使用 Intune 和 Windows Autopilot 部署 Microsoft Entra 混合式聯結裝置
重要事項
Microsoft 建議使用 Microsoft Entra 加入,將新裝置部署為雲端原生裝置。 不建議將新裝置部署為 Microsoft Entra 混合式聯結裝置,包括透過 Autopilot。 如需詳細資訊,請參閱 Microsoft Entra 加入與 Microsoft Entra 雲端原生端點中的混合式聯結:哪一個選項適合您的組織。
您可以使用 Intune 和 Windows Autopilot 來設定 Microsoft Entra 混合式聯結裝置。 若要這樣做,請遵循本文中的步驟。 如需 Microsoft Entra 混合式加入的詳細資訊,請參閱瞭解混合式聯結和共同管理 Microsoft Entra。
必要條件
- 已成功設定 Microsoft Entra 混合式聯結裝置。 請務必使用 Get-MgDevice Cmdlet 來驗證您的裝置註冊。
- 如果網域和 OU 型篩選已設定為 Microsoft Entra Connect 的一部分,請確定預設組織單位 (OU) 或適用於 Autopilot 裝置的容器包含在同步處理範圍中。
裝置註冊必要條件
要註冊的裝置必須遵循下列需求:
- 使用 Windows 11 或 Windows 10 1809 版或更新版本。
- 可 遵循 Windows Autopilot 網路需求存取因特網。
- 可存取 Active Directory 域控制器。
- 成功偵測您嘗試加入之網域的域控制器。
- 如果使用 Proxy,則必須啟用和設定 WPAD Proxy 設定選項。
- 經歷 OOBE) (現成體驗。
- 使用 OOBE 中 Microsoft Entra ID 支援的授權類型。
雖然並非必要,但在部署期間,為 Active Directory 同盟服務 (AD FS) 設定 Microsoft Entra 混合式加入可讓 Windows Autopilot Microsoft Entra 註冊程式更快速。 不支援使用密碼和使用AD FS的同盟客戶,必須遵循 Active Directory 同盟服務 prompt=login 參數支援一文中的步驟,以正確設定驗證體驗。
Intune 連接器伺服器必要條件
Intune Connector for Active Directory 必須安裝在執行 Windows Server 2016 或更新版本且 .NET Framework 4.7.2 版或更新版本的計算機上。
裝載 Intune 連接器的伺服器必須能夠存取因特網和您的 Active Directory。
注意事項
Intune 連接器伺服器需要域控制器的標準網域用戶端存取權,其中包括與 Active Directory 通訊所需的 RPC 埠需求。 如需詳細資訊,請參閱下列文章:
若要增加規模和可用性,您可以在環境中安裝多個連接器。 建議您在未執行任何其他 Intune 連接器的伺服器上安裝連接器。 每個連接器都必須能夠在您想要支援的任何網域中建立計算機物件。
如果您的組織有多個網域,而且您安裝了多個 Intune 連接器,就必須使用可在所有網域中建立計算機物件的網域服務帳戶。 即使您計劃只針對特定網域實作 Microsoft Entra 混合式加入,此需求也是如此。 如果這些網域是不受信任的網域,您必須從不想使用 Windows Autopilot 的網域卸載連接器。 否則,若有多個連接器跨越多個網域,所有連接器都必須能夠在所有網域中建立計算機物件。
此連接器服務帳戶必須具有下列許可權:
- 以服務方式登入。
- 必須是 網域使用者 群組的一部分。
- 必須是裝載連接器之 Windows 伺服器上本機 Administrators 群組的成員。
重要事項
服務帳戶不支援受控服務帳戶。 服務帳戶必須是網域帳戶。
Intune 連接器需要 與 Intune 相同的端點。
設定 Windows 自動 MDM 註冊
