Distribuire dispositivi aggiunti ad Azure AD ibrido usando Intune e Windows Autopilot

Si applica a

  • Windows 10

È possibile usare Intune e Windows Autopilot per configurare i dispositivi aggiunti ad Azure Active Directory ibrido. A tale scopo, eseguire i passaggi descritti in questo articolo. Per altre informazioni sull'aggiunta Azure AD ibrida, vedere Understanding hybrid Azure AD join and co-management (Informazioni sull'aggiunta Azure AD ibrida e sulla co-gestione).

Prerequisiti

Configurare correttamente i dispositivi aggiunti ad Azure AD ibrido. Assicurarsi di verificare la registrazione del dispositivo usando il cmdlet Get-MsolDevice.

Il dispositivo da registrare deve soddisfare i requisiti seguenti:

  • Usare Windows 10 versione 1809 o successiva.
  • Avere accesso a Internet seguendo le Windows di rete di Autopilot.
  • Avere accesso a un controller di dominio di Active Directory. Il dispositivo deve essere connesso alla rete dell'organizzazione in modo che possa:
    • Risolvere i record DNS per il dominio di Active Directory e il controller di dominio AD.
    • Comunicare con il controller di dominio per autenticare l'utente.
  • Eseguire correttamente il ping del controller di dominio del dominio a cui si sta tentando di aggiungersi.
  • Se si usa un proxy, è necessario abilitare e configurare l'opzione delle impostazioni proxy WPAD.
  • Eseguire la Configurazione guidata.
  • Usare un tipo di autorizzazione supportato da Azure Active Directory nella Configurazione guidata.

Configurare la registrazione automatica di Windows 10

  1. Accedere ad Azure e nel riquadro sinistro selezionare Azure Active Directory > Mobility (MDM e MAM) > Microsoft Intune.

  2. Assicurarsi che gli utenti che distribuiscono Azure AD aggiunti a un dispositivo con Intune e Windows siano membri di un gruppo incluso nell'ambito utente MDM.

    Riquadro Configura di Servizi Mobility (MDM e MAM)

  3. Usare i valori predefiniti nelle caselle URL delle condizioni per l'utilizzo di MDM, URL individuazione MDM e URL conformità MDM, quindi selezionare Salva.

Aumentare il limite di account computer nell'unità organizzativa

Intune Connector per Active Directory crea computer registrati in Autopilot nel dominio Active Directory locale. Il computer che ospita Intune Connector deve avere l'autorizzazione per la creazione di oggetti computer all'interno del dominio.

In alcuni domini, ai computer non vengono concessi i diritti per la creazione di computer. Sui domini è anche impostato un limite predefinito (pari a 10) che si applica a tutti gli utenti e i computer a cui non sono stati delegati i diritti di creazione di oggetti computer. I diritti devono essere delegati ai computer che ospitano il connettore Intune nell'unità organizzativa in cui vengono creati i Azure AD aggiunti all'identità ibrida.

L'unità organizzativa a cui vengono assegnate le autorizzazioni per la creazione di computer deve corrispondere a:

  • L'unità organizzativa specificata nel profilo Aggiunta a un dominio.
  • Se non è selezionato alcun profilo, il nome di dominio del computer per il dominio.
  1. Aprire Utenti e computer di Active Directory (DSA.msc) .

  2. Fare clic con il pulsante destro del mouse sull'unità organizzativa da usare per creare computer Azure AD aggiunti ad > Delega controllo.

    Comando Delega controllo

  3. Nella procedura Delega guidata del controllo scegliere Avanti > Aggiungi > Tipi di oggetto.

  4. Nel riquadro Tipi di oggetto selezionare computer > OK.

    Riquadro Tipi di oggetto

  5. Nel riquadro Seleziona utenti, computer o gruppi nella casella Immettere i nomi degli oggetti da selezionare immettere il nome del computer in cui è installato Connector.

    Riquadro Seleziona utenti, computer o gruppi

  6. Selezionare Controlla nomi per convalidare l'immissione> OK > Avanti.

  7. Selezionare Crea un'attività personalizzata per eseguire la delega > Avanti.

  8. Selezionare Solo gli oggetti seguenti nella cartella Oggetti > computer.

  9. Selezionare Create selected objects in this folder (Crea oggetti selezionati in questa cartella) e Delete selected objects in this folder (Elimina oggetti selezionati in questa cartella).

