionare Aggiungi.

  8. Seguire le istruzioni per scaricare il connettore.

  9. Aprire il file di installazione del connettore scaricato, ODJConnectorBootstrapper.exe, per installare il connettore.

  10. Al termine dell'installazione selezionare Configura ora.

  11. Scegliere Accedi.

  12. Immettere le credenziali di un ruolo di amministratore di Intune. All'account utente deve essere assegnata una licenza di Intune.

Nota

Il ruolo di amministratore di Intune è un requisito temporaneo al momento dell'installazione.

Dopo l'autenticazione, il connettore Intune per Active Directory termina l'installazione. Al termine dell'installazione, verificare che sia attivo in Intune seguendo questa procedura:

  1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

  2. Nella schermata Home selezionare Dispositivi nel riquadro sinistro.

  3. Nei dispositivi | Schermata Panoramica , in Per piattaforma selezionare Windows.

  4. In Windows | Schermata Dispositivi Windows , in Onboarding del dispositivo selezionare Registrazione.

  5. In Windows | Schermata di registrazione di Windows , in Windows Autopilot selezionare Connettore Intune per Active Directory.

  6. Verificare che lo stato della connessione nella colonna Stato sia Attivo.

Nota

  • Dopo l'accesso al connettore, la visualizzazione nell'interfaccia di amministrazione di Microsoft Intune può richiedere alcuni minuti. Viene visualizzato solo se è in grado di comunicare correttamente con il servizio Intune.

  • I connettori inattivi di Intune vengono ancora visualizzati nella pagina Connettori di Intune e verranno puliti automaticamente dopo 30 giorni.

Dopo l'installazione del connettore Intune per Active Directory, verrà avviata la registrazione nel Visualizzatore eventi nel percorso Registri> applicazioni e serviziMicrosoft>Intune>ODJConnectorService. In questo percorso sono disponibili i log amministratore e operativo .

Nota

Il connettore di Intune è stato registrato originariamente nel Visualizzatore eventi direttamente in Registri applicazioni e servizi in un log denominato SERVIZIO CONNETTORE ODJ. Da allora, tuttavia, la registrazione per il connettore di Intune è stata spostata nel percorso Registri >applicazioni e servizidi Microsoft>Intune>ODJConnectorService. Se il log del servizio connettore ODJ nella posizione originale è vuoto o non è aggiornato, controllare invece il nuovo percorso del percorso.

Configurare le impostazioni del proxy Web

Se nell'ambiente di rete è presente un proxy Web, assicurarsi che il connettore Intune per Active Directory funzioni correttamente facendo riferimento a Usare i server proxy locali esistenti.

Creare un gruppo di dispositivi

  1. Nell'interfaccia di amministrazione di Microsoft Intune selezionare Gruppi>Nuovo gruppo.

  2. Nel riquadro Gruppo selezionare le opzioni seguenti:

    1. In Tipo di gruppo selezionare Sicurezza.

    2. Immettere un nome di gruppo e una descrizione del gruppo.

    3. Selezionare un tipo di appartenenza.

  3. Se è selezionata l'opzione Dispositivi dinamici per il tipo di appartenenza, nel riquadro Gruppo selezionare Membri dispositivo dinamico.

  4. Selezionare Modifica nella casella Sintassi regola e immettere una delle righe di codice seguenti:

    • Per creare un gruppo che includa tutti i dispositivi Autopilot, immettere:

      (device.devicePhysicalIDs -any _ -startsWith "[ZTDId]")

    • Il campo Tag di gruppo di Intune esegue il mapping all'attributo OrderID nei dispositivi Microsoft Entra. Per creare un gruppo che includa tutti i dispositivi Autopilot con un tag di gruppo specifico (OrderID), immettere:

      (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")

    • Per creare un gruppo che includa tutti i dispositivi Autopilot con un ID ordine di acquisto specifico, immettere:

      (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")

  5. Selezionare Salva>crea.

Registrare i dispositivi Autopilot

Selezionare uno dei modi seguenti per registrare i dispositivi Autopilot.

Registrare i dispositivi Autopilot già registrati

  1. Creare un profilo di distribuzione Autopilot con l'impostazione Converti tutti i dispositivi di destinazione in Autopilot impostata su .

  2. Assegnare il profilo a un gruppo che contiene i membri che devono essere registrati automaticamente con Autopilot.

Per altre informazioni, vedere Creare un profilo di distribuzione Autopilot.

Registrare i dispositivi Autopilot non registrati

I dispositivi che non sono ancora registrati in Windows Autopilot possono essere registrati manualmente. Per altre informazioni, vedere Registrazione manuale.

Registrare i dispositivi da un OEM

Se si acquistano nuovi dispositivi, alcuni OEM possono registrare i dispositivi per conto dell'organizzazione. Per altre informazioni, vedere Registrazione OEM.

