使用 Intune 和 Windows Autopilot 部署Microsoft Entra 混合联接的设备
重要
Microsoft建议使用 Microsoft Entra join 将新设备部署为云原生设备。 不建议将新设备部署为 Microsoft Entra 混合联接设备,包括通过 Autopilot 部署。 有关详细信息,请参阅 云原生终结点中Microsoft Entra joined vs. Microsoft Entra 混合联接:哪个选项适合你的组织。
Intune 和 Windows Autopilot 可用于设置Microsoft Entra 混合联接设备。 为此,请执行本文中的步骤。 有关Microsoft Entra 混合联接的详细信息,请参阅 了解 entra 混合联接和共同管理Microsoft。
先决条件
- 已成功配置 Microsoft Entra 混合联接设备。 请务必使用 Get-MgDevice cmdlet 验证设备注册。
- 如果 基于域和 OU 的筛选 配置为 Microsoft Entra Connect 的一部分,请确保同步范围中包含用于 Autopilot 设备的默认组织单位 (OU) 或容器。
设备注册先决条件
要注册的设备必须遵循以下要求:
- 使用当前支持的 Windows 版本。
- 有权访问遵循 Windows Autopilot 网络要求的 Internet。
- 有权访问 Active Directory 域控制器。
- 成功对要加入的域的域控制器执行 ping 操作。
- 如果使用代理,则必须启用和配置 Web 代理自动发现协议 (WPAD) 代理设置选项。
- 体验全新体验(OOBE)。
- 使用 OOBE 中Microsoft Entra ID 支持的授权类型。
虽然不是必需的,但为 Active Directory Federated Services (ADFS) 配置 Microsoft Entra 混合联接可以在部署期间加快 Windows Autopilot Microsoft Entra 注册过程。 不支持使用密码和使用 AD FS 的联合客户需要按照 Active Directory 联合身份验证服务 prompt=login 参数支持 一文中的步骤正确配置身份验证体验。
Intune 连接器服务器先决条件
必须在运行 Windows Server 2016 或更高版本且 .NET Framework 版本为 4.7.2 或更高版本的计算机上安装适用于 Active Directory 的 Intune 连接器。
托管 Intune 连接器的服务器必须有权访问 Internet 和 Active Directory。
注意
Intune 连接器服务器需要对域控制器进行标准域客户端访问,其中包括与 Active Directory 通信所需的 RPC 端口要求。 有关详细信息,请参阅以下文章:
为了提高规模和可用性,可以在环境中安装多个连接器。 建议在未运行任何其他 Intune 连接器的服务器上安装连接器。 每个连接器必须能够在需要支持的任何域中创建计算机对象。
如果组织有多个域并且安装了多个 Intune 连接器,则必须使用可在所有域中创建计算机对象的域服务帐户。 即使仅针对特定域实现Microsoft Entra 混合联接,此要求也为 true。 如果这些域是不受信任的域,则必须从不使用 Windows Autopilot 的域中卸载连接器。 否则,如果有多个跨域的连接器,则所有连接器都必须能够在所有域中创建计算机对象。
连接器服务帐户必须具有以下权限:
- 作为服务登录。
- 必须是 域用户组 的一部分。
- 必须是托管连接器的 Windows 服务器上的本地 管理员 组的成员。
重要
托管服务帐户不支持该服务帐户。 服务帐户必须是域帐户。
Intune 连接器需要使用与 Intune 相同的终结点。
设置 Windows 自动 MDM 注册
登录到 Azure 门户 并选择“ Microsoft Entra ID”。
在左侧窗格中,选择“ 管理 | 移动性 (MDM 和 WIP) >Microsoft Intune”。
确保使用 Intune 和 Windows 部署Microsoft Entra 联接设备的用户是 MDM 用户范围中包含的组的成员。
