使用者驅動Microsoft Entra混合式加入：增加組織單位 (OU) 中的電腦帳戶限制

Windows Autopilot 使用者驅動 Microsoft Entra 混合式聯結步驟：

• 步驟 1： 設定 Windows 自動 Intune 註冊
• 步驟 2： 安裝適用於 Active Directory 的 Intune 連接器

• 步驟 3：增加組織單位 (OU) 中的電腦帳戶限制

• 步驟 4： 將裝置註冊為 Windows Autopilot 裝置
• 步驟 5： 建立裝置群組
• 步驟 6： 設定並指派 Windows Autopilot 註冊狀態頁面 (ESP)
• 步驟 7：建立並指派 Microsoft Entra 混合式聯結 Windows Autopilot 配置檔
• 步驟 8： 設定和指派網域加入設定檔
• 步驟 9： 將 Windows Autopilot 裝置指派給使用者 (選擇性)
• 步驟 10： 部署裝置

如需 Windows Autopilot 使用者驅動 Microsoft Entra 混合式聯結工作流程的概觀，請參閱 Windows Autopilot 使用者驅動 Microsoft Entra 混合式聯結概觀。

注意事項

如果適當組織單位 (OU) 的電腦帳戶限制已增加，請略過此步驟，並繼續進行步驟 4：將裝置註冊為 Windows Autopilot 裝置。

增加組織單位 (OU) 中的電腦帳戶限制

更新的連接器

重要事項

只有在下列其中一種情況下，才需要執行此步驟：

• 安裝和設定 Active Directory 的 Intune 連接器的系統管理員沒有適用於 Active Directory 需求的 Intune 連接器中所述的適當許可權。
• 安裝和設定 Intune 連接器的系統管理員具有上述適當的許可權，但無法授與 MSA (MSA) 受控服務帳戶 ，以在 Intune 連接器安裝期間指定的組織單位 () 中建立電腦物件的許可權。 如需詳細資訊，請參閱 使用最低許可權原則設定 Active Directory 的新 Microsoft Intune 連接器。
• ODJConnectorEnrollmentWizard.exe.config未修改 XML 檔案，以新增 MSA 應該具有許可權的 OU。

適用於 Active Directory 的 Intune 連接器的目的是將電腦加入網域，並將其新增至 OU。 基於這個理由，用於 Active Directory 的 Intune 連接器的受控服務帳戶必須具有在電腦加入內部部署網域的 OU 中建立電腦帳戶的許可權。

使用 Active Directory 中的預設許可權，適用於 Active Directory 的 Intune 連接器所加入的網域一開始可能會運作，而不需要對 Active Directory 中的 OU 進行任何許可權修改。 不過，在 MSA 嘗試將超過 10 部電腦加入內部部署網域之後，它會停止運作，因為根據預設，Active Directory 只允許任何單一帳戶加入最多 10 部電腦至內部部署網域。

下列使用者不受 10 個電腦網域加入限制的限制：

• 系統管理員或網域系統管理員群組中的使用者：為了符合最低許可權原則模型，Microsoft 不建議將 MSA 設為系統管理員或網域系統管理員。
• 具有組織單位 (O) U 和容器的委派許可權的使用者，可在 Active Directory 中建立電腦帳戶：建議使用此方法，因為它遵循最低許可權原則模型。

若要修正此限制，MSA 需要在內部部署網域中加入電腦的組織單位 (OU) 中建立 電腦帳戶 權限。 只要符合下列其中一個條件，適用於 Active Directory 的 Intune 連接器就會將 MSA 的許可權設定為 OU：

• 安裝適用於 Active Directory 的 Intune 連接器的系統管理員具有設定 OU 許可權的必要許可權。
• 設定 Active Directory 的 Intune 連接器的系統管理員具有設定 OU 許可權的必要許可權。

