Развертывание Microsoft Entra устройств с гибридным присоединением с помощью Intune и Windows Autopilot

  • Статья
  • Применяется к:
    Windows 11, ✅ Windows 10

Важно!

Корпорация Майкрософт рекомендует развертывать новые устройства как облачные с помощью Microsoft Entra присоединения. Развертывание новых устройств как Microsoft Entra устройств гибридного соединения не рекомендуется, в том числе с помощью Autopilot. Дополнительные сведения см. в разделе Microsoft Entra присоединение и Microsoft Entra гибридное присоединение в облачных конечных точках: какой вариант подходит для вашей организации.

Вы можете использовать Intune и Windows Autopilot для настройки Microsoft Entra гибридных присоединенных устройств. Для этого выполните действия, описанные в этой статье. Дополнительные сведения о гибридном присоединении Microsoft Entra см. в статье Общие сведения о гибридном присоединении и совместном управлении Microsoft Entra.

Предварительные требования

Предварительные условия для регистрации устройств

Устройство, которое необходимо зарегистрировать, должно соответствовать указанным ниже требованиям.

  • Использование Windows 11 либо Windows 10 1809 и более поздних версий.
  • Доступ к Интернету, характеристики которого соответствуют требованиям Windows Autopilot к сети.
  • Доступ к контроллеру домена Active Directory.
  • Возможность проверять связь с контроллером домена в домене, к которому необходимо присоединиться.
  • Если используется прокси-сервер, необходимо включить и настроить протокол WPAD.
  • Пройденный запуск при первом включении компьютера (OOBE).
  • Используйте тип авторизации, который Microsoft Entra ID поддерживает в OOBE.

Настройка Microsoft Entra гибридного присоединения для федеративных служб Active Directory (AD FS) не требуется, но позволяет ускорить процесс регистрации Windows Autopilot Microsoft Entra во время развертываний. Федеративные клиенты, которые не поддерживают использование паролей и используют AD FS, должны выполнить действия, описанные в статье службы федерации Active Directory (AD FS) поддержки параметров prompt=login, чтобы правильно настроить интерфейс проверки подлинности.

Предварительные требования к серверу соединителя Intune

  • Соединитель Intune для Active Directory должен быть установлен на компьютере под управлением Windows Server 2016 или более поздней версии с платформа .NET Framework версии 4.7.2 или более поздней.

  • Сервер, на котором размещен соединитель Intune, должен иметь доступ к Интернету и Active Directory.

    Примечание.

    Серверу соединителя Intune требуется стандартный доступ клиента домена к контроллерам домена, который включает требования к порту RPC, необходимые для связи с Active Directory. Дополнительные сведения см. в следующих статьях:

  • Для повышения масштабируемости и доступности можно установить несколько соединителей в среде. Рекомендуется установить соединитель на сервере, на котором нет других соединителей Intune. У каждого соединителя должна быть возможность создавать объекты компьютеров в любом домене, который вы планируете поддерживать.

  • Если в вашей организации несколько доменов и установлено несколько соединителей Intune, необходимо использовать учетную запись службы домена, которая может создавать объекты компьютеров во всех доменах. Это требование верно, даже если вы планируете реализовать Microsoft Entra гибридное присоединение только для определенного домена. Если эти домены не являются доверенными, необходимо удалить соединители из доменов, в которых вы не хотите использовать Windows Autopilot. В противном случае при наличии нескольких соединителей в нескольких доменах все соединители должны иметь возможность создавать объекты компьютеров во всех доменах.

    Эта учетная запись службы соединителя должна иметь следующие разрешения.

    • Войдите в систему как услуга.
    • Должен входить в группу пользователей домена .
    • Должен быть членом локальной группы администраторов на сервере Windows, на котором размещен соединитель.

    Важно!

    Управляемые учетные записи служб не поддерживаются для учетной записи службы. Учетная запись службы должна быть учетной записью домена.

  • Для соединителя Intune требуются те же конечные точки, что и для Intune.

Настройка автоматической регистрации WINDOWS MDM

  1. Войдите на портал Azure. В левой области выберите Microsoft Entra ID>Мобильность (MDM и MAM)>Microsoft Intune.

