Microsoft Entra ハイブリッド参加の事前プロビジョニング: 組織単位 (OU) でコンピューター アカウントの制限を増やす
事前プロビジョニングされた展開用の Windows Autopilot Microsoft Entra ハイブリッド参加手順:
- 手順 1: Windows 自動 Intune 登録を設定する
- 手順 2: Intune コネクタをインストールする
- 手順 3: 組織単位 (OU) でコンピューター アカウントの制限を増やす
- 手順 4: デバイスを Autopilot デバイスとして登録する
- 手順 5: デバイス グループを作成する
- 手順 6: Autopilot 登録状態ページ (ESP) を構成して割り当てる
- 手順 7: Microsoft Entra ハイブリッド参加 Autopilot プロファイルを作成して割り当てる
- 手順 8: ドメイン参加プロファイルを構成して割り当てる
- 手順 9: Autopilot デバイスをユーザーに割り当てる (省略可能)
- 手順 10: テクニシャン フロー
- 手順 11: ユーザー フロー
事前プロビジョニングされた展開用の Windows Autopilot Microsoft Entra ハイブリッド参加ワークフローの概要については、「 事前プロビジョニングされた展開の Windows Autopilot Microsoft Entra ハイブリッド参加の概要」を参照してください。
注:
適切な組織単位 (OU) のコンピューター アカウントの制限が既に増えている場合は、この手順をスキップして、「 手順 4: デバイスを Autopilot デバイスとして登録する」に進みます。
組織単位 (OU) でコンピューター アカウントの制限を増やす
Intune コネクタの目的は、Autopilot プロセス中にコンピューターをオンプレミス ドメインに参加することです。 Intune コネクタは、ドメイン参加プロセス中に Active Directory の指定された組織単位 (OU) にコンピューター オブジェクトを作成します。 このため、Intune コネクタを実行しているサーバーには、コンピューターがオンプレミス ドメインに参加している OU 内のコンピューター アカウントを作成および削除するためのアクセス許可が必要です。
Active Directory の既定のアクセス許可では、Intune コネクタによるドメイン参加が最初に機能し、Active Directory の OU に対するアクセス許可が変更されない場合があります。 ただし、Intune コネクタを実行しているサーバーが 10 台を超えるコンピューターをオンプレミス ドメインに参加しようとすると、動作が停止します。既定では、Active Directory では最大 10 台のコンピューターをオンプレミス ドメインに参加させることができます。
次のユーザーは、10 台のコンピューター ドメイン参加制限によって制限されません。
- [管理者] または [ドメイン管理者] グループのユーザー。
- コンピューター アカウントを作成および削除するための組織単位 (OU) と Active Directory 内のコンテナーに対する委任されたアクセス許可を持つユーザー。
この制限を解決するには、Intune コネクタを実行しているサーバーが、コンピューターがオンプレミス ドメインに参加している組織単位 (OU) で次の権限を委任する必要があります。
- コンピューター アカウントを作成します。
- コンピューター アカウントを削除します。
また、Intune コネクタを実行しているサーバーに OU 内にコンピューターを作成するためのアクセス許可がない場合 (既定のアクセス許可が変更された場合など) に、これらのアクセス許可を具体的に設定することもお勧めします。
Autopilot 中にコンピューターが参加している組織単位 (OU) のコンピューター アカウントの制限を増やすには、 Active Directory ユーザーとコンピューター コンソールにアクセスできるコンピューターで次の手順を実行します。
DSA.msc を実行して Active Directory ユーザーとコンピューター コンソールを開きます。
目的のドメインを展開し、Autopilot 中にコンピューターが参加している組織単位 (OU) に移動します。
注:
Windows Autopilot 展開中にコンピューターが参加する OU は、後でドメイン 参加プロファイルの構成と割り当ての 手順で指定します。
OU を右クリックし、[ 委任コントロール] を選択します。
注:
OU が指定されておらず、コンピューターが既定の Computers コンテナーに参加している場合は、[ コンピューター ] コンテナーを右クリックし、[ 制御の委任] を選択します。
コントロールの委任ウィザードの [コントロールの委任ウィザードへようこそ] ウィンドウで、[次へ] を選択します。
[ ユーザーまたはグループ ] ウィンドウの [ 選択したユーザーとグループ] で、[追加] を選択 します。
[ このオブジェクトの種類を選択する] の横にある [ユーザー、コンピューター、またはグループの選択 ] ウィンドウで、[ オブジェクトの種類] を選択します。
[ オブジェクトの種類 ] ウィンドウで、[ コンピューター ] チェック ボックスをオンにし、[ OK] を選択します。 このウィンドウ内の他の項目は、既定値のままにすることができます。
[ ユーザー、コンピューター、またはグループの選択 ] ウィンドウの [ 選択するオブジェクト名を入力 する] ボックスに、[ Intune コネクタのインストール ] ステップで Intune コネクタがインストールされたコンピューターの名前を入力します。
[ 名前の確認] を選択 して、エントリを検証します。 エントリが検証されたら、[ OK] を選択します。
[ ユーザーまたはグループ ] ウィンドウで、[ 選択したユーザーとグループ] に正しいコンピューターが表示されていることを確認し、[ 次へ] を選択します。
[ 委任するタスク ] ウィンドウで、[ 委任するカスタム タスクの作成] を選択し、[ 次へ] を選択します。
[ Active Directory オブジェクトの種類] ウィンドウで、次の手順を実行します。
フォルダー内の次のオブジェクトのみを選択します。
[ フォルダー内の次のオブジェクトのみ] で、[ コンピューター オブジェクト] を選択します。
[ このフォルダーに選択したオブジェクトを作成 する] チェック ボックスと [ このフォルダー内の選択したオブジェクトを削除 する] チェック ボックスの両方をオンにします。
[次へ] を選択します。
[ アクセス許可 ] ウィンドウの [ アクセス許可:] で、[ フル コントロール ] チェック ボックスをオンにし、[ 次へ] を選択します。
注:
[フル コントロール] チェック ボックスをオンにすると、[アクセス許可:] の他のすべてのオプションが自動的に選択されます。 チェック ボックスの自動選択は正常であり、予期されます。 チェック ボックスが自動的に選択された後は、選択を解除しないでください。
[ コントロールの委任ウィザードの完了 ] ウィンドウで、[完了] を選択 します。
次の手順: デバイスを Autopilot デバイスとして登録する
関連コンテンツ
組織単位でコンピューター アカウントの制限を増やす方法の詳細については、次の記事を参照してください。