Distribuera Microsoft Entra hybrid-anslutna enheter med hjälp av Intune och Windows Autopilot

• Gäller för:

  ✅ Windows 11, ✅ Windows 10

Viktigt

Microsoft rekommenderar att du distribuerar nya enheter som molnbaserade med hjälp av Microsoft Entra anslutning. Distribution av nya enheter som Microsoft Entra hybridanslutningsenheter rekommenderas inte, inklusive via Autopilot. Mer information finns i Microsoft Entra ansluten jämfört med Microsoft Entra hybridanslutning i molnbaserade slutpunkter: Vilket alternativ är rätt för din organisation.

Du kan använda Intune och Windows Autopilot för att konfigurera Microsoft Entra hybrid-anslutna enheter. Följ stegen i den här artikeln för att göra det. Mer information om Microsoft Entra hybridanslutning finns i Förstå Microsoft Entra hybridanslutning och samhantering.

Förutsättningar

• Du har konfigurerat dina Microsoft Entra hybrid-anslutna enheter. Kontrollera enhetsregistreringen med hjälp av cmdleten Get-MgDevice .
• Om domän- och organisationsenhetsbaserad filtrering har konfigurerats som en del av Microsoft Entra Connect kontrollerar du att standardorganisationsenheten (OU) eller containern som är avsedd för Autopilot-enheterna ingår i synkroniseringsomfånget.

Krav för enhetsregistrering

Enheten som ska registreras måste följa dessa krav:

• Använd Windows 11 eller Windows 10 version 1809 eller senare.
• Ha åtkomst till Internet genom att följa nätverkskraven för Windows Autopilot.
• Ha åtkomst till en Active Directory-domänkontrollant.
• Pinga domänkontrollanten för den domän som du försöker ansluta till.
• Om du använder proxy måste alternativet för WPAD-proxyinställningar vara aktiverat och konfigurerat.
• Genomgå den färdiga upplevelsen (OOBE).
• Använd en auktoriseringstyp som Microsoft Entra ID stöder i OOBE.

Även om det inte krävs kan du konfigurera Microsoft Entra hybridanslutning för Active Directory Federated Services (AD FS) snabbare Registreringsprocess för Windows Autopilot Microsoft Entra under distributioner. Federerade kunder som inte stöder användning av lösenord och som använder AD FS måste följa stegen i artikeln Active Directory Federation Services (AD FS) prompt=login parameter support för att konfigurera autentiseringsupplevelsen korrekt.

Krav för Intune-anslutningsappserver

• Intune Connector för Active Directory måste vara installerat på en dator som kör Windows Server 2016 eller senare med .NET Framework version 4.7.2 eller senare.

• Den server som är värd för Intune Connector måste ha åtkomst till Internet och Din Active Directory.

  Obs!

  Intune Connector-servern kräver standarddomänklientåtkomst till domänkontrollanter, vilket inkluderar de RPC-portkrav som krävs för att kommunicera med Active Directory. Mer information finns i följande artiklar:

  • Tjänsteöversikt och krav på nätverksport för Windows
  • Så här konfigurerar du en brandvägg för domäner och förtroenden i Active Directory
  • Portar och protokoll som krävs för hybrididentitet

• Om du vill öka skalan och tillgängligheten kan du installera flera anslutningsappar i din miljö. Vi rekommenderar att du installerar anslutningsprogrammet på en server som inte kör några andra Intune-anslutningsappar. Varje anslutningsapp måste kunna skapa datorobjekt i valfri domän som du vill ha stöd för.

• Om din organisation har flera domäner och du installerar flera Intune-anslutningsappar måste ett domäntjänstkonto som kan skapa datorobjekt i alla domäner användas. Det här kravet gäller även om du planerar att implementera Microsoft Entra hybridanslutning endast för en specifik domän. Om dessa domäner är ej betrodda domäner måste du avinstallera anslutningsapparna från domäner där du inte vill använda Windows Autopilot. Annars, med flera anslutningsappar över flera domäner, måste alla anslutningsappar kunna skapa datorobjekt i alla domäner.

  Det här anslutningstjänstkontot måste ha följande behörigheter:

  • Logga in som en tjänst.
  • Måste ingå i domänanvändargruppen .
  • Måste vara medlem i den lokala gruppen Administratörer på Den Windows-server som är värd för anslutningsappen.