如果安裝或設定 Active Directory 的 Intune 連接器系統管理員沒有必要的許可權來設定 OU 的許可權，則必須遵循下列步驟：

1. 使用具有設定 OU 權限的必要權限的帳戶登入有權存取 Active Directory 使用者和電腦主控台的電腦。

2. 執行 DSA.msc 來開啟 Active Directory 使用者和電腦主控台。

3. 展開所需的網域，並流覽至電腦在 Windows Autopilot 期間加入的組織單位 (OU) 。

   注意事項

   電腦在 Windows Autopilot 部署期間加入的 OU 稍後會在 [設定和指派網域加入配置檔] 步驟中指定。

4. 以滑鼠右鍵按一下 OU 並選取 [屬性]。

   注意事項

   如果電腦加入預設的 [電腦] 容器，而不是 OU，請以滑鼠右鍵按一下 [電腦] 容器，然後選取 [委派控制]。

5. 在開啟的 [OU 屬性] 視窗中，選取 [ 安全性 ] 索引標籤。

6. 在 [安全性] 索引標籤中，選取 [進階]。

7. 在 [進階安全性設定] 視窗中，選取 [新增]。

8. 在 [許可權專案 ] 視窗中，選取 [ 主體] 旁邊的 [ 選取主體 ] 連結。

9. 在 [選取使用者、電腦、服務帳戶或群組 ] 視窗中，選取 [物件類型... ] 按鈕。

10. 在 [ 物件類型 ] 視窗中，選取 [ 服務帳戶 ] 核取方塊，然後選取 [ 確定]。

11. 在 [選取使用者、電腦、服務帳戶或群組 ] 視窗的 [ 輸入要選取的物件名稱] 底下，輸入用於 Active Directory 的 Intune 連接器的 MSA 名稱。

    提示

    MSA 是在 安裝適用於 Active Directory 的 Intune 連接器 步驟/區段期間建立，其名稱格式 msaODJ##### 為 其中 ##### 五個隨機字元。 如果不知道 MSA 名稱，請遵循下列步驟來尋找 MSA 名稱：

    1. 在執行適用於 Active Directory 的 Intune 連接器的伺服器上，以滑鼠右鍵按一下 [ 開始] 功能表，然後選取 [電腦管理]。
    2. 在 [電腦管理] 視窗中，展開 [服務和應用程式] ，然後選取 [ 服務]。
    3. 在結果窗格中，找出名稱為 Intune ODJConnector for Active Service 的服務。 MSA 的名稱會列在 [登入身分 ] 資料行中。

12. 選取 [檢查名稱] 以驗證 MSA 名稱專案。 驗證項目之後，請選取 [確定]。

13. 在 「權限項目」 視窗中，選取「 套用至： 」下拉式功能表，然後選取「 僅限此物件」。

14. 在 [權限] 底下，取消選取所有項目，然後只選取 [ 建立電腦物件] 核取方塊。

15. 選取 [ 確定 ] 以關閉 [許可權專案 ] 視窗。

16. 在 [進階安全性設定 ] 視窗中，選取 [套用] 或 [ 確定 ] 以套用變更。

舊版連接器

適用於 Active Directory 的 Intune 連接器的目的是將電腦加入網域，並將其新增至 OU。 基於這個理由，執行適用於 Active Directory 的 Intune 連接器的伺服器必須具有在電腦加入內部部署網域的 OU 中建立電腦帳戶的許可權。

使用 Active Directory 中的預設許可權，適用於 Active Directory 的 Intune 連接器所加入的網域一開始可能會運作，而不需要對 Active Directory 中的 OU 進行任何許可權修改。 不過，在執行適用於 Active Directory 的 Intune 連接器的伺服器嘗試將 10 部以上的電腦加入內部部署網域之後，它會停止運作，因為根據預設，Active Directory 只允許任何單一帳戶最多將 10 部電腦加入內部部署網域。

