Abilitare i dispositivi Windows 10 aggiunti a un dominio per essere gestiti da Microsoft 365 Business PremiumEnable domain-joined Windows 10 devices to be managed by Microsoft 365 Business Premium

Se l'organizzazione usa Windows Server Active Directory locale, è possibile configurare Microsoft 365 Business Premium per proteggere i dispositivi Windows 10, mantenendo comunque l'accesso alle risorse locali che richiedono l'autenticazione locale.If your organization uses Windows Server Active Directory on-premises, you can set up Microsoft 365 Business Premium to protect your Windows 10 devices, while still maintaining access to on-premises resources that require local authentication. Per configurare questa protezione, è possibile implementare dispositivi aggiunti ad Azure AD ibridi.To set up this protection, you can implement Hybrid Azure AD joined devices. Questi dispositivi vengono aggiunti sia ad Active Directory locale che all'Azure Active Directory.These devices are joined to both your on-premises Active Directory and your Azure Active Directory.

Watch: Configure Hybrid Azure Active Directory joinWatch: Configure Hybrid Azure Active Directory join

In questo video vengono descritti i passaggi per configurare questo scenario per lo scenario più comune, descritto anche nei passaggi seguenti.This video describes the steps for how to set this up for the most common scenario, which is also detailed in the steps that follow.

Prima di iniziareBefore you begin

  • Sincronizzare gli utenti con Azure AD con Azure AD Connessione.Synchronize users to Azure AD with Azure AD Connect.
  • Completare la sincronizzazione Connessione unità organizzativa (OU) di Azure AD.Complete Azure AD Connect Organizational Unit (OU) sync.
  • Assicurati che tutti gli utenti di dominio sincronizzati siano in grado di Microsoft 365 Business Premium.Make sure all the domain users you sync have licenses to Microsoft 365 Business Premium.

Per la procedura, vedere Sincronizzare gli utenti di dominio con Microsoft.See Synchronize domain users to Microsoft for the steps.

1. Verificare l'autorità MDM in Intune1. Verify MDM Authority in Intune

Vai a Endpoint Manager e nella pagina Microsoft Intune, seleziona Registrazione dispositivo , quindi nella pagina Panoramica assicurati che l'autorità MDM sia Intune.Go to Endpoint Manager and on the Microsoft Intune page, select Device enrollment, then on the Overview page, make sure MDM authority is Intune.

  • Se l'autorità MDM è None, fai clic sull'autorità MDM per impostarla su Intune.If MDM authority is None, click the MDM authority to set it to Intune.
  • Se l'autorità MDM è Microsoft Office 365 , vai a Dispositivi Registra dispositivi e usa la finestra di dialogo Aggiungi autorità MDM a destra per aggiungere l'autorità MDM di Intune (la finestra di dialogo Aggiungi autorità MDM è disponibile solo se l'autorità MDM è impostata su > Microsoft Office 365). If MDM authority is Microsoft Office 365,go to Devices > Enroll devices and use the Add MDM authority dialog on the right to add Intune MDM authority (the Add MDM Authority dialog is only available if the MDM Authority is set to Microsoft Office 365).

