Развертывание устройств с гибридным присоединением к Microsoft Entra с помощью Intune и Windows Autopilot

  • Статья
  • Применяется к:
    Windows 11, ✅ Windows 10

Важно!

Корпорация Майкрософт рекомендует развертывать новые устройства как облачные с помощью присоединения к Microsoft Entra. Развертывание новых устройств в качестве устройств гибридного соединения Microsoft Entra не рекомендуется, в том числе с помощью Autopilot. Дополнительные сведения см . в статье Присоединение к Microsoft Entra и гибридное присоединение к Microsoft Entra в облачных конечных точках: какой вариант подходит для вашей организации.

Intune и Windows Autopilot можно использовать для настройки устройств с гибридным присоединением к Microsoft Entra. Для этого выполните действия, описанные в этой статье. Дополнительные сведения о гибридном присоединении к Microsoft Entra см. в статье Общие сведения о гибридном присоединении и совместном управлении Microsoft Entra.

Предварительные условия

Предварительные условия для регистрации устройств

Устройство, которое необходимо зарегистрировать, должно соответствовать указанным ниже требованиям.

  • Используйте поддерживаемую в настоящее время версию Windows.
  • Доступ к Интернету, характеристики которого соответствуют требованиям Windows Autopilot к сети.
  • Доступ к контроллеру домена Active Directory.
  • Успешное подключение контроллера домена к присоединению.
  • При использовании прокси-сервера необходимо включить и настроить параметр Параметры прокси-сервера для протокола автоматического обнаружения веб-прокси (WPAD).
  • Пройденный запуск при первом включении компьютера (OOBE).
  • Используйте тип авторизации, поддерживаемый Идентификатором Microsoft Entra в OOBE.

Хотя это и не обязательно, настройка гибридного присоединения Microsoft Entra для федеративных служб Active Directory (ADFS) позволяет ускорить процесс регистрации Microsoft Entra в Windows Autopilot во время развертывания. Федеративные клиенты, которые не поддерживают использование паролей и используют AD FS, должны выполнить действия, описанные в статье Поддержка параметра prompt=login служб федерации Active Directory, чтобы правильно настроить интерфейс проверки подлинности.

Предварительные требования к серверу соединителя Intune

  • Соединитель Intune для Active Directory должен быть установлен на компьютере под управлением Windows Server 2016 или более поздней версии с .NET Framework версии 4.7.2 или более поздней.

  • Сервер, на котором размещен соединитель Intune, должен иметь доступ к Интернету и Active Directory.

    Примечание.

    Серверу соединителя Intune требуется стандартный доступ клиента домена к контроллерам домена, который включает требования к порту RPC, необходимые для связи с Active Directory. Дополнительные сведения см. в следующих статьях:

  • Чтобы увеличить масштаб и доступность, в среде можно установить несколько соединителей. Рекомендуется установить соединитель на сервере, на котором нет других соединителей Intune. Каждый соединитель должен иметь возможность создавать объекты-компьютеры в любом домене, который необходимо поддерживать.

  • Если в организации есть несколько доменов и установлено несколько соединителей Intune, необходимо использовать учетную запись службы домена, которая может создавать объекты компьютеров во всех доменах. Это требование верно, даже если гибридное присоединение к Microsoft Entra реализовано только для определенного домена. Если эти домены не являются доверенными доменами, соединители должны быть удалены из доменов, где не используется Windows Autopilot. В противном случае при наличии нескольких соединителей в нескольких доменах все соединители должны иметь возможность создавать объекты компьютеров во всех доменах.

    Эта учетная запись службы соединителя должна иметь следующие разрешения.

    • Войдите в систему как услуга.
    • Должен входить в группу пользователей домена .
    • Должен быть членом локальной группы администраторов на сервере Windows, на котором размещен соединитель.

    Важно!

    Управляемые учетные записи служб не поддерживаются для учетной записи службы. Учетная запись службы должна быть учетной записью домена.

  • Для соединителя Intune требуются те же конечные точки, что и для Intune.

Настройка автоматической регистрации WINDOWS MDM

  1. Войдите на портал Azure и выберите Идентификатор Microsoft Entra.

  2. В левой области выберите Управление мобильными устройствами | (MDM и WIP)>Microsoft Intune.

  3. Убедитесь, что пользователи, которые развертывают устройства, присоединенные к Microsoft Entra, с помощью Intune и Windows, являются членами группы, включенной в область пользователя MDM.

