Hibrid Microsoft Entra csatlakoztatott eszközök üzembe helyezése a Intune és a Windows Autopilot használatával
- Cikk
-
- A következőre érvényes::
- ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016
Fontos
A Microsoft az új eszközök natív felhőbeli üzembe helyezését javasolja Microsoft Entra csatlakozással. Az új eszközök telepítése nem ajánlott Microsoft Entra hibrid csatlakoztatású eszközökként, beleértve a Windows Autopilototot is. További információ: Microsoft Entra csatlakoztatott és Microsoft Entra hibrid csatlakozás a natív felhőbeli végpontokban: Melyik lehetőség a megfelelő a szervezet számára.
A Intune és a Windows Autopilot segítségével Microsoft Entra hibrid csatlakoztatott eszközöket állíthat be. Ehhez kövesse az ebben a cikkben található lépéseket. A Microsoft Entra hibrid csatlakozással kapcsolatos további információkért lásd: A hibrid csatlakozás és a közös kezelés Microsoft Entra ismertetése.
Követelmények
A Windows Autopilot Microsoft Entra hibrid csatlakoztatásának végrehajtására vonatkozó követelmények listája három különböző kategóriába van rendezve:
- Általános - általános követelmények.
- Eszközregisztráció – eszközregisztrációs követelmények.
- Intune-összekötő – Intune Connector az Active Directory követelményeihez.
Válassza ki a megfelelő lapot a vonatkozó követelmények megtekintéséhez:
-
Általános
-
Eszközregisztráció
-
Intune összekötő
-
Windows Server 2025
-
Windows Server 2019/2022
-
Windows Server 2016
- A Microsoft Entra hibrid csatlakoztatott eszközök konfigurálása sikerült. Ellenőrizze az eszközregisztrációt a Get-MgDevice parancsmaggal.
- Ha a tartomány- és szervezeti egységalapú szűrés a Microsoft Entra Connect részeként van konfigurálva, győződjön meg arról, hogy az Autopilot-eszközökhöz készült alapértelmezett szervezeti egység (OU) vagy tároló szerepel a szinkronizálási hatókörben.
A regisztrálandó eszköznek az alábbi követelményeknek kell megfelelnie:
- Használja a Windows jelenleg támogatott verzióját.
- A Windows Autopilot hálózati követelményeit követve hozzáférhet az internethez.
- Hozzáféréssel rendelkezik egy Active Directory-tartományvezérlőhöz.
- A csatlakoztatott tartomány tartományvezérlőjének pingelése sikerült.
- Proxy használata esetén a webproxy automatikus felderítési protokoll (WPAD) proxybeállítási beállítását engedélyezni és konfigurálni kell.
- A kezdőélmény (OOBE) használata.
- Olyan engedélyezési típust használjon, amelyet Microsoft Entra ID támogat az OOBE-ben.
Bár nem szükséges, az Active Directory összevonási szolgáltatások (ADFS) Microsoft Entra hibrid csatlakoztatásának konfigurálása gyorsabb Windows Autopilot-Microsoft Entra regisztrációs folyamatot tesz lehetővé az üzembe helyezés során. Az összevont ügyfeleknek, akik nem támogatják a jelszavak használatát és az ADFS-t használják, a hitelesítési élmény megfelelő konfigurálásához kövesse az Active Directory összevonási szolgáltatások (AD FS) prompt=login paramétertámogatás című cikkben szereplő lépéseket.
Az Active Directoryhoz készült Intune-összekötőt( más néven offline tartománycsatlakozási (ODJ) összekötőt) olyan számítógépre kell telepíteni, amely Windows Server 2016 vagy újabb rendszert futtat .NET-keretrendszer 4.7.2-es vagy újabb verziójával.
Az Active Directoryhoz készült Intune-összekötőt üzemeltető kiszolgálónak hozzáféréssel kell rendelkeznie az internethez és az Active Directoryhoz.
Megjegyzés:
Az Active Directory-kiszolgálóhoz készült Intune-összekötő standard tartományi ügyfélhozzáférést igényel a tartományvezérlőkhöz, beleértve az Active Directoryval való kommunikációhoz szükséges RPC-portkövetelményeket. További információért olvassa el az alábbi témaköröket:
A skálázás és a rendelkezésre állás növelése érdekében több összekötő is telepíthető egy tartományban. Minden összekötőnek képesnek kell lennie számítógép-objektumok létrehozására az általa támogatott tartományban.
Az Active Directoryhoz készült Intune-összekötőt telepítő rendszergazdának helyi rendszergazdának kell lennie azon a kiszolgálón, amelyen az Active Directoryhoz készült Intune-összekötő telepítve van.
Az Active Directoryhoz készült frissített Intune-összekötő telepítéséhez olyan fiókkal kell elvégezni a telepítést, amely a következő tartományi jogosultságokkal rendelkezik:
Kötelező – MsDs-ManagedServiceAccount objektumok létrehozása a Felügyeltszolgáltatás-fiókok tárolóban
Nem kötelező – Engedélyek módosítása a szervezeti egységekben az Active Directoryban – ha az Active Directoryhoz készült frissített Intune-összekötőt telepítő rendszergazda nem rendelkezik ezzel a jogosultsággal, további konfigurációs lépésekre van szükség az ilyen jogosultságokkal rendelkező rendszergazda számára. További információt a jelen cikk Szervezeti egységében a számítógépfiók korlátjának növelése című szakaszában talál.
Ezek a jogosultságok lehetővé teszik, hogy az Active Directoryhoz készült Intune-összekötő megfelelően hozzon létre felügyeltszolgáltatás-fiókokat (MSA-kat), és megfelelően állítsa be az engedélyeket azon szervezeti egységekhez, amelyekhez az MSA számítógépeket ad hozzá.
- Az Active Directoryhoz készült Intune-összekötőnek ugyanazokra a végpontokra van szüksége, mint Intune.
Windowsos automatikus MDM-regisztráció beállítása
Jelentkezzen be a Azure Portal, és válassza a Microsoft Entra ID lehetőséget.
A bal oldali panelen válassza a Mobilitás kezelése | (MDM és WIP)>Microsoft Intune lehetőséget.
Győződjön meg arról, hogy az Intune és a Windows használatával Microsoft Entra csatlakoztatott eszközöket telepítő felhasználók egy MDM-felhasználó hatókörébe tartozó csoport tagjai.
Használja az alapértelmezett értékeket az MDM használati feltételeiNEK URL-címe, az MDM-felderítési URL-cím és az MDM-megfelelőségi URL-cím mezőkben, majd válassza a Mentés lehetőséget.
Az Active Directoryhoz készült Intune-összekötő telepítése
Az Active Directoryhoz készült Intune-összekötő, más néven az offline tartománycsatlakozási (ODJ-) összekötő célja a számítógépek helyszíni tartományhoz csatlakoztatása a Windows Autopilot-folyamat során. Az Active Directoryhoz készült Intune-összekötő számítógép-objektumokat hoz létre egy megadott szervezeti egységben (OU) az Active Directoryban a tartományhoz való csatlakozás során.
Fontos
A Intune 2501-től kezdődően a Intune egy frissített Intune-összekötőt használ az Active Directoryhoz, amely megerősíti a biztonságot, és egy felügyelt szolgáltatásfiók (MSA) használatával követi a minimális jogosultsági alapelveket. Amikor az Active Directoryhoz készült Intune-összekötőt a Intune belülről tölti le, a rendszer letölti az Active Directoryhoz készült frissített Intune-összekötőt. Az előző örökölt Intune Connector for Active Directory továbbra is letölthető az Intune Connector for Active Directory webhelyen, de a Microsoft a továbbiakban az Active Directoryhoz készült frissített Intune Connector használatát javasolja. Az active directoryhoz készült előző örökölt Intune-összekötő valamikor 2025 májusában is működni fog. A funkcióvesztés elkerülése érdekében azonban előbb frissíteni kell az Active Directoryhoz készült frissített Intune-összekötőre. További információ: Intune Connector for Active Directory alacsony jogosultsági szintű fiókkal az Autopilot Hybrid Microsoft Entra-hez való csatlakozással kapcsolatos üzemelő példányokhoz.