2. Verificare che Azure AD sia abilitato per l'aggiunta di computer2. Verify Azure AD is enabled for joining computers

  • Passare all'interfaccia di amministrazione in e selezionare Azure Active Directory (selezionare Mostra tutto se Azure Active Directory non https://admin.microsoft.com è visibile) nell'elenco Delle admin center.Go to the admin center at https://admin.microsoft.com and select Azure Active Directory (select Show all if Azure Active Directory is not visible) in the Admin centers list.
  • Nell'Azure Active Directory di amministrazione, vai a Azure Active Directory , scegli Dispositivi e quindi Impostazioni dispositivo.In the Azure Active Directory admin center, go to Azure Active Directory , choose Devices and then Device settings.
  • Verificare che gli utenti possano aggiungere dispositivi ad Azure AD sia abilitatoVerify Users may join devices to Azure AD is enabled
    1. Per abilitare tutti gli utenti, impostare su Tutti.To enable all users, set to All.
    2. Per abilitare utenti specifici, impostare su Selezionato per abilitare un gruppo specifico di utenti.To enable specific users, set to Selected to enable a specific group of users.
      • Aggiungere gli utenti di dominio desiderati sincronizzati in Azure AD a un gruppo di sicurezza.Add the desired domain users synced in Azure AD to a security group.
      • Scegliere Seleziona gruppi per abilitare l'ambito utente MDM per il gruppo di sicurezza.Choose Select groups to enable MDM user scope for that security group.

3. Verificare che Azure AD sia abilitato per MDM3. Verify Azure AD is enabled for MDM

  • Passare all'interfaccia di amministrazione in e selezionare Gestione endpoint t (selezionare Mostra tutto se Endpoint Manager https://admin.microsoft.com non è visibile) Go to the admin center at https://admin.microsoft.com and select select Endpoint Managemen t (select Show all if Endpoint Manager is not visible)

  • Nell'Microsoft Endpoint Manager di amministrazione passare a Dispositivi > Windows > Windows registrazione > automatica.In the Microsoft Endpoint Manager admin center, go to Devices > Windows > Windows Enrollment > Automatic Enrollment.

  • Verificare che l'ambito utente MDM sia abilitato.Verify MDM user scope is enabled.

    1. Per registrare tutti i computer, impostare su Tutti per registrare automaticamente tutti i computer utente aggiunti ad Azure AD e ai nuovi computer quando gli utenti aggiungono un account aziendale a Windows.To enroll all computers, set to All to automatically enroll all user computers that are joined to Azure AD and new computers when the users add a work account to Windows.
    2. Impostare su Some per registrare i computer di un gruppo specifico di utenti.Set to Some to enroll the computers of a specific group of users.
      • Aggiungere gli utenti di dominio desiderati sincronizzati in Azure AD a un gruppo di sicurezza.Add the desired domain users synced in Azure AD to a security group.
      • Scegliere Seleziona gruppi per abilitare l'ambito utente MDM per il gruppo di sicurezza.Choose Select groups to enable MDM user scope for that security group.

4. Creare le risorse necessarie4. Create the required resources

L'esecuzione delle attività necessarie per configurare l'aggiunta ibrida di Azure AD è stata semplificata tramite l'utilizzo del cmdlet Initialize-SecMgmtHybirdDeviceEnrollment disponibile nel modulo SecMgmt PowerShell.Performing the required tasks to configure hybrid Azure AD join has been simplified through the use of the Initialize-SecMgmtHybirdDeviceEnrollment cmdlet found in the SecMgmt PowerShell module. Quando si richiama questo cmdlet, verrà creato e configurato il punto di connessione del servizio e i criteri di gruppo necessari.When you invoke this cmdlet it will create and configure the required service connection point and group policy.

È possibile installare questo modulo richiamando quanto segue da un'istanza di PowerShell:You can install this module by invoking the following from an instance of PowerShell:

Install-Module SecMgmt

Importante

È consigliabile installare questo modulo nel Windows Server che esegue Azure AD Connessione.It is recommended that you install this module on the Windows Server running Azure AD Connect.

Per creare il punto di connessione del servizio e i criteri di gruppo necessari, verrà richiamato il cmdlet Initialize-SecMgmtHybirdDeviceEnrollment.To create the required service connection point and group policy, you will invoke the Initialize-SecMgmtHybirdDeviceEnrollment cmdlet. Per eseguire questa attività, Microsoft 365 Business Premium le credenziali di amministratore globale.You will need your Microsoft 365 Business Premium global admin credentials when performing this task. Quando si è pronti per creare le risorse, richiamare quanto segue:When you are ready to create the resources, invoke the following:

PS C:\> Connect-SecMgmtAccount
PS C:\> Initialize-SecMgmtHybirdDeviceEnrollment -GroupPolicyDisplayName 'Device Management'

Il primo comando stabilisce una connessione con il cloud Microsoft e, quando richiesto, specifica le credenziali Microsoft 365 Business Premium amministratore globale.The first command will establish a connection with the Microsoft cloud, and when you are prompted, specify your Microsoft 365 Business Premium global admin credentials.