Visualizzare il dispositivo Autopilot registrato

Prima della registrazione dei dispositivi in Intune, i dispositivi Windows Autopilot registrati vengono visualizzati in tre posizioni (con nomi impostati sul numero di serie):

Dopo la registrazione dei dispositivi Windows Autopilot, i dispositivi vengono visualizzati in quattro posizioni:

Nota

Dopo la registrazione dei dispositivi, i dispositivi vengono comunque visualizzati nel riquadro Dispositivi Windows Autopilotnell'interfaccia di amministrazione di Microsoft Intune e nel riquadro Autopilotnell'interfaccia di amministrazione di Microsoft 365, ma tali oggetti sono gli oggetti registrati di Windows Autopilot.

Un oggetto dispositivo viene creato in precedenza in Microsoft Entra ID dopo la registrazione di un dispositivo in Autopilot. Quando un dispositivo passa attraverso una distribuzione ibrida di Microsoft Entra, per progettazione viene creato un altro oggetto dispositivo che genera voci duplicate.

VPN

I client VPN seguenti vengono testati e convalidati:

  • Client VPN Windows predefinito
  • Cisco AnyConnect (client Win32)
  • Pulse Secure (client Win32)
  • GlobalProtect (client Win32)
  • Checkpoint (client Win32)
  • Citrix NetScaler (client Win32)
  • SonicWall (client Win32)
  • FortiClient VPN (client Win32)

Quando si usano VPN, selezionare per l'opzione Skip AD connectivity check nel profilo di distribuzione di Windows Autopilot. Always-On VPN non deve richiedere questa opzione perché si connette automaticamente.

Nota

Questo elenco di client VPN non è un elenco completo di tutti i client VPN che funzionano con Windows Autopilot. Contattare il rispettivo fornitore vpn per quanto riguarda la compatibilità e il supporto con Windows Autopilot o per eventuali problemi relativi all'uso di una soluzione VPN con Windows Autopilot.

Client VPN non supportati

Le soluzioni VPN seguenti non funzionano con Windows Autopilot e pertanto non sono supportate per l'uso con Windows Autopilot:

  • Plug-in VPN basati su UWP
  • Tutto ciò che richiede un certificato utente
  • DirectAccess

Nota

L'omissione di un client VPN specifico da questo elenco non significa automaticamente che sia supportato o che funzioni con Windows Autopilot. Questo elenco elenca solo i client VPN che non funzionano con Windows Autopilot.

Creare e assegnare un profilo di distribuzione Autopilot

I profili di distribuzione Autopilot vengono utilizzati per configurare i dispositivi Autopilot.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

  2. Nella schermata Home selezionare Dispositivi nel riquadro sinistro.

  3. Nei dispositivi | Schermata Panoramica , in Per piattaforma selezionare Windows.

  4. In Windows | Schermata Dispositivi Windows , in Onboarding del dispositivo selezionare Registrazione.

  5. In Windows | Schermata di registrazione di Windows , in Windows Autopilot selezionare Profili di distribuzione.

  6. Nella schermata Profili di distribuzione di Windows Autopilot selezionare il menu a discesa Crea profilo e quindi selezionare PC Windows.

  7. Nella schermata Crea profilo immettere un nome e una descrizione facoltativa nella pagina Informazioni di base.

  8. Se tutti i dispositivi nei gruppi assegnati devono registrarsi automaticamente a Windows Autopilot, impostare Converti tutti i dispositivi di destinazione in Autopilot su . Tutti i dispositivi non Autopilot di proprietà dell'azienda nei gruppi assegnati si registrano con il servizio di distribuzione Autopilot. I dispositivi di proprietà personale non sono registrati in Autopilot. Attendere 48 ore per l'elaborazione della registrazione. Quando il dispositivo viene annullato e reimpostato, Autopilot lo registra di nuovo. Dopo aver registrato un dispositivo in questo modo, la disabilitazione di questa impostazione o la rimozione dell'assegnazione del profilo non rimuoverà il dispositivo dal servizio di distribuzione Autopilot. I dispositivi devono invece essere eliminati direttamente. Per altre informazioni, vedere Eliminare i dispositivi Autopilot.

  9. Seleziona Avanti.

  10. Nella pagina Configurazione guidata selezionare Configurazione guidata dall'utente per Modalità di distribuzione.

  11. Nella casella Join to Microsoft Entra ID as (Partecipa a Microsoft Entra ID as) selezionare Microsoft Entra hybrid join (Aggiunta ibrida a Microsoft Entra).

  12. Se si distribuiscono dispositivi fuori dalla rete dell'organizzazione usando il supporto VPN, impostare l'opzione Ignora controllo connettività dominio su . Per altre informazioni, vedere Modalità guidata dall'utente per l'aggiunta ibrida di Microsoft Entra con supporto VPN.

  13. Configurare le opzioni rimanenti nella pagina Configurazione guidata in base alle esigenze.

  14. Seleziona Avanti.

  15. Nella pagina Tag ambito selezionare tag di ambito per questo profilo.

  16. Seleziona Avanti.

  17. Nella pagina Assegnazioni selezionare Seleziona gruppi per includere> la ricerca e selezionare il gruppo > di dispositivi Seleziona.

