Windows Autopilot ユーザー駆動型Microsoft Entraハイブリッド参加手順:
- 手順 3: 組織単位 (OU) でコンピューター アカウントの制限を増やす
- 手順 4: デバイスを Windows Autopilot デバイスとして登録する
- 手順 5: デバイス グループを作成する
- 手順 6: Windows Autopilot 登録状態ページ (ESP) を構成して割り当てる
- 手順 7: ハイブリッド参加 Windows Autopilot プロファイルMicrosoft Entra作成して割り当てる
- 手順 8: ドメイン参加プロファイルを構成して割り当てる
- 手順 9: Windows Autopilot デバイスをユーザーに割り当てる (省略可能)
- 手順 10: デバイスをデプロイする
Windows Autopilot ユーザードリブン Microsoft Entra ハイブリッド参加ワークフローの概要については、「Windows Autopilot ユーザー駆動型Microsoft Entraハイブリッド参加の概要」を参照してください。
注:
適切な組織単位 (OU) のコンピューター アカウントの制限が既に増えている場合は、この手順をスキップして、「 手順 4: Windows Autopilot デバイスとしてデバイスを登録する」に進みます。
組織単位 (OU) でコンピューター アカウントの制限を増やす
更新されたコネクタ重要
この手順は、次のいずれかの条件でのみ必要です。
- Intune Connector for Active Directory をインストールして構成した管理者は、「Intune Connector for Active Directory 要件」で説明されているように、適切な権限を持っていませんでした。
- Intune コネクタをインストールして構成した管理者は、前述の適切な権限を持っていましたが、Intune コネクタのインストール中に指定された組織単位でコンピューター オブジェクトを作成するためのアクセス許可を マネージド サービス アカウント (MSA) に付与できませんでした。 詳細については、「 最小特権原則を使用して Active Directory 用の新しい Microsoft Intune コネクタを構成する」を参照してください。
- XML ファイルは、MSA がアクセス許可を持つ必要がある OU を追加するように変更されませんでした。
Active Directory 用 Intune コネクタの目的は、コンピューターをドメインに参加させ、OU に追加することです。 このため、Intune Connector for Active Directory に使用されるマネージド サービス アカウントには、コンピューターがオンプレミス ドメインに参加している OU 内にコンピューター アカウントを作成するためのアクセス許可が必要です。
Active Directory の既定のアクセス許可では、Intune Connector for Active Directory によるドメイン参加は、Active Directory の OU に対するアクセス許可の変更なしで最初に機能する場合があります。 ただし、MSA が 10 台を超えるコンピューターをオンプレミス ドメインに参加しようとすると、Active Directory では、オンプレミス ドメインへの最大 10 台のコンピューターへの参加が既定で許可されるため、動作を停止します。
次のユーザーは、10 台のコンピューター ドメイン参加制限によって制限されません。
- 管理者またはドメイン管理者グループのユーザー: 最小特権の原則モデルに準拠するために、MICROSOFT は MSA を管理者またはドメイン管理者にすることはお勧めしません。
- コンピューター アカウントを作成するための組織単位 (OU) と Active Directory のコンテナーに対する委任されたアクセス許可を持つユーザー: この方法は、最小限の特権原則モデルに従っているため推奨されます。
この制限を解決するには、MSA には、コンピューターがオンプレミス ドメインに参加している組織単位 (OU) で [コンピューター アカウントの作成 ] アクセス許可が必要です。 Intune Connector for Active Directory では、次のいずれかの条件が満たされている限り、MSA のアクセス許可が OU に設定されます。
- Intune Connector for Active Directory をインストールする管理者には、OU に対するアクセス許可を設定するために必要なアクセス許可があります。
- Intune Connector for Active Directory を構成する管理者には、OU に対するアクセス許可を設定するために必要なアクセス許可があります。
管理者が Intune Connector for Active Directory をインストールまたは構成する際に、OU に対するアクセス許可を設定するために必要なアクセス許可がない場合は、次の手順に従う必要があります。
OU に対するアクセス許可を設定するために必要なアクセス許可としてアカウントを使用して、Active Directory ユーザーとコンピューター コンソールにアクセスできるコンピューターにサインインします。
DSA.msc を実行してActive Directory ユーザーとコンピューター コンソールを開きます。
目的のドメインを展開し、Windows Autopilot 中にコンピューターが参加している組織単位 (OU) に移動します。
注:
Windows Autopilot 展開中にコンピューターが参加する OU は、後でドメイン 参加プロファイルの構成と割り当ての 手順で指定します。
OU を右クリックし、[プロパティ] を選択 します。
注:
コンピューターが OU ではなく既定の Computers コンテナーに参加している場合は、[ コンピューター ] コンテナーを右クリックし、[ 制御の委任] を選択します。
開いた OU の [プロパティ ] ウィンドウで、[ セキュリティ ] タブを選択します。
[ セキュリティ ] タブで、[ 詳細設定] を選択します。
[ セキュリティの詳細設定] ウィンドウで、[ 追加] を選択します。
[ アクセス許可エントリ ] ウィンドウの [ プリンシパル] の横にある [プリンシパルの選択] リンク を選択 します。
[ ユーザー、コンピューター、サービス アカウント、またはグループの選択 ] ウィンドウで、[ オブジェクトの種類 ]ボタンを選択します。
[オブジェクトの種類] ウィンドウで、[サービス アカウント] チェック ボックスを選択し、[OK] を選択します。
[ ユーザー、コンピューター、サービス アカウント、またはグループの選択 ] ウィンドウの [ 選択するオブジェクト名を入力します] で、Intune Connector for Active Directory に使用されている MSA の名前を入力します。
ヒント
MSA は、Active Directory 用 Intune コネクタのインストールの手順/セクションで作成され、#####が 5 文字のランダムな文字である
msaODJ#####の名前形式を持ちます。 MSA 名が不明な場合は、次の手順に従って MSA 名を見つけます。- Intune Connector for Active Directory を実行しているサーバーで、[ スタート ] メニューを右クリックし、[ コンピューターの管理] を選択します。
- [ コンピューターの管理 ] ウィンドウで、[ サービスとアプリケーション ] を展開し、[ サービス] を選択します。
- 結果ウィンドウで、 Intune ODJConnector for Active Service という名前のサービスを見つけます。 MSA の名前は、[ ログオン] 列に一覧表示されます。
[ 名前の確認] を選択して、MSA 名エントリを検証します。 エントリが検証されたら、[ OK] を選択します。
[ アクセス許可エントリ ] ウィンドウで、[ 適用先: ] ドロップダウン メニューを選択し、[ このオブジェクトのみ] を選択します。
[アクセス許可] で、すべての項目の選択を解除し、[コンピューター オブジェクトの作成] チェックボックスのみを選択します。
[ OK] を選択 して、[ アクセス許可エントリ] ウィンドウを閉じます。
[ セキュリティの詳細設定] ウィンドウで、[ 適用 ] または [OK] を 選択して変更を適用します。
次の手順: デバイスを Windows Autopilot デバイスとして登録する
関連コンテンツ
組織単位でコンピューター アカウントの制限を増やす方法の詳細については、次の記事を参照してください。