  4. Оставьте значения по умолчанию в полях URL-адрес условий использования MDM, URL-адрес обнаружения MDM и URL-адрес соответствия MDM. Нажмите кнопку Сохранить.

Увеличение предельного количества учетных записей компьютеров в подразделении

Соединитель Intune для Active Directory создает зарегистрированные автоматически компьютеры в локальном домене Active Directory. У компьютера, на котором размещен соединитель Intune, должны быть права на создание объектов компьютеров в домене.

В некоторых доменах у компьютеров нет прав на создание компьютеров. Кроме того, в доменах есть встроенное предельное значение (по умолчанию равное 10), которое применяется для всех пользователей и компьютеров, которым не делегированы права на создание объектов компьютеров. Права должны быть делегированы компьютерам, на которых размещен соединитель Intune в подразделении, где создаются устройства с гибридным присоединением к Microsoft Entra.

Подразделение, которое имеет права на создание компьютеров, должно соответствовать следующим требованиям:

  • Подразделение, введенное в профиль присоединения к домену.
  • Если профиль не выбран, доменное имя компьютера для домена организации.

  1. Откройте оснастку Пользователи и компьютеры Active Directory (DSA.msc).

  2. Щелкните правой кнопкой мыши подразделение, используемое для создания компьютеров > с гибридным присоединением к Microsoft Entra.

    Снимок экрана: команда

  3. В мастере Делегирование управления выберите Далее>Добавить>Типы объектов.

  4. В области Типы объектов щелкните Computers>OK.

    Снимок экрана: панель

  5. В области Выбор пользователей, компьютеров и групп в поле Введите имена выбираемых объектов введите имя компьютера, на котором установлен соединитель.

    Снимок экрана: панель

  6. Выберите Проверить имена , чтобы проверить запись >ОК>Далее.

  7. Выберите Создать особую задачу для делегирования>Далее.

  8. Выберите Только следующие объекты в папке>Объекты компьютеров.

  9. Выберите Создать выбранные объекты в этой папке и Удалить выбранные объекты в этой папке.

    Снимок экрана: область

  10. Нажмите кнопку Далее.

  11. В области Разрешения установите флажок Полный доступ. При этом будут выбраны все остальные варианты.

    Снимок экрана: панель

  12. Выберите Далее>Готово.

Установка соединителя Intune

Перед началом установки убедитесь, что выполнены все предварительные требования к серверу соединителя Intune .

Действия по установке

  1. По умолчанию для Windows Server включена конфигурация усиленной безопасности Internet Explorer. Конфигурация усиленной безопасности Internet Explorer может вызвать проблемы со входом в соединитель Intune для Active Directory. Так как Internet Explorer является устаревшим и в большинстве случаев даже не устанавливается на Windows Server, корпорация Майкрософт рекомендует отключить конфигурацию усиленной безопасности Internet Explorer. Чтобы отключить конфигурацию усиленной безопасности Internet Explorer, выполните приведенные далее действия.

    1. На сервере, где устанавливается соединитель Intune, откройте диспетчер сервера.

    2. В левой области диспетчера серверов выберите Локальный сервер.

    3. В правой области СВОЙСТВА диспетчера серверов выберите ссылку Вкл . или Выкл . рядом с элементом Конфигурация усиленной безопасности IE.

    4. В окне Конфигурация усиленной безопасности Internet Explorer выберите Выкл . в разделе Администраторы: и нажмите кнопку ОК.

  2. Войдите в Центр администрирования Microsoft Intune.

  3. На начальном экране выберите Устройства в области слева.

  4. В разделе Устройства | Экран "Обзор " в разделе По платформе выберите Windows.

  5. В Windows | Экран устройств Windows в разделе Подключение устройств выберите Регистрация.

  6. В Windows | Экран регистрации Windows в разделе Windows Autopilot выберите Соединитель Intune для Active Directory.

  7. На экране Соединитель Intune для Active Directory выберите Добавить.

  8. Скачайте соединитель, следуя инструкциям.

  9. Откройте скачанный файл установки соединителя (ODJConnectorBootstrapper.exe), чтобы установить соединитель.

  10. В конце настройки выберите Настроить сейчас.

  11. Нажмите Войти.