在MDM 使用条款 URL、MDM 发现 URL和 MDM 符合性 URL框中使用默认值,然后选择保存。
增加组织单位中的计算机帐户限制
适用于 Active Directory 的 Intune 连接器在本地 Active Directory 域中创建已注册 autopilot 的计算机。 托管 Intune Connector 的计算机必须有权在域中创建计算机对象。
在某些域中,计算机未被授予创建计算机的权限。 此外,域内置有一个限制(默认值为 10),未获得创建计算机对象的委托权限的所有用户和计算机都要遵循此限制。 权限必须委托给在创建Microsoft Entra 混合联接设备的组织单位上托管 Intune 连接器的计算机。
有权创建计算机的组织单位必须匹配:
- 在域加入配置文件中输入的组织单位。
- 如果未选择配置文件,则为组织域的计算机域名。
打开 Active Directory 用户和计算机(DSA.msc)。
右键单击用于创建Microsoft Entra 混合联接的计算机 >委托控制的组织单位。
在委派控制向导中,选择下一步>添加>对象类型。
在对象类型窗格中,选中计算机>确定。
在选择用户、计算机或组窗格的输入要选择的对象名称框中,输入安装连接器的计算机的名称。
选择“ 检查名称” 以验证条目 >“确定>”“下一步”。
选择创建要委派的自定义任务>下一步。
选择仅文件夹中的以下对象>计算机对象。
选择创建此文件夹中的选定对象和删除此文件夹中的选定对象。
选择 下一步。
在“权限”下,选择“完全控制”复选框。 此操作将选择所有其他选项。
选择下一步>完成。
安装 Intune 连接器
在开始安装之前,请确保满足所有 Intune 连接器服务器先决条件 。
安装步骤
默认情况下,Windows Server 已打开 Internet Explorer 增强的安全配置。 Internet Explorer 增强的安全配置可能会导致登录到适用于 Active Directory 的 Intune 连接器时出现问题。 由于 Internet Explorer 已弃用,并且在大多数情况下甚至未安装在 Windows Server 上,Microsoft建议关闭 Internet Explorer 增强的安全配置。 若要关闭 Internet Explorer 增强的安全配置,请执行以下操作:
在安装 Intune 连接器的服务器上,打开 “服务器管理器”。
在“服务器管理器”的左窗格中,选择“ 本地服务器”。
在服务器管理器的右侧“属性”窗格中,选择“IE 增强的安全配置”旁边的“打开”或“关闭”链接。
在“Internet Explorer 增强的安全配置”窗口中,选择“管理员:”下的“关闭”,然后选择“确定”。
在 “主页 ”屏幕中,选择左侧窗格中的“ 设备 ”。
在 设备中 |“概述 ”屏幕的“ 按平台”下,选择“ Windows”。
在 Windows 中 |Windows 设备 屏幕的“ 设备载入”下,选择“ 注册”。
在 Windows 中 |Windows 注册 屏幕的 “Windows Autopilot”下,选择“ 适用于 Active Directory 的 Intune 连接器”。
在 “适用于 Active Directory 的 Intune 连接器 ”屏幕中,选择“ 添加”。
按照说明下载连接器。
打开下载的连接器安装文件 ODJConnectorBootstrapper.exe,安装连接器。
在安装结束时,选择“ 立即配置”。
选择“登录”。
输入 Intune 管理员角色的凭据。 必须为用户帐户分配 Intune 许可证。
注意
Intune 管理员角色是安装时的临时要求。
进行身份验证后,适用于 Active Directory 的 Intune 连接器将完成安装。 安装完成后,请按照以下步骤在 Intune 中验证它是否处于活动状态:
在 “主页 ”屏幕中,选择左侧窗格中的“ 设备 ”。
在 设备中 |“概述 ”屏幕的“ 按平台”下,选择“ Windows”。
在 Windows 中 |Windows 设备 屏幕的“ 设备载入”下,选择“ 注册”。