Az Active Directory Intune-összekötőjének frissítése a frissített verzióra nem történik meg automatikusan. Az active directoryhoz készült örökölt Intune-összekötőt manuálisan kell eltávolítani, majd manuálisan le kell tölteni és telepíteni kell a frissített összekötőt. Az active directoryhoz készült Intune-összekötő manuális eltávolítására és telepítésére vonatkozó utasításokat a következő szakaszokban találja.
Válassza ki a telepített Intune Connector for Active Directory verziójának megfelelő lapot:
A telepítés megkezdése előtt győződjön meg arról, hogy a Intune összekötőkiszolgálóra vonatkozó összes követelmény teljesül.
Tipp
Célszerű, de nem kötelező, hogy az Active Directoryhoz készült Intune-összekötő telepítését és konfigurálását felügyelő rendszergazda megfelelő tartományi jogosultságokkal rendelkezik a Intune Connector Active Directory-követelményeknek megfelelően. Ez a követelmény lehetővé teszi, hogy a Intune Connector for Active Directory telepítője és konfigurációs folyamata megfelelően állítsa be az MSA engedélyeit azon számítógép-tárolón vagy szervezeti egységeken, ahol a számítógép-objektumok létrejönnek. Ha a rendszergazda nem rendelkezik ezekkel az engedélyekkel, a megfelelő engedélyekkel rendelkező rendszergazdának a szervezeti egység számítógépfiók-korlátjának növelése című szakaszt kell követnie.
Az Internet Explorer fokozott biztonsági konfigurációjának kikapcsolása
Alapértelmezés szerint Windows Server be van kapcsolva az Internet Explorer fokozott biztonsági konfigurációja. Az Internet Explorer fokozott biztonsági konfigurációja problémákat okozhat az Active Directoryhoz készült Intune-összekötőbe való bejelentkezés során. Mivel az Internet Explorer elavult, és a legtöbb esetben még a Windows Server sincs telepítve, a Microsoft az Internet Explorer fokozott biztonsági konfigurációjának kikapcsolását javasolja. Az Internet Explorer fokozott biztonsági konfigurációjának kikapcsolása:
Jelentkezzen be arra a kiszolgálóra, amelyen az Active Directory Intune-összekötője helyi rendszergazdai jogosultságokkal rendelkező fiókkal van telepítve.
Nyissa meg Kiszolgálókezelő.
A Kiszolgálókezelő bal oldali ablaktábláján válassza a Helyi kiszolgáló lehetőséget.
A Kiszolgálókezelő jobb oldali TULAJDONSÁGOK paneljén válassza az IE fokozott biztonsági konfigurációja melletti Be vagy Ki hivatkozást.
Az Internet Explorer Fokozott biztonsági konfiguráció ablakában válassza a Ki lehetőséget a Rendszergazdák területen, majd kattintson az OK gombra.
Az Active Directoryhoz készült Intune-összekötő letöltése
Jelentkezzen be a Microsoft Intune Felügyeleti központba azon a kiszolgálón, amelyen az Active Directoryhoz készült Intune-összekötő telepítve van.
A kezdőképernyőn válassza az Eszközök lehetőséget a bal oldali panelen.
Az Eszközök | Az Áttekintés képernyő platform szerint területén válassza a Windows lehetőséget.
A Windowsban | A Windows-eszközök képernyő Eszközregisztráció területén válassza a Regisztráció lehetőséget.
A Windowsban | A Windows-regisztráció képernyő Windows Autopilot területén válassza Intune Active Directory-összekötő lehetőséget.
A Intune Active Directory-összekötő képernyőn válassza a Hozzáadás lehetőséget.
A megnyíló Összekötő hozzáadása ablakban az Intune-összekötő konfigurálása az Active Directoryhoz területen válassza a Helyszíni Intune-összekötő letöltése az Active Directoryhoz lehetőséget. A hivatkozás letölt egy nevű
ODJConnectorBootstrapper.exe
fájlt.
Az Active Directoryhoz készült Intune-összekötő telepítése a kiszolgálón
Fontos
Az Active Directory telepítéséhez Intune-összekötőt olyan fiókkal kell elvégezni, amely a következő tartományi jogosultságokkal rendelkezik:
- Kötelező – Hozzon létre msDs-ManagedServiceAccount objektumokat a Felügyeltszolgáltatás-fiókok tárolóban.
- Nem kötelező – Engedélyek módosítása a szervezeti egységekben az Active Directoryban – ha az Active Directoryhoz készült frissített Intune-összekötőt telepítő rendszergazda nem rendelkezik ezzel a jogosultsággal, további konfigurációs lépésekre van szükség az ilyen jogosultságokkal rendelkező rendszergazda számára. További információ: A számítógépfiókok korlátjának növelése a szervezeti egységben.
Jelentkezzen be arra a kiszolgálóra, amelyen az Active Directory Intune-összekötője helyi rendszergazdai jogosultságokkal rendelkező fiókkal van telepítve.
Ha az előző örökölt Intune Active Directory-összekötő telepítve van, először távolítsa el az Active Directoryhoz készült frissített Intune-összekötő telepítése előtt. További információ: Az Active Directoryhoz készült Intune-összekötő eltávolítása.
Fontos
Az előző örökölt Intune Active Directory-összekötő eltávolításakor az eltávolítási folyamat részeként mindenképpen futtassa az örökölt Intune Connector for Active Directory telepítőt. Ha az örökölt Intune Active Directory-összekötő telepítője a futtatáskor az Eltávolítás parancsot kéri, válassza az eltávolítás lehetőséget. Ez a lépés biztosítja, hogy az Active Directoryhoz készült előző örökölt Intune-összekötő teljesen el legyen távolítva. Az Active Directory-telepítő örökölt Intune-összekötője az Active Directoryhoz készült Intune Connectorból tölthető le.
Tipp
A csak egyetlen Intune Active Directory-összekötővel rendelkező tartományokban a Microsoft azt javasolja, hogy először telepítse a frissített Intune Active Directory-összekötőt egy másik kiszolgálóra. Az Active Directoryhoz készült frissített Intune-összekötőt egy másik kiszolgálón kell telepíteni, mielőtt eltávolítja az active directoryhoz készült régi Intune-összekötőt az aktuális kiszolgálón. Az Active Directoryhoz készült Intune-összekötő telepítése először elkerüli az állásidőt, miközben az Active Directoryhoz készült Intune Connector frissítése folyamatban van az aktuális kiszolgálón.
Nyissa meg a
ODJConnectorBootstrapper.exe
letöltött fájlt az Active Directory telepítőjének Intune-összekötőjének elindításához.Végezze el a Intune-összekötő lépéseit az Active Directory telepítőjének telepítéséhez.
A telepítés végén jelölje be a Launch Intune Connector for Active Directory (Intune-összekötő indítása az Active Directoryhoz) jelölőnégyzetet.
Megjegyzés:
Ha Intune Active Directory-összekötő telepítése véletlenül be van zárva anélkül, hogy bejelöli a Launch Intune Connector for Active Directory (Intune-összekötő indítása az Active Directoryhoz) jelölőnégyzetet, a Intune Active Directory-konfigurációhoz készült összekötő újra megnyitható a Intune Active Directory-összekötő> kiválasztásával Intune Összekötő az Active Directoryhoz a Start menüből.
Bejelentkezés az Active Directoryhoz készült Intune-összekötőbe
Az Intune Connector for Active Directory ablakban, a Regisztráció lapon válassza a Bejelentkezés lehetőséget.
