使用 Intune 和 Windows Autopilot 部署Microsoft已加入 Entra 混合式裝置
重要事項
Microsoft建議使用 Microsoft Entra join 將新裝置部署為雲端原生裝置。 不建議將新裝置部署為 Microsoft Entra 混合式聯結裝置,包括透過 Autopilot。 如需詳細資訊, 請參閱 Microsoft Entra joined 與 Microsoft Entra hybrid joined in cloud-native endpoints:哪個選項適合您的組織。
Intune 和 Windows Autopilot 可用來設定Microsoft混合式聯結裝置。 若要這樣做,請遵循本文中的步驟。 如需Microsoft混合式加入的詳細資訊,請參 閱瞭解Microsoft混合式聯結和共同管理。
先決條件
- 已成功設定 Microsoft已加入 Entra 混合式裝置。 請務必使用 Get-MgDevice Cmdlet 來驗證裝置註冊。
- 如果 網域和 OU 型篩選 設定為 Microsoft Entra Connect 的一部分,請確定預設組織單位 (OU) 或適用於 Autopilot 裝置的容器會包含在同步處理範圍中。
裝置註冊必要條件
要註冊的裝置必須遵循下列需求:
- 使用目前支援的 Windows 版本。
- 可 遵循 Windows Autopilot 網路需求存取因特網。
- 可存取 Active Directory 域控制器。
- 成功偵測正在加入之網域的域控制器。
- 如果使用 Proxy,則必須啟用和設定 Web Proxy 自動探索通訊協定 (WPAD) Proxy 設定選項。
- 經歷 OOBE) (現成體驗。
- 使用 OOBE 中Microsoft Entra ID 支援的授權類型。
雖然並非必要,但在部署期間為 Active Directory 同盟服務 (ADFS) 設定 Microsoft Entra 混合式聯結,可讓 Windows Autopilot Microsoft Entra 註冊程式更快速。 不支援使用密碼和使用AD FS的同盟客戶必須遵循 Active Directory 同盟服務 prompt=login 參數支援 一文中的步驟,才能正確設定驗證體驗。
Intune 連接器伺服器必要條件
Intune Connector for Active Directory 必須安裝在執行 Windows Server 2016 或更新版本且具有 .NET Framework 4.7.2 版或更新版本的計算機上。
裝載 Intune 連接器的伺服器必須能夠存取因特網和 Active Directory。
注意事項
Intune 連接器伺服器需要域控制器的標準網域用戶端存取權,其中包括與 Active Directory 通訊所需的 RPC 埠需求。 如需詳細資訊,請參閱下列文章:
若要增加規模和可用性,可以在環境中安裝多個連接器。 建議您在未執行任何其他 Intune 連接器的伺服器上安裝連接器。 每個連接器都必須能夠在任何需要支援的網域中建立計算機物件。
如果組織有多個網域且已安裝多個 Intune 連接器,則必須使用可在所有網域中建立計算機對象的網域服務帳戶。 即使Microsoft僅針對特定網域實作 Entra 混合式加入,此需求也是如此。 如果這些網域是不受信任的網域,則必須從未使用 Windows Autopilot 的網域卸載連接器。 否則,若有多個連接器跨越多個網域,所有連接器都必須能夠在所有網域中建立計算機物件。
此連接器服務帳戶必須具有下列許可權:
- 以服務方式登入。
- 必須是 網域使用者 群組的一部分。
- 必須是裝載連接器之 Windows 伺服器上本機 Administrators 群組的成員。
重要事項
服務帳戶不支援受控服務帳戶。 服務帳戶必須是網域帳戶。
Intune 連接器需要 與 Intune 相同的端點。
設定 Windows 自動 MDM 註冊
登入 Azure 入口網站 ,然後選 取 [Microsoft標識符]。
在左側窗格中,選取 [ 管理 | 行動 (MDM 和 WIP) >Microsoft Intune]。
請確定使用 Intune 和 Windows 部署Microsoft加入 Entra 裝置的 使用者是 MDM 用戶範圍中包含的群組成員。
使用 [MDM 使用規定 URL]、[ MDM 探索 URL] 和 [ MDM 合規性 URL ] 方塊中的預設值,然後選取 [ 儲存]。
增加組織單位中的計算機帳戶限制