  12. Введите учетные данные роли администратора Intune. Учетной записи пользователя должна быть назначена лицензия Intune.

Примечание.

Роль администратора Intune является временным требованием во время установки.

После проверки подлинности соединитель Intune для Active Directory завершает установку. После завершения установки убедитесь, что он активен в Intune, выполнив следующие действия.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. На начальном экране выберите Устройства в области слева.

  3. В разделе Устройства | Экран "Обзор " в разделе По платформе выберите Windows.

  4. В Windows | Экран устройств Windows в разделе Подключение устройств выберите Регистрация.

  5. В Windows | Экран регистрации Windows в разделе Windows Autopilot выберите Соединитель Intune для Active Directory.

  6. Убедитесь, что состояние подключения в столбце СостояниеАктивно.

Примечание.

  • После входа в соединитель может потребоваться несколько минут для отображения в Центре администрирования Microsoft Intune. Он появится только в том случае, если ему удастся связаться со службой Intune.

  • Неактивные соединители Intune по-прежнему отображаются на странице Соединители Intune и будут автоматически очищены через 30 дней.

После установки соединителя Intune для Active Directory он начнет вести журнал в средстве просмотра событий по пути Приложения и службы Журналы>Microsoft>Intune>ODJConnectorService. В этом пути можно найти журналы администрирования и операционных операций .

Примечание.

Соединитель Intune первоначально входил в средство просмотра событий непосредственно в разделе Журналы приложений и служб в журнале с именем ODJ Connector Service. Однако с тех пор ведение журнала для соединителя Intune перемещено по пути Приложения и службы Журналы>Microsoft>Intune>ODJConnectorService. Если журнал службы соединителя ODJ в исходном расположении пуст или не обновляется, проверьте новое расположение пути.

Настройка параметров веб-прокси

Если в сетевой среде есть веб-прокси, убедитесь, что соединитель Intune для Active Directory работает правильно, перейдя к статье Работа с существующими локальными прокси-серверами.

Создание группы устройств

  1. В Центре администрирования Microsoft Intune выберите Группы>Новая группа.

  2. В области Группа выберите следующие параметры:

    1. В поле Тип группы выберите Безопасность.

    2. Заполните поля Имя группы и Описание группы.

    3. Выберите значение в поле Тип членства.

  3. Если для типа членства выбраны динамические устройства , в области Группа выберите Динамические члены устройства.

  4. Выберите Изменить в поле Синтаксис правила и введите одну из следующих строк кода.

    • Чтобы создать группу, включающую все устройства Autopilot, введите:

      (device.devicePhysicalIDs -any _ -startsWith "[ZTDId]")

    • Поле тега группы Intune сопоставляется с атрибутом OrderID на устройствах Microsoft Entra. Чтобы создать группу, включающую все устройства Autopilot с определенным тегом группы (OrderID), введите:

      (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")

    • Чтобы создать группу, включающую все устройства Autopilot с определенным идентификатором заказа на покупку, введите:

      (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")

  5. Выберите Сохранить>Создать.

Регистрация устройств Autopilot

Выберите один из следующих способов регистрации устройств Autopilot.

Регистрация уже зарегистрированных устройств Autopilot

  1. Создайте профиль развертывания Autopilot с параметром Преобразовать все целевые устройства в Autopilot для параметра Да.

  2. Назначьте профиль группе, содержащей участников, которые должны быть автоматически зарегистрированы в Autopilot.

Дополнительные сведения см. в разделе Создание профиля развертывания Autopilot.

Регистрация еще не зарегистрированных устройств Autopilot

Устройства, которые еще не зарегистрированы в Windows Autopilot, можно зарегистрировать вручную. Дополнительные сведения см. в статье Регистрация вручную.

Регистрация устройств изготовителем оборудования

При покупке новых устройств некоторые изготовители оборудования могут зарегистрировать устройства от имени организации. Дополнительные сведения см. в статье Регистрация производителем оборудования.

Отображение зарегистрированного устройства Autopilot

Перед регистрацией устройств в Intune зарегистрированные устройства Windows Autopilot отображаются в трех местах (с именами, присвоенными серийным номерам):

После регистрации устройств Windows Autopilot устройства отображаются в четырех местах:

Примечание.

После регистрации устройств устройства по-прежнему отображаются в области Устройства Windows Autopilot в Центре администрирования Microsoft Intune и в области Autopilot в Центре администрирования Microsoft 365, но эти объекты являются зарегистрированными объектами Windows Autopilot.

