使用 Intune 和 Windows Autopilot 部署Microsoft Entra混合联接的设备

重要

Microsoft 建议使用 Microsoft Entra join 将新设备部署为云原生设备。 不建议将新设备部署为Microsoft Entra混合联接设备,包括通过 Autopilot 部署。 有关详细信息,请参阅在云原生终结点中加入Microsoft Entra与Microsoft Entra混合联接:哪个选项适合你的组织

可以使用 Intune 和 Windows Autopilot 设置Microsoft Entra混合联接的设备。 为此,请执行本文中的步骤。 有关Microsoft Entra混合联接的详细信息,请参阅了解混合联接和共同管理Microsoft Entra

先决条件

设备注册先决条件

要注册的设备必须遵循以下要求:

  • 使用 Windows 11 或Windows 10 版 1809 或更高版本。
  • 有权访问遵循 Windows Autopilot 网络要求的 Internet。
  • 有权访问 Active Directory 域控制器。
  • 成功对尝试加入的域的域控制器执行 ping 操作。
  • 如果使用代理,必须启用并配置 WPAD 代理设置选项。
  • 体验全新体验(OOBE)。
  • 使用 OOBE 中Microsoft Entra ID支持的授权类型。

虽然不是必需的,但为 Active Directory Federated Services (AD FS) 配置Microsoft Entra混合联接可以在部署期间加快 Windows Autopilot Microsoft Entra注册过程。 不支持使用密码和使用 AD FS 的联合客户需要按照Active Directory 联合身份验证服务 prompt=login 参数支持一文中的步骤正确配置身份验证体验。

Intune 连接器服务器先决条件

  • 必须在运行 .NET Framework 版本 4.7.2 或更高版本的 Windows Server 2016 或更高版本的计算机上安装适用于 Active Directory 的 Intune 连接器。

  • 托管 Intune 连接器的服务器必须有权访问 Internet 和 Active Directory。

    注意

    Intune 连接器服务器需要对域控制器进行标准域客户端访问,其中包括与 Active Directory 通信所需的 RPC 端口要求。 有关详细信息,请参阅以下文章:

  • 若要增加规模并提高可用性,可在环境中安装多个连接器。 建议在未运行任何其他 Intune 连接器的服务器上安装连接器。 每个连接器都必须能够在你要支持的任何域中创建计算机对象。

  • 如果组织有多个域,并且你安装了多个 Intune 连接器,则必须使用可在所有域中创建计算机对象的域服务帐户。 即使计划仅针对特定域实现Microsoft Entra混合联接,此要求也为 true。 如果这些域是不受信任的域,则必须从不想使用 Windows Autopilot 的域中卸载连接器。 否则,如果有多个跨域的连接器,则所有连接器都必须能够在所有域中创建计算机对象。

    连接器服务帐户必须具有以下权限:

    • 作为服务登录
    • 必须是 域用户组 的一部分。
    • 必须是托管连接器的 Windows 服务器上的本地 管理员 组的成员。

    重要

    托管服务帐户不支持该服务帐户。 服务帐户必须是域帐户。

  • Intune 连接器需要使用与 Intune 相同的终结点

设置 Windows 自动 MDM 注册

  1. 登录 Azure 门户。 在左窗格中,选择“Microsoft Entra ID>移动 (MDM 和 MAM) >Microsoft Intune”。

  2. 确保使用 Intune 和 Windows 部署已加入Microsoft Entra设备的用户是 MDM 用户范围中包含的组的成员。

  3. MDM 使用条款 URLMDM 发现 URLMDM 符合性 URL框中使用默认值,然后选择保存

增加组织单位中的计算机帐户限制

可使用适用于 Active Directory 的 Intune Connector 在本地 Active 目录域中创建 Autopilot 注册计算机。 托管 Intune Connector 的计算机必须有权在域中创建计算机对象。

在某些域中,计算机未被授予创建计算机的权限。 此外,域内置有一个限制(默认值为 10),未获得创建计算机对象的委托权限的所有用户和计算机都要遵循此限制。 必须将权限委托给在创建混合加入设备的组织单位上托管 Intune 连接器的计算机Microsoft Entra。

有权创建计算机的组织单位必须匹配:

  • 在域加入配置文件中输入的组织单位。
  • 计算机域的域名(如果未选择配置文件)。
  1. 打开 Active Directory 用户和计算机(DSA.msc)