A Bejelentkezés lapon jelentkezzen be egy Intune rendszergazdai szerepkör Microsoft Entra ID hitelesítő adataival. A felhasználói fióknak hozzárendelt Intune licenccel kell rendelkeznie. A bejelentkezési folyamat végrehajtása eltarthat néhány percig.
Megjegyzés:
Az Active Directoryhoz készült Intune Connector regisztrálásához használt fiók csak ideiglenes követelmény a telepítéskor. A fiók nem lesz használatban a kiszolgáló regisztrálása után.
A bejelentkezési folyamat befejezése után:
- Megjelenik egy Intune-összekötő az Active Directoryhoz sikeresen regisztrálva megerősítési ablak. Az ablak bezárásához kattintson az OK gombra .
- Megjelenik egy "<MSA_name>" nevű felügyelt szolgáltatásfiók, amely sikeresen beállította a megerősítési ablakot. Az MSA neve öt véletlenszerű karakterből álló formátumban
msaODJ#####
##### van. Jelölje ki a létrehozott MSA nevét, majd kattintson az OK gombra az ablak bezárásához. Az MSA nevére később szükség lehet az MSA konfigurálásához, hogy számítógép-objektumokat lehessen létrehozni a szervezeti egységekben.
A Regisztráció lapon látható, Intune Active Directory-összekötő regisztrálva van. A Bejelentkezés gomb szürkén, a Felügyelt szolgáltatásfiók konfigurálása lehetőség pedig engedélyezve van.
Zárja be a Intune Connector for Active Directory ablakot.
Ellenőrizze, hogy az Active Directory Intune-összekötője aktív-e
A hitelesítés után az Active Directory Intune-összekötője befejezi a telepítést. A telepítés befejezése után ellenőrizze, hogy aktív-e Intune az alábbi lépésekkel:
Nyissa meg a Microsoft Intune Felügyeleti központot, ha még mindig nyitva van. Ha az Összekötő hozzáadása ablak továbbra is megjelenik, zárja be.
Ha a Microsoft Intune felügyeleti központ még nincs megnyitva:
Jelentkezzen be a Microsoft Intune Felügyeleti központba.
A kezdőképernyőn válassza az Eszközök lehetőséget a bal oldali panelen.
Az Eszközök | Az Áttekintés képernyő platform szerint területén válassza a Windows lehetőséget.
A Windowsban | A Windows-eszközök képernyő Eszközregisztráció területén válassza a Regisztráció lehetőséget.
A Windowsban | A Windows-regisztráció képernyő Windows Autopilot területén válassza Intune Active Directory-összekötő lehetőséget.
Az Active Directory-összekötő Intune lapján:
- Győződjön meg arról, hogy a kiszolgáló megjelenik az Összekötő neve alatt, és aktívként jelenik meg az Állapot területen
- Az Active Directory frissített Intune-összekötője esetén győződjön meg arról, hogy a verzió nagyobb vagy egyenlő a 6.2501.2000.5-ös verziónál.
Ha a kiszolgáló nem jelenik meg, válassza a Frissítés lehetőséget, vagy navigáljon el a lapról, majd lépjen vissza a Intune Active Directory-összekötő lapra.
Megjegyzés:
Eltarthat néhány percig, amíg az újonnan regisztrált kiszolgáló megjelenik az Microsoft Intune Felügyeleti központIntune Active Directory-összekötő lapján. A regisztrált kiszolgáló csak akkor jelenik meg, ha sikeresen tud kommunikálni a Intune szolgáltatással.
Az Active Directory inaktív Intune-összekötői továbbra is megjelennek a Intune Active Directory-összekötő lapon, és 30 nap elteltével automatikusan törlődnek.
Az Active Directoryhoz készült Intune-összekötő telepítése után az Alkalmazás- és szolgáltatásnaplók>Microsoft>Intune>ODJConnectorService elérési úton kezdi meg a naplózást a eseménymegtekintő. Ezen az elérési úton Rendszergazda és működési naplók találhatók.
Az MSA konfigurálása objektumok szervezeti egységekben való létrehozásának engedélyezéséhez (nem kötelező)
Alapértelmezés szerint az MSA-k csak a Számítógépek tárolóban hozhatnak létre számítógép-objektumokat. Az MSA-k nem rendelkeznek hozzáféréssel számítógép-objektumok létrehozásához a szervezeti egységekben (OU-kban). Ahhoz, hogy az MSA objektumokat hozhasson létre a szervezeti egységekben, a szervezeti egységeket hozzá kell adni ahhoz az XML-fájlhoz, amely abban a ODJConnectorEnrollmentWizard.exe.config
könyvtárban ODJConnectorEnrollmentWizard
található, ahol a Intune Active Directory-összekötő telepítve volt, általában C:\Program Files\Microsoft Intune\ODJConnector\
.
Ha úgy szeretné konfigurálni az MSA-t, hogy engedélyezze az objektumok létrehozását a szervezeti egységekben, kövesse az alábbi lépéseket:
Azon a kiszolgálón, amelyen az Active Directoryhoz készült Intune-összekötő telepítve van, lépjen arra a könyvtárra
ODJConnectorEnrollmentWizard
, ahová az Active Directoryhoz készült Intune Connectort telepítette, általábanC:\Program Files\Microsoft Intune\ODJConnector\
.ODJConnectorEnrollmentWizard
A könyvtárban nyissa meg azODJConnectorEnrollmentWizard.exe.config
XML-fájlt egy szövegszerkesztőben, például a Jegyzettömbben.Az XML-fájlban adja hozzá azokat a
ODJConnectorEnrollmentWizard.exe.config
kívánt szervezeti egységeket, amelyekben az MSA-nak hozzáféréssel kell rendelkeznie a számítógép-objektumok létrehozásához. A szervezeti egység nevének a megkülönböztető névnek kell lennie, és ha van ilyen, meg kell adni a feloldójelet. Az alábbi példa egy példa XML-bejegyzésre a szervezeti egység megkülönböztető nevével:<appSettings> <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format. The ODJ Connector will only have permission to create computer objects in these OUs. The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY): Domain contains the following OUs: - OU=HybridDevices,DC=contoso,DC=com - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" --> <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" /> </appSettings>
Az összes kívánt szervezeti egység hozzáadása után mentse az
ODJConnectorEnrollmentWizard.exe.config
XML-fájlt.A szervezeti egység engedélyeinek módosításához megfelelő engedélyekkel rendelkező rendszergazdaként nyissa meg az Active Directoryhoz készült Intune-összekötőt a Start menü Intune Connector for Active Directory>Intune Active Directory-összekötőjéhez.
Fontos
Ha az Active Directoryhoz készült Intune-összekötő telepítésével és konfigurálásával foglalkozó rendszergazdának nincs engedélye a szervezeti egység engedélyeinek módosítására, akkor a szervezeti egységben a számítógépfiókok korlátjának növelése című szakaszt/lépéseket egy olyan rendszergazdának kell követnie, aki rendelkezik a szervezeti egység engedélyeinek módosításához szükséges engedélyekkel.
A Intune Connector for Active Directory ablak Regisztráció lapján válassza a Felügyelt szolgáltatásfiók konfigurálása lehetőséget.
Megjelenik egy "<MSA_name>" nevű felügyelt szolgáltatásfiók, amely sikeresen beállította a megerősítési ablakot. Az ablak bezárásához kattintson az OK gombra .
Fontos
Az Active Directoryhoz készült örökölt Intune-összekötő elavult. Ezek az utasítások feltételezik, hogy az Active Directoryhoz készült örökölt Intune-összekötő már telepítve van vagy már le van töltve. Ha az Active Directory-telepítő örökölt Intune-összekötője még nincs letöltve, az Intune Connector for Active Directoryból tölthető le.
Az ajánlott eljárás azonban az Active Directoryhoz készült frissített Intune-összekötő letöltése és telepítése. További információért válassza inkább a Frissített összekötő lapot.