Intune Connector for Active Directory 會在內部部署 Active Directory 網域中建立已註冊 autopilot 的計算機。 裝載 Intune 連接器的電腦必須擁有在網域內建立計算機物件的許可權。
在某些網域中,不會授與計算機建立計算機的許可權。 此外,網域的內建限制 (預設值為10) ,適用於未委派建立計算機物件許可權的所有用戶和計算機。 您必須將許可權委派給組織單位上裝載 Intune 連接器的計算機,其中Microsoft已加入混合式裝置。
有權建立計算機的組織單位必須符合:
- 在網域加入配置檔中輸入的組織單位。
- 如果未選取任何配置檔,則為組織網域的計算機功能變數名稱。
開啟 Active Directory 使用者和電腦 (DSA.msc)。
以滑鼠右鍵按兩下要用來建立Microsoft加入混合式計算機 >委派控制的組織單位。
![[委派控制] 命令的螢幕快照。](media/windows-autopilot-hybrid/delegate-control.png)
在 [委派控制項] 精靈中,選取 [下一步]> [新增]> [物件類型]。
在 [ 物件類型] 窗格中,選取 [ 計算機>確定]。
![[物件類型] 窗格的螢幕快照。](media/windows-autopilot-hybrid/object-types-computers.png)
在 [ 選取使用者、計算機或群組 ] 窗格的 [ 輸入要選取的物件名稱 ] 方塊中,輸入安裝連接器的計算機名稱。
![[選取使用者、計算機或群組] 窗格的螢幕快照。](media/windows-autopilot-hybrid/enter-object-names.png)
選取 [檢查名稱] 以驗證 [確定>下一步] 專案>。
選取 [建立自訂工作以委派]> [下一步]。
在 [計算機物件] 資料夾>中,選取 [僅限下列物件]。
選 取 [在此資料夾中建立選取的物件 ],然後 選取 [刪除此資料夾中選取的物件]。
![[Active Directory 物件類型] 窗格的螢幕快照。](media/windows-autopilot-hybrid/only-following-objects.png)
選取 [下一步]。
在 [權限] 底下,選取 [完全控制] 核取方塊。 此動作會選取所有其他選項。
![[許可權] 窗格的螢幕快照。](media/windows-autopilot-hybrid/full-control.png)
選取 [下一步]>[完成]。
安裝 Intune 連接器
開始安裝之前,請確定符合所有 Intune 連接器伺服器必要條件 。
安裝步驟
根據預設,Windows Server 已開啟 Internet Explorer 增強式安全性設定。 Internet Explorer 增強式安全性設定可能會導致問題進入 Intune Connector for Active Directory。 由於 Internet Explorer 已被取代,而且在大部分的實例中,甚至未安裝在 Windows Server 上,Microsoft建議您關閉 Internet Explorer 增強式安全性設定。 若要關閉 Internet Explorer 增強式安全性設定:
在安裝 Intune 連接器的伺服器上,開啟 [伺服器管理員]。
在 [伺服器管理員] 的左窗格中,選取 [ 本地伺服器]。
在 [伺服器管理員] 的右 [屬性] 窗格中,選取 [IE 增強式安全性設定] 旁的 [開啟] 或 [關閉] 連結。
在 [Internet Explorer 增強式安全性設定] 視窗中,選取 [系統管理員:] 底下的 [關閉],然後選取 [確定]。
在 [ 首頁] 畫面中,選取左側窗格中的 [ 裝置 ]。
在 [ 裝置] 中 |概觀 畫面, 在 [依平臺] 底下,選取 [Windows]。
在 Windows 中 |Windows 裝置 畫面的 [ 裝置上線] 底下,選取 [ 註冊]。
在 Windows 中 |Windows 註冊 畫面,在 [Windows Autopilot] 底下,選取 [Intune Connector for Active Directory]。
在 [ Intune Connector for Active Directory] 畫面中,選取 [ 新增]。
請依照指示下載連接器。
開啟下載的連接器安裝程式檔案 ,ODJConnectorBootstrapper.exe,以安裝連接器。
在設定結束時,選取 [立即 設定]。
選取 [登入]。
輸入 Intune 系統管理員角色的認證。 用戶帳戶必須具有指派的 Intune 授權。
注意事項
Intune 系統管理員角色是安裝時的暫時需求。