  2. 右键单击用于创建Microsoft Entra混合加入的计算机>委派控制的组织单位。

    “委托控件”命令的屏幕截图。

  3. 委派控制向导中,选择下一步>添加>对象类型

  4. 对象类型窗格中,选中计算机>确定

    “对象类型”窗格的屏幕截图。

  5. 选择用户、计算机或组窗格的输入要选择的对象名称框中,输入安装连接器的计算机的名称。

    “选择用户、计算机或组”窗格的屏幕截图。

  6. 选择“ 检查名称” 以验证条目 >“确定>”“下一步”。

  7. 选择创建要委派的自定义任务>下一步

  8. 选择仅文件夹中的以下对象>计算机对象

  9. 选择创建此文件夹中的选定对象删除此文件夹中的选定对象

    “Active Directory 对象类型”窗格的屏幕截图。

  10. 选择 下一步

  11. 在“权限”下,选择“完全控制”复选框。 此操作将选择所有其他选项。

    “权限”窗格的屏幕截图。

  12. 选择下一步>完成

安装 Intune 连接器

在开始安装之前,请确保满足所有 Intune 连接器服务器先决条件

安装步骤

  1. 关闭 Internet Explorer 增强的安全配置。 默认情况下,Windows Server 已打开 Internet Explorer 增强的安全配置。 如果无法登录到适用于 Active Directory 的 Intune 连接器,请关闭管理员的 Internet Explorer 增强安全配置。 若要关闭 Internet Explorer 增强的安全配置,请执行以下操作:

    1. 在安装 Intune 连接器的服务器上,打开服务器管理器
    2. 在服务器管理器的左窗格中,选择“本地服务器”。
    3. 在服务器管理器的右侧“属性”窗格中,选择“IE 增强的安全配置”旁边的“打开”或“关闭”链接。
    4. “Internet Explorer 增强的安全配置”窗口中,选择“管理员:”下的“关闭”,然后选择“确定”。
  2. “Microsoft Intune管理中心”中,选择“设备>”“Windows>注册>”“Intune Connector for Active Directory>Add”。

  3. 按照说明下载连接器。

  4. 打开下载的连接器安装文件 ODJConnectorBootstrapper.exe,安装连接器

  5. 在安装结束时,选择“ 立即配置”。

  6. 选择“登录”。

  7. 输入全局管理员或 Intune 管理员角色凭据。 必须为用户帐户分配 Intune 许可证。

  8. 转到设备>Windows>Windows 注册>适用于 Active Directory 的 Intune 连接器,然后确认连接状态为活动

注意

  • 全局管理员角色是安装时的临时要求。
  • 登录到连接器后,可能需要几分钟时间才能显示在Microsoft Intune管理中心。 它只有在能够成功与 Intune 服务通信时才会显示。
  • 非活动 Intune 连接器仍显示在 Intune 连接器页中,并在 30 天后自动清理。

安装 Intune 连接器后,它将在应用程序和服务日志>Microsoft>Intune>ODJConnectorService 路径下的事件查看器开始日志记录。 在此路径下,可以找到管理员操作日志。

注意

Intune 连接器最初登录事件查看器直接在名为 ODJ 连接器服务的日志中的“应用程序和服务日志”下。 但是,自那以后,Intune 连接器的日志记录已移至 “应用程序和服务日志>”路径,即 Microsoft>Intune>ODJConnectorService。 如果发现原始位置的 ODJ 连接器服务日志为空或未更新,请改为检查新的路径位置。

配置 Web 代理设置

如果网络环境中有 Web 代理,请参阅使用现有的本地代理服务器,确保适用于 Active Directory 的 Intune 连接器正常工作。

创建设备组

  1. Microsoft Intune管理中心,选择“>”“新建组”。

  2. 窗格中,选择以下选项:

    1. 对于组类型,选择安全组
    2. 输入组名称组说明
    3. 选择成员身份类型
  3. 如果你为成员身份类型选择了动态设备,请在窗格中选择动态设备成员

  4. 规则语法框中选择编辑,然后输入以下代码行之一:

    • 若要创建包括所有 Autopilot 设备的组,请输入 (device.devicePhysicalIDs -any _ -startsWith "[ZTDId]")
    • Intune 的“组标记”字段映射到Microsoft Entra设备上的 OrderID 属性。 若要创建包括所有具有特定组标记(OrderID)的 Autopilot 设备的组,必须键入: (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")
    • 若要创建包括所有具有特定购买订单 ID 的 Autopilot 设备的组,请输入 (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")
  5. 选择保存>创建

注册 Autopilot 设备

选择以下方法之一注册 Autopilot 设备。

注册已注册的 Autopilot 设备

  1. 创建 Autopilot 部署配置文件,并将“ 将所有目标设备转换为 Autopilot ”设置为 “是”。

  2. 将配置文件分配给包含要自动注册 Autopilot 的成员的组。

有关详细信息,请参阅创建 Autopilot 部署配置文件

注册未注册的 Autopilot 设备

如果设备尚未注册,可以自行注册。 有关详细信息,请参阅手动注册

从 OEM 注册设备

如果要购买新设备,某些 OEM 可以为你注册设备。 有关详细信息,请参阅 OEM 注册

显示已注册的 Autopilot 设备

在注册到 Intune 之前,已注册的 Autopilot 设备会显示在三个地方(名称设置为其序列号):

  • Azure 门户内 Intune 中的 Autopilot 设备窗格。 选择“设备注册”>“Windows 注册”>“设备”
  • Azure 门户 Intune 中的“Microsoft Entra设备”窗格。 选择“设备>Microsoft Entra设备”。
  • 选择“设备所有设备”,在Azure 门户Microsoft Entra ID中的“Microsoft Entra>所有设备”窗格。

Autopilot 设备“已注册”后,会在四个地方显示:

  • Azure 门户内 Intune 中的 Autopilot 设备窗格。 选择“设备注册”>“Windows 注册”>“设备”
  • Azure 门户 Intune 中的“Microsoft Entra设备”窗格。 选择“设备>Microsoft Entra设备”。
  • Azure 门户Microsoft Entra ID中的“Microsoft Entra所有设备”窗格。 选择设备>所有设备
  • Azure 门户中 Intune 中的“所有设备”窗格。 选择“设备”>“所有设备”

Autopilot 设备已注册后,其设备名称成为设备的主机名。 默认情况下,主机名开头为 DESKTOP-

在 Autopilot 中注册设备后,在 Microsoft Entra ID 中预创建设备对象。 当设备经过混合Microsoft Entra部署时,根据设计,会创建另一个设备对象,从而导致重复条目。

BYO VPN

以下 VPN 客户端已经过测试和验证:

VPN 客户端

  • In-box Windows VPN 客户端
  • Cisco AnyConnect(Win32 客户端)
  • 脉冲安全(Win32 客户端)
  • GlobalProtect(Win32 客户端)
  • 检查点(Win32 客户端)
  • Citrix NetScaler(Win32 客户端)
  • SonicWall(Win32 客户端)
  • FortiClient VPN(Win32 客户端)

注意

此 VPN 客户端列表并不是使用 Autopilot 的所有 VPN 客户端的完整列表。 有关 Autopilot 的兼容性和可支持性,或者有关将 VPN 解决方案与 Autopilot 配合使用的任何问题,请联系相应的 VPN 供应商。

不支持的 VPN 客户端

已知以下 VPN 解决方案不适用于 Autopilot,因此不支持与 Autopilot 配合使用:

  • 基于 UWP 的 VPN 插件
  • 需要用户证书的一切内容
  • DirectAccess

注意

使用 BYO VPN 时,应为 Windows Autopilot 部署配置文件中的“跳过 AD 连接检查”选项选择“是”。 Always-On VPN 不应要求此选项,因为它会自动连接。

创建并分配 AutoPilot 部署配置文件

Autopilot 部署配置文件用于配置 Autopilot 设备。

  1. Microsoft Intune管理中心,选择“设备>”“Windows>注册>部署配置文件>”“创建配置文件”。

  2. 基本信息页上,键入名称和可选说明

  3. 如果希望分配的组中的所有设备自动注册到 Autopilot,请将 “将所有目标设备转换为 Autopilot ”设置为 “是”。 分配的组中所有企业拥有的非 Autopilot 设备都注册到 Autopilot 部署服务。 个人拥有的设备未注册到 Autopilot。 等待 48 小时来处理注册。 取消注册并重置设备后,Autopilot 会再次注册它。 以这种方式注册设备后,禁用此设置或删除配置文件分配不会从 Autopilot 部署服务中删除设备。 必须改为直接删除该设备

