Поделиться через


Развертывание Microsoft Entra устройств с гибридным присоединением с помощью Intune и Windows Autopilot

Важно!

Корпорация Майкрософт рекомендует развертывать новые устройства как облачные с помощью Microsoft Entra присоединения. Развертывание новых устройств как Microsoft Entra устройств гибридного соединения не рекомендуется, в том числе с помощью Autopilot. Дополнительные сведения см. в разделе Microsoft Entra присоединение и Microsoft Entra гибридное присоединение в облачных конечных точках: какой вариант подходит для вашей организации.

Intune и Windows Autopilot можно использовать для настройки Microsoft Entra устройств с гибридным присоединением. Для этого выполните действия, описанные в этой статье. Дополнительные сведения о гибридном присоединении Microsoft Entra см. в статье Общие сведения о гибридном присоединении и совместном управлении Microsoft Entra.

Требования

Требования к регистрации устройств

Устройство, которое необходимо зарегистрировать, должно соответствовать указанным ниже требованиям.

  • Используйте поддерживаемую в настоящее время версию Windows.
  • Доступ к Интернету, характеристики которого соответствуют требованиям Windows Autopilot к сети.
  • Доступ к контроллеру домена Active Directory.
  • Успешное подключение контроллера домена к присоединению.
  • При использовании прокси-сервера необходимо включить и настроить параметр Параметры прокси-сервера для протокола автоматического обнаружения веб-прокси (WPAD).
  • Пройденный запуск при первом включении компьютера (OOBE).
  • Используйте тип авторизации, который Microsoft Entra ID поддерживает в OOBE.

Хотя настройка гибридного присоединения Microsoft Entra для федеративных служб Active Directory (ADFS) не является обязательной, позволяет ускорить процесс регистрации Windows Autopilot Microsoft Entra во время развертываний. Федеративные клиенты, которые не поддерживают использование паролей и используют AD FS, должны выполнить действия, описанные в статье службы федерации Active Directory (AD FS) поддержки параметров prompt=login, чтобы правильно настроить интерфейс проверки подлинности.

требования к серверу соединителя Intune

  • Соединитель Intune для Active Directory должен быть установлен на компьютере под управлением Windows Server 2016 или более поздней версии с платформа .NET Framework версии 4.7.2 или более поздней.

  • Сервер, на котором размещен соединитель Intune, должен иметь доступ к Интернету и Active Directory.

    Примечание.

    Серверу соединителя Intune требуется стандартный доступ клиента домена к контроллерам домена, который включает требования к порту RPC, необходимые для связи с Active Directory. Дополнительные сведения см. в следующих статьях:

  • Чтобы увеличить масштаб и доступность, в среде можно установить несколько соединителей. Рекомендуется установить соединитель на сервере, на котором нет других соединителей Intune. Каждый соединитель должен иметь возможность создавать объекты-компьютеры в любом домене, который необходимо поддерживать.

Настройка автоматической регистрации WINDOWS MDM

  1. Войдите в портал Azure и выберите Microsoft Entra ID.

  2. В области слева выберите Управление мобильными устройствами | (MDM и WIP)>Microsoft Intune.

  3. Убедитесь, что пользователи, которые развертывают устройства, присоединенные к Microsoft Entra с помощью Intune и Windows, входят в группу, включенную в область пользователей MDM.

  4. Оставьте значения по умолчанию в полях URL-адрес условий использования MDM, URL-адрес обнаружения MDM и URL-адрес соответствия MDM. Нажмите кнопку Сохранить.

Увеличение предельного количества учетных записей компьютеров в подразделении

Соединитель Intune для Active Directory создает зарегистрированные автоматически компьютеры в домене локальная служба Active Directory. У компьютера, на котором размещен соединитель Intune, должны быть права на создание объектов компьютеров в домене.

В некоторых доменах у компьютеров нет прав на создание компьютеров. Кроме того, в доменах есть встроенное предельное значение (по умолчанию равное 10), которое применяется для всех пользователей и компьютеров, которым не делегированы права на создание объектов компьютеров. Эти права должны быть делегированы компьютерам, на которых размещается соединитель Intune в подразделении, где создаются Microsoft Entra устройства с гибридным присоединением.