驗證之後,適用於 Active Directory 的 Intune 連接器會完成安裝。 安裝完成後,請依照下列步驟確認它在 Intune 中為作用中:
在 [ 首頁] 畫面中,選取左側窗格中的 [ 裝置 ]。
在 [ 裝置] 中 |概觀 畫面, 在 [依平臺] 底下,選取 [Windows]。
在 Windows 中 |Windows 裝置 畫面的 [ 裝置上線] 底下,選取 [ 註冊]。
在 Windows 中 |Windows 註冊 畫面,在 [Windows Autopilot] 底下,選取 [Intune Connector for Active Directory]。
確認 [ 狀態 ] 數據行中的連線狀態為 [ 作用中]。
注意事項
登入連接器之後,可能需要幾分鐘的時間才會出現在 Microsoft Intune 系統管理中心。 只有當它可以成功與 Intune 服務通訊時,才會出現此訊息。
非作用中的 Intune 連接器仍會出現在 Intune 連接器頁面中,且會在 30 天后自動清除。
安裝適用於 Active Directory 的 Intune 連接器之後,它會在Intune>ODJConnectorService Microsoft [應用程式和服務記錄>]路徑>下的 [事件查看器] 中開始記錄。 在此路徑下,可以找到 系統管理員 和 作業 記錄。
注意事項
Intune 連接器原本會直接在名為 ODJ 連接器服務的記錄檔中的 [應用程式和服務記錄] 底下登入事件查看器。 不過,Intune 連接器的記錄已移至Intune>ODJConnectorServiceMicrosoft>應用程式和服務記錄>的路徑。 如果原始位置的 ODJ 連接器服務 記錄檔是空的或未更新,請改為檢查新的路徑位置。
設定 Web Proxy 設定
如果網路環境中有 Web Proxy,請參閱使用現有的內部部署 Proxy 伺服器,以確保適用於 Active Directory 的 Intune 連接器正常運作。
建立裝置群組
在 Microsoft Intune 系統管理中心內,選取 [群組>][新增群組]。
在 [ 群組 ] 窗格中,選取下列選項:
針對 [群組類型],選取 [ 安全性]。
輸入 [組名 ] 和 [群組描述]。
選取 成員資格類型。
如果選取 [動態裝置 ] 作為成員資格類型,請在 [ 群組 ] 窗格中選取 [動態裝置成員]。
在 [規則語法] 方塊中選取 [編輯],然後輸入下列其中一個程式代碼行:
若要建立包含所有 Autopilot 裝置的群組,請輸入:
(device.devicePhysicalIDs -any _ -startsWith "[ZTDId]")Intune 的 [群組卷標] 字段會對應至 Microsoft Entra 裝置上的 OrderID 屬性。 若要建立包含所有具有特定群組卷標的 Autopilot 裝置 (OrderID) 的群組,請輸入:
(device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")若要建立包含具有特定採購單標識符之所有 Autopilot 裝置的群組,請輸入:
(device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")
選 取 [儲存>建立]。
註冊 Autopilot 裝置
選取下列其中一種方式來註冊 Autopilot 裝置。
註冊已註冊的 Autopilot 裝置
建立 Autopilot 部署配置檔,並將 [ 將所有目標裝置轉換為 Autopilot ] 設定為 [ 是]。
將配置檔指派給包含需要自動向 Autopilot 註冊之成員的群組。
如需詳細資訊,請 參閱建立 Autopilot 部署配置檔。
註冊未註冊的 Autopilot 裝置
尚未註冊到 Windows Autopilot 的裝置可以手動註冊。 如需詳細資訊,請 參閱手動註冊。
從 OEM 註冊裝置
如果購買新裝置,某些 OEM 可以代表組織註冊裝置。 如需詳細資訊,請參閱 OEM 註冊。
顯示已註冊的 Autopilot 裝置
在裝置註冊 Intune 之前, 已註冊 的 Windows Autopilot 裝置會顯示在三個位置 (名稱設定為其序號) :
- Microsoft Intune 系統管理中心的[Windows Autopilot 裝置] 窗格。 依平台選取 裝置>|Windows>裝置上線 |註冊。 在 [Windows Autopilot] 底下,選取 [ 裝置]。
- 裝置 |Azure 入口網站中的所有裝置窗格。 選 取 [所有>裝置的裝置]。
- Microsoft 365 系統管理中心的[Autopilot] 窗格。 選 取 [裝置>][Autopilot]。