  18. Selezionare Avanti>crea.

Nota

Intune verifica periodicamente la presenza di nuovi dispositivi nei gruppi assegnati e quindi avvia il processo di assegnazione dei profili a tali dispositivi. A causa di diversi fattori coinvolti nel processo di assegnazione del profilo Autopilot, un tempo stimato per l'assegnazione può variare da scenario a scenario. Questi fattori possono includere i gruppi di Microsoft Entra, le regole di appartenenza, l'hash di un dispositivo, il servizio Intune e Autopilot e la connessione Internet. Il tempo di assegnazione varia a seconda di tutti i fattori e le variabili coinvolti in uno scenario specifico.

(Facoltativo) Attivare la pagina di stato della registrazione

  1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

  2. Nella schermata Home selezionare Dispositivi nel riquadro sinistro.

  3. Nei dispositivi | Schermata Panoramica , in Per piattaforma selezionare Windows.

  4. In Windows | Schermata Dispositivi Windows , in Onboarding del dispositivo selezionare Registrazione.

  5. In Windows | Schermata di registrazione di Windows , in Windows Autopilot selezionare Pagina stato registrazione.

  6. Nel riquadro Pagina stato registrazione selezionareImpostazionipredefinite>.

  7. Nella casella Mostra stato dell'installazione dell'app e del profilo selezionare .

  8. Configurare le altre opzioni in base alle esigenze.

  9. Selezionare Salva.

Creare e assegnare un profilo di aggiunta al dominio

  1. Nell'interfaccia di amministrazione di Microsoft Intune selezionare Dispositivi>Gestisci dispositivi | Icriteri di> configurazione >creano>nuovi criteri.

  2. Nella finestra crea un profilo visualizzata immettere le proprietà seguenti:

    • Nome: immettere un nome descrittivo per il nuovo profilo.
    • Descrizione: immettere una descrizione per il profilo.
    • Piattaforma: selezionare Windows 10 e versioni successive.
    • Tipo di profilo: selezionare Modelli, selezionare il nome del modello Aggiunta al dominio e selezionare Crea.

  3. Immettere nome edescrizione e selezionare Avanti.

  4. Specificare un prefisso del nome computer e un nome di dominio.

  5. (Facoltativo) Fornire un'unità organizzativa in formato DN. Le opzioni includono:

    • Specificare un'unità organizzativa in cui il controllo viene delegato al dispositivo Windows che esegue il connettore Intune.
    • Specificare un'unità organizzativa in cui il controllo viene delegato ai computer radice in Active Directory locale dell'organizzazione.
    • Se questo campo viene lasciato vuoto, l'oggetto computer viene creato nel contenitore predefinito di Active Directory. Il contenitore predefinito è in genere il CN=Computers contenitore. Per altre informazioni, vedere Reindirizzare i contenitori di utenti e computer nei domini di Active Directory.

    Esempi validi:

    • OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com
    • OU=Mine,DC=contoso,DC=com

    Esempi non validi:

    • CN=Computers,DC=contoso,DC=com - Non è possibile specificare un contenitore. Lasciare invece vuoto il valore per usare il valore predefinito per il dominio.
    • OU=Mine : il dominio deve essere specificato tramite gli DC= attributi.

    Assicurarsi di non usare le virgolette intorno al valore nell'unità organizzativa.

  6. Selezionare OK>Crea. Il profilo viene creato e visualizzato nell'elenco.

  7. Assegnare un profilo di dispositivo allo stesso gruppo usato nel passaggio Creare un gruppo di dispositivi. Se è necessario aggiungere dispositivi a domini o unità organizzative diversi, è possibile usare gruppi diversi.

Nota

La funzionalità di denominazione per Windows Autopilot per l'aggiunta ibrida di Microsoft Entra non supporta variabili come %SERIAL%. Supporta solo i prefissi per il nome del computer.

Disinstallare il connettore ODJ

Il connettore ODJ viene installato localmente in un computer tramite un file eseguibile. Se il connettore ODJ deve essere disinstallato da un computer, deve essere eseguito anche in locale nel computer. Il connettore ODJ non può essere rimosso tramite il portale di Intune o tramite una chiamata api graph.

Per disinstallare il connettore ODJ dal computer, seguire questa procedura:

  1. Accedere al computer che ospita il connettore ODJ.
  2. Fare clic con il pulsante destro del mouse sul menu Start e scegliere Impostazioni.
  3. Nella finestra Impostazioni di Windows selezionare App.
  4. In App & funzionalità individuare e selezionare Connettore Intune per Active Directory.
  5. In Connettore Intune per Active Directory selezionare il pulsante Disinstalla e quindi selezionare di nuovo il pulsante Disinstalla .
  6. Il connettore ODJ procede alla disinstallazione.

Passaggi successivi

Dopo aver configurato Windows Autopilot, scopri come gestire tali dispositivi. Per altre informazioni, vedere Che cos'è la gestione dei dispositivi di Microsoft Intune?.

Contenuto correlato