Pre-provisioning Microsoft Entra join ibrido: installare il connettore Intune per Active Directory

Prima di iniziare l'installazione, assicurarsi che siano soddisfatti tutti i requisiti del connettore Intune per il server Active Directory.

Disattivare la configurazione della sicurezza avanzata di Internet Explorer

A partire dalla versione 6.2504.2001.8, il connettore Intune aggiornato per Active Directory è passato all'uso di WebView2, basato su Microsoft Edge, anziché su WebBrowser, basato su Microsoft Internet Explorer. Questa modifica significa che l'impostazione Configurazione sicurezza avanzata di Internet Explorer in Windows Server non deve più essere disattivata. Assicurarsi di installare la versione 6.2504.2001.8 o successiva del connettore Intune per Active Directory per evitare problemi con l'impostazione Configurazione sicurezza avanzata di Internet Explorer.

Scaricare Intune Connector per Active Directory

1. Nel server in cui è installato il connettore Intune per Active Directory accedere all'interfaccia di amministrazione di Microsoft Intune.

2. Nella schermata Home selezionare Dispositivi nel riquadro sinistro.

3. Nei dispositivi | Schermata Panoramica , in Per piattaforma selezionare Windows.

4. In Windows | Schermata Dispositivi Windows , in Onboarding del dispositivo selezionare Registrazione.

5. In Windows | Schermata di registrazione di Windows, in Windows Autopilot selezionare Intune Connector per Active Directory.

6. Nella schermata connettore Intune per Active Directory selezionare Aggiungi.

7. Nella finestra Aggiungi connettore visualizzata in Configurazione del connettore Intune per Active Directory selezionare Scarica connettore Intune locale per Active Directory. Il collegamento scarica un file denominato ODJConnectorBootstrapper.exe.

Installare Intune Connector per Active Directory nel server

1. Accedere al server in cui viene installato il connettore Intune per Active Directory con un account con diritti di amministratore locale.

2. Se è installato il connettore Intune legacy precedente per Active Directory, disinstallarlo prima di installare il connettore Intune aggiornato per Active Directory. Per altre informazioni, vedere Disinstallare il connettore Intune per Active Directory.

   Importante

   Quando si disinstalla il connettore Intune legacy precedente per Active Directory, assicurarsi di eseguire il programma di installazione legacy Intune Connector for Active Directory come parte del processo di disinstallazione. Se il connettore Intune legacy per il programma di installazione di Active Directory richiede di disinstallarlo al momento dell'esecuzione, selezionare per disinstallarlo. Questo passaggio assicura che il connettore Intune legacy precedente per Active Directory sia completamente disinstallato. Il connettore Intune legacy per il programma di installazione di Active Directory può essere scaricato da Intune Connector per Active Directory.

   Consiglio

   Nei domini con un solo connettore Intune per Active Directory, Microsoft consiglia innanzitutto di installare il connettore Intune aggiornato per Active Directory in un altro server. L'installazione del connettore Intune aggiornato per Active Directory in un altro server deve essere eseguita prima di disinstallare il connettore Intune legacy per Active Directory nel server corrente. L'installazione del connettore Intune per Active Directory in un altro primo momento evita tempi di inattività durante l'aggiornamento del connettore Intune per Active Directory nel server corrente.

3. Aprire il ODJConnectorBootstrapper.exe file scaricato per avviare l'installazione del connettore Intune per l'installazione di Active Directory.

4. Eseguire l'installazione del connettore Intune per l'installazione di Active Directory.

5. Al termine dell'installazione selezionare la casella di controllo Launch Intune Connector for Active Directory (Avvia connettore Intune per Active Directory).

   Nota

   Se l'installazione del connettore Intune per l'installazione di Active Directory viene chiusa accidentalmente senza selezionare la casella di controllo Avvia connettore Intune per Active Directory, è possibile riaprire la configurazione del connettore Intune per Active Directory selezionando Intune Connettore per Active Directory>Intune Connettore per Active Directory dal menu Start.