  Viktigt

  Hanterade tjänstkonton stöds inte för tjänstkontot. Tjänstkontot måste vara ett domänkonto.

• Intune Connector kräver samma slutpunkter som Intune.

Konfigurera automatisk MDM-registrering i Windows

1. Logga in på Azure-portalen. I den vänstra rutan väljer du Microsoft Entra ID>Mobilitet (MDM och MAM)>Microsoft Intune.

2. Kontrollera att användare som distribuerar Microsoft Entra anslutna enheter med hjälp av Intune och Windows är medlemmar i en grupp som ingår i MDM-användaromfånget.

3. Använd standardvärdena i rutorna MDM-användningsvillkors-URL, MDM-identifierings-URL och MDM-efterlevnads-URL och välj sedan Spara.

Öka datorkontogränsen i organisationsenheten

Intune Connector för din Active Directory skapar Autopilot-registrerade datorer i lokal Active Directory-domänen. Den dator som är värd för Intune Connector måste ha behörighet att skapa datorobjekten i domänen.

I vissa domäner beviljas inte datorer behörighet att skapa datorer. Dessutom har domäner en inbyggd gräns (standardvärdet 10) som gäller för alla användare och datorer som inte har delegerat behörighet att skapa datorobjekt. Rättigheterna måste delegeras till datorer som är värdar för Intune Connector på den organisationsenhet där Microsoft Entra hybrid-anslutna enheter skapas.

Den organisationsenhet som har behörighet att skapa datorer måste matcha:

• Organisationsenheten som angavs i domänanslutningsprofilen.
• Om ingen profil har valts, datorns domännamn för din domän.

1. Öppna Active Directory - användare och datorer (DSA-msc).

2. Högerklicka på den organisationsenhet som ska användas för att skapa Microsoft Entra hybrid-anslutna datorer >Delegera kontroll.

   

3. I guiden Delegering av kontroll väljer du Nästa>Lägg till>Objekttyper.

4. I fönstret Objekttyper väljer du Datorer>OK.

   

5. I fönstret Välj användare, Datorer eller Grupper går du till rutan Ange de objektnamn som ska väljas och anger namnet på den dator där anslutningsappen är installerad.

   

6. Välj Kontrollera namn för att verifiera posten >OK>Nästa.

7. Välj Skapa en anpassad uppgift för att delegera>Nästa.

8. Välj Endast följande objekt i mappen>Datorobjekt.

9. Välj Skapa markerade objekt i den här mappen och Ta bort markerade objekt i den här mappen.

   

10. Välj Nästa.

11. Under Behörigheter markerar du kryssrutan Fullständig kontroll. Den här åtgärden väljer alla andra alternativ.

    

12. Välj Nästa>Slutför.

Installera Intune Connector

Innan du påbörjar installationen kontrollerar du att alla krav för Intune-anslutningsappservern är uppfyllda.

Installationssteg

1. Inaktivera Förbättrad säkerhetskonfiguration i Internet Explorer. Internet Explorer Enhanced Security Configuration är aktiverat som standard i Windows Server. Om du inte kan logga in på Intune Connector för Active Directory inaktiverar du Internet Explorer Enhanced Security Configuration för administratören. Så här inaktiverar du Förbättrad säkerhetskonfiguration i Internet Explorer:

   1. Öppna Serverhanteraren på den server där Intune Connector installeras.
   2. I den vänstra rutan i Serverhanteraren väljer du Lokal server.
   3. I den högra rutan EGENSKAPER i Serverhanteraren väljer du länken På eller Av bredvid Förbättrad säkerhetskonfiguration i IE.
   4. I fönstret Förbättrad säkerhetskonfiguration i Internet Explorer väljer du Av under Administratörer: och sedan OK.

2. I Microsoft Intune administrationscenter väljer du Enheter>Windows>Windows-registrering>Intune Connector för Active Directory>Lägg till.

3. Följ anvisningarna för att ladda ned anslutningsappen.

4. Öppna installationsfilen för den nedladdade anslutningsappen ODJConnectorBootstrapper.exeför att installera anslutningsappen.

5. I slutet av installationen väljer du Konfigurera nu.

6. Välj Logga in.

7. Ange autentiseringsuppgifterna för Global administratör- eller Intune-administratörsrollen. Användarkontot måste ha en tilldelad Intune-licens.

