Nasazení hybridních zařízení připojených k Azure AD pomocí Intune a Windows Autopilotu

Platí pro

  • Windows 11
  • Windows 10

K nastavení zařízení připojených k hybridnímu Azure Active Directory (Azure AD) můžete použít Intune a Windows Autopilot. Postupujte podle kroků v tomto článku. Další informace o hybridním připojení ke službě Azure AD najdete v tématu Principy hybridního připojení k Azure AD a spolusprávy.

Požadavky

Úspěšně nakonfigurujte hybridní zařízení připojená k Azure AD. Nezapomeňte ověřit registraci zařízení pomocí rutiny Get-MsolDevice.

Zařízení, které se má zaregistrovat, musí splňovat tyto požadavky:

  • Použijte Windows 11 nebo Windows 10 verze 1809 nebo novější.
  • Mít přístup k internetu podle následujících Windows požadavků na síť Autopilot.
  • Mít přístup k řadiči domény služby Active Directory. Zařízení musí být připojené k síti organizace, aby mohlo:
    • Přeložte záznamy DNS pro doménu AD a řadič domény AD.
    • Komunikujte s řadičem domény a ověřte uživatele.
  • Úspěšně otestujte příkaz ping na řadič domény, ke které se pokoušíte připojit.
  • Pokud používáte proxy server, musí být povolená a nakonfigurovaná možnost nastavení proxy serveru WPAD.
  • Absolvujte prostředí OOBE (Out-of-Box Experience).
  • Použijte typ autorizace, který Azure Active Directory podporuje v OOBE.

Nastavení automatické registrace Windows

  1. Přihlaste se k Azure a v levém podokně vyberte Azure Active Directory > Mobility (MDM a MAM) > Microsoft Intune.

  2. Ujistěte se, že uživatelé, kteří nasazují zařízení připojená k Azure AD pomocí Intune a Windows, jsou členy skupiny zahrnuté v oboru uživatele MDM.

    Podokno Konfigurace mobility (MDM a MAM).

  3. Použijte výchozí hodnoty v polích ADRESA URL podmínek použití MDM, adresa URL zjišťování MDM a adresa URL dodržování předpisů MDM a pak vyberte Uložit.

Zvýšení limitu účtu počítače v organizační jednotce

Konektor Intune pro vaši službu Active Directory vytvoří počítače zaregistrované autopilotem v doméně místní Active Directory. Počítač, který je hostitelem konektoru Intune Connector, musí mít práva k vytvoření objektů počítače v rámci domény.

V některých doménách nejsou počítačům udělena práva k vytváření počítačů. Domény mají navíc předdefinovaný limit (výchozí hodnota 10), který platí pro všechny uživatele a počítače, které nemají delegovaná práva k vytváření objektů počítače. Práva musí být delegovaná na počítače, které hostují konektor Intune v organizační jednotce, ve které se vytvářejí hybridní zařízení připojená k Azure AD.

Organizační jednotka, která má udělená práva k vytváření počítačů, se musí shodovat:

  • Organizační jednotka zadaná v profilu Připojení k doméně.
  • Pokud není vybraný žádný profil, název domény počítače pro vaši doménu.
  1. Otevřete Uživatelé a počítače služby Active Directory (DSA.msc).

  2. Klikněte pravým tlačítkem na organizační jednotku, která se použije k vytvoření hybridních počítačů připojených k Azure AD > Delegovat řízení.

    Delegovat řízení příkaz.

  3. V průvodci delegováním ovládacího prvku vyberte typy NextAddObject > > .

  4. V podokně Typy objektů vyberte ComputersOK > .

    Podokno Typy objektů

  5. V podokně Vybrat uživatele, počítače nebo skupiny zadejte do pole Zadejte názvy objektů, které chcete vybrat , název počítače, na kterém je konektor nainstalovaný.