Accedere al connettore Intune per Active Directory

1. Nella finestra connettore Intune per Active Directory selezionare Accedi nella scheda Registrazione.

2. Nella scheda Accedi accedere con le credenziali di Microsoft Entra ID di un ruolo di amministratore Intune. All'account utente deve essere assegnata una licenza Intune. Il completamento del processo di accesso potrebbe richiedere alcuni minuti.

   Nota

   L'account usato per registrare il connettore Intune per Active Directory è solo un requisito temporaneo al momento dell'installazione. L'account non viene usato in futuro dopo la registrazione del server.

3. Al termine del processo di accesso:

   1. Viene visualizzata la finestra di conferma del connettore Intune per Active Directory registrato correttamente. Selezionare OK per chiudere la finestra.
   2. Viene visualizzata una finestra di conferma di un account del servizio gestito con nome "<MSA_name>". Il nome dell'account del servizio gestito è nel formato msaODJ##### in cui ##### sono presenti cinque caratteri casuali. Annota il nome dell'account del servizio gestito creato e quindi seleziona OK per chiudere la finestra. Il nome dell'account del servizio gestito potrebbe essere necessario in un secondo momento per configurare l'account del servizio gestito per consentire la creazione di oggetti computer in unità organizzative.

4. La scheda Registrazione mostra Intune Connettore per Active Directory è registrato. Il pulsante Accedi è disattivato e Configura account del servizio gestito è abilitato.

5. Chiudere la finestra connettore Intune per Active Directory.

Verificare che Intune Connector per Active Directory sia attivo

Dopo l'autenticazione, il connettore Intune per Active Directory termina l'installazione. Al termine dell'installazione, verificare che sia attivo in Intune seguendo questa procedura:

1. Passare all'interfaccia di amministrazione Microsoft Intune se è ancora aperta. Se la finestra Aggiungi connettore è ancora visualizzata, chiuderla.

   Se l'interfaccia di amministrazione Microsoft Intune non è ancora aperta:

   1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

   2. Nella schermata Home selezionare Dispositivi nel riquadro sinistro.

   3. Nei dispositivi | Schermata Panoramica , in Per piattaforma selezionare Windows.

   4. In Windows | Schermata Dispositivi Windows , in Onboarding del dispositivo selezionare Registrazione.

   5. In Windows | Schermata di registrazione di Windows, in Windows Autopilot selezionare Intune Connector per Active Directory.

2. Nella pagina connettore Intune per Active Directory:

   • Verificare che il server sia visualizzato in Nome connettore e visualizzato come Attivo in Stato
   • Per il connettore Intune aggiornato per Active Directory, verificare che la versione sia maggiore o uguale a 6.2501.2000.5.

   Se il server non viene visualizzato, selezionare Aggiorna o spostarsi dalla pagina e quindi tornare alla pagina connettore Intune per Active Directory.

Dopo aver installato il connettore Intune per Active Directory, verrà avviata la registrazione nel Visualizzatore eventi nel percorso Registri> applicazioni e serviziMicrosoft>Intune>ODJConnectorService. In questo percorso sono disponibili Amministrazione e log operativi.

Configurare l'account del servizio gestito per consentire la creazione di oggetti nelle unità organizzative (facoltativo)

Per impostazione predefinita, gli account del servizio gestito hanno accesso solo per creare oggetti computer nel contenitore Computer . Gli account del servizio gestito non hanno accesso per creare oggetti computer in unità organizzative ( OU). Per consentire all'account del servizio gestito di creare oggetti in unità organizzative, è necessario aggiungere le unità organizzative al ODJConnectorEnrollmentWizard.exe.config file XML presente nella directory in ODJConnectorEnrollmentWizard cui è stato installato il connettore Intune per Active Directory, in genere C:\Program Files\Microsoft Intune\ODJConnector\.

Per configurare l'account del servizio gestito per consentire la creazione di oggetti nelle unità organizzative, seguire questa procedura:

1. Nel server in cui è installato il connettore Intune per Active Directory passare alla ODJConnectorEnrollmentWizard directory in cui è stato installato il connettore Intune per Active Directory, in genere C:\Program Files\Microsoft Intune\ODJConnector\.