登入 Azure 入口網站。 在左窗格中,選取 Microsoft Entra ID>Mobility (MDM 和 MAM) >Microsoft Intune。
請確定使用 Intune 和 Windows 部署已加入 Microsoft Entra 裝置的使用者是 MDM 用戶範圍中包含的群組成員。
使用 [MDM 使用規定 URL]、[ MDM 探索 URL] 和 [ MDM 合規性 URL ] 方塊中的預設值,然後選取 [ 儲存]。
增加組織單位中的計算機帳戶限制
Active Directory 的 Intune 連接器會在 內部部署的 Active Directory 網域中建立已註冊 autopilot 的電腦。 裝載 Intune 連接器的電腦必須擁有在網域內建立計算機物件的許可權。
在某些網域中,不會授與計算機建立計算機的許可權。 此外,網域的內建限制 (預設值為10) ,適用於未委派建立計算機物件許可權的所有用戶和計算機。 許可權必須委派給組織單位上裝載 Intune 連接器的計算機,其中 Microsoft Entra 已建立混合式聯結裝置。
有權建立計算機的組織單位必須符合:
- 在網域加入配置檔中輸入的組織單位。
- 如果未選取任何配置檔,則為您網域的計算機功能變數名稱。
開啟 Active Directory 使用者和電腦 (DSA.msc)。
以滑鼠右鍵按兩下組織單位,以用來建立 Microsoft Entra 混合式聯結計算機>委派控制。
在 [委派控制項] 精靈中,選取 [下一步]> [新增]> [物件類型]。
在 [ 物件類型] 窗格中,選取 [ 計算機>確定]。
在 [ 選取使用者、計算機或群組 ] 窗格的 [ 輸入要選取的物件名稱 ] 方塊中,輸入安裝連接器的計算機名稱。
選 取 [檢查名稱 ] 以驗證您的項目 >[確定>下一步]。
選取 [建立自訂工作以委派]> [下一步]。
在 [計算機物件] 資料夾>中,選取 [僅限下列物件]。
選 取 [在此資料夾中建立選取的物件 ],然後 選取 [刪除此資料夾中選取的物件]。
選取 [下一步]。
在 [權限] 底下,選取 [完全控制] 核取方塊。 此動作會選取所有其他選項。
選取 [下一步]>[完成]。
安裝 Intune 連接器
開始安裝之前,請確定符合所有 Intune 連接器伺服器必要條件 。
安裝步驟
關閉 Internet Explorer 增強式安全性設定。 根據預設,Windows Server 已開啟 Internet Explorer 增強式安全性設定。 如果您無法登入 Intune Connector for Active Directory,請關閉系統管理員的 Internet Explorer 增強式安全性設定。 若要關閉 Internet Explorer 增強式安全性設定:
- 在安裝 Intune 連接器的伺服器上,開啟 伺服器管理員。
- 在 伺服器管理員 的左窗格中,選取 [本地伺服器]。
- 在 伺服器管理員 的右側 [屬性] 窗格中,選取 [IE 增強式安全性設定] 旁的 [開啟] 或 [關閉] 連結。
- 在 [Internet Explorer 增強式安全性設定] 視窗中,選取 [系統管理員:] 底下的 [關閉],然後選取 [確定]。
在 [Microsoft Intune 系統管理中心] 中,選取 [裝置>] [Windows>註冊>Intune Connector for Active Directory>新增]。
請依照指示下載連接器。
開啟下載的連接器安裝程式檔案 ,ODJConnectorBootstrapper.exe,以安裝連接器。
在設定結束時,選取 [立即 設定]。
選取 [登入]。
輸入 全域管理員 或 Intune 系統管理員角色認證。 用戶帳戶必須具有指派的 Intune 授權。
移至 [裝置>][Windows>註冊>適用於 Active Directory 的 Intune 連接器],然後確認連線狀態為 [ 作用中]。
注意事項
- 全域管理員 角色是安裝時的暫時需求。