  2. Убедитесь, что пользователи, которые развертывают устройства, присоединенные к Microsoft Entra с помощью Intune и Windows, являются членами группы, включенной в область пользователей MDM.

  3. Оставьте значения по умолчанию в полях URL-адрес условий использования MDM, URL-адрес обнаружения MDM и URL-адрес соответствия MDM. Нажмите кнопку Сохранить.

Увеличение предельного количества учетных записей компьютеров в подразделении

Соединитель Intune для Active Directory создает компьютеры, зарегистрированные в Autopilot, в локальном домене Active Directory. У компьютера, на котором размещен соединитель Intune, должны быть права на создание объектов компьютеров в домене.

В некоторых доменах у компьютеров нет прав на создание компьютеров. Кроме того, в доменах есть встроенное предельное значение (по умолчанию равное 10), которое применяется для всех пользователей и компьютеров, которым не делегированы права на создание объектов компьютеров. Права должны быть делегированы компьютерам, на которых размещен соединитель Intune в подразделении, где создаются Microsoft Entra гибридные устройства.

Подразделение, которое имеет права на создание компьютеров, должно соответствовать следующим требованиям:

  • Подразделение, введенное в профиль присоединения к домену.
  • если профиль не выбран, доменному имени компьютера для вашего домена.

  1. Откройте оснастку Пользователи и компьютеры Active Directory (DSA.msc).

  2. Щелкните правой кнопкой мыши подразделение, используемое для создания Microsoft Entra компьютеров> с гибридным присоединением.

    Снимок экрана: команда

  3. В мастере Делегирование управления выберите Далее>Добавить>Типы объектов.

  4. В области Типы объектов щелкните Computers>OK.

    Снимок экрана: панель

  5. В области Выбор пользователей, компьютеров и групп в поле Введите имена выбираемых объектов введите имя компьютера, на котором установлен соединитель.

    Снимок экрана: панель

  6. Выберите Проверить имена , чтобы проверить запись >ОК>Далее.

  7. Выберите Создать особую задачу для делегирования>Далее.

  8. Выберите Только следующие объекты в папке>Объекты компьютеров.

  9. Выберите Создать выбранные объекты в этой папке и Удалить выбранные объекты в этой папке.

    Снимок экрана: область

  10. Нажмите кнопку Далее.

  11. В области Разрешения установите флажок Полный доступ. При этом будут выбраны все остальные варианты.

    Снимок экрана: панель

  12. Выберите Далее>Готово.

Установка соединителя Intune

Перед началом установки убедитесь, что выполнены все предварительные требования к серверу соединителя Intune .

Действия по установке

  1. Отключите интернет-Обозреватель конфигурацию усиленной безопасности. По умолчанию для Windows Server включена конфигурация усиленной безопасности Internet Explorer. Если вам не удается войти в соединитель Intune для Active Directory, отключите Интернет Обозреватель конфигурации усиленной безопасности для администратора. Чтобы отключить интернет-Обозреватель конфигурацию усиленной безопасности, выполните приведенные далее действия.

    1. На сервере, где устанавливается соединитель Intune, откройте диспетчер сервера.
    2. В левой области диспетчер сервера выберите Локальный сервер.
    3. В правой области СВОЙСТВА диспетчер сервера выберите ссылку Вкл. или Выкл. рядом с элементом Конфигурация усиленной безопасности IE.
    4. В окне Конфигурация расширенной безопасности Интернета Обозреватель выберите Выкл. в разделе Администраторы:, а затем нажмите кнопку ОК.

  2. В Центре администрирования Microsoft Intune выберите Устройства>Windows>Регистрация>Windows Соединитель Intune для Active Directory>Добавить.

  3. Скачайте соединитель, следуя инструкциям.

  4. Откройте скачанный файл установки соединителя (ODJConnectorBootstrapper.exe), чтобы установить соединитель.

  5. В конце настройки выберите Настроить сейчас.

  6. Нажмите Войти.

  7. Выполните вход как глобальный администратор или администратор Intune. Учетной записи пользователя должна быть назначена лицензия Intune.