A telepítés megkezdése előtt győződjön meg arról, hogy a Intune összekötőkiszolgálóra vonatkozó összes követelmény teljesül.
Az Internet Explorer fokozott biztonsági konfigurációjának letiltása
Alapértelmezés szerint Windows Server be van kapcsolva az Internet Explorer fokozott biztonsági konfigurációja. Az Internet Explorer fokozott biztonsági konfigurációja problémákat okozhat az Active Directoryhoz készült Intune-összekötőbe való bejelentkezés során. Mivel az Internet Explorer elavult, és a legtöbb esetben még a Windows Server sincs telepítve, a Microsoft az Internet Explorer fokozott biztonsági konfigurációjának kikapcsolását javasolja. Az Internet Explorer fokozott biztonsági konfigurációjának kikapcsolása:
Jelentkezzen be arra a kiszolgálóra, amelyen az Active Directory Intune-összekötője helyi rendszergazdai és tartományi rendszergazdai jogosultságokkal rendelkező fiókkal van telepítve. Tartományi rendszergazdai jogosultságokra van szükség ahhoz, hogy az Active Directory-telepítő Intune-összekötője megfelelően tudja létrehozni az MSA-t.
Nyissa meg Kiszolgálókezelő.
A Kiszolgálókezelő bal oldali ablaktábláján válassza a Helyi kiszolgáló lehetőséget.
A Kiszolgálókezelő jobb oldali TULAJDONSÁGOK paneljén válassza az IE fokozott biztonsági konfigurációja melletti Be vagy Ki hivatkozást.
Az Internet Explorer Fokozott biztonsági konfiguráció ablakában válassza a Ki lehetőséget a Rendszergazdák területen, majd kattintson az OK gombra.
Az Active Directoryhoz készült örökölt Intune-összekötő telepítése a kiszolgálón
Nyissa meg a korábban letöltött
ODJConnectorBootstrapper.exe
fájlt az Active Directory telepítőjének Intune-összekötőjének elindításához.Megjegyzés:
Ha az Active Directoryhoz készült örökölt Intune-összekötő már telepítve van, nyissa meg a Start menü >Intune Active Directory-összekötő>Intune Active Directory-összekötő lehetőséget, majd folytassa a Bejelentkezés az Active Directoryhoz készült örökölt Intune-összekötőbe lépéshez.
A Intune Connector for Active Directory telepítőablakban válassza az Elfogadom a licencfeltételeket és kikötéseket, majd válassza a Telepítés lehetőséget.
Megjegyzés:
Ha nem a C:\Program Files\Microsoft Intune\ODJConnector alapértelmezett telepítési helyére van szükség, válassza a Beállítások lehetőséget, és adja meg a kívánt telepítési helyet.
Ha a telepítés befejeződött, válassza a Konfigurálás most lehetőséget az Active Directory telepítőjének Intune Összekötőjében.
Megjegyzés:
Ha véletlenül be van jelölve a Bezárás lehetőség, vagy az Active Directoryhoz készült Intune-összekötő telepítőablaka véletlenül be van zárva, a Intune Start menüben válassza Intune Active Directory-összekötő>Intune Active Directory-összekötő lehetőséget.
Jelentkezzen be az örökölt Intune-összekötőbe
Az Intune Connector for Active Directory ablakban, a Regisztráció lapon válassza a Bejelentkezés lehetőséget.
A Bejelentkezés lapon jelentkezzen be egy Intune rendszergazdai szerepkör hitelesítő adataival. A felhasználói fióknak hozzárendelt Intune licenccel kell rendelkeznie. A bejelentkezési folyamat végrehajtása eltarthat néhány percig.
Megjegyzés:
Az Active Directoryhoz készült Intune Connector regisztrálásához használt fiók csak ideiglenes követelmény a telepítéskor. A fiók nem lesz használatban a kiszolgáló regisztrálása után.
A bejelentkezési folyamat befejezése után megjelenik az Active Directoryhoz készült Intune-összekötő sikeresen regisztrálva megerősítési ablak. Az ablak bezárásához kattintson az OK gombra .
A Regisztráció lapon látható, Intune Active Directory-összekötő regisztrálva van, és a Bejelentkezés gomb szürkén jelenik meg.
Zárja be a Intune Connector for Active Directory ablakot.
Ellenőrizze, hogy az Active Directory örökölt Intune-összekötője aktív-e
A hitelesítés után az Active Directory Intune-összekötője befejezi a telepítést. A telepítés befejezése után ellenőrizze, hogy aktív-e Intune az alábbi lépésekkel:
Nyissa meg a Microsoft Intune Felügyeleti központot, ha még mindig nyitva van. Ha az Összekötő hozzáadása ablak továbbra is megjelenik, zárja be.
Ha a Microsoft Intune felügyeleti központ még nincs megnyitva:
Jelentkezzen be a Microsoft Intune Felügyeleti központba.
A kezdőképernyőn válassza az Eszközök lehetőséget a bal oldali panelen.
Az Eszközök | Az Áttekintés képernyő platform szerint területén válassza a Windows lehetőséget.
A Windowsban | A Windows-eszközök képernyő Eszközregisztráció területén válassza a Regisztráció lehetőséget.
A Windowsban | A Windows-regisztráció képernyő Windows Autopilot területén válassza Intune Active Directory-összekötő lehetőséget.
Az Intune Connector for Active Directory lapon ellenőrizze, hogy a kiszolgáló megjelenik-e az Összekötő neve területen, és az Állapot területen aktívként jelenik-e meg. Ha a kiszolgáló nem jelenik meg, válassza a Frissítés lehetőséget, vagy navigáljon el a lapról, majd lépjen vissza a Intune Active Directory-összekötő lapra.
Megjegyzés:
Eltarthat néhány percig, amíg az újonnan regisztrált kiszolgáló megjelenik az Microsoft Intune Felügyeleti központIntune Active Directory-összekötő lapján. A regisztrált kiszolgáló csak akkor jelenik meg, ha sikeresen tud kommunikálni a Intune szolgáltatással.
Az Active Directory inaktív Intune-összekötői továbbra is megjelennek a Intune Active Directory-összekötő lapon, és 30 nap elteltével automatikusan törlődnek.
Az Active Directoryhoz készült Intune-összekötő telepítése után az Alkalmazás- és szolgáltatásnaplók>Microsoft>Intune>ODJConnectorService elérési úton kezdi meg a naplózást a eseménymegtekintő. Ezen az elérési úton Rendszergazda és működési naplók találhatók.
Webproxy-beállítások konfigurálása
Ha van webproxy a hálózati környezetben, győződjön meg arról, hogy az Active Directoryhoz készült Intune-összekötő megfelelően működik a Meglévő helyszíni proxykiszolgálók használata című témakörben.
A számítógépfiók korlátjának növelése a szervezeti egységben
Fontos
Erre a lépésre csak az alábbi feltételek valamelyike esetén van szükség:
- Az Active Directoryhoz készült Intune-összekötőt telepítő és konfiguráló rendszergazda nem rendelkezik az Active Directory-követelményekhez készült Intune Connectorban ismertetett megfelelő jogosultságokkal.
- Az
ODJConnectorEnrollmentWizard.exe.config
XML-fájl nem lett módosítva olyan szervezeti egységek hozzáadásához, amelyekhez az MSA-nak engedélyekkel kell rendelkeznie.
Az Active Directory-összekötő Intune célja, hogy számítógépeket csatlakoztassanak egy tartományhoz, és hozzáadják őket egy szervezeti egységhez. Ezért az Active Directoryhoz készült Intune-összekötőhöz használt felügyeltszolgáltatás-fióknak (MSA) engedélyekkel kell rendelkeznie ahhoz, hogy számítógépfiókokat hozzon létre abban a szervezeti egységben, amelyben a számítógépek csatlakoznak a helyszíni tartományhoz.