  1. Nella Console Gestione Criteri di gruppo fare clic con il pulsante destro del mouse sul percorso in cui si desidera collegare il criterio e scegliere Collega un oggetto Criteri di gruppo esistente dal menu di scelta rapida.In the Group Policy Management Console (GPMC), right-click on the location where you want to link the policy and select Link an existing GPO... from the context menu.
  2. Selezionare il criterio creato nel passaggio precedente, quindi fare clic su OK.Select the policy created in the above step, then click OK.

Ottenere i modelli amministrativi più recentiGet the latest Administrative Templates

Se il criterio Abilita registrazione MDM automatica con le credenziali predefinite di Azure AD non è visualizzato, è possibile che l'ADMX non sia installato per Windows 10, versione 1803 o successiva.If you do not see the policy Enable automatic MDM enrollment using default Azure AD credentials, it may be because you don’t have the ADMX installed for Windows 10, version 1803, or later. Per risolvere il problema, segui questi passaggi (Nota: l'ultimo file MDM.admx è compatibile con le versioni precedenti):To fix the issue, follow these steps (Note: the latest MDM.admx is backwards compatible):

  1. Download: Administrative Templates (.admx) for Windows 10 October 2020 Update (20H2).Download: Administrative Templates (.admx) for Windows 10 October 2020 Update (20H2).
  2. Installare il pacchetto in un controller di dominio.Install the package on a Domain Controller.
  3. Passare alla cartella C:\Programmi (x86)\Microsoft Group Policy\Windows 10 October 2020 Update (20H2) a seconda della versione dei modelli amministrativi.Navigate, depending on the Administrative Templates version to the folder: C:\Program Files (x86)\Microsoft Group Policy\Windows 10 October 2020 Update (20H2).
  4. Rinominare la cartella Policy Definitions nel percorso precedente in PolicyDefinitions.Rename the Policy Definitions folder in the above path to PolicyDefinitions.
  5. Copiare la cartella PolicyDefinitions nella condivisione SYSVOL, per impostazione predefinita in C:\Windows\SYSVOL\domain\Policies.Copy the PolicyDefinitions folder to your SYSVOL share, by default located at C:\Windows\SYSVOL\domain\Policies.
    • Se si prevede di usare un archivio criteri centrale per l'intero dominio, aggiungere il contenuto di PolicyDefinitions.If you plan to use a central policy store for your entire domain, add the contents of PolicyDefinitions there.
  6. Nel caso in cui siano presenti più controller di dominio, attendere la replica di SYSVOL per la disponibilità dei criteri.In case you have several Domain Controllers, wait for SYSVOL to replicate for the policies to be available. Questa procedura funzionerà anche per qualsiasi versione futura dei modelli amministrativi.This procedure will work for any future version of the Administrative Templates as well.

A questo punto dovrebbe essere possibile visualizzare il criterio Abilita registrazione AUTOMATICA MDM usando le credenziali predefinite di Azure AD disponibili.At this point you should be able to see the policy Enable automatic MDM enrollment using default Azure AD credentials available.

Sincronizzare gli utenti di dominio Microsoft 365 (articolo)Synchronize domain users to Microsoft 365 (article)
Creare un gruppo nell'interfaccia di amministrazione (articolo)Create a group in the admin center (article)
Esercitazione: Configurare l'Azure Active Directory ibrida per i domini gestiti (articolo)Tutorial: Configure hybrid Azure Active Directory join for managed domains (article)