  8. Откройте раздел Устройства>Windows>Регистрация Windows>Соединитель Intune для Active Directory и убедитесь, что для состояния подключения задано значение Активно.

Примечание.

  • Роль глобального администратора является временным требованием на момент установки.
  • После входа в соединитель в Центре администрирования Microsoft Intune может потребоваться несколько минут. Он появится только в том случае, если ему удастся связаться со службой Intune.
  • Неактивные соединители Intune по-прежнему отображаются на странице Соединители Intune и будут автоматически очищены через 30 дней.

После установки соединителя Intune начнется вход в Просмотр событий по пути Приложения и службы Журналы>Microsoft>Intune>ODJConnectorService. По этому пути можно найти журналы Администратор и операционные журналы.

Примечание.

Соединитель Intune первоначально входил в Просмотр событий непосредственно в разделе Журналы приложений и служб в журнале с именем ODJ Connector Service. Однако с тех пор ведение журнала для соединителя Intune перемещено по пути Приложения и службы Журналы>Microsoft>Intune>ODJConnectorService. Если вы обнаружите, что журнал службы соединителя ODJ в исходном расположении пуст или не обновляется, проверка новое расположение пути.

Настройка параметров веб-прокси

Если у вас есть веб-прокси в сетевой среде, обеспечьте правильную работу соединителя Intune для Active Directory. См. статью Работа с имеющимися локальными прокси-серверами.

Создание группы устройств

  1. В Центре администрирования Microsoft Intune выберите Группы>Новая группа.

  2. В области Группы выберите указанные ниже параметры.

    1. В поле Тип группы выберите Безопасность.
    2. Заполните поля Имя группы и Описание группы.
    3. Выберите значение в поле Тип членства.

  3. Если вы выбрали значение Динамические устройства в качестве типа членства, в области Группы выберите участников динамического устройства.

  4. Выберите Изменить в поле Синтаксис правила и введите одну из следующих строк кода.

    • Чтобы создать группу, включающую все ваши устройства Autopilot, введите (device.devicePhysicalIDs -any _ -startsWith "[ZTDId]").
    • Поле тега группы Intune сопоставляется с атрибутом OrderID на Microsoft Entra устройствах. Если вам нужно создать группу, в которую включены все ваши устройства Autopilot с определенным тегом группы (OrderID), введите (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881").
    • Чтобы создать группу, в которую включены все ваши устройства Autopilot, имеющие определенный идентификатор заказа на покупку, введите (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342").

  5. Выберите Сохранить>Создать.

Регистрация устройств Autopilot

Выберите один из следующих способов для регистрации устройств Autopilot:

Регистрация уже зарегистрированных устройств Autopilot

  1. Создайте профиль развертывания Autopilot с параметром Преобразовать все целевые устройства в Autopilot для параметра Да.

  2. Назначьте профиль группе, содержащей элементы, которые вы хотите автоматически зарегистрировать в Autopilot.

Дополнительные сведения см. в разделе Создание профиля развертывания Autopilot.

Регистрация еще не зарегистрированных устройств Autopilot

Если устройства еще не зарегистрированы, вы можете зарегистрировать их самостоятельно. Дополнительные сведения см. в статье Регистрация вручную.

Регистрация устройств изготовителем оборудования

Некоторые изготовители оборудования сами регистрируют устройства. Дополнительные сведения см. в статье Регистрация производителем оборудования.

Отображение зарегистрированного устройства Autopilot

До того как зарегистрированные устройства Autopilot будут зарегистрированы в Intune, они будут отображаться в трех указанных ниже местах (в качестве их имен будут использованы их серийные номера).

  • Область Устройства Autopilot в Intune на портале Azure. Последовательно выберите Регистрация устройства>Регистрация Windows>Устройства.
  • Область Microsoft Entra устройства в Intune в портал Azure. Выберите Устройства>Microsoft Entra Устройства.
  • Панель Microsoft Entra Все устройства в Microsoft Entra ID в портал Azure, выбрав Устройства>Все устройства.