Подразделение, которое имеет права на создание компьютеров, должно соответствовать следующим требованиям:

  • Подразделение, введенное в профиль присоединения к домену.
  • Если профиль не выбран, доменное имя компьютера для домена организации.
  1. Откройте оснастку Пользователи и компьютеры Active Directory (DSA.msc).

  2. Щелкните правой кнопкой мыши подразделение, используемое для создания Microsoft Entra компьютеров> с гибридным присоединением.

    Снимок экрана: команда

  3. В мастере Делегирование управления выберите Далее>Добавить>Типы объектов.

  4. В области Типы объектов щелкните Computers>OK.

    Снимок экрана: панель

  5. В области Выбор пользователей, компьютеров и групп в поле Введите имена выбираемых объектов введите имя компьютера, на котором установлен соединитель.

    Снимок экрана: панель выбора пользователей, компьютеров или Группы.

  6. Выберите Проверить имена , чтобы проверить запись >ОК>Далее.

  7. Выберите Создать особую задачу для делегирования>Далее.

  8. Выберите Только следующие объекты в папке>Объекты компьютеров.

  9. Выберите Создать выбранные объекты в этой папке и Удалить выбранные объекты в этой папке.

    Снимок экрана: область

  10. Нажмите кнопку Далее.

  11. В области Разрешения установите флажок Полный доступ. При этом будут выбраны все остальные варианты.

    Снимок экрана: панель

  12. Выберите Далее>Готово.

Установка соединителя Intune

Перед началом установки убедитесь, что выполнены все требования к серверу соединителя Intune.

Действия по установке

  1. По умолчанию для Windows Server включена конфигурация усиленной безопасности Internet Explorer. Конфигурация усиленной безопасности Интернета Обозреватель может вызвать проблемы со входом в соединитель Intune для Active Directory. Так как интернет-Обозреватель не рекомендуется использовать и в большинстве случаев даже не устанавливается на Windows Server, корпорация Майкрософт рекомендует отключить Интернет Обозреватель конфигурации усиленной безопасности. Чтобы отключить интернет-Обозреватель конфигурацию усиленной безопасности, выполните приведенные далее действия.

    1. На сервере, где устанавливается соединитель Intune, откройте диспетчер сервера.

    2. В левой области диспетчер сервера выберите Локальный сервер.

    3. В правой области СВОЙСТВА диспетчер сервера выберите ссылку Вкл. или Выкл. рядом с элементом Конфигурация усиленной безопасности IE.

    4. В окне Конфигурация расширенной безопасности Интернета Обозреватель выберите Выкл. в разделе Администраторы:, а затем нажмите кнопку ОК.

  2. Войдите в Центр администрирования Microsoft Intune.

  3. На начальном экране выберите Устройства в области слева.

  4. В разделе Устройства | Экран "Обзор " в разделе По платформе выберите Windows.

  5. В Windows | Экран устройств Windows в разделе Подключение устройств выберите Регистрация.

  6. В Windows | Экран регистрации Windows в разделе Windows Autopilot выберите Intune Соединитель для Active Directory.

  7. На экране соединитель Intune для Active Directory выберите Добавить.

  8. Скачайте соединитель, следуя инструкциям.

  9. Откройте скачанный файл установки соединителя (ODJConnectorBootstrapper.exe), чтобы установить соединитель.

  10. В конце настройки выберите Настроить сейчас.

  11. Нажмите Войти.

  12. Введите учетные данные Intune роли администратора. Учетной записи пользователя должна быть назначена лицензия Intune.

Примечание.

Роль администратора Intune является временным требованием во время установки.

После проверки подлинности соединитель Intune для Active Directory завершает установку. После завершения установки убедитесь, что он активен в Intune, выполнив следующие действия:

  1. Войдите в Центр администрирования Microsoft Intune.

  2. На начальном экране выберите Устройства в области слева.

  3. В разделе Устройства | Экран "Обзор " в разделе По платформе выберите Windows.

  4. В Windows | Экран устройств Windows в разделе Подключение устройств выберите Регистрация.