Az Active Directory alapértelmezett engedélyei esetén az Active Directoryhoz készült Intune-összekötő tartománycsatlakoztatásai kezdetben az Active Directory szervezeti egységének engedélymódosításai nélkül működhetnek. Miután azonban az MSA több mint 10 számítógépet próbál csatlakoztatni a helyszíni tartományhoz, az leállna, mert alapértelmezés szerint az Active Directory csak egyetlen fiókot engedélyez, hogy legfeljebb 10 számítógépet csatlakozzon a helyszíni tartományhoz.
A következő felhasználókra nem vonatkozik a 10 számítógép-tartományhoz való csatlakozás korlátozása:
- Felhasználók a Rendszergazdák vagy a Tartományi rendszergazdák csoportban: A minimális jogosultsági alapelvek modelljének betartása érdekében a Microsoft nem javasolja az MSA rendszergazda vagy tartományi rendszergazdaként való használatát.
- Számítógépfiókok létrehozásához a szervezeti egységhez (OU-khoz) és tárolókhoz delegált engedélyekkel rendelkező felhasználók az Active Directoryban: Ez a módszer ajánlott, mivel a legalacsonyabb jogosultsági elvek modelljét követi.
A korlátozás kijavításához az MSA-nak szüksége van a Számítógépfiókok létrehozása engedélyre abban a szervezeti egységben (OU), amelybe a számítógépek a helyszíni tartományban csatlakoznak. Az Active Directoryhoz készült Intune-összekötő az MSA-k engedélyeit a szervezeti egységekre állítja, ha az alábbi feltételek valamelyike teljesül:
- Az Active Directoryhoz készült Intune-összekötőt telepítő rendszergazda rendelkezik a szervezeti egységek engedélyeinek beállításához szükséges engedélyekkel.
- Az Active Directoryhoz Intune-összekötőt konfiguráló rendszergazda rendelkezik a szervezeti egységek engedélyeinek beállításához szükséges engedélyekkel.
Ha az Active Directoryhoz készült Intune-összekötőt telepítő vagy konfiguráló rendszergazda nem rendelkezik a szervezeti egységek engedélyeinek beállításához szükséges engedélyekkel, a következő lépéseket kell követnie:
Jelentkezzen be egy olyan számítógépre, amely hozzáfér a Active Directory - felhasználók és számítógépek konzolhoz egy olyan fiókkal, amely a szervezeti egységek engedélyeinek beállításához szükséges engedély.
Nyissa meg a Active Directory - felhasználók és számítógépek konzolt a DSA.msc futtatásával.
Bontsa ki a kívánt tartományt, és lépjen arra a szervezeti egységre (OU), amelyhez a számítógépek a Windows Autopilot során csatlakoznak.
Megjegyzés:
A Windows Autopilot központi telepítése során a számítógépek által összekapcsolt szervezeti egység később lesz megadva a Tartományhoz való csatlakozás konfigurálása és hozzárendelése profil lépés során.
Kattintson a jobb gombbal a szervezeti egységre, és válassza a Tulajdonságok lehetőséget.
Megjegyzés:
Ha a számítógépek szervezeti egység helyett az alapértelmezett Számítógépek tárolóhoz csatlakoznak, kattintson a jobb gombbal a Számítógépek tárolóra, és válassza a Vezérlés delegálása parancsot.
A megnyíló szervezeti egység tulajdonságok ablakában válassza a Biztonság lapot.
A Biztonság lapon válassza a Speciális lehetőséget.
A Speciális biztonsági beállítások ablakban válassza a Hozzáadás lehetőséget.
Az Engedélybejegyzésablakokban a Rendszerbiztonsági tag elem mellett válassza a Rendszerbiztonsági tag kiválasztása hivatkozást.
A Felhasználó, számítógép, szolgáltatásfiók vagy csoport kiválasztása ablakban válassza az Objektumtípusok... gombot.
Az Objektumtípusok ablakban jelölje be a Szolgáltatásfiókok jelölőnégyzetet, majd kattintson az OK gombra.
A Felhasználó, számítógép, szolgáltatásfiók vagy csoport kiválasztása ablak Enter the object name to select (Adja meg a kijelölendő objektum nevét) területén adja meg a Intune Active Directory-összekötőhöz használt MSA nevét.
Tipp
Az MSA az Active Directoryhoz készült Intune-összekötő telepítése lépés/szakasz során jött létre, és a névformátuma
msaODJ#####
##### öt véletlenszerű karakter. Ha az MSA neve nem ismert, kövesse az alábbi lépéseket az MSA-név megkereséséhez:- A Intune Active Directory-összekötőt futtató kiszolgálón kattintson a jobb gombbal a Start menüre, majd válassza a Számítógép-kezelés parancsot.
- A Számítógép-kezelés ablakban bontsa ki a Szolgáltatások és alkalmazások elemet, majd válassza a Szolgáltatások lehetőséget.
- Az eredmények ablaktábláján keresse meg az Aktív szolgáltatás ODJConnector Intune nevű szolgáltatást. Az MSA neve megjelenik a Bejelentkezés másként oszlopban.
Válassza a Nevek ellenőrzése lehetőséget az MSA-névbejegyzés érvényesítéséhez. A bejegyzés érvényesítése után kattintson az OK gombra.
Az Engedélybejegyzés ablakokban válassza a Hatókör: legördülő menüt, majd válassza a Csak ez az objektum lehetőséget.
Az Engedélyek területen törölje az összes elem kijelölését, majd jelölje be a Számítógép-objektumok létrehozása jelölőnégyzetet.
Kattintson az OK gombra az Engedélybejegyzés ablak bezárásához.
A Speciális biztonsági beállítások ablakban válassza az Alkalmaz vagy az OK lehetőséget a módosítások alkalmazásához.
Az Active Directory-összekötő Intune célja, hogy számítógépeket csatlakoztassanak egy tartományhoz, és hozzáadják őket egy szervezeti egységhez. Ezért az Active Directoryhoz készült Intune-összekötőt futtató kiszolgálónak rendelkeznie kell engedélyekkel ahhoz, hogy számítógépfiókokat hozzon létre abban a szervezeti egységben, amelyben a számítógépek csatlakoznak a helyszíni tartományhoz.
Az Active Directory alapértelmezett engedélyei esetén az Active Directoryhoz készült Intune-összekötő tartománycsatlakoztatásai kezdetben az Active Directory szervezeti egységének engedélymódosításai nélkül működhetnek. Miután azonban az Active Directoryhoz készült Intune-összekötőt futtató kiszolgáló több mint 10 számítógépet próbál csatlakoztatni a helyszíni tartományhoz, leállna a működés, mert alapértelmezés szerint az Active Directory csak egyetlen fióknak engedélyezi, hogy akár 10 számítógépet is csatlakoztatjon a helyszíni tartományhoz.
A következő felhasználókra nem vonatkozik a 10 számítógép-tartományhoz való csatlakozás korlátozása:
- A Rendszergazdák vagy a Tartományi rendszergazdák csoport felhasználói – a legalacsonyabb jogosultsági elvek modelljének való megfelelés érdekében a Microsoft nem javasolja, hogy az Active Directoryhoz készült Intune-összekötőt futtató számítógépfiókot rendszergazda vagy tartományi rendszergazda legyen.
- A szervezeti egységhez (OU-khoz) és tárolókhoz delegált engedélyekkel rendelkező felhasználók az Active Directoryban számítógépfiókok létrehozásához – ez a módszer ajánlott, mivel a legalacsonyabb jogosultsági elvek modelljét követi.