註冊 Windows Autopilot 裝置之後,裝置會顯示在四個位置:
- 裝置 |Microsoft Intune 系統管理中心的 [所有裝置] 窗格。 選 取 [裝置>][所有裝置]。
- Windows |MicrosoftIntune 系統管理中心的 [Windows 裝置] 窗格。 依平台選取 裝置>|Windows。
- 裝置 |Azure 入口網站中的所有裝置窗格。 選 取 [所有>裝置的裝置]。
- Microsoft 365 系統管理中心的 [作用中裝置] 窗格。 選 取 [裝置>] [作用中裝置]。
注意事項
註冊裝置之後,裝置仍會顯示在 Microsoft Intune 系統管理中心的 [Windows Autopilot 裝置] 窗格中,以及 Microsoft 365 系統管理中心的[Autopilot] 窗格中,但這些物件是 Windows Autopilot 註冊的物件。
在 Autopilot 中註冊裝置之後,就會在 Microsoft Entra ID 中預先建立裝置物件。 當裝置通過混合式Microsoft Entra 部署時,根據設計,會建立另一個裝置物件,以產生重複的專案。
VPN
下列 VPN 用戶端經過測試和驗證:
- 內建 Windows VPN 用戶端
- Cisco AnyConnect (Win32 用戶端)
- Pulse Secure (Win32 用戶端)
- GlobalProtect (Win32 用戶端)
- Win32 用戶端 (點)
- Citrix NetScaler (Win32 用戶端)
- SonicWall (Win32 用戶端)
- FortiClient VPN (Win32 用戶端)
使用 VPN 時,針對 Windows Autopilot 部署配置檔中的 [略過 AD 連線能力] 檢查選項,選取 [是]。 Always-On VPN 應該不需要此選項,因為它會自動連線。
注意事項
這份 VPN 用戶端清單並非使用 Windows Autopilot 的所有 VPN 用戶端的完整清單。 請連絡個別的 VPN 廠商,以瞭解與 Windows Autopilot 的相容性和支援性,或有關搭配 Windows Autopilot 使用 VPN 解決方案的任何問題。
不支援的 VPN 用戶端
已知下列 VPN 解決方案無法與 Windows Autopilot 搭配使用,因此不支援與 Windows Autopilot 搭配使用:
- UWP 型 VPN 外掛程式
- 任何需要用戶憑證的專案
- DirectAccess
注意事項
從此清單中省略特定 VPN 用戶端,並不會自動表示它受到支援或與 Windows Autopilot 搭配運作。 此清單只會列出 已知 無法使用 Windows Autopilot 的 VPN 用戶端。
建立及指派 Autopilot 部署配置檔
Autopilot 部署設定檔可用來設定 Autopilot 裝置。
在 [ 首頁] 畫面中,選取左側窗格中的 [ 裝置 ]。
在 [ 裝置] 中 |概觀 畫面, 在 [依平臺] 底下,選取 [Windows]。
在 Windows 中 |Windows 裝置 畫面的 [ 裝置上線] 底下,選取 [ 註冊]。
在 Windows 中 |Windows 註冊 畫面,在 [Windows Autopilot] 底下,選取 [ 部署配置檔]。
在 [Windows Autopilot 部署配置檔 ] 畫面中,選取 [ 建立配置檔 ] 下拉功能表,然後選取 [Windows 計算機]。
在 [ 建立配置檔] 畫面的 [ 基本 ] 頁面上,輸入 [名稱 ] 和選用的 [描述]。
如果指派群組中的所有裝置都應該自動向 Windows Autopilot 註冊,請將 [ 將所有目標裝置轉換為 Autopilot ] 設定為 [ 是]。 指派群組中所有公司擁有的非 Autopilot 裝置都會向 Autopilot 部署服務註冊。 個人擁有的裝置未向 Autopilot 註冊。 允許 48 小時來處理註冊。 當裝置取消註冊並重設時,Autopilot 會再次註冊它。 以這種方式註冊裝置之後,停用此設定或移除配置檔指派並不會從 Autopilot 部署服務中移除裝置。 而是需要直接刪除裝置。 如需詳細資訊,請 參閱刪除 Autopilot 裝置。
選取 [下一步]。
在 [ 全新體驗 (OOBE) ] 頁面上,針對 [ 部署模式] 選取 [ 用戶驅動]。
在 [ 加入 Microsoft Entra ID as ] 方塊中,選 取 [Microsoft混合式聯結]。