在 Windows 中 |Windows 注册 屏幕的 “Windows Autopilot”下,选择“ 适用于 Active Directory 的 Intune 连接器”。
确认“ 状态 ”列中的连接状态为 “活动”。
注意
登录到连接器后,可能需要几分钟时间才能显示在 Microsoft Intune 管理中心。 它只有在能够成功与 Intune 服务通信时才会显示。
非活动 Intune 连接器仍显示在 Intune 连接器页中,并在 30 天后自动清理。
安装适用于 Active Directory 的 Intune 连接器后,它将在 事件查看器 中开始记录 “应用程序和服务日志>”Microsoft>Intune>ODJConnectorService 的路径。 在此路径下,可以找到 管理员 日志和 操作 日志。
注意
Intune 连接器最初直接在名为 ODJ 连接器服务的日志中的“应用程序和服务日志”下记录在事件查看器中。 但是,Intune 连接器的日志记录已移至 “应用程序和服务日志>”Microsoft>Intune>ODJConnectorService 的路径。 如果原始位置的 ODJ 连接器服务 日志为空或未更新,请改为检查新路径位置。
配置 Web 代理设置
如果网络环境中存在 Web 代理,请确保 Intune Connector for Active Directory 正常工作,方法是参考 使用现有本地代理服务器。
创建设备组
在 Intune 管理中心Microsoft,选择“ 组>”“新建组”。
在“ 组 ”窗格中,选择以下选项:
对于组类型,选择安全组。
输入组名称和组说明。
选择成员身份类型。
如果为成员身份类型选择了 “动态设备” ,请在“ 组 ”窗格中选择“ 动态设备成员”。
在规则语法框中选择编辑,然后输入以下代码行之一:
若要创建包含所有 Autopilot 设备的组,请输入:
(device.devicePhysicalIDs -any _ -startsWith "[ZTDId]")
Intune 的“组标记”字段映射到 Entra 设备上的 OrderID 属性Microsoft。 若要创建包含具有特定组标记 (OrderID) 的所有 Autopilot 设备的组,请输入:
(device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")
若要创建包含具有特定采购订单 ID 的所有 Autopilot 设备的组,请输入:
(device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")
选择保存>创建。
注册 Autopilot 设备
选择以下方法之一来注册 Autopilot 设备。
注册已注册的 Autopilot 设备
创建 Autopilot 部署配置文件,并将“ 将所有目标设备转换为 Autopilot ”设置为 “是”。
将配置文件分配给包含需要自动注册到 Autopilot 的成员的组。
有关详细信息,请参阅创建 Autopilot 部署配置文件。
注册未注册的 Autopilot 设备
尚未注册到 Windows Autopilot 的设备可以手动注册。 有关详细信息,请参阅手动注册。
从 OEM 注册设备
如果购买新设备,某些 OEM 可以代表组织注册设备。 有关详细信息,请参阅 OEM 注册。
显示已注册的 Autopilot 设备
在设备在 Intune 中注册之前, 已注册的 Windows Autopilot 设备会显示在三个位置, (将名称设置为其序列号) :
- Microsoft Intune 管理中心中的“Windows Autopilot 设备”窗格。 选择 “设备>”“平台”|Windows>设备载入 |注册。 在 “Windows Autopilot”下,选择“ 设备”。
- 设备 |Azure 门户中的“所有设备”窗格。 选择设备>所有设备。
- Microsoft 365 管理中心中的 Autopilot 窗格。 选择 “设备>”“Autopilot”。
注册 Windows Autopilot 设备后,设备会显示在四个位置:
- 设备 |Microsoft Intune 管理中心内的“所有设备”窗格。 选择“设备”>“所有设备”。