- 登入連接器之後,可能需要幾分鐘的時間才會出現在 Microsoft Intune 系統管理中心。 只有當它可以成功與 Intune 服務通訊時,才會出現此訊息。
- 非作用中的 Intune 連接器仍會出現在 Intune 連接器頁面中,且會在 30 天后自動清除。
安裝 Intune 連接器之後,它會開始登入應用程式和服務記錄>Microsoft>Intune>ODJConnectorService 路徑下的 事件檢視器。 在此路徑下,可以找到 管理員 和作業記錄。
注意事項
Intune 連接器原本會直接在名為 ODJ 連接器服務的記錄檔中,於 [應用程式和服務記錄] 底下登入 事件檢視器。 不過,Intune 連接器的記錄已移至應用程式 和服務記錄>Microsoft>Intune>ODJConnectorService 路徑。 如果您發現原始位置的 ODJ 連接器服務 記錄檔是空的或未更新,請改為檢查新的路徑位置。
設定 Web Proxy 設定
如果您的網路環境中有 Web Proxy,請參閱使用現有的內部部署 Proxy 伺服器,以確保適用於 Active Directory 的 Intune 連接器正常運作。
建立裝置群組
在 [Microsoft Intune 系統管理中心] 中,選取 [群組>][新增群組]。
在 [ 群組 ] 窗格中,選擇下列選項:
- 針對 [群組類型],選取 [ 安全性]。
- 輸入 [組名 ] 和 [群組描述]。
- 選取 成員資格類型。
如果您選取 [ 動態裝置 ] 作為成員資格類型,請在 [ 群組 ] 窗格中選取 [動態裝置成員]。
在 [規則語法] 方塊中選取 [編輯],然後輸入下列其中一個程式代碼行:
- 若要建立包含您所有 Autopilot 裝置的群組,請輸入
(device.devicePhysicalIDs -any _ -startsWith "[ZTDId]")
。 - Intune 的 [群組卷標] 字段會對應至 Microsoft Entra 裝置上的 OrderID 屬性。 如果您想要建立包含所有 Autopilot 裝置的群組,其中具有特定的 Group Tag (OrderID) ,請輸入:
(device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")
。 - 若要建立包含所有具有特定採購單標識符之 Autopilot 裝置的群組,請輸入
(device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")
。
- 若要建立包含您所有 Autopilot 裝置的群組,請輸入
選 取 [儲存>建立]。
註冊 Autopilot 裝置
選取下列其中一種方式來註冊 Autopilot 裝置。
註冊已註冊的 Autopilot 裝置
建立 Autopilot 部署配置檔,並將 [ 將所有目標裝置轉換為 Autopilot ] 設定為 [ 是]。
將配置檔指派給包含您想要自動向 Autopilot 註冊之成員的群組。
如需詳細資訊,請 參閱建立 Autopilot 部署配置檔。
註冊未註冊的 Autopilot 裝置
如果您的裝置尚未註冊,您可以自行註冊。 如需詳細資訊,請 參閱手動註冊。
從 OEM 註冊裝置
如果您要購買新的裝置,某些 OEM 可以為您註冊裝置。 如需詳細資訊,請參閱 OEM 註冊。
顯示已註冊的 Autopilot 裝置
在 Intune 註冊之前, 已註冊 的 Autopilot 裝置會顯示在三個位置 (名稱設定為其序號) :
- Azure 入口網站 中 Intune 中的 [Autopilot 裝置] 窗格。 選 取 [裝置註冊>][Windows 註冊>裝置]。
- Azure 入口網站 中 Intune 中的 [Microsoft Entra 裝置] 窗格。 選取 [裝置>Microsoft Entra 裝置]。
- Azure 入口網站 中 Microsoft Entra ID 中的 [Microsoft Entra 所有裝置] 窗格,方法是選取 [所有>裝置]。