2. ODJConnectorEnrollmentWizard Nella directory aprire il file XML esistente ODJConnectorEnrollmentWizard.exe.config in un editor di testo, ad esempio Blocco note.

3. Nell'elemento add key del ODJConnectorEnrollmentWizard.exe.config file XML:

   • Accanto a value=aggiungere tutte le unità organizzative desiderate in cui l'account del servizio gestito deve avere accesso per creare oggetti computer.
   • Il nome dell'unità organizzativa deve essere nel formato del nome distinto LDAP e, se applicabile, deve essere preceduto da caratteri di escape.
   • Più unità organizzative sono supportate separando ogni unità organizzativa con un punto e virgola (;).
   • Assicurarsi di mantenere le virgolette (") accanto a value=. Tutti i valori dell'unità organizzativa devono trovarsi all'interno di una coppia di virgolette.
   • Non modificare il nome dell'elemento OrganizationalUnitsUsedForOfflineDomainJoinchiave .

   L'esempio seguente è una voce XML di esempio con più unità organizzative in formato nome distinto LDAP:

     <appSettings>
   
       <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format.
           The ODJ Connector will only have permission to create computer objects in these OUs.
           The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure
   
           Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY):
           Domain contains the following OUs:
             - OU=HybridDevices,DC=contoso,DC=com
             - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com
   
           Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" -->
   
       <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" />
     </appSettings>
   

   Consiglio

   Nell'esempio sostituire il testo rosso di esempio accanto a value= con le unità organizzative dell'organizzazione in formato nome distinto LDAP. Come illustrato nell'esempio, verificare che tutte le voci dell'unità organizzativa siano incluse tra virgolette (") e che ogni unità organizzativa sia separata da un punto e virgola (;) .

4. Dopo aver aggiunto tutte le unità organizzative desiderate, salvare il ODJConnectorEnrollmentWizard.exe.config file XML.

5. In qualità di amministratore che dispone delle autorizzazioni appropriate per modificare le autorizzazioni dell'unità organizzativa, aprire Intune Connector for Active Directory passando a Intune Connector for Active Directory>Intune Connector for Active Directory dal menu Start.

   Importante

   Se l'amministratore che installa e configura il connettore Intune per Active Directory non dispone delle autorizzazioni per modificare le autorizzazioni dell'unità organizzativa, la sezione/passaggi Aumentare il limite di account computer nell'unità organizzativa deve essere seguita da un amministratore che disponga delle autorizzazioni per modificare le autorizzazioni dell'unità organizzativa.

6. Nella scheda Registrazione della finestra connettore Intune per Active Directory selezionare Configura account del servizio gestito.

7. Viene visualizzata una finestra di conferma di un account del servizio gestito con nome "<MSA_name>". Selezionare OK per chiudere la finestra.

Prima di iniziare l'installazione, assicurarsi che siano soddisfatti tutti i requisiti del connettore Intune per il server Active Directory.

Disattivare la configurazione di sicurezza avanzata di Internet Explorer

Per impostazione predefinita, Windows Server ha la configurazione di sicurezza avanzata di Internet Explorer attivata. La configurazione della sicurezza avanzata di Internet Explorer potrebbe causare problemi durante l'accesso al connettore Intune per Active Directory. Poiché Internet Explorer è deprecato e nella maggior parte dei casi non è nemmeno installato in Windows Server, Microsoft consiglia di disattivare La configurazione della sicurezza avanzata di Internet Explorer. Per disattivare La configurazione di sicurezza avanzata di Internet Explorer:

1. Accedere al server in cui viene installato il connettore Intune per Active Directory con un account con diritti di amministratore locale e diritti di amministratore di dominio. I diritti di amministratore di dominio sono necessari per consentire al programma di installazione di Intune Connector for Active Directory di creare correttamente un account del servizio gestito.