8. Gå till Enheter>Windows>Windows-registrering>Intune Connector för Active Directory och bekräfta sedan att anslutningsstatusen är Aktiv.

Obs!

• Den Global administratör rollen är ett tillfälligt krav vid tidpunkten för installationen.
• När du har loggat in på anslutningsappen kan det ta flera minuter att visas i Microsoft Intune administrationscenter. Den visas bara om den kan kommunicera med Intune-tjänsten.
• Inaktiva Intune-anslutningsappar visas fortfarande på sidan Intune-anslutningsappar och rensas automatiskt efter 30 dagar.

När Intune Connector har installerats börjar den logga in i Loggboken under sökvägen Program- och tjänstloggar>Microsoft>Intune>ODJConnectorService. Under den här sökvägen finns Admin- och driftloggar.

Obs!

Intune Connector loggades ursprungligen i Loggboken direkt under Program- och tjänstloggar i en logg som heter ODJ Connector Service. Loggning för Intune Connector har dock sedan dess flyttats till sökvägen Program- och tjänstloggar>Microsoft>Intune>ODJConnectorService. Om du upptäcker att ODJ Connector Service-loggen på den ursprungliga platsen är tom eller inte uppdateras kontrollerar du den nya sökvägen i stället.

Konfigurera inställningar för webbproxy

Om du har en webbproxy i nätverksmiljön kontrollerar du att Intune Connector för Active Directory fungerar korrekt genom att referera till Arbeta med befintliga lokala proxyservrar.

Skapa en enhetsgrupp

1. I Microsoft Intune administrationscenter väljer du Grupper>Ny grupp.

2. I fönstret Grupp väljer du följande alternativ:

   1. För Grupptyp väljer du Säkerhet.
   2. Ange ett gruppnamn och en gruppbeskrivning.
   3. Välj en medlemskapstyp.

3. Om du har valt Dynamiska enheter som medlemskapstyp går du till fönstret Grupp och väljer Dynamiska enhetsmedlemmar.

4. Välj Redigera i rutan Regelsyntax och ange någon av följande kodrader:

   • Om du vill skapa en grupp som innehåller alla dina Autopilot-enheter anger du (device.devicePhysicalIDs -any _ -startsWith "[ZTDId]").
   • Intunes grupptaggfält mappar till Attributet OrderID på Microsoft Entra enheter. Om du vill skapa en grupp som innehåller alla dina Autopilot-enheter med en specifik grupptagg (OrderID) skriver du: (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881").
   • Om du vill skapa en grupp som innehåller alla dina Autopilot-enheter med ett specifikt inköpsorder-ID anger du (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342").

5. Välj Spara>skapa.

Registrera dina Autopilot-enheter

Välj något av följande sätt att registrera dina Autopilot-enheter.

Registrera Autopilot-enheter som redan har registrerats

1. Skapa en Autopilot-distributionsprofil med inställningen Konvertera alla målenheter till Autopilot inställt på Ja.

2. Tilldela profilen till en grupp som innehåller de medlemmar som du vill registrera automatiskt med Autopilot.

Mer information finns i Skapa en Autopilot-distributionsprofil.

Registrera Autopilot-enheter som inte har registrerats

Om dina enheter ännu inte har registrerats kan du registrera dem själv. Mer information finns i Manuell registrering.

Registrera enheter från en OEM-tillverkare

Om du köper nya enheter kan vissa OEM-tillverkare registrera enheterna åt dig. Mer information finns i OEM-registrering.

Visa registrerad Autopilot-enhet

Innan de registreras i Intune visas registrerade Autopilot-enheter på tre platser (med namn inställda på deras serienummer):

• Fönstret Autopilot-enheter i Intune i Azure Portal. Välj Enhetsregistrering>Windows-registrering>Enheter.
• Fönstret Microsoft Entra enheter i Intune i Azure Portal. Välj Enheter>Microsoft Entra Enheter.
• Fönstret Microsoft Entra Alla enheter i Microsoft Entra ID i Azure Portal genom att välja Enheter>Alla enheter.