  5. В Windows | Экран регистрации Windows в разделе Windows Autopilot выберите Intune Соединитель для Active Directory.

  6. Убедитесь, что состояние подключения в столбце СостояниеАктивно.

Примечание.

  • После входа в соединитель в Центре администрирования Microsoft Intune может потребоваться несколько минут. Он появится только в том случае, если ему удастся связаться со службой Intune.

  • Неактивные соединители Intune по-прежнему отображаются на странице соединителей Intune и будут автоматически очищены через 30 дней.

После установки соединителя Intune для Active Directory начнется вход в Просмотр событий по пути Журналы >приложений и службMicrosoft>Intune>ODJConnectorService. По этому пути можно найти журналы Администратор и операционные журналы.

Примечание.

Соединитель Intune первоначально входил в Просмотр событий непосредственно в разделе Журналы приложений и служб в журнале с именем ODJ Connector Service. Однако с тех пор ведение журнала для соединителя Intune переместилось по пути Журналы> приложений и службMicrosoft>Intune>ODJConnectorService. Если журнал службы соединителя ODJ в исходном расположении пуст или не обновляется, проверка новое расположение пути.

Настройка параметров веб-прокси

Если в сетевой среде есть веб-прокси, убедитесь, что соединитель Intune для Active Directory работает правильно, перейдя к статье Работа с существующими локальными прокси-серверами.

Создание группы устройств

  1. В Центре администрирования Microsoft Intune выберите Группы>Новая группа.

  2. В области Группа выберите следующие параметры:

    1. В поле Тип группы выберите Безопасность.

    2. Заполните поля Имя группы и Описание группы.

    3. Выберите значение в поле Тип членства.

  3. Если для типа членства выбраны динамические устройства , в области Группа выберите Динамические члены устройства.

  4. Выберите Изменить в поле Синтаксис правила и введите одну из следующих строк кода.

    • Чтобы создать группу, включающую все устройства Autopilot, введите:

      (device.devicePhysicalIDs -any _ -startsWith "[ZTDId]")

    • Поле тега группы Intune сопоставляется с атрибутом OrderID на Microsoft Entra устройствах. Чтобы создать группу, включающую все устройства Autopilot с определенным тегом группы (OrderID), введите:

      (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")

    • Чтобы создать группу, включающую все устройства Autopilot с определенным идентификатором заказа на покупку, введите:

      (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")

  5. Выберите Сохранить>Создать.

Регистрация устройств Autopilot

Выберите один из следующих способов регистрации устройств Autopilot.

Регистрация уже зарегистрированных устройств Autopilot

  1. Создайте профиль развертывания Autopilot с параметром Преобразовать все целевые устройства в Autopilot для параметра Да.

  2. Назначьте профиль группе, содержащей участников, которые должны быть автоматически зарегистрированы в Autopilot.

Дополнительные сведения см. в разделе Создание профиля развертывания Autopilot.

Регистрация еще не зарегистрированных устройств Autopilot

Устройства, которые еще не зарегистрированы в Windows Autopilot, можно зарегистрировать вручную. Дополнительные сведения см. в статье Регистрация вручную.

Регистрация устройств изготовителем оборудования

При покупке новых устройств некоторые изготовители оборудования могут зарегистрировать устройства от имени организации. Дополнительные сведения см. в статье Регистрация производителем оборудования.

Отображение зарегистрированного устройства Autopilot

Перед регистрацией устройств в Intune зарегистрированные устройства Windows Autopilot отображаются в трех местах (с именами, заданными для их серийных номеров):

После регистрации устройств Windows Autopilot устройства отображаются в четырех местах:

Примечание.

После регистрации устройств устройства по-прежнему отображаются на панели Устройства Windows Autopilot в Центре администрирования Microsoft Intune и в области Autopilot в Центр администрирования Microsoft 365, но эти объекты являются зарегистрированными объектами Windows Autopilot.

Объект устройства предварительно создается в Microsoft Entra ID после регистрации устройства в Autopilot. Когда устройство проходит через гибридное развертывание Microsoft Entra, по умолчанию создается другой объект устройства, что приводит к дублированию записей.