После регистрации устройств Autopilot они отображаются в четырех местах:

  • Область Устройства Autopilot в Intune на портале Azure. Последовательно выберите Регистрация устройства>Регистрация Windows>Устройства.
  • Область Microsoft Entra устройства в Intune в портал Azure. Выберите Устройства>Microsoft Entra Устройства.
  • Панель Microsoft Entra Все устройства в Microsoft Entra ID в портал Azure. Последовательно выберите Устройства>Все устройства.
  • Панель Все устройства в Intune на портале Azure. Последовательно выберите Устройства>Все устройства.

После регистрации устройств Autopilot их именами становятся имена узлов. По умолчанию имя узла начинается со слова DESKTOP-.

Объект устройства предварительно создается в Microsoft Entra ID после регистрации устройства в Autopilot. Когда устройство проходит через гибридное развертывание Microsoft Entra, по умолчанию создается другой объект устройства, что приводит к дублированию записей.

VPN BYO

Тестируются и проверяются следующие VPN-клиенты:

VPN-клиенты

  • Встроенный клиент VPN в Windows
  • Cisco AnyConnect (клиент Win32)
  • Pulse Secure (клиент Win32)
  • GlobalProtect (клиент Win32)
  • Checkpoint (клиент Win32)
  • Citrix NetScaler (клиент Win32)
  • SonicWall (клиент Win32)
  • FortiClient VPN (клиент Win32)

Примечание.

Этот список VPN-клиентов не является исчерпывающим списком всех VPN-клиентов, работающих с Autopilot. Обратитесь к соответствующему поставщику VPN по вопросам совместимости и поддержки с Autopilot или по поводу любых проблем с использованием РЕШЕНИЯ VPN с Autopilot.

Не поддерживаемые VPN-клиенты

Известно, что следующие VPN-решения не работают с Autopilot и поэтому не поддерживаются для использования с Autopilot:

  • Дополнительные модули VPN на основе UWP
  • Все клиенты, требующие сертификации пользователей
  • DirectAccess

Примечание.

При использовании VPN BYO следует выбрать Да для параметра Пропустить подключение AD проверка в профиле развертывания Windows Autopilot. Always-On VPN не должен требовать этот параметр, так как он подключается автоматически.

Создание и назначение профиля развертывания AutoPilot

Профили развертывания Autopilot служат для настройки устройств Autopilot.

  1. В центре администрирования Microsoft Intune выберите Устройства>Windows>Регистрация> WindowsПрофили> развертыванияСоздать профиль.

  2. На странице Основы введите имя и описание (необязательно).

  3. Если вы хотите, чтобы все устройства в назначенных группах автоматически регистрировались в Autopilot, установите для параметра Преобразовать все целевые устройства в Autopilot значение Да. Все корпоративные устройства, не принадлежащие Autopilot, в назначенных группах регистрируются в службе развертывания Autopilot. Личные устройства не регистрируются в Autopilot. Регистрация завершится в течение 48 часов. После отмены регистрации и сброса устройства Autopilot снова регистрирует его. После регистрации устройства таким образом отключение этого параметра или удаление назначения профиля не приведет к удалению устройства из службы развертывания Autopilot. Вместо этого необходимо напрямую удалить устройство.

  4. Нажмите кнопку Далее.

  5. На странице Готовый интерфейс (OOBE) для параметра Режим развертывания выберите Под управлением пользователя.

  6. В поле Присоединиться к Microsoft Entra ID как выберите Microsoft Entra гибридное присоединение.

  7. Если вы развертываете устройства из сети организации, используя поддержку VPN, задайте для параметра Пропустить проверку подключения к домену значение Да. Дополнительные сведения см. в статье Режим на основе пользователя для Microsoft Entra гибридного присоединения с поддержкой VPN.

  8. Настройте оставшиеся параметры на странице Запуск при первом включении (OOBE).

  9. Нажмите кнопку Далее.

  10. На странице Теги области выберите теги области для этого профиля.

  11. Нажмите кнопку Далее.

  12. На странице Назначения выберите Выберите группы, чтобы включить> поиск и выберите группу > устройств Выбрать.