När dina Autopilot-enheter har registrerats visas de på fyra platser:

• Fönstret Autopilot-enheter i Intune i Azure Portal. Välj Enhetsregistrering>Windows-registrering>Enheter.
• Fönstret Microsoft Entra enheter i Intune i Azure Portal. Välj Enheter>Microsoft Entra Enheter.
• Fönstret Microsoft Entra Alla enheter i Microsoft Entra ID i Azure Portal. Välj Enheter>Alla enheter.
• Fönstret Alla enheter i Intune i Azure Portal. Välj Enheter>Alla enheter.

När dina Autopilot-enheter har registrerats blir deras namn enhetens värdnamn. Som standard börjar värdnamnet med DESKTOP-.

Ett enhetsobjekt skapas i Microsoft Entra ID när en enhet har registrerats i Autopilot. När en enhet går igenom en hybriddistribution Microsoft Entra skapas ett annat enhetsobjekt avsiktligt, vilket resulterar i dubbletter av poster.

VPN:er för BYO

Följande VPN-klienter testas och verifieras:

VPN-klienter

• Inbyggd Windows VPN-klient
• Cisco AnyConnect (Win32-klient)
• Pulse Secure (Win32-klient)
• GlobalProtect (Win32-klient)
• Kontrollpunkt (Win32-klient)
• Citrix NetScaler (Win32-klient)
• SonicWall (Win32-klient)
• FortiClient VPN (Win32-klient)

Obs!

Den här listan över VPN-klienter är inte en fullständig lista över alla VPN-klienter som fungerar med Autopilot. Kontakta respektive VPN-leverantör angående kompatibilitet och support med Autopilot eller angående eventuella problem med att använda en VPN-lösning med Autopilot.

VPN-klienter som inte stöds

Följande VPN-lösningar är kända för att inte fungera med Autopilot och stöds därför inte för användning med Autopilot:

• UWP-baserade VPN-plugin-program
• Allt som kräver ett användarcertifikat
• Directaccess

Obs!

När du använder VPN för BYO bör du välja Ja för alternativet Hoppa över AD-anslutningskontroll i Windows Autopilot-distributionsprofilen. Always-On VPN-nätverk bör inte kräva det här alternativet eftersom det ansluter automatiskt.

Skapa och tilldela en Autopilot-distributionsprofil

Autopilot-distributionsprofiler används för att konfigurera Autopilot-enheterna.

1. I Microsoft Intune administrationscenter väljer du Enheter>Windows>Windows-registrering>Distributionsprofiler>Skapa profil.

2. På sidan Grundläggande anger du ett Namn och en valfri Beskrivning.

3. Om du vill att alla enheter i de tilldelade grupperna automatiskt ska registrera sig för Autopilot ställer du in Konvertera alla målenheter på Autopilot tillJa. Alla företagsägda, icke-Autopilot-enheter i tilldelade grupper registreras med Autopilot-distributionstjänsten. Personligt ägda enheter är inte registrerade i Autopilot. Tillåt att registreringen bearbetas i 48 timmar. När enheten avregistreras och återställs registrerar Autopilot den igen. När en enhet har registrerats på det här sättet tas inte enheten bort från Autopilot-distributionstjänsten om du inaktiverar den här inställningen eller tar bort profiltilldelningen. Du måste i stället ta bort enheten direkt.

4. Välj Nästa.

5. På sidan Out-of-box experience (OOBE) förDistributionsläge väljer du Användardriven.

6. I rutan Anslut till Microsoft Entra ID som väljer du Microsoft Entra hybridansluten.

7. Om du distribuerar enheter utanför organisationens nätverk med VPN-stöd anger du alternativet Hoppa över domänanslutningskontroll till Ja. Mer information finns i Användardrivet läge för Microsoft Entra hybridanslutning med VPN-stöd.

8. Konfigurera de återstående alternativen på OOBE-sidan (Out-of-Box Experience) efter behov.

9. Välj Nästa.

10. På sidan Omfångstaggar väljer du omfångstaggar för den här profilen.

11. Välj Nästa.

12. På sidan Tilldelningar väljer du Välj grupper att inkludera> sökning efter och väljer enhetsgruppen >Välj.

13. Välj Nästa>skapa.

Obs!

Intune söker regelbundet efter nya enheter i de tilldelade grupperna och påbörjar sedan processen med att tilldela profiler till dessa enheter. På grund av flera olika faktorer som ingår i processen för Autopilot-profiltilldelning kan en uppskattad tid för tilldelningen variera från scenario till scenario. Dessa faktorer kan vara Microsoft Entra grupper, medlemskapsregler, hash för en enhet, Intune- och Autopilot-tjänst och Internetanslutning. Tilldelningstiden varierar beroende på alla faktorer och variabler som ingår i ett specifikt scenario.