Объект устройства предварительно создается в Microsoft Entra ID после регистрации устройства в Autopilot. Когда устройство проходит гибридное развертывание Microsoft Entra, по умолчанию создается другой объект устройства, что приводит к дублированию записей.

VPN

Тестируются и проверяются следующие VPN-клиенты:

  • Встроенный клиент VPN в Windows
  • Cisco AnyConnect (клиент Win32)
  • Pulse Secure (клиент Win32)
  • GlobalProtect (клиент Win32)
  • Checkpoint (клиент Win32)
  • Citrix NetScaler (клиент Win32)
  • SonicWall (клиент Win32)
  • FortiClient VPN (клиент Win32)

При использовании VPN выберите Да для параметра Пропустить подключение AD в профиле развертывания Windows Autopilot. Always-On VPN не должен требовать этот параметр, так как он подключается автоматически.

Примечание.

Этот список VPN-клиентов не является исчерпывающим списком всех VPN-клиентов, работающих с Windows Autopilot. Обратитесь к соответствующему поставщику VPN по вопросам совместимости и поддержки с Windows Autopilot или по поводу любых проблем с использованием РЕШЕНИЯ VPN с Windows Autopilot.

Неподдерживаемые VPN-клиенты

Известно , что следующие VPN-решения не работают с Windows Autopilot и поэтому не поддерживаются для использования с Windows Autopilot:

  • Дополнительные модули VPN на основе UWP
  • Все клиенты, требующие сертификации пользователей
  • DirectAccess

Примечание.

Пропуск конкретного VPN-клиента из этого списка не означает, что он автоматически поддерживается или работает с Windows Autopilot. В этом списке перечислены только VPN-клиенты, которые, как известно , не работают с Windows Autopilot.

Создание и назначение профиля развертывания AutoPilot

Профили развертывания Autopilot служат для настройки устройств Autopilot.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. На начальном экране выберите Устройства в области слева.

  3. В разделе Устройства | Экран "Обзор " в разделе По платформе выберите Windows.

  4. В Windows | Экран устройств Windows в разделе Подключение устройств выберите Регистрация.

  5. В Windows | Экран регистрации Windows в разделе Windows Autopilot выберите Профили развертывания.

  6. На экране Профили развертывания Windows Autopilot выберите раскрывающееся меню Создать профиль , а затем выберите Компьютер с Windows.

  7. На экране Создание профиля на странице Основные сведения введите имя и необязательное описание.

  8. Если все устройства в назначенных группах должны автоматически регистрироваться в Windows Autopilot, задайте для параметра Преобразовать все целевые устройства в Autopilot значение Да. Все корпоративные устройства, не принадлежащие Autopilot, в назначенных группах регистрируются в службе развертывания Autopilot. Личные устройства не регистрируются в Autopilot. Регистрация завершится в течение 48 часов. После отмены регистрации и сброса устройства Autopilot снова регистрирует его. После регистрации устройства таким образом отключение этого параметра или удаление назначения профиля не приведет к удалению устройства из службы развертывания Autopilot. Вместо этого устройства необходимо удалить напрямую. Дополнительные сведения см. в разделе Удаление устройств Autopilot.

  9. Нажмите кнопку Далее.

  10. На странице Готовый интерфейс (OOBE) для параметра Режим развертывания выберите Под управлением пользователя.

  11. В поле Join to Microsoft Entra ID as (Присоединение к Идентификатору Microsoft Entra как ) выберите Гибридное присоединение к Microsoft Entra.

  12. При развертывании устройств вне сети организации с помощью поддержки VPN задайте для параметра Пропустить проверку подключения к домену значение Да. Дополнительные сведения см. в разделе Режим на основе пользователя для гибридного присоединения к Microsoft Entra с поддержкой VPN.

  13. Настройте оставшиеся параметры на странице Запуск при первом включении (OOBE).

  14. Нажмите кнопку Далее.

  15. На странице Теги области выберите теги области для этого профиля.

  16. Нажмите кнопку Далее.

  17. На странице Назначения выберите Выберите группы, чтобы включить> поиск и выберите группу > устройств Выбрать.

  18. Щелкните Далее>Создать.

Примечание.