    Riquadro Tipo di oggetti Active Directory

  10. Selezionare Avanti.

  11. In Autorizzazioni selezionare la casella di controllo Controllo completo. Questa azione consente di selezionare tutte le altre opzioni.

    Riquadro Autorizzazioni

  12. Selezionare Next > Finish (Avanti > Fine).

Installare Intune Connector

Il connettore di Intune per Active Directory deve essere installato in un computer che esegue Windows Server 2016 o versioni successive. Il computer deve anche avere accesso a Internet e al servizio Active Directory. Per aumentare la scalabilità e la disponibilità, è possibile installare più connettori nell'ambiente in uso. È consigliabile installare il connettore in un server che non esegue altri connettori di Intune. Ogni connettore deve essere in grado di creare oggetti computer in qualsiasi dominio che si vuole supportare.

Nota

Se l'organizzazione ha più domini e si installano più connettori intune, è necessario usare un account del servizio in grado di creare oggetti computer in tutti i domini, anche se si prevede di implementare l'aggiunta Azure AD ibrida solo per un dominio specifico. Se si tratta di domini non attendibili, è necessario disinstallare i connettori dai domini in cui non si vuole usare Windows Autopilot. In caso contrario, con più connettori in più domini, tutti i connettori devono essere in grado di creare oggetti computer in tutti i domini.

Intune Connector richiede gli stessi endpoint di Intune.

  1. Disattivare la Configurazione sicurezza avanzata IE. Per impostazione predefinita, in Windows Server la Configurazione sicurezza avanzata di Internet Explorer è attivata. Se non è possibile accedere a Intune Connector per Active Directory, disattivare Configurazione sicurezza avanzata IE per l'amministratore. Come disattivare la Configurazione sicurezza avanzata di Internet Explorer.
  2. Nell'interfaccia di amministrazione di Microsoft Endpoint Manager selezionare Dispositivi > Windows > Registrazione Windows > Connettore di Intune per Active Directory > Aggiungi.
  3. Seguire le istruzioni per scaricare il connettore.
  4. Aprire il file di installazione del connettore scaricato ODJConnectorBootstrapper.exe per installare il connettore.
  5. Al termine dell'installazione selezionare Configura.
  6. Selezionare Accedi.
  7. Immettere le credenziali utente del ruolo Amministratore globale o Amministratore di Intune. All'account utente deve essere assegnata una licenza di Intune.
  8. Passare a Dispositivi > Windows > Registrazione Windows > Connettore di Intune per Active Directory e verificare che lo stato della connessione sia Attivo.

Nota

Dopo l'accesso, la visualizzazione del connettore nell'interfaccia di amministrazione di Microsoft Endpoint Manager può richiedere qualche minuto. Il connettore viene visualizzato solo se può comunicare correttamente con il servizio Intune.

Nota

I connettori Intune inattivi verranno comunque visualizzati nel pannello Connettori intune e verranno automaticamente puliti dopo 30 giorni.

Configurare le impostazioni del proxy Web

Se nell'ambiente di rete è presente un proxy Web, vedere Usare server proxy locali esistenti per garantire il corretto funzionamento del connettore di Intune per Active Directory.

Creare un gruppo di dispositivi

  1. Nell'interfaccia di amministrazione di Microsoft Endpoint Manager selezionare Gruppi > Nuovo gruppo.

  2. Nel riquadro Gruppo scegliere le opzioni seguenti:

    1. In Tipo gruppo selezionare Sicurezza.
    2. Immettere un Nome gruppo e una Descrizione gruppo.
    3. Selezionare un Tipo di appartenenza.
  3. Se è stata selezionata l'opzione Dispositivi dinamici per il tipo di appartenenza, nel riquadro Gruppo selezionare Membri dispositivo dinamico.

  4. Nella casella Regola avanzata immettere una delle righe di codice seguenti:

    • Per creare un gruppo che includa tutti i dispositivi Autopilot, digitare (device.devicePhysicalIDs -any _ -contains "[ZTDId]").
    • Il campo Tag di gruppo di Intune è associato all'attributo OrderID nei dispositivi Azure AD. Se si vuole creare un gruppo che includa tutti i dispositivi Autopilot con un tag di gruppo (OrderID) specifico, digitare: (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")
    • Per creare un gruppo che includa tutti i dispositivi Autopilot con un ID ordine di acquisto specifico, digitare (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342").
  5. Selezionare Salva > Crea.