註冊 Autopilot 裝置之後,它們會顯示在四個位置:
- Azure 入口網站 中 Intune 中的 [Autopilot 裝置] 窗格。 選 取 [裝置註冊>][Windows 註冊>裝置]。
- Azure 入口網站 中 Intune 中的 [Microsoft Entra 裝置] 窗格。 選取 [裝置>Microsoft Entra 裝置]。
- Azure 入口網站 中 Microsoft Entra ID 中的 [Microsoft Entra 所有裝置] 窗格。 選 取 [所有>裝置的裝置]。
- Azure 入口網站 中 Intune 中的 [所有裝置] 窗格。 選 取 [所有>裝置的裝置]。
註冊 Autopilot 裝置之後,其名稱會變成裝置的主機名。 根據預設,主機名的開頭為 DESKTOP-。
一旦裝置在 Autopilot 中註冊,就會在 Microsoft Entra ID 中預先建立裝置物件。 當裝置通過混合式 Microsoft Entra 部署時,根據設計,會建立另一個裝置物件,以產生重複的專案。
BYO VPN
下列 VPN 用戶端經過測試和驗證:
VPN 用戶端
- 內建 Windows VPN 用戶端
- Cisco AnyConnect (Win32 用戶端)
- Pulse Secure (Win32 用戶端)
- GlobalProtect (Win32 用戶端)
- Win32 用戶端 (點)
- Citrix NetScaler (Win32 用戶端)
- SonicWall (Win32 用戶端)
- FortiClient VPN (Win32 用戶端)
注意事項
這份 VPN 用戶端清單並非所有使用 Autopilot 的 VPN 用戶端的完整清單。 如需與 Autopilot 的相容性和支援性,或有關搭配 Autopilot 使用 VPN 解決方案的任何問題,請連絡個別的 VPN 廠商。
不支援的 VPN 用戶端
已知下列 VPN 解決方案無法與 Autopilot 搭配使用,因此不支援搭配 Autopilot 使用:
- UWP 型 VPN 外掛程式
- 任何需要用戶憑證的專案
- DirectAccess
注意事項
使用 BYO VPN 時,您應該針對 Windows Autopilot 部署設定檔中的 [略過 AD 連線能力檢查] 選項選取 [是]。 Always-On VPN 應該不需要此選項,因為它會自動連線。
建立及指派 Autopilot 部署配置檔
Autopilot 部署設定檔可用來設定 Autopilot 裝置。
在 [Microsoft Intune 系統管理中心] 中,選取 [裝置>] [Windows>註冊>部署配置檔>] [建立配置檔]。
在 [ 基本] 頁面上,輸入 [名稱 ] 和選用的 [描述]。
如果您想要讓指派群組中的所有裝置自動註冊至 Autopilot,請將 [ 將所有目標裝置轉換為 Autopilot ] 設定為 [ 是]。 指派群組中所有公司擁有的非 Autopilot 裝置都會向 Autopilot 部署服務註冊。 個人擁有的裝置未向 Autopilot 註冊。 允許 48 小時來處理註冊。 當裝置取消註冊並重設時,Autopilot 會再次註冊它。 以這種方式註冊裝置之後,停用此設定或移除配置檔指派並不會從 Autopilot 部署服務中移除裝置。 您必須改為 直接移除裝置。
選取 [下一步]。
在 [ 全新體驗 (OOBE) ] 頁面上,針對 [ 部署模式] 選取 [ 用戶驅動]。
在 [加入 Microsoft Entra ID 身分] 方塊中,選取 [Microsoft Entra 混合式聯結]。
如果您要使用 VPN 支援從組織的網路部署裝置,請將 [ 略過網域連線檢查 ] 選項設定為 [是]。 如需詳細資訊,請參閱使用 VPN 支援 Microsoft Entra 混合式聯結的使用者驅動模式。
視需要在全新 體驗 (OOBE) 頁面上設定其餘選項。
選取 [下一步]。