VPN

Тестируются и проверяются следующие VPN-клиенты:

  • Встроенный клиент VPN в Windows
  • Cisco AnyConnect (клиент Win32)
  • Pulse Secure (клиент Win32)
  • GlobalProtect (клиент Win32)
  • Checkpoint (клиент Win32)
  • Citrix NetScaler (клиент Win32)
  • SonicWall (клиент Win32)
  • FortiClient VPN (клиент Win32)

При использовании VPN выберите Да для параметра Пропустить подключение AD проверка в профиле развертывания Windows Autopilot. Always-On VPN не должен требовать этот параметр, так как он подключается автоматически.

Примечание.

Этот список VPN-клиентов не является исчерпывающим списком всех VPN-клиентов, работающих с Windows Autopilot. Обратитесь к соответствующему поставщику VPN по вопросам совместимости и поддержки с Windows Autopilot или по поводу любых проблем с использованием РЕШЕНИЯ VPN с Windows Autopilot.

Неподдерживаемые VPN-клиенты

Известно , что следующие VPN-решения не работают с Windows Autopilot и поэтому не поддерживаются для использования с Windows Autopilot:

  • Дополнительные модули VPN на основе UWP
  • Все клиенты, требующие сертификации пользователей
  • DirectAccess

Примечание.

Пропуск конкретного VPN-клиента из этого списка не означает, что он автоматически поддерживается или работает с Windows Autopilot. В этом списке перечислены только VPN-клиенты, которые, как известно , не работают с Windows Autopilot.

Создание и назначение профиля развертывания AutoPilot

Профили развертывания Autopilot служат для настройки устройств Autopilot.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. На начальном экране выберите Устройства в области слева.

  3. В разделе Устройства | Экран "Обзор " в разделе По платформе выберите Windows.

  4. В Windows | Экран устройств Windows в разделе Подключение устройств выберите Регистрация.

  5. В Windows | Экран регистрации Windows в разделе Windows Autopilot выберите Профили развертывания.

  6. На экране Профили развертывания Windows Autopilot выберите раскрывающееся меню Создать профиль , а затем выберите Компьютер с Windows.

  7. На экране Создание профиля на странице Основные сведения введите имя и необязательное описание.

  8. Если все устройства в назначенных группах должны автоматически регистрироваться в Windows Autopilot, задайте для параметра Преобразовать все целевые устройства в Autopilot значение Да. Все корпоративные устройства, не принадлежащие Autopilot, в назначенных группах регистрируются в службе развертывания Autopilot. Личные устройства не регистрируются в Autopilot. Регистрация завершится в течение 48 часов. После отмены регистрации и сброса устройства Autopilot снова регистрирует его. После регистрации устройства таким образом отключение этого параметра или удаление назначения профиля не приведет к удалению устройства из службы развертывания Autopilot. Вместо этого устройства необходимо удалить напрямую. Дополнительные сведения см. в разделе Удаление устройств Autopilot.

  9. Нажмите кнопку Далее.

  10. На странице Готовый интерфейс (OOBE) для параметра Режим развертывания выберите Под управлением пользователя.

  11. В поле Присоединиться к Microsoft Entra ID как выберите Microsoft Entra гибридное присоединение.

  12. При развертывании устройств вне сети организации с помощью поддержки VPN задайте для параметра Пропустить проверку подключения к домену значение Да. Дополнительные сведения см. в статье Режим на основе пользователя для Microsoft Entra гибридного присоединения с поддержкой VPN.

  13. Настройте оставшиеся параметры на странице Запуск при первом включении (OOBE).

  14. Нажмите кнопку Далее.

  15. На странице Теги области выберите теги области для этого профиля.

  16. Нажмите кнопку Далее.

  17. На странице Назначения выберите Выберите группы, чтобы включить> поиск и выберите группу > устройств Выбрать.

  18. Щелкните Далее>Создать.

Примечание.

Intune периодически проверять наличие новых устройств в назначенных группах, а затем начать процесс назначения профилей этим устройствам. Из-за нескольких различных факторов, участвующих в процессе назначения профиля Autopilot, предполагаемое время назначения может отличаться от сценария к сценарию. Эти факторы могут включать Microsoft Entra группы, правила членства, хэш устройства, Intune и службу Autopilot, а также подключение к Интернету. Время назначения зависит от всех факторов и переменных, участвующих в конкретном сценарии.