A korlátozás kijavításához az Active Directoryhoz készült Intune-összekötőt futtató kiszolgálónak számítógépfiókok létrehozása engedéllyel kell rendelkeznie abban a szervezeti egységben (OU), amelybe a számítógépek a helyszíni tartományban csatlakoznak:
Ha növelni szeretné a számítógépfiókokra vonatkozó korlátot abban a szervezeti egységben (OU), amelyhez a számítógépek a Windows Autopilot során csatlakoznak, kövesse az alábbi lépéseket egy olyan számítógépen, amely hozzáfér az Active Directory - felhasználók és számítógépek konzolhoz:
Nyissa meg a Active Directory - felhasználók és számítógépek konzolt a DSA.msc futtatásával.
Bontsa ki a kívánt tartományt, és lépjen arra a szervezeti egységre (OU), amelyhez a számítógépek a Windows Autopilot során csatlakoznak.
Megjegyzés:
A Windows Autopilot központi telepítése során a számítógépek által összekapcsolt szervezeti egység később lesz megadva a Tartományhoz való csatlakozás konfigurálása és hozzárendelése profil lépés során.
Kattintson a jobb gombbal a szervezeti egységre, és válassza a Vezérlés delegálása parancsot.
Megjegyzés:
Ha a számítógépek szervezeti egység helyett az alapértelmezett Számítógépek tárolóhoz csatlakoznak, kattintson a jobb gombbal a Számítógépek tárolóra, és válassza a Vezérlés delegálása parancsot.
A Vezérlődelegálás varázsló Üdvözli a Delegálás varázslóablakában válassza a Tovább gombot.
A Felhasználók vagy csoportok ablak Kijelölt felhasználók és csoportok területén válassza a Hozzáadás lehetőséget.
Az Objektumtípus kiválasztása elem mellett válassza a Felhasználók, számítógépek vagy csoportok kiválasztása ablakban az Objektumtípusok lehetőséget.
Az Objektumtípusok ablakban jelölje be a Számítógépek jelölőnégyzetet, majd kattintson az OK gombra. Az ablak többi eleme az alapértelmezett értéken hagyható.
A Felhasználók, számítógépek vagy csoportok kiválasztása ablak Enter the object names to select (Adja meg a kijelölendő objektumneveket) mezőjébe írja be annak a számítógépnek a nevét, amelyen a Intune Active Directory-összekötő telepítve volt az Intune-összekötő telepítése lépés során.
A bejegyzés érvényesítéséhez válassza a Nevek ellenőrzése lehetőséget. A bejegyzés érvényesítése után kattintson az OK gombra.
A Felhasználók vagy csoportok ablakban ellenőrizze, hogy a megfelelő számítógép látható-e a Kijelölt felhasználók és csoportok területen, majd válassza a Tovább gombot.
A Meghatalmazandó feladatok ablakban válassza az Egyéni feladat létrehozása delegálandó lehetőséget, majd kattintson a Tovább gombra.
Az Active Directory objektumtípus ablakában:
Válassza a Csak a következő objektumok lehetőséget a mappában.
A Csak a következő objektumok a mappában területen válassza a Számítógép-objektumok lehetőséget.
Jelölje be a Kijelölt objektumok létrehozása ebben a mappában jelölőnégyzetet.
Válassza a Tovább gombot.
Az Engedélyek ablak Engedélyek csoportjában jelölje be a Teljes hozzáférés jelölőnégyzetet, majd válassza a Tovább gombot.
Megjegyzés:
A Teljes hozzáférés jelölőnégyzet bejelölése után az Engedélyek: területen lévő összes többi beállítás automatikusan be lesz jelölve. A jelölőnégyzetek automatikus kijelölése normál és elvárt. Az automatikus kijelölés után ne törölje a jelölőnégyzetek kijelölését.
A Vezérlő delegálása varázsló befejezése ablakban válassza a Befejezés lehetőséget.
Eszközcsoport létrehozása
A Microsoft Intune Felügyeleti központban válassza a Csoportok>Új csoport lehetőséget.
A Csoport panelen válassza a következő beállításokat:
A Csoport típusa mezőben válassza a Biztonság lehetőséget.
Adja meg a csoport nevét és a csoport leírását.
Válasszon tagságtípust.
Ha a Dinamikus eszközök lehetőség van kiválasztva a tagság típusaként, a Csoport panelen válassza a Dinamikus eszköztagok lehetőséget.
Válassza a Szerkesztés lehetőséget a Szabályszintaxis mezőben, és adja meg az alábbi kódsorok egyikét:
Az összes Windows Autopilot-eszközt tartalmazó csoport létrehozásához írja be a következőt:
(device.devicePhysicalIDs -any _ -startsWith "[ZTDId]")
Intune Group Tag (Csoportcímke) mezője Microsoft Entra eszközökön az OrderID attribútumra van leképzve. Ha egy adott csoportcímkével (OrderID) rendelkező összes Windows Autopilot-eszközt tartalmazó csoportot szeretne létrehozni, írja be a következőt:
(device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")
Ha olyan csoportot szeretne létrehozni, amely az összes Windows Autopilot-eszközt tartalmazza egy adott beszerzési rendelési azonosítóval, adja meg a következőt:
(device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")
Válassza a Létrehozás mentése> lehetőséget.
Windows Autopilot-eszközök regisztrálása
A Windows Autopilot-eszközök regisztrálásának alábbi módjai közül választhat.
Már regisztrált Windows Autopilot-eszközök regisztrálása
Hozzon létre egy Windows Autopilot-telepítési profilt az Összes megcélzott eszköz átalakítása Autopilottá beállítással Igen értékre.
Rendelje hozzá a profilt egy olyan csoporthoz, amely tartalmazza azokat a tagokat, amelyeket automatikusan regisztrálni kell a Windows Autopilotban.
További információ: Autopilot üzembehelyezési profil létrehozása.
Nem regisztrált Windows Autopilot-eszközök regisztrálása
A Windows Autopilotban még nem regisztrált eszközök manuálisan regisztrálhatók. További információ: Manuális regisztráció.
Eszközök regisztrálása OEM-ről
Új eszközök vásárlása esetén egyes oemek regisztrálhatják az eszközöket a szervezet nevében. További információ: OEM-regisztráció.
Regisztrált Windows Autopilot-eszköz megjelenítése
Mielőtt az eszközök regisztrálnak Intune, a regisztrált Windows Autopilot-eszközök három helyen jelennek meg (a nevük a sorozatszámukra van állítva):
- A Windows Autopilot-eszközök panel a Microsoft Intune Felügyeleti központban. Válassza az Eszközök>platform szerint | lehetőséget. Windows-eszközök>előkészítése | Regisztráció. A Windows Autopilot területen válassza az Eszközök lehetőséget.
- Az Eszközök | Az összes eszközpanel a Azure Portal. Válassza az Eszközök>Minden eszköz lehetőséget.
- Az Autopilot panel Microsoft 365 Felügyeleti központ. Válassza az Eszközök>Autopilot lehetőséget.
A Windows Autopilot-eszközök regisztrálása után az eszközök négy helyen jelennek meg:
- Az Eszközök | Az Összes eszköz panel a Microsoft Intune Felügyeleti központban. Válassza az Eszközök>Minden eszköz lehetőséget.
- A Windows | Windows-eszközök panel a Microsoft Intune Felügyeleti központban. Válassza az Eszközök>platform szerint | lehetőséget. Windows elemet.
- Az Eszközök | Az összes eszközpanel a Azure Portal. Válassza az Eszközök>Minden eszköz lehetőséget.
- Az Aktív eszközökpanel Microsoft 365 Felügyeleti központ. Válassza az Eszközök>Aktív eszközök lehetőséget.
Megjegyzés:
Az eszközök regisztrálása után az eszközök továbbra is megjelennek a Windows Autopilot-eszközök panelen a Microsoft Intune Felügyeleti központban és az Autopilot panelen Microsoft 365 Felügyeleti központ, de ezek az objektumok a Windows Autopilot által regisztrált objektumok.
