Aktivera att domän anslutna Windows 10-enheter hanteras av Microsoft 365 Business Premium
Om din organisation använder Windows Server Active Directory lokalt kan du konfigurera Microsoft 365 Business Premium för att skydda dina Windows 10-enheter, samtidigt som du behåller åtkomsten till lokala resurser som kräver lokal autentisering. Om du vill konfigurera det här skyddet kan du implementera Hybrid Azure AD-anslutna enheter. De här enheterna är anslutna till både din lokala Active Directory och din Azure Active Directory.
Titta på: Konfigurera Azure Active Directory hybridkoppling
I den här videon beskrivs stegen för hur du ställer in detta för det vanligaste scenariot, som också beskrivs i anvisningarna nedan.
Innan du börjar
- Synkronisera användare till Azure AD med Azure AD Anslut.
- Slutför synkroniseringen av Azure AD Anslut organisationsenhet (OU).
- Kontrollera att alla domänanvändare som du synkroniserar har licenser för att Microsoft 365 Business Premium.
Instruktioner finns i Synkronisera domänanvändare till Microsoft.
1. Verifiera MDM Authority i Intune
Gå till Endpoint Manager sidan Microsoft Intune väljer Enhetsregistrering. På sidan Översikt kontrollerar du att MDM-behörighet är Intune.
- Om MDM-behörighet är Ingen klickar du på MDM-behörigheten för att ange den till Intune.
- Om MDM-behörighet är Microsoft Office 365 går du till Enheter Registrera enheter och använder dialogrutan Lägg till MDM-behörighet till höger för att lägga till > Intune MDM-utfärdare (dialogrutan Lägg till MDM-instans är bara tillgänglig om MDM-instansen är inställd på Microsoft Office 365).
2. Kontrollera att Azure AD är aktiverat för anslutning till datorer
- Gå till administrationscentret och välj Azure Active Directory (välj Visa alla om Azure Active Directory inte https://admin.microsoft.com visas) i listan Administrationscenter.
- I administrationscentret Azure Active Directory du till , Azure Active Directory väljer Enheter och sedan Enhetsinställningar.
- Kontrollera att Användare kan ansluta enheter till Azure AD är aktiverat
- Om du vill aktivera alla användare anger du alla.
- Om du vill aktivera vissa användare anger du markerad för att aktivera en viss grupp av användare.
- Lägg till önskade domänanvändare som synkroniserats i Azure AD till en säkerhetsgrupp.
- Välj Välj grupper för att aktivera MDM-användaromfattningen för säkerhetsgruppen.
3. Kontrollera att Azure AD är aktiverat för MDM
Gå till administrationscentret och https://admin.microsoft.com välj Slutpunkt hanteramenyer(välj Visa alla om Endpoint Manager inte visas)
I administrationscentret för Microsoft Endpoint Manager går du till Enheter som > Windows > Windows Automatisk > registrering.
Kontrollera att MDM-användaromfattningen är aktiverad.
- Om du vill registrera alla datorer anger du Alla för automatisk registrering av alla användardatorer som är medlemmar i Azure AD och nya datorer när användarna lägger till ett arbetskonto i Windows.
- Ange några för att registrera datorer i en viss grupp av användare.
- Lägg till önskade domänanvändare som synkroniserats i Azure AD till en säkerhetsgrupp.
- Välj Välj grupper för att aktivera MDM-användaromfattningen för säkerhetsgruppen.
4. Skapa de resurser som krävs
Det har blivit enklare att utföra de uppgifter som krävs för att konfigurera hybrid-AD-koppling med hjälp av cmdleten Initialize-SecMgmtHybirdDeviceEnrollment som hittades i PowerShell-modulen SecMgmt. När du anropar den här cmdleten skapas och konfigureras den nödvändiga tjänstanslutningspunkten och grupprincipen.
Du kan installera den här modulen genom att skapa följande från en instans av PowerShell:
Install-Module SecMgmt
Viktigt
Vi rekommenderar att du installerar den här modulen på den Windows server som kör Azure AD Anslut.
Om du vill skapa den tjänstanslutningspunkt och grupprincip som krävs anropar du cmdleten Initialize-SecMgmtHybirdDeviceEnrollment. Du behöver dina autentiseringsuppgifter Microsoft 365 Business Premium global administratör när du utför den här uppgiften. När du är redo att skapa resurserna anropar du följande:
PS C:\> Connect-SecMgmtAccount
PS C:\> Initialize-SecMgmtHybirdDeviceEnrollment -GroupPolicyDisplayName 'Device Management'
Med det första kommandot upprättas en anslutning till Microsoft-molnet, och när du uppmanas att göra det anger du Microsoft 365 Business Premium som global administratör.
5. Länka grupprincipen
- I GPMC (Group Policy Management Console) högerklickar du på den plats där du vill länka principen och väljer Länka en befintlig GPO... på snabbmenyn.
- Välj principen som skapades i steget ovan och klicka sedan på OK.
Hämta de senaste administrativa mallarna
Om du inte ser principen Aktivera automatisk MDM-registrering med standardautentiseringsuppgifter för Azure AD kan det beror på att du inte har ADMX installerat för Windows 10, version 1803 eller senare. Lös problemet genom att följa de här anvisningarna (Obs! den senaste MDM.admx är bakåtkompatibel):
- Ladda ned: Administrativa mallar (.admx) för Windows 10 oktober 2020-uppdatering (20H2).
- Installera paketet på en domänkontrollant.
- Navigera, beroende på versionen av Administrativa mallar, till mappen: C:\Program Files (x86)\Microsoft Group Policy\Windows 10 oktober 2020-uppdatering (20H2).
- Byt namn på mappen Principdefinitioner i sökvägen ovan till Principdefinitioner.
- Kopiera mappen Principdefinitioner till SYSVOL-resursen, som standard finns i C:\Windows\SYSVOL\domän\Principer.
- Om du planerar att använda ett centralt principarkiv för hela domänen lägger du till innehållet i Principdefinitioner där.
- Om du har flera domänkontrollanter väntar du tills SYSVOL replikerar för att principerna ska vara tillgängliga. Den här proceduren fungerar även för alla framtida versioner av administrativa mallar.
Nu bör du kunna se principen Aktivera automatisk MDM-registrering med hjälp av standardautentiseringsuppgifter för Azure AD.
Relaterat innehåll
Synkronisera domänanvändare till Microsoft 365 (artikel)
Skapa en grupp i administrationscentret (artikel)
Självstudiekurs: Konfigurera Azure Active Directory-hybridlösningar för hanterade domäner (artikel)