Включение страницы состояния регистрации (необязательно)

  1. Войдите в Центр администрирования Microsoft Intune.

  2. На начальном экране выберите Устройства в области слева.

  3. В разделе Устройства | Экран "Обзор " в разделе По платформе выберите Windows.

  4. В Windows | Экран устройств Windows в разделе Подключение устройств выберите Регистрация.

  5. В Windows | Экран регистрации Windows в разделе Windows Autopilot выберите Страница состояния регистрации.

  6. На панели Страница состояния регистрации выберите По умолчанию>Параметры.

  7. В поле Показать ход установки приложений и профилей выберите значение Да.

  8. При необходимости настройте остальные параметры.

  9. Нажмите Сохранить.

Создание и назначение профиля присоединения к домену

  1. В Центре администрирования Microsoft Intune выберите Устройства>Управление устройствами | Политики конфигурации>>Создание>новой политики.

  2. В открывавшемся окне создания профиля введите следующие свойства:

    • Имя: введите описательное имя для нового профиля.
    • Описание: введите описание профиля
    • Платформа: выберите Windows 10 и более поздних версий.
    • Тип профиля: выберите Шаблоны, выберите имя шаблона Присоединение к домену и нажмите кнопку Создать.
  3. Введите имя и описание, а затем выберите Далее.

  4. Укажите Префикс имени компьютера и Имя домена.

  5. (Необязательно.) Укажите подразделение в формате различающегося имени. Параметры включают:

    • Укажите подразделение, в котором управление делегируется устройству Windows, на котором выполняется соединитель Intune.
    • Укажите подразделение, в котором управление делегируется корневым компьютерам в локальная служба Active Directory организации.
    • Если это поле осталось пустым, объект-компьютер создается в контейнере Active Directory по умолчанию. Контейнером по умолчанию обычно CN=Computers является контейнер. Дополнительные сведения см. в статье Перенаправление контейнеров пользователей и компьютеров в доменах Active Directory.

    Допустимые примеры:

    • OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com
    • OU=Mine,DC=contoso,DC=com

    Недопустимые примеры:

    • CN=Computers,DC=contoso,DC=com — контейнер не может быть указан. Вместо этого оставьте значение пустым, чтобы использовать значение по умолчанию для домена.
    • OU=Mine — домен должен быть указан с помощью DC= атрибутов.

    Не используйте кавычки вокруг значения в подразделении.

  6. Выберите ОК>Создать. Созданный профиль отобразится в списке.

  7. Назначьте профиль устройства той же группе, которая использовалась в действии Создание группы устройства. Если требуется присоединять устройства к разным доменам или подразделениям, можно использовать разные группы.

Примечание.

Возможность именования для Windows Autopilot для Microsoft Entra гибридного соединения не поддерживает переменные, такие как %SERIAL%. Он поддерживает только префиксы для имени компьютера.

Удаление соединителя ODJ

Соединитель ODJ устанавливается локально на компьютере через исполняемый файл. Если соединитель ODJ необходимо удалить с компьютера, это также необходимо сделать локально на компьютере. Соединитель ODJ нельзя удалить с помощью портала Intune или вызова API graph.

Чтобы удалить соединитель ODJ с компьютера, выполните следующие действия:

  1. Войдите на компьютер, на котором размещен соединитель ODJ.
  2. Щелкните правой кнопкой мыши меню Пуск и выберите Параметры.
  3. В окне Параметры Windows выберите Приложения.
  4. В разделе Приложения & функции найдите и выберите соединитель Intune для Active Directory.
  5. В разделе соединитель Intune для Active Directory нажмите кнопку Удалить, а затем снова нажмите кнопку Удалить.
  6. Соединитель ODJ продолжает удаление.

Дальнейшие действия

После настройки Windows Autopilot узнайте, как управлять этими устройствами. Дополнительные сведения см. в статье Что такое управление устройствами с помощью Microsoft Intune.