下列使用者不受 10 個電腦網域加入限制的限制：

• 系統管理員或網域系統管理員群組中的使用者 - 為了符合最低許可權原則模型，Microsoft 不建議將執行適用於 Active Directory 的 Intune 連接器的電腦帳戶設為系統管理員或網域系統管理員。
• 具有組織單位 (OU) 和容器的委派許可權的使用者，可在 Active Directory 中建立電腦帳戶 - 建議使用此方法，因為它會遵循最低許可權原則模型。

若要修正此限制，執行 Active Directory Intune 連接器的伺服器需要在內部部署網域中加入電腦的組織單位 (OU) 中建立 電腦帳戶 權限：

若要增加電腦在 Windows Autopilot 期間加入的組織單位 (OU) 中的電腦帳戶限制，請在可存取 Active Directory 使用者和電腦 主控台的電腦上遵循下列步驟：

1. 執行 DSA.msc 來開啟 Active Directory 使用者和電腦主控台。

2. 展開所需的網域，並流覽至電腦在 Windows Autopilot 期間加入的組織單位 (OU) 。

   注意事項

   電腦在 Windows Autopilot 部署期間加入的 OU 稍後會在 [設定和指派網域加入配置檔] 步驟中指定。

3. 以滑鼠右鍵按一下 OU 並選取 委 派控制項。

   注意事項

   如果電腦加入預設的 [電腦] 容器，而不是 OU，請以滑鼠右鍵按一下 [電腦] 容器，然後選取 [委派控制]。

4. 在 [ 委派控制精靈 ] 的 [ 歡迎使用 [ 委派控制精靈 ] 視窗中，選取 [ 下一步]。

5. 在 [使用者或群組] 視窗中，在 [選取的使用者和群組] 底下，選取 [新增]。

6. 在 選取此物件類型旁邊： 在 選取使用者、電腦或群組 視窗中，選取 物件類型。

7. 在 [物件類型 ] 視窗中，選取 [電腦 ] 複選框，然後選取 [確定]。 此視窗中的其他項目可以保留預設值。

8. 在 [ 選取使用者、電腦或群組 ] 視窗的 [ 輸入要選取的物件名稱 ] 方塊下，輸入在 [安裝適用於 Active Directory 的 Intune 連接器 ] 步驟期間安裝適用於 Active Directory 的 Intune 連接器的電腦名稱。

9. 選取 檢查名稱 以 驗證項目。 驗證項目之後，請選取 [確定]。

10. 在 [ 使用者 或 群組 ] 視窗中，確認 [選取的使用者和群組] 底下顯示正確的電腦，然後選取 [ 下一步]。

11. 在 [ 要委派的工作 ] 視窗中，選取 [ 建立要委派的自訂工作]，然後選取 [ 下一步]。

12. 在 Active Directory 物件類型 視窗中：

    1. 選取 資料夾中的僅下列物件。

    2. 在資料夾中僅限下列物件下，選取電腦物件。

    3. 選取 [ 在此資料夾中建立選取的物件 ] 核取方塊。

    4. 選取 [下一步]。

13. 在 [許可權 ] 視窗的 [許可權：] 底下，選取 [ 完整控制 ] 複選框，然後選取 [ 下一步]。

    注意事項

    選取 [ 完全控制 ] 核取方塊後，會自動選取 [權限：] 底下的所有其他選項。 自動選擇核取方塊是正常且預期的。 自動選取任何核取方塊之後，請勿取消選取它們。

14. 在 [ 完成控制委派精靈 ] 視窗中，選取 [ 完成]。

下一個步驟：將裝置註冊為 Windows Autopilot 裝置

步驟 4：將裝置註冊為 Windows Autopilot 裝置

相關內容

如需增加組織單位中電腦帳戶限制的詳細資訊，請參閱下列文章：

• 增加組織單位 (OU) 中的電腦帳戶限制 。
• 使用者可以加入網域的工作站數目的預設限制。
• 將工作站新增至網域。