  4. 选择 下一步

  5. 在“全新体验 (OOBE)”页上,对于“部署模式”,选择“用户驱动”

  6. 在“加入到Microsoft Entra ID为”框中,选择“Microsoft Entra混合联接”。

  7. 如果是在利用 VPN 支持的组织网络中部署设备,请将跳过域连接检查选项设置为。 有关详细信息,请参阅使用 VPN 支持Microsoft Entra混合加入的用户驱动模式

  8. 根据需要,在全新体验 (OOBE)上配置剩余选项。

  9. 选择 下一步

  10. 作用域标记页上,为此配置文件选择“作用域标记

  11. 选择 下一步

  12. “分配” 页上,选择“ 选择要包括> 搜索的组”,然后选择设备组 >“选择”。

  13. 选择“下一步”>“创建”

注意

Intune 会定期检查已分配组中是否有新设备,然后开始向这些设备分配配置文件的过程。 由于 Autopilot 配置文件分配过程中涉及多种不同因素,因此分配的估计时间可能因方案而异。 这些因素可能包括Microsoft Entra组、成员身份规则、设备的哈希、Intune 和 Autopilot 服务以及 Internet 连接。 分配时间因特定方案中涉及的所有因素和变量而异。

(可选)打开注册状态页

  1. Microsoft Intune管理中心,选择“设备>”“Windows>注册>注册状态页”。

  2. 注册状态页窗格中,选择默认>设置

  3. 在“显示应用和配置文件安装进度”中,选择“确定”

  4. 根据需要配置其他选项。

  5. 选择“保存”。

创建并分配”域加入”配置文件

  1. Microsoft Intune管理中心,选择“设备>配置文件>”“创建配置文件”。

  2. 输入以下属性:

    • 名称:输入新配置文件的描述性名称。
    • 说明:输入配置文件的说明。
    • 平台:选择Windows 10 及更高版本
    • 文件类型:选择模版,选择模版名称域联接,然后选择创建
  3. 输入名称说明,然后选择下一步

  4. 提供计算机名称前缀域名

  5. (可选)提供 DN 格式的“组织单位”(OU)。 您的选择包括:

    • 提供一个 OU,其中控件委托给运行 Intune 连接器的 Windows 2016 设备。
    • 提供一个 OU,其中控件委托给本地 Active Directory中的根计算机。
    • 如果将此对象留空,则会在 Active Directory 默认容器中创建计算机对象, (CN=Computers 如果从未) 更改它

    下面是一些有效示例:

    • OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com
    • OU=Mine,DC=contoso,DC=com

    下面是一些无效示例:

    • CN=Computers,DC=contoso,DC=com (不能指定容器,请保留该值为空,以使用域的默认值)
    • OU=Mine (必须通过 DC= 属性指定域)

    注意

    请勿在组织单位中的值两边使用引号。

  6. 选择确定>创建。 此时,配置文件创建完成,并显示在列表中。

  7. 将设备配置文件分配给步骤创建设备组中使用的同一组。 如果需要将设备加入不同的域或 OU,可以使用不同的组。

注意

适用于Microsoft Entra混合联接的 Windows Autopilot 的命名功能不支持 %SERIAL% 等变量。 它仅支持计算机名称的前缀。

卸载 ODJ 连接器

ODJ 连接器通过可执行文件在本地安装在计算机上。 如果需要从计算机中卸载 ODJ 连接器,则还需要在计算机上本地完成此操作。 无法通过 Intune 门户或图形 API 调用删除 ODJ 连接器。

若要从计算机卸载 ODJ 连接器,请执行以下步骤:

  1. 登录到托管 ODJ 连接器的计算机。
  2. 右键单击“ 开始 ”菜单,然后选择 “设置”。
  3. “Windows 设置” 窗口中,选择“ 应用”。
  4. “应用 & 功能”下,找到并选择“ 适用于 Active Directory 的 Intune 连接器”。
  5. “Active Directory 的 Intune 连接器”下,选择“ 卸载 ”按钮,然后再次选择“ 卸载 ”按钮。
  6. ODJ 连接器继续卸载。

后续步骤

配置 Windows Autopilot 后,了解如何管理这些设备。 有关详细信息,请参阅什么是 Microsoft Intune 设备管理?