Intune периодически проверяет наличие новых устройств в назначенных группах, а затем начинает процесс назначения профилей этим устройствам. Из-за нескольких различных факторов, участвующих в процессе назначения профиля Autopilot, предполагаемое время назначения может отличаться от сценария к сценарию. К этим факторам относятся группы Microsoft Entra, правила членства, хэш устройства, служба Intune и Autopilot, а также подключение к Интернету. Время назначения зависит от всех факторов и переменных, участвующих в конкретном сценарии.

Включение страницы состояния регистрации (необязательно)

  1. Войдите в Центр администрирования Microsoft Intune.

  2. На начальном экране выберите Устройства в области слева.

  3. В разделе Устройства | Экран "Обзор " в разделе По платформе выберите Windows.

  4. В Windows | Экран устройств Windows в разделе Подключение устройств выберите Регистрация.

  5. В Windows | Экран регистрации Windows в разделе Windows Autopilot выберите Страница состояния регистрации.

  6. На панели Страница состояния регистрации выберите По умолчанию>Параметры.

  7. В поле Показать ход установки приложений и профилей выберите значение Да.

  8. При необходимости настройте остальные параметры.

  9. Нажмите Сохранить.

Создание и назначение профиля присоединения к домену

  1. В Центре администрирования Microsoft Intune выберите Устройства>Управление устройствами | Политики конфигурации>>Создание>новой политики.

  2. В открывавшемся окне создания профиля введите следующие свойства:

    • Имя: введите описательное имя для нового профиля.
    • Описание: введите описание профиля
    • Платформа: выберите Windows 10 и более поздних версий.
    • Тип профиля: выберите Шаблоны, выберите имя шаблона Присоединение к домену и нажмите кнопку Создать.

  3. Введите имя и описание, а затем выберите Далее.

  4. Укажите Префикс имени компьютера и Имя домена.

  5. (Необязательно.) Укажите подразделение в формате различающегося имени. Параметры включают:

    • Укажите подразделение, в котором управление делегировано устройству с Windows, на котором выполняется соединитель Intune.
    • Предоставьте подразделение, в котором управление делегируется корневым компьютерам в локальной службе Active Directory организации.
    • Если это поле осталось пустым, объект-компьютер создается в контейнере Active Directory по умолчанию. Контейнером по умолчанию обычно CN=Computers является контейнер. Дополнительные сведения см. в статье Перенаправление контейнеров пользователей и компьютеров в доменах Active Directory.

    Допустимые примеры:

    • OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com
    • OU=Mine,DC=contoso,DC=com

    Недопустимые примеры:

    • CN=Computers,DC=contoso,DC=com — контейнер не может быть указан. Вместо этого оставьте значение пустым, чтобы использовать значение по умолчанию для домена.
    • OU=Mine — домен должен быть указан с помощью DC= атрибутов.

    Не используйте кавычки вокруг значения в подразделении.

  6. Выберите ОК>Создать. Созданный профиль отобразится в списке.

  7. Назначьте профиль устройства той же группе, которая использовалась в действии Создание группы устройства. Если требуется присоединять устройства к разным доменам или подразделениям, можно использовать разные группы.

Примечание.

Возможность именования для Windows Autopilot для гибридного присоединения Microsoft Entra не поддерживает переменные, такие как %SERIAL%. Он поддерживает только префиксы для имени компьютера.

Удаление соединителя ODJ

Соединитель ODJ устанавливается локально на компьютере через исполняемый файл. Если соединитель ODJ необходимо удалить с компьютера, это также необходимо сделать локально на компьютере. Соединитель ODJ нельзя удалить с помощью портала Intune или вызова API graph.

Чтобы удалить соединитель ODJ с компьютера, выполните следующие действия:

  1. Войдите на компьютер, на котором размещен соединитель ODJ.
  2. Щелкните правой кнопкой мыши меню Пуск и выберите Параметры.
  3. В окне Параметры Windows выберите Приложения.
  4. В разделе Приложения & функции найдите и выберите Соединитель Intune для Active Directory.
  5. В разделе Соединитель Intune для Active Directory нажмите кнопку Удалить , а затем еще раз нажмите кнопку Удалить .
  6. Соединитель ODJ продолжает удаление.

Дальнейшие действия

После настройки Windows Autopilot узнайте, как управлять этими устройствами. Дополнительные сведения см. в статье Что такое управление устройствами с помощью Microsoft Intune.

Связанные материалы