Registrare i dispositivi di Autopilot

Selezionare uno dei modi seguenti per registrare i dispositivi di Autopilot.

Registrare i dispositivi di Autopilot che sono già registrati

  1. Creare un profilo di distribuzione di Autopilot con l'opzione Converti tutti i dispositivi interessati in Autopilot impostata su .
  2. Assegnare il profilo a un gruppo contenente i membri da registrare automaticamente in Autopilot.

Per altre informazioni, vedere Creare un profilo di distribuzione Autopilot.

Registrare i dispositivi di Autopilot che non sono registrati

Se i dispositivi non sono ancora registrati, è possibile registrarli. Per altre informazioni, vedere Registrazione manuale.

Registrare i dispositivi da un OEM

Quando vengono acquistati nuovi dispositivi, alcuni OEM possono registrare i dispositivi per l'utente. Per altre informazioni, vedere Registrazione OEM.

Prima della registrazione in Intune, i dispositivi Autopilot registrati vengono visualizzati in tre posizioni (con i nomi impostati sui numeri di serie):

  • Il riquadro Dispositivi di Autopilot in Intune nel portale di Azure. Selezionare Registrazione dispositivi > Registrazione Windows > Dispositivo.
  • Il riquadro Dispositivi di Azure AD in Intune nel portale di Azure. Selezionare Dispositivi > Dispositivi di Azure AD.
  • Per visualizzare il riquadro Tutti dispositivi in Azure Active Directory nel portale di Azure selezionare Dispositivi > Tutti i dispositivi.

Dopo la registrazione i dispositivi di Autopilot vengono visualizzati in quattro posizioni:

  • Il riquadro Dispositivi di Autopilot in Intune nel portale di Azure. Selezionare Registrazione dispositivi > Registrazione Windows > Dispositivo.
  • Il riquadro Dispositivi di Azure AD in Intune nel portale di Azure. Selezionare Dispositivi > Dispositivi di Azure AD.
  • Il riquadro Tutti i dispositivi in Azure Active Directory nel portale di Azure. Selezionare Dispositivi > Tutti i dispositivi.
  • Il riquadro Tutti i dispositivi in Intune nel portale di Azure. Selezionare Dispositivi > Tutti i dispositivi.

Dopo la registrazione dei dispositivi di Autopilot, i nomi dei dispositivi diventano il nome host del dispositivo. Per impostazione predefinita, il nome host inizia con DESKTOP- .

VPN BYO supportate

Di seguito è riportato un elenco di client VPN che sono noti per essere testati e convalidati:

Client supportati:

  • Client VPN Windows in-box
  • Cisco AnyConnect (client Win32)
  • Pulse Secure (client Win32)
  • GlobalProtect (client Win32)
  • Checkpoint (client Win32)
  • Citrix NetScaler (client Win32)
  • SonicWall (client Win32)

Client non supportati:

  • Plug-in VPN basati su UWP
  • Tutto ciò che richiede un certificato utente
  • DirectAccess

Creare e assegnare un profilo di distribuzione AutoPilot

I profili di distribuzione AutoPilot vengono usati per configurare i dispositivi AutoPilot.