- Windows |Microsoft Intune 管理中心中的“Windows 设备”窗格。 选择 “设备>”“平台”|Windows。
- 设备 |Azure 门户中的“所有设备”窗格。 选择设备>所有设备。
- Microsoft 365 管理中心中的“活动设备”窗格。 选择 “设备>”“活动设备”。
注意
注册设备后,设备仍显示在 Microsoft Intune 管理中心的“Windows Autopilot 设备”窗格和 Microsoft 365 管理中心的 Autopilot 窗格中,但这些对象是 Windows Autopilot 注册的对象。
在 Autopilot 中注册设备后,Microsoft Entra ID 中预先创建设备对象。 当设备经过混合Microsoft Entra 部署时,根据设计,会创建另一个设备对象,从而导致重复条目。
VPN
以下 VPN 客户端已经过测试和验证:
- In-box Windows VPN 客户端
- Cisco AnyConnect(Win32 客户端)
- 脉冲安全(Win32 客户端)
- GlobalProtect(Win32 客户端)
- 检查点(Win32 客户端)
- Citrix NetScaler(Win32 客户端)
- SonicWall(Win32 客户端)
- FortiClient VPN(Win32 客户端)
使用 VPN 时,对于 Windows Autopilot 部署配置文件中的“跳过 AD 连接检查”选项,请选择“是”。 Always-On VPN 不应要求此选项,因为它会自动连接。
注意
此 VPN 客户端列表并不是使用 Windows Autopilot 的所有 VPN 客户端的完整列表。 有关 Windows Autopilot 的兼容性和可支持性,或者有关将 VPN 解决方案与 Windows Autopilot 配合使用的任何问题,请联系相应的 VPN 供应商。
不支持的 VPN 客户端
已知以下 VPN 解决方案不适用于 Windows Autopilot,因此不支持与 Windows Autopilot 配合使用:
- 基于 UWP 的 VPN 插件
- 需要用户证书的一切内容
- DirectAccess
注意
从此列表中省略特定 VPN 客户端并不自动表示它受支持或适用于 Windows Autopilot。 此列表仅列出 已知 不适用于 Windows Autopilot 的 VPN 客户端。
创建并分配 AutoPilot 部署配置文件
Autopilot 部署配置文件用于配置 Autopilot 设备。
在 “主页 ”屏幕中,选择左侧窗格中的“ 设备 ”。
在 设备中 |“概述 ”屏幕的“ 按平台”下,选择“ Windows”。
在 Windows 中 |Windows 设备 屏幕的“ 设备载入”下,选择“ 注册”。
在 Windows 中 |Windows 注册 屏幕的 “Windows Autopilot”下,选择“ 部署配置文件”。
在 “Windows Autopilot 部署配置文件” 屏幕中,选择“ 创建配置文件” 下拉菜单,然后选择“ Windows 电脑”。
在 “创建配置文件” 屏幕的 “基本信息 ”页上,输入 “名称” 和“ 说明”(可选)。
如果分配的组中的所有设备都应自动注册到 Windows Autopilot,请将“将所有目标设备转换为 Autopilot”设置为“是”。 分配的组中所有企业拥有的非 Autopilot 设备都注册到 Autopilot 部署服务。 个人拥有的设备未注册到 Autopilot。 等待 48 小时来处理注册。 取消注册并重置设备后,Autopilot 会再次注册它。 以这种方式注册设备后,禁用此设置或删除配置文件分配不会从 Autopilot 部署服务中删除设备。 相反,需要直接删除设备。 有关详细信息,请参阅 删除 Autopilot 设备。
选择 下一步。
在“全新体验 (OOBE)”页上,对于“部署模式”,选择“用户驱动”。
在“ 加入到Microsoft Entra ID 作为 ”框中,选择 “Microsoft Entra 混合联接”。