    Podokno Vybrat uživatele, počítače nebo skupiny

  6. Výběrem možnosti Zkontrolovat jména ověřte položku > OKNext > .

  7. Vyberte vytvořit vlastní úkol delegovatDalší > .

  8. V objektech folderComputer > vyberte pouze následující objekty.

  9. Vyberte vytvořit vybrané objekty v této složce a odstranit vybrané objekty v této složce.

    Podokno Typ objektu služby Active Directory

  10. Vyberte Další.

  11. V části Oprávnění zaškrtněte políčko Úplné řízení . Tato akce vybere všechny ostatní možnosti.

    Podokno Oprávnění

  12. Vyberte Další > Dokončit.

Instalace konektoru Intune

Konektor Intune pro Službu Active Directory musí být nainstalovaný na počítači, na kterém běží Windows Server 2016 nebo novější. Počítač musí mít také přístup k internetu a vaší službě Active Directory. Pokud chcete zvýšit škálování a dostupnost, můžete ve svém prostředí nainstalovat několik konektorů. Doporučujeme nainstalovat konektor na server, na kterém nejsou spuštěné žádné jiné konektory Intune. Každý konektor musí být schopen vytvářet objekty počítačů v libovolné doméně, kterou chcete podporovat.

Poznámka

Pokud má vaše organizace více domén a instalujete několik konektorů Intune, musíte použít účet služby, který dokáže vytvářet objekty počítačů ve všech doménách, i když plánujete implementovat hybridní připojení k Azure AD jenom pro konkrétní doménu. Pokud se jedná o nedůvěryhodné domény, musíte odinstalovat konektory z domén, ve kterých nechcete Windows Autopilot používat. V opačném případě musí být všechny konektory schopné vytvářet objekty počítačů ve všech doménách s více konektory napříč několika doménami.

Konektor Intune vyžaduje stejné koncové body jako Intune.

  1. Vypněte konfiguraci rozšířeného zabezpečení IE. Ve výchozím nastavení má Windows Server zapnutou konfiguraci rozšířeného zabezpečení aplikace Internet Explorer. Pokud se nemůžete přihlásit ke konektoru Intune Connector pro Active Directory, vypněte konfiguraci rozšířeného zabezpečení aplikace Internet Explorer pro správce. Jak vypnout konfiguraci rozšířeného zabezpečení aplikace Internet Explorer
  2. V centru pro správu Microsoft Endpoint Manager vyberte Zařízení > Windows > Windows registrace > Intune Konektor pro Active DirectoryAdd > .
  3. Postupujte podle pokynů ke stažení konektoru.
  4. Otevřete stažený instalační soubor konektoru ODJConnectorBootstrapper.exe a nainstalujte konektor.
  5. Na konci instalace vyberte Konfigurovat.
  6. Vyberte Přihlásit se.
  7. Zadejte přihlašovací údaje role správce Globální správce nebo Intune. Uživatelský účet musí mít přiřazenou licenci Intune.
  8. Přejděte do části Zařízení > Windows > Windows registrace > Intune Konektor pro Službu Active Directory a ověřte, že je stav připojení aktivní.

Poznámka

Role Globální správce je v době instalace dočasným požadavkem.

Poznámka

Po přihlášení ke konektoru může trvat několik minut, než se zobrazí v centru pro správu Microsoft Endpoint Manager. Zobrazí se pouze v případě, že může úspěšně komunikovat se službou Intune.

Poznámka

Neaktivní konektory Intune se stále zobrazí v okně Intune Konektory a automaticky se vyčistí po 30 dnech.

Konfigurace nastavení webového proxy serveru

Pokud máte ve svém síťovém prostředí webový proxy server, podle tématu Práce s existujícími místními proxy servery se ujistěte, že konektor Intune pro Active Directory funguje správně.

Vytvoření skupiny zařízení

  1. V centru pro správu Microsoft Endpoint Manager vyberte skupinu GroupsNew > .

  2. V podokně Skupina zvolte následující možnosti:

    1. Jako typ skupiny vyberte Zabezpečení.
    2. Zadejte název skupiny a popis skupiny.
    3. Vyberte typ členství.
  3. Pokud jste pro typ členství vybrali dynamická zařízení , vyberte v podokně Skupina dynamické členy zařízení.

  4. V poli Syntaxe pravidla vyberte Upravit a zadejte jeden z následujících řádků kódu:

    • Pokud chcete vytvořit skupinu, která zahrnuje všechna vaše zařízení Autopilot, zadejte .(device.devicePhysicalIDs -any _ -contains "[ZTDId]")
    • pole Značka skupiny Intune se mapuje na atribut OrderID na zařízeních Azure AD. Pokud chcete vytvořit skupinu, která obsahuje všechna vaše zařízení Autopilot s konkrétní značkou skupiny (OrderID), zadejte: (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881").
    • Pokud chcete vytvořit skupinu, která obsahuje všechna vaše zařízení Autopilot s konkrétním ID nákupní objednávky, zadejte (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342").
  5. Vyberte UložitVytvořit > .