Az eszközobjektumok előre létrejönnek a Microsoft Entra ID, ha az eszköz regisztrálva van a Windows Autopilotban. Amikor egy eszköz hibrid Microsoft Entra üzemelő példányon megy keresztül, a rendszer egy másik eszközobjektumot hoz létre, amely duplikált bejegyzéseket eredményez.
VPN-ek
A rendszer a következő VPN-ügyfeleket teszteli és ellenőrzi:
- Beépített Windows VPN-ügyfél
- Cisco AnyConnect (Win32-ügyfél)
- Pulse Secure (Win32-ügyfél)
- GlobalProtect (Win32-ügyfél)
- Ellenőrzőpont (Win32-ügyfél)
- Citrix NetScaler (Win32-ügyfél)
- SonicWall (Win32-ügyfél)
- FortiClient VPN (Win32-ügyfél)
VPN-ek használatakor válassza az Igen lehetőséget az AD-kapcsolat ellenőrzésének kihagyása beállításhoz a Windows Autopilot üzembehelyezési profiljában. Always-On VPN-ek nem igényelnek ilyen beállítást, mivel automatikusan csatlakoznak.
Megjegyzés:
A VPN-ügyfelek listája nem a Windows Autopilottal működő összes VPN-ügyfél átfogó listája. Vegye fel a kapcsolatot a megfelelő VPN-szállítóval a Windows Autopilottal való kompatibilitással és támogatással kapcsolatban, illetve a VPN-megoldás Windows Autopilottal való használatával kapcsolatos problémákról.
Nem támogatott VPN-ügyfelek
A következő VPN-megoldások ismertek , hogy nem működnek a Windows Autopilottal, ezért nem támogatottak a Windows Autopilottal való használathoz:
- UWP-alapú VPN-beépülő modulok
- Minden, ami felhasználói tanúsítványt igényel
- DirectAccess
Megjegyzés:
Egy adott VPN-ügyfél kihagyása a listából nem jelenti automatikusan azt, hogy támogatott, vagy a Windows Autopilottal működik. Ez a lista csak azokat a VPN-ügyfeleket sorolja fel, amelyekről ismert , hogy nem működnek a Windows Autopilottal.
Windows Autopilot üzembehelyezési profil létrehozása és hozzárendelése
A Windows Autopilot telepítési profiljai a Windows Autopilot-eszközök konfigurálására szolgálnak.
Jelentkezzen be a Microsoft Intune Felügyeleti központba.
A kezdőképernyőn válassza az Eszközök lehetőséget a bal oldali panelen.
Az Eszközök | Az Áttekintés képernyő platform szerint területén válassza a Windows lehetőséget.
A Windowsban | A Windows-eszközök képernyő Eszközregisztráció területén válassza a Regisztráció lehetőséget.
A Windowsban | A Windows regisztrációs képernyője alatt, a Windows Autopilot alatt válassza az Üzembehelyezési profilok lehetőséget.
A Windows Autopilot telepítési profilok képernyőjén válassza a Profil létrehozása legördülő menüt, majd a Windows rendszerű számítógép lehetőséget.
A Profil létrehozása képernyőn, az Alapvető beállítások lapon adjon meg egy Nevet és opcionális leírást.
Ha a hozzárendelt csoportokban lévő összes eszköznek automatikusan regisztrálnia kell a Windows Autopilotra, állítsa Az összes megcélzott eszköz átalakítása Autopilotrabeállítást Igen értékre. A hozzárendelt csoportokban lévő összes vállalati tulajdonú, nem Windows Autopilot-eszköz regisztrál a Windows Autopilot üzembehelyezési szolgáltatásban. A személyes tulajdonú eszközök nincsenek regisztrálva a Windows Autopilotban. Várjon 48 órát a regisztráció feldolgozására. Az eszköz regisztrációjának törlése és alaphelyzetbe állítása után a Windows Autopilot újra regisztrálja. Az eszköz ilyen módon történő regisztrálása után a beállítás letiltása vagy a profil-hozzárendelés eltávolítása nem távolítja el az eszközt a Windows Autopilot üzembehelyezési szolgáltatásból. Ehelyett az eszközöket közvetlenül kell törölni. További információ: Autopilot-eszközök törlése.
Válassza a Tovább gombot.
A Kezdőélmény (OOBE) oldalon az Üzembe helyezési mód beállításnál válassza a Felhasználóalapú lehetőséget.
A Csatlakozás a Microsoft Entra ID mint mezőben válassza Microsoft Entra hibrid csatlakozást.
Ha vpn-támogatással helyez üzembe eszközöket a szervezet hálózatáról, állítsa a Tartománykapcsolat-ellenőrzés kihagyása beállítást Igen értékre. További információ: Felhasználóalapú mód a vpn-támogatással Microsoft Entra hibrid csatlakozáshoz.
Szükség szerint konfigurálja a további beállításokat a Kezdőélmény (OOBE) oldalon.
Válassza a Tovább gombot.
A Hatókörcímkék lapon válassza ki a profilhoz tartozó hatókörcímkéket .
Válassza a Tovább gombot.
A Hozzárendelések lapon válassza a Csoportok kiválasztása lehetőséget a kereséshez és a Kiválasztás eszközcsoport >kiválasztásához>.
Válassza a Következő>létrehozás lehetőséget.
Megjegyzés:
Intune rendszeresen ellenőrzi, hogy vannak-e új eszközök a hozzárendelt csoportokban, majd megkezdheti a profilok hozzárendelését ezekhez az eszközökhöz. A Windows Autopilot-profil hozzárendelésének folyamatában számos különböző tényező miatt a hozzárendelés becsült ideje forgatókönyvenként eltérő lehet. Ezek közé a tényezők közé tartozhatnak Microsoft Entra csoportok, tagsági szabályok, az eszköz kivonata, a Intune és a Windows Autopilot szolgáltatás, valamint az internetkapcsolat. A hozzárendelési idő az adott forgatókönyvben érintett összes tényezőtől és változótól függ.
(Nem kötelező) A regisztrációs állapotlap bekapcsolása
Jelentkezzen be a Microsoft Intune Felügyeleti központba.
A kezdőképernyőn válassza az Eszközök lehetőséget a bal oldali panelen.
Az Eszközök | Az Áttekintés képernyő platform szerint területén válassza a Windows lehetőséget.
A Windowsban | A Windows-eszközök képernyő Eszközregisztráció területén válassza a Regisztráció lehetőséget.
A Windowsban | A Windows regisztrációs képernyője alatt, a Windows Autopilot alatt válassza a Regisztráció állapota lap lehetőséget.
A Regisztráció állapota lap panelen válassza az Alapértelmezett>beállítások lehetőséget.
Az Alkalmazás és profil telepítési folyamatának megjelenítése mezőben válassza az Igen lehetőséget.
Szükség szerint konfigurálja a többi beállítást.
Válassza a Mentés elemet.
Tartományhoz való csatlakozás profil létrehozása és hozzárendelése
A Microsoft Intune Felügyeleti központban válassza az Eszközök kezelése> | lehetőséget. A konfigurációs>szabályzatok>új szabályzatot hoznak létre>.
A megnyíló profil létrehozása ablakban adja meg a következő tulajdonságokat:
- Név: Adjon meg egy leíró nevet az új profilnak.
- Leírás: Itt adhatja meg a profil leírását.
- Platform: Válassza a Windows 10 vagy újabb lehetőséget.
- Profil típusa: Válassza a Sablonok lehetőséget, válassza ki a Tartományhoz való csatlakozás sablonnevet, majd válassza a Létrehozás lehetőséget.
Adja meg a Nevet és a Leírást , majd válassza a Tovább gombot.
Adjon meg egy számítógépnév-előtagot és egy tartománynevet.
(Nem kötelező) Adjon meg egy szervezeti egységet (OU) DN formátumban. A lehetőségek a következők:
- Adjon meg egy szervezeti egységet, amelyben a vezérlő delegálva van az Active Directoryhoz készült Intune-összekötőt futtató Windows-eszközre.