(Valfritt) Aktivera registreringsstatussidan

1. I det Microsoft Intune administrationscentret väljer du Enheter>Registreringsstatussida förWindows>Windows-registrering>.

2. I fönstret Registreringsstatussida väljer du Standardinställningar>.

3. I rutan Visa förlopp för app- och profilinstallation väljer du Ja.

4. Konfigurera de andra alternativen efter behov.

5. Välj Spara.

Skapa och tilldela en domänanslutningsprofil

1. I Microsoft Intune administrationscenter väljer du Enhetskonfigurationsprofiler>>Skapa profil.

2. Ange följande egenskaper:

   • Namn: Ange ett beskrivande namn på den nya profilen.
   • Beskrivning: Ange en beskrivning för profilen.
   • Plattform: Välj Windows 10 och senare.
   • Profiltyp: Välj Mallar, välj mallnamnet Domänanslutning och välj Skapa.

3. Ange Namn och Beskrivning och välj Nästa.

4. Ange ett datornamnsprefix och domännamn.

5. (Valfritt) Ange en organisationsenhet (OU) i DN-format. Alternativen är:

   • Ange en organisationsenhet där kontrollen delegeras till din Windows 2016-enhet som kör Intune Connector.
   • Ange en organisationsenhet där kontrollen delegeras till rotdatorerna i lokal Active Directory.
   • Om du lämnar det här tomt skapas datorobjektet i Active Directory-standardcontainern (CN=Computers om du aldrig har ändrat det).

   Här är några giltiga exempel:

   • OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com
   • OU=Mine,DC=contoso,DC=com

   Här är några exempel som inte är giltiga:

   • CN=Computers,DC=contoso,DC=com (du kan inte ange en container utan lämna i stället värdet tomt om du vill använda standardvärdet för domänen)
   • OU=Mine (du måste ange domänen via attributen DC= )

   Obs!

   Använd inte citattecken runt värdet i Organisationsenhet.

6. Välj OK>Skapa. Profilen skapas och visas i listan.

7. Tilldela en enhetsprofil till samma grupp som användes i steget Skapa en enhetsgrupp. Olika grupper kan användas om det finns ett behov av att ansluta enheter till olika domäner eller organisationsenheter.

Obs!

Namngivningsfunktionen för Windows Autopilot för Microsoft Entra hybridanslutning stöder inte variabler som %SERIAL%. Den stöder endast prefix för datornamnet.

Avinstallera ODJ-anslutningsappen

ODJ-anslutningsappen installeras lokalt på en dator via en körbar fil. Om ODJ-anslutningsappen måste avinstalleras från en dator måste den också göras lokalt på datorn. ODJ-anslutningsappen kan inte tas bort via Intune-portalen eller via ett GRAPH API-anrop.

Så här avinstallerar du ODJ Connector från datorn:

1. Logga in på datorn som är värd för ODJ-anslutningsappen.
2. Högerklicka på Start-menyn och välj Inställningar.
3. I fönstret Windows-inställningar väljer du Appar.
4. Under Appar & funktioner letar du upp och väljer Intune Connector för Active Directory.
5. Under Intune Connector för Active Directory väljer du knappen Avinstallera och sedan knappen Avinstallera igen.
6. ODJ-anslutningsappen fortsätter att avinstalleras.

Nästa steg

När du har konfigurerat Windows Autopilot får du lära dig hur du hanterar dessa enheter. Mer information finns i Vad är Microsoft Intune enhetshantering?.

Relaterade artiklar

• Vad är en enhetsidentitet?.
• Läs mer om molnbaserade slutpunkter.
• Microsoft Entra ansluten jämfört med Microsoft Entra hybrid som är ansluten till molnbaserade slutpunkter.
• Självstudie: Konfigurera en molnbaserad Windows-slutpunkt med Microsoft Intune.
• Anvisningar: Planera din Microsoft Entra delta i implementeringen.
• Ett ramverk för transformering av Windows-slutpunktshantering.
• Förstå hybridscenarier för Azure AD och samhantering.
• Lyckades med windows Autopilot-fjärranslutning och Azure Active Directory-hybridanslutning.