如果使用 VPN 支援從組織的網路部署裝置,請將 [ 略過網域連線檢查 ] 選項設定為 [ 是]。 如需詳細資訊,請參閱 使用 VPN 支援Microsoft Entra 混合式聯結的用戶驅動模式。
視需要在全新 體驗 (OOBE) 頁面上設定其餘選項。
選取 [下一步]。
在 [ 範圍卷標] 頁面上,選取此配置檔 的範圍標籤 。
選取 [下一步]。
在 [ 指派] 頁面上, 選取 [選取要包含> 搜尋的群組],然後選取裝置群組 >[選取]。
選 取 [下一步>建立]。
注意事項
Intune 會定期檢查指派群組中的新裝置,然後開始將配置檔指派給這些裝置的程式。 由於 Autopilot 配置檔指派程式涉及數個不同的因素,因此指派的估計時間可能會因案例而異。 這些因素可能包括Microsoft群組、成員資格規則、裝置哈希、Intune 和 Autopilot 服務,以及因特網連線。 指派時間會根據特定案例中涉及的所有因素和變數而有所不同。
(選擇性) 開啟註冊狀態頁面
在 [ 首頁] 畫面中,選取左側窗格中的 [ 裝置 ]。
在 [ 裝置] 中 |概觀 畫面, 在 [依平臺] 底下,選取 [Windows]。
在 Windows 中 |Windows 裝置 畫面的 [ 裝置上線] 底下,選取 [ 註冊]。
在 Windows 中 |Windows 註冊 畫面,在 [Windows Autopilot] 底下,選取 [ 註冊狀態頁面]。
在 [ 註冊狀態] 頁面 窗格中,選取 [ 預設>設定]。
在 [ 顯示應用程式和配置檔安裝進度 ] 方塊中,選取 [ 是]。
視需要設定其他選項。
選取 [儲存]。
建立及指派網域加入配置檔
在 Microsoft Intune 系統管理中心中,選取 [ 裝置>管理裝置] |設定>原則>建立>新原則。
在開啟 的 [建立設定檔 ] 視窗中,輸入下列屬性:
- 名稱:輸入新配置檔的描述性名稱。
- 描述:輸入設定檔的描述。
- 平台:選 取 [Windows 10 和更新版本]。
- 配置檔類型:選取 [範本],選取範本名稱 [ 加入網域],然後選取 [ 建立]。
輸入 [名稱 ] 和 [ 描述] ,然後選取 [ 下一步]。
提供 [計算機名稱前置詞 ] 和 [功能變數名稱]。
(選擇性) 以 DN 格式提供組織單位 (OU) 。 選項包括:
- 提供將控件委派給執行 Intune 連接器之 Windows 裝置的 OU。
- 提供將控件委派給組織內部部署 Active Directory 中根計算機的 OU。
- 如果此欄位保留空白,則會在 Active Directory 預設容器中建立電腦物件。 默認容器通常是
CN=Computers容器。 如需詳細資訊,請 參閱在 Active Directory 網域中重新導向使用者和計算機容器。
有效範例:
OU=SubOU,OU=TopLevelOU,DC=contoso,DC=comOU=Mine,DC=contoso,DC=com
無效的範例:
CN=Computers,DC=contoso,DC=com- 無法指定容器。 相反地,請將值保留空白,以使用網域的預設值。OU=Mine- 網域必須透過DC=屬性指定。
請務必不要在 組織單位的值周圍使用引號。
選取 [確定>建立]。 配置檔隨即建立並顯示在清單中。
注意事項
適用於 Microsoft Entra 混合式聯結的 Windows Autopilot 命名功能不支援 %SERIAL%之類的變數。 它只支援計算機名稱的前置詞。
卸載 ODJ 連接器
ODJ 連接器會透過可執行檔安裝在本機電腦上。 如果需要從電腦卸載 ODJ 連接器,也必須在本機電腦上完成。 無法透過 Intune 入口網站或透過圖形 API 呼叫來移除 ODJ 連接器。
若要從電腦卸載 ODJ 連接器,請遵循下列步驟:
- 登入裝載 ODJ 連接器的電腦。
- 以滑鼠右鍵按兩下 [ 開始 ] 選單,然後選取 [ 設定]。
- 在 [ Windows 設定] 視窗中 ,選取 [ 應用程式]。
- 在 [應用程式 & 功能] 底下,尋找並選取 [Intune Connector for Active Directory]。
- 在 [Intune Connector for Active Directory] 底下,選取 [ 卸載 ] 按鈕,然後再次選取 [ 卸載 ] 按鈕。
- ODJ 連接器會繼續卸載。
後續步驟
設定 Windows Autopilot 之後,請瞭解如何管理這些裝置。 如需詳細資訊,請 參閱什麼是 Intune 裝置管理Microsoft?。
相關內容
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應