Registrace zařízení Autopilot

Vyberte jeden z následujících způsobů registrace zařízení Autopilot.

Registrace zařízení Autopilot, která jsou už zaregistrovaná

  1. Vytvořte profil nasazení Autopilotu s nastavením Převést všechna cílová zařízení na Autopilot na Ano.
  2. Přiřaďte profil skupině obsahující členy, které chcete automaticky zaregistrovat v Autopilotu.

Další informace najdete v tématu Vytvoření profilu nasazení Autopilot.

Registrace zařízení Autopilot, která nejsou zaregistrovaná

Pokud vaše zařízení ještě nejsou zaregistrovaná, můžete je zaregistrovat sami. Další informace najdete v tématu Ruční registrace.

Registrace zařízení od výrobce OEM

Pokud kupujete nová zařízení, můžou za vás zařízení zaregistrovat někteří výrobci OEM. Další informace najdete v tématu Registrace OEM.

Před registrací do Intune se registrovaná zařízení Autopilot zobrazují na třech místech (s názvy nastavenými na jejich sériová čísla):

  • Podokno Zařízení Autopilot v Intune v Azure Portal. Vyberte registrace > zařízení Windows enrollmentDevices > .
  • Podokno Zařízení Azure AD v Intune v Azure Portal. Vyberte zařízení DevicesAzure > AD.
  • Podokno Všechna zařízení Azure AD v Azure Active Directory v Azure Portal výběrem možnosti ZařízeníVšechna > zařízení.

Po registraci zařízení Autopilot se zobrazí na čtyřech místech:

  • Podokno Zařízení Autopilot v Intune v Azure Portal. Vyberte registrace > zařízení Windows enrollmentDevices > .
  • Podokno Zařízení Azure AD v Intune v Azure Portal. Vyberte zařízení DevicesAzure > AD.
  • Podokno Všechna zařízení Azure AD v Azure Active Directory v Azure Portal. Vyberte ZařízeníVšechna > zařízení.
  • Podokno Všechna zařízení v Intune v Azure Portal. Vyberte ZařízeníVšechna > zařízení.

Po registraci zařízení Autopilot se jejich názvy stanou názvem hostitele zařízení. Ve výchozím nastavení začíná název hostitele desktopem. Objekt zařízení se předem vytvoří v Azure AD po registraci zařízení v Autopilotu. Když zařízení projde hybridním nasazením Azure AD, vytvoří se záměrně jiný objekt zařízení, jehož výsledkem jsou duplicitní položky.

Podporované sítě VPN byO

Tady je seznam klientů VPN, o kterých je známo, že se testují a ověřují:

Podporovaní klienti:

  • Místní Windows klienta VPN
  • Cisco AnyConnect (klient Win32)
  • Pulse Secure (klient Win32)
  • GlobalProtect (klient Win32)
  • Kontrolní bod (klient Win32)
  • Citrix NetScaler (klient Win32)
  • SonicWall (klient Win32)
  • FortiClient VPN (klient Win32)

Nepodporovaná klienti:

  • Moduly plug-in VPN založené na UPW
  • Cokoli, co vyžaduje uživatelský certifikát
  • Directaccess

Vytvoření a přiřazení profilu nasazení Autopilotu

Profily nasazení Autopilot se používají ke konfiguraci zařízení Autopilot.