  13. Щелкните Далее>Создать.

Примечание.

Intune периодически проверяет наличие новых устройств в назначенных группах, а затем начинает процесс назначения профилей этим устройствам. Из-за нескольких различных факторов, участвующих в процессе назначения профиля Autopilot, предполагаемое время назначения может отличаться от сценария к сценарию. Эти факторы могут включать Microsoft Entra группы, правила членства, хэш устройства, службу Intune и Autopilot, а также подключение к Интернету. Время назначения зависит от всех факторов и переменных, участвующих в конкретном сценарии.

Включение страницы состояния регистрации (необязательно)

  1. В центре администрирования Microsoft Intune выберите Устройства>Windows>РегистрацияWindowsСтраница состояния регистрации>.

  2. На панели Страница состояния регистрации выберите По умолчанию>Параметры.

  3. В поле Показать ход установки приложений и профилей выберите значение Да.

  4. При необходимости настройте остальные параметры.

  5. Нажмите Сохранить.

Создание и назначение профиля присоединения к домену

  1. В Центре администрирования Microsoft Intune выберите Устройства>Профили> конфигурацииСоздать профиль.

  2. Укажите значения для перечисленных ниже свойств.

    • Имя: введите описательное имя для нового профиля.
    • Описание: введите описание профиля
    • Платформа: выберите Windows 10 и более поздних версий.
    • Тип профиля: нажмите Шаблоны, выберите имя шаблона Присоединение к домену и нажмите Создать.

  3. Введите имя и описание, а затем выберите Далее.

  4. Укажите Префикс имени компьютера и Имя домена.

  5. (Необязательно.) Укажите подразделение в формате различающегося имени. Ниже перечислены доступные варианты.

    • Укажите подразделение, в котором управление делегировано устройству с Windows 2016 под управлением соединителя Intune.
    • Укажите подразделение, в котором управление делегируется корневым компьютерам в локальная служба Active Directory.
    • Если оставить это поле пустым, объект-компьютер будет создан в контейнере Active Directory по умолчанию (CN=Computers если вы никогда не изменяли его).

    Вот несколько примеров допустимых значений.

    • OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com
    • OU=Mine,DC=contoso,DC=com

    А вот несколько примеров недопустимых значений.

    • CN=Computers,DC=contoso,DC=com (нельзя указать контейнер. Вместо этого оставьте значение пустым, чтобы использовать значение по умолчанию для домена)
    • OU=Mine (необходимо указать домен с помощью DC= атрибутов)

    Примечание.

    Не заключайте значение в параметре Подразделение в кавычки.

  6. Выберите ОК>Создать. Созданный профиль отобразится в списке.

  7. Назначьте профиль устройства той же группе, которая использовалась в действии Создание группы устройства. Если требуется присоединять устройства к разным доменам или подразделениям, можно использовать разные группы.

Примечание.

Возможность именования для Windows Autopilot для Microsoft Entra гибридного соединения не поддерживает переменные, такие как %SERIAL%. Он поддерживает только префиксы для имени компьютера.

Удаление соединителя ODJ

Соединитель ODJ устанавливается локально на компьютере через исполняемый файл. Если соединитель ODJ необходимо удалить с компьютера, это также необходимо сделать локально на компьютере. Соединитель ODJ нельзя удалить с помощью портала Intune или вызова API graph.

Чтобы удалить соединитель ODJ с компьютера, выполните следующие действия:

  1. Войдите на компьютер, на котором размещен соединитель ODJ.
  2. Щелкните правой кнопкой мыши меню Пуск и выберите Параметры.
  3. В окне Параметры Windows выберите Приложения.
  4. В разделе Приложения & функции найдите и выберите Соединитель Intune для Active Directory.
  5. В разделе Соединитель Intune для Active Directory нажмите кнопку Удалить , а затем еще раз нажмите кнопку Удалить .
  6. Соединитель ODJ продолжает удаление.

Дальнейшие действия

После настройки Windows Autopilot узнайте, как управлять этими устройствами. Дополнительные сведения см. в статье Что такое управление устройствами с помощью Microsoft Intune.