ハイブリッド参加Microsoft Entra事前プロビジョニング: 組織単位 (OU) でコンピューター アカウントの制限を増やす
事前プロビジョニングされた展開用の Windows Autopilot Microsoft Entraハイブリッド参加手順:
- 手順 1: Windows 自動 Intune 登録を設定する
- 手順 2: Intune コネクタをインストールする
- 手順 3: 組織単位 (OU) でコンピューター アカウントの制限を増やす
- 手順 4: デバイスを Autopilot デバイスとして登録する
- 手順 5: デバイス グループを作成する
- 手順 6: Autopilot 登録状態ページ (ESP) を構成して割り当てる
- 手順 7: ハイブリッド参加 Autopilot プロファイルMicrosoft Entra作成して割り当てる
- 手順 8: ドメイン参加プロファイルを構成して割り当てる
- 手順 9: Autopilot デバイスをユーザーに割り当てる (省略可能)
- 手順 10: テクニシャン フロー
- 手順 11: ユーザー フロー
ハイブリッド参加ワークフロー Microsoft Entra事前プロビジョニングされた展開の Windows Autopilot の概要については、「事前プロビジョニングされた展開の Windows Autopilot Microsoft Entraハイブリッド参加の概要」を参照してください。
注:
Windows Autopilot ユーザー Microsoft Entra主導のハイブリッド参加シナリオの一環として、コンピューター アカウントの制限を適切な組織単位 (OU) に既に増やしている場合は、この手順をスキップして、「手順 4: デバイスを Autopilot デバイスとして登録する」に進むことができます。
組織単位 (OU) でコンピューター アカウントの制限を増やす
Intune コネクタの目的は、Autopilot プロセス中にコンピューターをオンプレミス ドメインに参加することです。 Intune コネクタは、ドメイン参加プロセス中に Active Directory の指定された組織単位 (OU) にコンピューター オブジェクトを作成します。 このため、Intune コネクタを実行しているサーバーには、コンピューターがオンプレミス ドメインに参加している OU 内のコンピューター アカウントを作成および削除するためのアクセス許可が必要です。
Active Directory の既定のアクセス許可では、Intune コネクタによるドメイン参加は、最初は Active Directory の OU に対するアクセス許可の変更なしで機能する場合があります。 ただし、Intune コネクタを実行しているサーバーが 10 台を超えるコンピューターをオンプレミス ドメインに参加しようとすると、動作が停止します。既定では、Active Directory では最大 10 台のコンピューターをオンプレミス ドメインに参加させることができます。
次のユーザーは、10 台のコンピューター ドメイン参加制限によって制限されません。
- [管理者] または [ドメイン管理者] グループのユーザー。
- コンピューター アカウントを作成および削除するための組織単位 (OU) と Active Directory 内のコンテナーに対する委任されたアクセス許可を持つユーザー。
この制限を解決するには、Intune コネクタを実行しているサーバーに、コンピューターがオンプレミス ドメインに参加している組織単位 (OU) でコンピューター アカウントを作成および削除するための委任されたアクセス許可が必要です。 また、Intune コネクタを実行しているサーバーに OU 内にコンピューターを作成するためのアクセス許可がない場合 (既定のアクセス許可が変更されている場合など) に、これらのアクセス許可を具体的に設定することもお勧めします。
Autopilot 中にコンピューターが参加している組織単位 (OU) のコンピューター アカウントの制限を増やすには、Active Directory ユーザーとコンピューター コンソールにアクセスできるコンピューターで次の手順を実行します。
DSA.msc を実行してActive Directory ユーザーとコンピューター コンソールを開きます。
目的のドメインを展開し、Autopilot 中にコンピューターが参加している組織単位 (OU) に移動します。
注:
Autopilot 展開中にコンピューターが参加する OU は、後でドメイン 参加プロファイルの構成と割り当ての 手順で指定します。
OU を右クリックし、[ 委任コントロール] を選択します。
注:
OU が指定されておらず、コンピューターが既定の Computers コンテナーに参加している場合は、[ コンピューター ] コンテナーを右クリックし、[ 委任コントロール] を選択します。
コントロールの委任ウィザードの [コントロールの委任ウィザードへようこそ] ウィンドウで、[次へ] を選択します。
[ ユーザーまたはグループ ] ウィンドウの [ 選択したユーザーとグループ] で、[追加] を選択 します。
[ このオブジェクトの種類を選択する] の横にある [ユーザー、コンピューター、またはグループの選択 ] ウィンドウで、[ オブジェクトの種類] を選択します。
[オブジェクトの種類] ウィンドウで、[コンピューター] チェック ボックスを選択し、[OK] を選択します。 このウィンドウ内の他の項目は、既定値のままにすることができます。
[ ユーザー、コンピューター、またはグループの選択 ] ウィンドウの [ 選択するオブジェクト名を入力 する] ボックスに、[ Intune コネクタのインストール ] ステップで Intune コネクタがインストールされたコンピューターの名前を入力します。
[ 名前の確認] を選択 して、エントリを検証します。 エントリが検証されたら、[ OK] を選択します。
[ ユーザーまたはグループ ] ウィンドウで、[ 選択したユーザーとグループ] に正しいコンピューターが表示されていることを確認し、[ 次へ] を選択します。
[ 委任するタスク ] ウィンドウで、[ 委任するカスタム タスクの作成] を選択し、[ 次へ] を選択します。
[ Active Directory オブジェクトの種類] ウィンドウで、次の手順を実行します。
フォルダー内の次のオブジェクトのみを選択します。
[ フォルダー内の次のオブジェクトのみ] で、[ コンピューター オブジェクト] を選択します。
[このフォルダーに選択したオブジェクトを作成する] ボックスと [このフォルダー内の選択したオブジェクトを削除する] チェックボックスの両方を選択します。
[次へ] を選択します。
[アクセス許可] ウィンドウの [アクセス許可:] で、[フル コントロール チェック] ボックスを選択し、[次へ] を選択します。
注:
[フル コントロール チェック] ボックスを選択すると、[アクセス許可:] の他のすべてのオプションが自動的に選択されます。 チェック ボックスの自動選択は正常であり、予期されます。 チェックボックスが自動的に選択された後は、選択を解除しないでください。
[ コントロールの委任ウィザードの完了 ] ウィンドウで、[完了] を選択 します。
次の手順: デバイスを Autopilot デバイスとして登録する
詳細
組織単位でコンピューター アカウントの制限を増やす方法の詳細については、次の記事を参照してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示