在 [ 範圍卷標] 頁面上,選取此配置檔 的範圍標籤 。
選取 [下一步]。
在 [ 指派] 頁面上, 選取 [選取要包含> 搜尋的群組],然後選取裝置群組 >[選取]。
選 取 [下一步>建立]。
注意事項
Intune 會定期檢查指派群組中的新裝置,然後開始將配置檔指派給這些裝置的程式。 由於 Autopilot 配置檔指派程式涉及數個不同的因素,因此指派的估計時間可能會因案例而異。 這些因素可能包括 Microsoft Entra 群組、成員資格規則、裝置哈希、Intune 和 Autopilot 服務,以及因特網連線。 指派時間會根據特定案例中涉及的所有因素和變數而有所不同。
(選擇性) 開啟註冊狀態頁面
在 [Microsoft Intune 系統管理中心] 中,選取 [裝置>] [Windows>註冊註冊>狀態頁面]。
在 [ 註冊狀態] 頁面 窗格中,選取 [ 預設>設定]。
在 [ 顯示應用程式和配置檔安裝進度 ] 方塊中,選取 [ 是]。
視需要設定其他選項。
選取 [儲存]。
建立及指派網域加入配置檔
在 [Microsoft Intune 系統管理中心] 中,選取 [裝置>組態配置檔] [>建立配置檔]。
輸入下列內容:
- 名稱:輸入新配置檔的描述性名稱。
- 描述:輸入設定檔的描述。
- 平台:選取 Windows 10 和更新版本。
- 配置檔類型:選取 [範本],選擇範本名稱 [ 加入網域],然後選取 [ 建立]。
輸入 [名稱 ] 和 [ 描述] ,然後選取 [ 下一步]。
提供 [計算機名稱前置詞 ] 和 [功能變數名稱]。
(選擇性) 以 DN 格式提供組織單位 (OU) 。 您的選項包括:
- 提供 OU,其中控件會委派給執行 Intune 連接器的 Windows 2016 裝置。
- 提供 OU,其中控制件會委派給您 內部部署的 Active Directory 中的根計算機。
- 如果您將此專案保留空白,則會在 Active Directory 預設容器中建立電腦物件 (
CN=Computers
如果您從未 將它變更) 。
以下是一些有效的範例:
OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com
OU=Mine,DC=contoso,DC=com
以下是一些無效的範例:
CN=Computers,DC=contoso,DC=com
(您無法指定容器,請改為將值保留空白,以使用網域的預設值)OU=Mine
(您必須透過DC=
屬性指定網域)
注意事項
請勿在 組織單位的值周圍使用引號。
選取 [確定>建立]。 配置檔隨即建立並顯示在清單中。
注意事項
適用於 Microsoft Entra 混合式聯結的 Windows Autopilot 命名功能不支援 %SERIAL%之類的變數。 它只支援計算機名稱的前置詞。
卸載 ODJ 連接器
ODJ 連接器會透過可執行檔安裝在本機電腦上。 如果需要從電腦卸載 ODJ 連接器,也必須在本機電腦上完成。 無法透過 Intune 入口網站或透過圖形 API 呼叫來移除 ODJ 連接器。
若要從電腦卸載 ODJ 連接器,請遵循下列步驟:
- 登入裝載 ODJ 連接器的電腦。
- 以滑鼠右鍵按兩下 [ 開始 ] 選單,然後選取 [ 設定]。
- 在 [ Windows 設定] 視窗中 ,選取 [ 應用程式]。
- 在 [應用程式 & 功能] 底下,尋找並選取 [Intune Connector for Active Directory]。
- 在 [Intune Connector for Active Directory] 底下,選取 [ 卸載 ] 按鈕,然後再次選取 [ 卸載 ] 按鈕。
- ODJ 連接器會繼續卸載。
後續步驟
設定 Windows Autopilot 之後,請瞭解如何管理這些裝置。 如需詳細資訊,請參閱什麼是 Microsoft Intune 裝置管理?。
相關文章
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應