如果使用 VPN 支持从组织网络部署设备,请将 “跳过域连接检查 ”选项设置为 “是”。 有关详细信息,请参阅使用 VPN 支持Microsoft Entra 混合联接的用户驱动模式。
根据需要,在全新体验 (OOBE)上配置剩余选项。
选择 下一步。
在作用域标记页上,为此配置文件选择“作用域标记。
选择 下一步。
在 “分配” 页上,选择“ 选择要包括> 搜索的组”,然后选择设备组 >“选择”。
选择“下一步”>“创建”。
注意
Intune 会定期检查已分配组中是否有新设备,然后开始向这些设备分配配置文件的过程。 由于 Autopilot 配置文件分配过程中涉及多种不同因素,因此分配的估计时间可能因方案而异。 这些因素可能包括Microsoft Entra 组、成员身份规则、设备的哈希、Intune 和 Autopilot 服务以及 Internet 连接。 分配时间因特定方案中涉及的所有因素和变量而异。
(可选)打开注册状态页
在 “主页 ”屏幕中,选择左侧窗格中的“ 设备 ”。
在 设备中 |“概述 ”屏幕的“ 按平台”下,选择“ Windows”。
在 Windows 中 |Windows 设备 屏幕的“ 设备载入”下,选择“ 注册”。
在 Windows 中 |Windows 注册 屏幕的 “Windows Autopilot”下,选择“ 注册状态页”。
在注册状态页窗格中,选择默认>设置。
在“显示应用和配置文件安装进度”中,选择“确定”。
根据需要配置其他选项。
选择“保存”。
创建并分配”域加入”配置文件
在 intune 管理中心Microsoft,选择“ 设备>管理设备 |配置>策略>创建新>策略。
在打开 的“创建配置文件 ”窗口中,输入以下属性:
- 名称:输入新配置文件的描述性名称。
- 说明:输入配置文件的说明。
- 平台:选择Windows 10 及更高版本。
- 配置文件类型:选择 “模板”,选择模板名称 “域加入”,然后选择“ 创建”。
输入名称和说明,然后选择下一步。
提供计算机名称前缀和域名。
(可选)提供 DN 格式的“组织单位”(OU)。 选项包括:
- 提供一个 OU,其中控件委托给运行 Intune 连接器的 Windows 设备。
- 提供一个 OU,其中控件委托给组织的本地 Active Directory 中的根计算机。
- 如果此字段留空,则会在 Active Directory 默认容器中创建计算机对象。 默认容器通常是
CN=Computers
容器。 有关详细信息,请参阅 重定向 Active Directory 域中的用户和计算机容器。
有效示例:
OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com
OU=Mine,DC=contoso,DC=com
无效示例:
-
CN=Computers,DC=contoso,DC=com
- 无法指定容器。 相反,将该值留空以使用域的默认值。 -
OU=Mine
- 必须通过DC=
属性指定域。
请确保不要在 组织单位的值周围使用引号。
选择确定>创建。 此时,配置文件创建完成,并显示在列表中。
注意
适用于 Microsoft Entra 混合联接的 Windows Autopilot 的命名功能不支持 %SERIAL% 等变量。 它仅支持计算机名称的前缀。
卸载 ODJ 连接器
ODJ 连接器通过可执行文件在本地安装在计算机上。 如果需要从计算机中卸载 ODJ 连接器,则还需要在计算机上本地完成此操作。 无法通过 Intune 门户或图形 API 调用删除 ODJ 连接器。
若要从计算机卸载 ODJ 连接器,请执行以下步骤:
- 登录到托管 ODJ 连接器的计算机。
- 右键单击“ 开始 ”菜单,然后选择 “设置”。
- 在 “Windows 设置” 窗口中,选择“ 应用”。
- 在 “应用 & 功能”下,找到并选择“ 适用于 Active Directory 的 Intune 连接器”。
- 在 “Active Directory 的 Intune 连接器”下,选择“ 卸载 ”按钮,然后再次选择“ 卸载 ”按钮。
- ODJ 连接器继续卸载。
后续步骤
配置 Windows Autopilot 后,了解如何管理这些设备。 有关详细信息,请参阅什么是 Microsoft Intune 设备管理?。