  1. Nell'interfaccia di amministrazione di Microsoft Endpoint Manager scegliere Dispositivi > Windows > Registrazione Windows > Profili di distribuzione > Crea profilo.
  2. Nella pagina Informazioni di base specificare un Nome e una Descrizione facoltativa.
  3. Se si vuole che tutti i dispositivi nei gruppi assegnati vengano automaticamente converti in Autopilot, impostare Converti tutti i dispositivi interessati in Autopilot su . Tutti i dispositivi di proprietà dell'azienda non Autopilot nei gruppi assegnati verranno registrati con il servizio di distribuzione Autopilot. I dispositivi personali non verranno convertiti in Autopilot. L'elaborazione della registrazione può richiedere fino a 48 ore. Quando la registrazione viene annullata e il dispositivo viene reimpostato, Autopilot eseguirà la registrazione. Dopo che un dispositivo è stato registrato in questo modo, se si disabilita o rimuove l'assegnazione del profilo, il dispositivo non verrà rimosso dal servizio di distribuzione di Autopilot. È invece necessario rimuovere direttamente il dispositivo.
  4. Selezionare Avanti.
  5. Nella pagina Configurazione guidata per Modalità di distribuzione selezionare Definita dall'utente.
  6. Nella casella Aggiungi ad Azure AD come selezionare Aggiunto ad Azure AD ibrido.
  7. Se si distribuiscono dispositivi all'esterno della rete dell'organizzazione usando il supporto VPN, impostare l'opzione Ignora controllo connettività dominio su Sì. Per altre informazioni, vedere User-driven mode for hybrid Azure Active Directory join with VPN support(Modalità guidata dall'utente per l'aggiunta Azure Active Directory con supporto VPN).
  8. Se necessario, configurare le opzioni rimanenti nella pagina Configurazione guidata.
  9. Selezionare Avanti.
  10. Nella pagina Tag di ambito selezionare i tag di ambito per il profilo.
  11. Selezionare Avanti.
  12. Nella pagina Assegnazioni selezionare Selezionare i gruppi da includere > cercare e selezionare il gruppo di dispositivi > Seleziona.
  13. Selezionare Avanti > Crea.

Il passaggio dello stato del profilo del dispositivo da Non assegnato ad Assegnazione e infine ad Assegnato richiede circa 15 minuti.

(Facoltativo) Attivare la pagina dello stato della registrazione

  1. Nell'interfaccia di amministrazione di Microsoft Endpoint Manager selezionare Dispositivi > Windows > Registrazione Windows > Pagina relativa allo stato della registrazione.
  2. Nel riquadro Pagina relativa allo stato della registrazione selezionare Predefinito > Impostazioni.
  3. Nella casella Mostra lo stato dell'installazione di profili e applicazioni scegliere .
  4. Configurare le altre opzioni in base alle proprie esigenze.
  5. Selezionare Salva.

Creare e assegnare un profilo di aggiunta al dominio

  1. Nell'interfaccia di amministrazione di Microsoft Endpoint Manager selezionare Dispositivi > Profili di configurazione > Crea profilo.

  2. Immettere le proprietà seguenti:

    • Nome: immettere un nome descrittivo per il nuovo profilo.
    • Descrizione: Immettere una descrizione del profilo.
    • Piattaforma: selezionare Windows 10 e versioni successive.
    • Tipo di profilo: selezionare Aggiunta a un dominio.
  3. Selezionare Impostazioni e quindi specificare Prefisso nome computer e Nome dominio.

  4. (Facoltativo) Specificare Unità organizzativa (OU) in formato nome distinto (DN). Alcune delle opzioni possibili sono:

    • Specificare un'unità organizzativa in cui è stato delegato il controllo al dispositivo Windows 2016 che esegue Intune Connector.
    • Specificare un'unità organizzativa in cui è stato delegato il controllo ai computer radice nell'implementazione Active Directory locale.
    • Se questo campo viene lasciato vuoto, l'oggetto computer verrà creato nel contenitore predefinito Active Directory (CN=Computers se non è mai stato modificato).

    Ecco alcuni esempi validi:

    • OU=Sub OU,OU=TopLevel OU,DC=contoso,DC=com
    • OU=Mine,DC=contoso,DC=com

    Ecco alcuni esempi non validi:

    • CN=Computers,DC=contoso,DC=com (non è possibile specificare un contenitore, ma lasciare vuoto il valore per usare il valore predefinito per il dominio)
    • OU=Miniera (è necessario specificare il dominio tramite gli attributi DC=)

    Nota

    Non racchiudere tra virgolette il valore in Unità organizzativa.

  5. Selezionare OK > Crea. Il profilo viene creato e visualizzato nell'elenco.

  6. Assegnare un profilo di dispositivo allo stesso gruppo usato nel passaggio Creare un gruppo di dispositivi. È possibile usare gruppi diversi se è necessario aggiungere dispositivi a domini o unità organizzative diversi.

Nota

Le funzionalità di denominazione per Windows Autopilot per l'aggiunta ad Azure AD ibrido non supportano le variabili, ad esempio %SERIAL%, e supportano solo i prefissi per il nome del computer.

Passaggi successivi

Dopo aver configurato Windows AutoPilot, scoprire come gestire i dispositivi. Per altre informazioni, vedere Informazioni sulla gestione dei dispositivi in Microsoft Intune.