- Adjon meg egy szervezeti egységet, amelyben a vezérlő a szervezet helyi Active Directory gyökérszámítógépeire van delegálva.
- Ha ezt a mezőt üresen hagyja, a számítógép-objektum az Active Directory alapértelmezett tárolójában jön létre. Az alapértelmezett tároló általában a
CN=Computers
tároló. További információ: Felhasználók és számítógépek tárolóinak átirányítása Active Directory-tartományokban.
Érvényes példák:
OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com
OU=Mine,DC=contoso,DC=com
Érvénytelen példák:
-
CN=Computers,DC=contoso,DC=com
- tároló nem adható meg. Ehelyett hagyja üresen az értéket, hogy a tartomány alapértelmezett értékét használja. -
OU=Mine
- a tartományt azDC=
attribútumokon keresztül kell megadni.
Ügyeljen arra, hogy ne használjon idézőjeleket a szervezeti egység értékéhez.
Válassza az OK>Létrehozás lehetőséget. A profil létrejön, és megjelenik a listában.
Rendeljen hozzá egy eszközprofilt ugyanahhoz a csoporthoz, amelyet az Eszközcsoport létrehozása lépésben használt. Különböző csoportok használhatók, ha az eszközöket különböző tartományokhoz vagy szervezeti egységekhez kell csatlakoztatni.
Megjegyzés:
A Windows Autopilot elnevezési képessége Microsoft Entra hibrid illesztéshez nem támogatja az olyan változókat, mint a %SERIAL%. Csak a számítógépnév előtagjainak használatát támogatja.
Az Active Directoryhoz készült Intune-összekötő eltávolítása
Az Active Directoryhoz készült Intune-összekötő helyileg települ egy számítógépre egy végrehajtható fájlon keresztül. Ha az Active Directoryhoz készült Intune-összekötőt el kell távolítani egy számítógépről, azt helyileg is el kell végezni a számítógépen. Az Active Directoryhoz készült Intune-összekötő nem távolítható el az Intune portálon vagy graph API-híváson keresztül.
Ha el szeretné távolítani a Intune Active Directory-összekötőt a kiszolgálóról, válassza az Windows Server operációs rendszer verziójának megfelelő lapot, majd kövesse az alábbi lépéseket:
Jelentkezzen be az Active Directoryhoz készült Intune-összekötőt futtató számítógépre.
Kattintson a jobb gombbal a Start menüre, majd válassza aBeállításokAlkalmazások>>Telepített alkalmazások lehetőséget.
Vagy
Válassza a következő Telepített alkalmazások > parancsikont :
Az Alkalmazások > telepített alkalmazások ablakban keresse meg Intune Active Directory-összekötőt.
A Intune Active Directory-összekötő mellett válassza a ...>Távolítsa el, majd válassza az Eltávolítás gombot.
Az Active Directoryhoz készült Intune-összekötő eltávolítása folytatódik.
Bizonyos esetekben előfordulhat, hogy az Active Directoryhoz készült Intune-összekötő nem távolítja el teljesen, amíg az eredeti Intune Active Directory-összekötő
ODJConnectorBootstrapper.exe
újra le nem fut. Annak ellenőrzéséhez, hogy az Active Directory Intune-összekötője teljesen el van-e távolítva, futtassa újra a telepítőtODJConnectorBootstrapper.exe
. Ha a rendszer az Eltávolítás lehetőséget kéri, válassza ki az eltávolításhoz. Ellenkező esetben zárja be a telepítőtODJConnectorBootstrapper.exe
.Megjegyzés:
Az Active Directory-telepítő örökölt Intune-összekötője az Active Directoryhoz készült Intune-összekötőből tölthető le, és csak eltávolításra használható. Új telepítések esetén használja az Active Directoryhoz készült frissített Intune-összekötőt.
Jelentkezzen be az Active Directoryhoz készült Intune-összekötőt futtató számítógépre.
Kattintson a jobb gombbal a Start menüre, majd válassza a Beállítások>Alkalmazások lehetőséget.
Vagy
Válassza a következő Alkalmazások parancsikont:
Az Alkalmazások & szolgáltatások területen keresse meg és válassza Intune Active Directory-összekötőt.
A Intune Active Directory-összekötő területen válassza az Eltávolítás gombot, majd ismét az Eltávolítás gombot.
Az Active Directoryhoz készült Intune-összekötő eltávolítása folytatódik.
Bizonyos esetekben előfordulhat, hogy az Active Directoryhoz készült Intune-összekötő nem távolítja el teljesen, amíg az eredeti Intune Active Directory-összekötő
ODJConnectorBootstrapper.exe
újra le nem fut. Annak ellenőrzéséhez, hogy az Active Directory Intune-összekötője teljesen el van-e távolítva, futtassa újra a telepítőtODJConnectorBootstrapper.exe
. Ha a rendszer az Eltávolítás lehetőséget kéri, válassza ki az eltávolításhoz. Ellenkező esetben zárja be a telepítőtODJConnectorBootstrapper.exe
.Megjegyzés:
Az Active Directory-telepítő örökölt Intune-összekötője az Active Directoryhoz készült Intune-összekötőből tölthető le, és csak eltávolításra használható. Új telepítések esetén használja az Active Directoryhoz készült frissített Intune-összekötőt.
Jelentkezzen be az Active Directoryhoz készült Intune-összekötőt futtató számítógépre.
Kattintson a jobb gombbal a Start menüre, majd válassza a Gépházban> aRendszeralkalmazások>& funkciókat.
Vagy
Válassza a következő Alkalmazások parancsikont:
Az Alkalmazások & szolgáltatások területen keresse meg és válassza Intune Active Directory-összekötőt.
A Intune Active Directory-összekötő területen válassza az Eltávolítás gombot, majd ismét az Eltávolítás gombot.
Az Active Directoryhoz készült Intune-összekötő eltávolítása folytatódik.
Bizonyos esetekben előfordulhat, hogy az Active Directoryhoz készült Intune-összekötő nem távolítja el teljesen, amíg az eredeti Intune Active Directory-összekötő
ODJConnectorBootstrapper.exe
újra le nem fut. Annak ellenőrzéséhez, hogy az Active Directory Intune-összekötője teljesen el van-e távolítva, futtassa újra a telepítőtODJConnectorBootstrapper.exe
. Ha a rendszer az Eltávolítás lehetőséget kéri, válassza ki az eltávolításhoz. Ellenkező esetben zárja be a telepítőtODJConnectorBootstrapper.exe
.Megjegyzés:
Az Active Directory-telepítő örökölt Intune-összekötője az Active Directoryhoz készült Intune-összekötőből tölthető le, és csak eltávolításra használható. Új telepítések esetén használja az Active Directoryhoz készült frissített Intune-összekötőt.
Következő lépések
A Windows Autopilot konfigurálása után megtudhatja, hogyan kezelheti ezeket az eszközöket. További információ: Mi az Microsoft Intune eszközfelügyelet?
Kapcsolódó tartalom
- Mi az az eszközidentitás?.
- További információ a natív felhőbeli végpontokról.
- Microsoft Entra csatlakoztatott és Microsoft Entra hibrid csatlakozás a natív felhőbeli végpontokon.
- Oktatóanyag: Natív felhőbeli Windows-végpont beállítása és konfigurálása Microsoft Intune.
- Útmutató: Tervezze meg Microsoft Entra csatlakozás implementálását.
- Keretrendszer a Windows végpontkezelési átalakításához.
- A hibrid Azure AD és a közös felügyeleti forgatókönyvek ismertetése.
- Sikeres a távoli Windows Autopilot és a hibrid Azure Active Directory-csatlakozás.
Visszajelzés
Hasznosnak találta ezt az oldalt?