2. Aprire Server Manager.

3. Nel riquadro sinistro di Server Manager selezionare Server locale.

4. Nel riquadro PROPRIETÀ di destra di Server Manager selezionare il collegamento Attivato o Disattivato accanto a Configurazione sicurezza avanzata di Internet Explorer.

5. Nella finestra Configurazione sicurezza avanzata di Internet Explorer selezionare Disattivato in Amministratori: e quindi selezionare OK.

Installare il connettore Intune legacy per Active Directory nel server

1. Aprire il file scaricato ODJConnectorBootstrapper.exe in precedenza per avviare l'installazione del connettore Intune per l'installazione di Active Directory.

   Nota

   Se il connettore Intune legacy per Active Directory è già installato, passare al menu >StartIntune Connector for Active Directory>Intune Connector per Active Directory e quindi passare a Accedi al connettore Intune legacy per Active Directory.

2. Nella finestra del programma di installazione del connettore Intune per l'installazione di Active Directory selezionare Accetto le condizioni di licenza e quindi selezionare Installa.

   Nota

   Se si desidera un percorso di installazione diverso da quello predefinito di C:\Programmi\Microsoft Intune\ODJConnector, selezionare Opzioni e specificare il percorso di installazione desiderato.

3. Al termine dell'installazione, selezionare Configura ora nella finestra del programma di installazione del connettore Intune per l'installazione di Active Directory.

   Nota

   Se l'opzione Chiudi viene selezionata accidentalmente o la finestra del programma di installazione del connettore Intune per l'installazione di Active Directory viene chiusa accidentalmente, è possibile accedere alla configurazione del connettore Intune per Active Directory selezionando Intune Connector for Active Directory>Intune Connector for Active Directory dal menu Start.

Accedere al connettore Intune legacy

1. Nella finestra connettore Intune per Active Directory selezionare Accedi nella scheda Registrazione.

2. Nella scheda Accedi accedere con le credenziali di un ruolo di amministratore Intune. All'account utente deve essere assegnata una licenza Intune. Il completamento del processo di accesso potrebbe richiedere alcuni minuti.

   Nota

   L'account usato per registrare il connettore Intune per Active Directory è solo un requisito temporaneo al momento dell'installazione. L'account non viene usato in futuro dopo la registrazione del server.

3. Al termine del processo di accesso, viene visualizzata la finestra di conferma The Intune Connector for Active Directory successfully enrolled (Connettore Intune per Active Directory registrato correttamente). Selezionare OK per chiudere la finestra.

4. La scheda Registrazione mostra Intune Connettore per Active Directory è registrato e il pulsante Accedi è disattivato.

5. Chiudere la finestra connettore Intune per Active Directory.

Verificare che il connettore Intune legacy per Active Directory sia attivo

Dopo l'autenticazione, il connettore Intune per Active Directory termina l'installazione. Al termine dell'installazione, verificare che sia attivo in Intune seguendo questa procedura:

1. Passare all'interfaccia di amministrazione Microsoft Intune se è ancora aperta. Se la finestra Aggiungi connettore è ancora visualizzata, chiuderla.

   Se l'interfaccia di amministrazione Microsoft Intune non è ancora aperta:

   1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

   2. Nella schermata Home selezionare Dispositivi nel riquadro sinistro.

   3. Nei dispositivi | Schermata Panoramica , in Per piattaforma selezionare Windows.

   4. In Windows | Schermata Dispositivi Windows , in Onboarding del dispositivo selezionare Registrazione.

   5. In Windows | Schermata di registrazione di Windows, in Windows Autopilot selezionare Intune Connector per Active Directory.

2. Nella pagina connettore Intune per Active Directory verificare che il server sia visualizzato in Nome connettore e visualizzato come Attivo in Stato. Se il server non viene visualizzato, selezionare Aggiorna o spostarsi dalla pagina e quindi tornare alla pagina connettore Intune per Active Directory.

Dopo aver installato il connettore Intune per Active Directory, verrà avviata la registrazione nel Visualizzatore eventi nel percorso Registri> applicazioni e serviziMicrosoft>Intune>ODJConnectorService. In questo percorso sono disponibili Amministrazione e log operativi.