Microsoft Entra ハイブリッド参加の事前プロビジョニング: 組織単位 (OU) でコンピューター アカウントの制限を増やす

事前プロビジョニングされた展開用の Windows Autopilot Microsoft Entra ハイブリッド参加手順:

• 手順 1: Windows 自動 Intune 登録を設定する
• 手順 2: Intune コネクタをインストールする

• 手順 4: デバイスを Autopilot デバイスとして登録する
• 手順 5: デバイス グループを作成する
• 手順 6: Autopilot 登録状態ページ (ESP) を構成して割り当てる
• 手順 7: Microsoft Entra ハイブリッド参加 Autopilot プロファイルを作成して割り当てる
• 手順 8: ドメイン参加プロファイルを構成して割り当てる
• 手順 9: Autopilot デバイスをユーザーに割り当てる (省略可能)
• 手順 10: テクニシャン フロー
• 手順 11: ユーザー フロー

事前プロビジョニングされた展開用の Windows Autopilot Microsoft Entra ハイブリッド参加ワークフローの概要については、「 事前プロビジョニングされた展開の Windows Autopilot Microsoft Entra ハイブリッド参加の概要」を参照してください。

組織単位 (OU) でコンピューター アカウントの制限を増やす

Intune コネクタの目的は、Autopilot プロセス中にコンピューターをオンプレミス ドメインに参加することです。 Intune コネクタは、ドメイン参加プロセス中に Active Directory の指定された組織単位 (OU) にコンピューター オブジェクトを作成します。 このため、Intune コネクタを実行しているサーバーには、コンピューターがオンプレミス ドメインに参加している OU 内のコンピューター アカウントを作成および削除するためのアクセス許可が必要です。

Active Directory の既定のアクセス許可では、Intune コネクタによるドメイン参加が最初に機能し、Active Directory の OU に対するアクセス許可が変更されない場合があります。 ただし、Intune コネクタを実行しているサーバーが 10 台を超えるコンピューターをオンプレミス ドメインに参加しようとすると、動作が停止します。既定では、Active Directory では最大 10 台のコンピューターをオンプレミス ドメインに参加させることができます。

次のユーザーは、10 台のコンピューター ドメイン参加制限によって制限されません。

• [管理者] または [ドメイン管理者] グループのユーザー。
• コンピューター アカウントを作成および削除するための組織単位 (OU) と Active Directory 内のコンテナーに対する委任されたアクセス許可を持つユーザー。

この制限を解決するには、Intune コネクタを実行しているサーバーが、コンピューターがオンプレミス ドメインに参加している組織単位 (OU) で次の権限を委任する必要があります。

• コンピューター アカウントを作成します。
• コンピューター アカウントを削除します。

また、Intune コネクタを実行しているサーバーに OU 内にコンピューターを作成するためのアクセス許可がない場合 (既定のアクセス許可が変更された場合など) に、これらのアクセス許可を具体的に設定することもお勧めします。

Autopilot 中にコンピューターが参加している組織単位 (OU) のコンピューター アカウントの制限を増やすには、 Active Directory ユーザーとコンピューター コンソールにアクセスできるコンピューターで次の手順を実行します。

1. DSA.msc を実行して Active Directory ユーザーとコンピューター コンソールを開きます。

2. 目的のドメインを展開し、Autopilot 中にコンピューターが参加している組織単位 (OU) に移動します。

   注:

   Windows Autopilot 展開中にコンピューターが参加する OU は、後でドメイン 参加プロファイルの構成と割り当ての 手順で指定します。

3. OU を右クリックし、[ 委任コントロール] を選択します。

   注:

   OU が指定されておらず、コンピューターが既定の Computers コンテナーに参加している場合は、[ コンピューター ] コンテナーを右クリックし、[ 制御の委任] を選択します。

4. コントロールの委任ウィザードの [コントロールの委任ウィザードへようこそ] ウィンドウで、[次へ] を選択します。

5. [ ユーザーまたはグループ ] ウィンドウの [ 選択したユーザーとグループ] で、[追加] を選択 します。

6. [ このオブジェクトの種類を選択する] の横にある [ユーザー、コンピューター、またはグループの選択 ] ウィンドウで、[ オブジェクトの種類] を選択します。

7. [ オブジェクトの種類 ] ウィンドウで、[ コンピューター ] チェック ボックスをオンにし、[ OK] を選択します。 このウィンドウ内の他の項目は、既定値のままにすることができます。

8. [ ユーザー、コンピューター、またはグループの選択 ] ウィンドウの [ 選択するオブジェクト名を入力 する] ボックスに、[ Intune コネクタのインストール ] ステップで Intune コネクタがインストールされたコンピューターの名前を入力します。

9. [ 名前の確認] を選択 して、エントリを検証します。 エントリが検証されたら、[ OK] を選択します。

10. [ ユーザーまたはグループ ] ウィンドウで、[ 選択したユーザーとグループ] に正しいコンピューターが表示されていることを確認し、[ 次へ] を選択します。

11. [ 委任するタスク ] ウィンドウで、[ 委任するカスタム タスクの作成] を選択し、[ 次へ] を選択します。

12. [ Active Directory オブジェクトの種類] ウィンドウで、次の手順を実行します。

    1. フォルダー内の次のオブジェクトのみを選択します。

    2. [ フォルダー内の次のオブジェクトのみ] で、[ コンピューター オブジェクト] を選択します。

    3. [ このフォルダーに選択したオブジェクトを作成 する] チェック ボックスと [ このフォルダー内の選択したオブジェクトを削除 する] チェック ボックスの両方をオンにします。

    4. [次へ] を選択します。

13. [ アクセス許可 ] ウィンドウの [ アクセス許可:] で、[ フル コントロール ] チェック ボックスをオンにし、[ 次へ] を選択します。

    注:

    [フル コントロール] チェック ボックスをオンにすると、[アクセス許可:] の他のすべてのオプションが自動的に選択されます。 チェック ボックスの自動選択は正常であり、予期されます。 チェック ボックスが自動的に選択された後は、選択を解除しないでください。

14. [ コントロールの委任ウィザードの完了 ] ウィンドウで、[完了] を選択 します。

次の手順: デバイスを Autopilot デバイスとして登録する

関連コンテンツ

組織単位でコンピューター アカウントの制限を増やす方法の詳細については、次の記事を参照してください。

• 組織単位でコンピューター アカウントの制限を増やします。
• ユーザーがドメインに参加できるワークステーションの数に対する既定の制限。
• ドメインにワークステーションを追加します。