  1. V centru pro správu Microsoft Endpoint Manager vyberte Zařízení > Windows > Windows profily > pro > nasazení registraceVytvoření profilu.
  2. Na stránce Základy zadejte název a volitelný popis.
  3. Pokud chcete, aby se všechna zařízení v přiřazených skupinách automaticky převedla na Autopilot, nastavte Převést všechna cílová zařízení na Autopilot na Ano. Všechna firemní zařízení, která nejsou autopilotem v přiřazených skupinách, se zaregistrují ve službě nasazení Autopilot. Zařízení v osobním vlastnictví se nepřevedou na Autopilot. Povolte 48 hodin, než se registrace zpracuje. Když se zařízení zruší a resetuje, Autopilot ho zaregistruje. Po registraci zařízení tímto způsobem se zakázáním této možnosti nebo odebráním přiřazení profilu neodebere zařízení ze služby nasazení Autopilot. Místo toho musíte zařízení odebrat přímo.
  4. Vyberte Další.
  5. Na stránce OOBE (Out-of-box experience) vyberte v poli Režim nasazení možnost Řízeno uživatelem.
  6. V poli Připojit se k Azure AD jako vyberte Připojeno k hybridní službě Azure AD.
  7. Pokud nasazujete zařízení mimo síť organizace pomocí podpory sítě VPN, nastavte možnost Přeskočit kontrolu připojení k doméně na Ano. Další informace najdete v tématu User-driven mode for hybrid Azure Active Directory join with VPN support.
  8. Podle potřeby nakonfigurujte zbývající možnosti na stránce OOBE (Out-of-box experience ).
  9. Vyberte Další.
  10. Na stránce Značky oboru vyberte značky oboru pro tento profil.
  11. Vyberte Další.
  12. Na stránce Zadání vyberte Vybrat skupiny, které chcete zahrnout > hledání, a vyberte skupinu zařízení > Vybrat.
  13. Vyberte DalšíVytvořit > .

Změna stavu profilu zařízení z Nepřiřazeno na Přiřazení a nakonec na Přiřazeno trvá přibližně 15 minut.

(Volitelné) Zapnutí stránky stavu registrace

  1. V centru pro správu Microsoft Endpoint Manager vyberte Zařízení > Windows > Windows stavová stránka registrace > .
  2. V podokně Stránka stavu registrace vyberte Výchozí > Nastavení.
  3. V okně Zobrazit průběh instalace aplikace a profilu vyberte Ano.
  4. Podle potřeby nakonfigurujte další možnosti.
  5. Vyberte Uložit.

Vytvoření a přiřazení profilu připojení k doméně

  1. V centru pro správu Microsoft Endpoint Manager vyberte profily > DevicesConfigurationVytvořit > profil.

  2. Zadejte tyto vlastnosti:

    • Název: Zadejte popisný název nového profilu.
    • Popis: Zadejte popis profilu.
    • Platforma: Vyberte Windows 10 a novější.
    • Typ profilu: Vyberte šablony, zvolte název šablony Připojení k doméně a vyberte Vytvořit.
  3. Zadejte název a popis a vyberte Další.

  4. Zadejte předponu názvu počítače a název domény.

  5. (Volitelné) Zadejte organizační jednotku (OU) ve formátu DN. Mezi vaše možnosti patří:

    • Zadejte organizační jednotka, ve které jste delegovali řízení na zařízení Windows 2016 se spuštěným konektorem Intune Connector.
    • Zadejte organizační jednotka, ve které jste delegovali řízení na kořenové počítače v místní službě Active Directory.
    • Pokud toto pole necháte prázdné, objekt počítače se vytvoří ve výchozím kontejneru služby Active Directory (CN=Computers, pokud jste ho nikdy nezměnili).

    Tady je několik platných příkladů:

    • OU=Sub OU,OU=TopLevel OU,DC=contoso,DC=com
    • OU=Moje,DC=contoso,DC=com

    Tady je několik příkladů, které nejsou platné:

    • CN=Computers,DC=contoso,DC=com (kontejner nemůžete zadat, místo toho ponechte hodnotu prázdnou, aby se pro doménu použilo výchozí nastavení).
    • OU=Moje (musíte zadat doménu prostřednictvím atributů DC=)

    Poznámka

    Nepoužívejte uvozovky kolem hodnoty v organizační jednotce.

  6. Vyberte OKCreate > . Profil se vytvoří a zobrazí v seznamu.

  7. Přiřaďte profil zařízení ke stejné skupině použité v kroku Vytvoření skupiny zařízení. Pokud je potřeba připojit zařízení k různým doménám nebo organizačním jednotekm, můžete použít různé skupiny.

Poznámka

Funkce pojmenování pro Windows Autopilot pro hybridní připojení ke službě Azure AD Join nepodporují proměnné, jako je %SERIAL%, a podporují pouze předpony pro název počítače.

Další kroky

Po konfiguraci Windows Autopilotu se dozvíte, jak tato zařízení spravovat. Další informace najdete v tématu Co je správa Microsoft Intune zařízení?