为 Windows 部署域加入配置

通过 Windows 域加入,用户可以使用 Active Directory 凭证或本地设备凭证远程连接到工作域。使用 Workspace ONE UEM 为 Windows(Windows 桌面)设备部署适用于内部部署、工作组和混合域加入的域加入配置。

与 Microsoft Autopilot 集成(混合域加入)

如要管理云和内部部署中的用户,您可以使用 Workspace ONE UEM 利用 Windows Autopilot + OOBE(开箱即用体验)将混合域加入配置分配给 Windows 设备。

使用 Windows Autopilot 配置文件进行 OOBE 注册

Windows Autopilot 允许您配置配置文件,为经历 OOBE 的设备指定域加入类型。您必须使用 Azure 中的混合域加入设置配置并分配 Autopilot 配置文件。分配了此配置文件的设备将完成 OOBE 过程,并加入混合 Azure AD

重要提示:如果未在 Azure 中分配具有混合加入规范的 Autopilot 配置文件,则 Windows 设备将完成 OOBE 并加入 Azure AD。设备加入 Azure AD 后,如果没有完全重置设备,则将无法启动混合域加入。

有关 Autopilot 的详细信息,请访问 Microsoft | Docs 上的主题配置 Autopilot 配置文件

  • 如果用户使用第三方 VPN 客户端访问资源(例如,用户从主页工作),请将 Autopilot 配置文件菜单项跳过 AD 连接检查(预览)配置为
  • 如果用户未使用第三方 VPN 客户端访问资源(例如,用户位于企业网络上),请将 Autopilot 配置文件菜单项跳过 AD 连接检查(预览)配置为

部署域加入配置的要求

在部署域加入配置之前,请检查以确保已完成以下要求:

  • Windows 自动注册:使用 Workspace ONE UEM 作为移动设备管理 (MDM) 系统,在 Azure 中配置自动注册。有关详细信息,请访问将 Workspace ONE UEM 配置为使用 Azure AD 作为标识服务
  • Workspace ONE UEM:禁用 OOBE 的“状态跟踪”页面。
    1. 在 Workspace ONE UEM 中,转到组与设置 > 所有设置 > 设备与用户 > 常规 > 注册
    2. 选择可选提示选项卡。
    3. 转到 Windows 区域,然后禁用启用 OOBE 的“状态跟踪”页面
  • Microsoft 订阅:使用支持 Windows Autopilot 许可的 Microsoft 订阅之一。访问 Microsoft | Docs 上标题为 Windows Autopilot 许可要求的文章。
  • Windows Autopilot 配置文件:在 Azure 中配置此配置文件,以便为您的 Windows 设备分配混合域加入设置。有关详细信息,请访问 Microsoft | Docs 上的主题配置 Autopilot 配置文件
  • 使用 Autopilot 配置文件注册设备:有关如何设置 Autopilot 设备的详细信息,请访问 Microsoft | Docs 上标题为使用 Windows Autopilot 手动注册设备的文章。
  • AirWatch Cloud Connector (ACC):使用 ACC 在 Workspace ONE UEM 中为内部部署 Active Directory 启用域加入。
  • Active Directory 用户和计算机 (ADUC):您需要使用名为 ADUC 的 MMC 管理单元来通过 Workspace ONE UEM 配置内部部署域加入。
  • 确认已配置 Windows 在 Workspace ONE UEM 中自动注册 Azure。
  • 确认已配置并分配 Azure 中的 Autopilot 配置文件,以便设备以混合 Azure AD 加入身份加入 Azure AD。
  • 确认您已在 Azure 中注册了 Windows 设备并分配了相关混合加入 Autopilot 配置文件。
  • 确认您在 Active Directory 中具有域和组织单位。
  • 确认您已在 Workspace ONE UEM Console 中配置目录服务(如果使用 Active Directory)。
  • 确认您已在 Workspace ONE UEM Console 中配置并分配了域加入配置。

任务顺序

  1. 在 Azure 中,根据 Microsoft | Docs 设置 Autopilot 设备。目前,此过程包括以下步骤。

    1. 注册 Autopilot 设备
    2. 创建设备组
    3. 创建并分配 Autopilot 部署配置文件
  2. 在 ADUC、ACC 和 Workspace ONE UEM 中配置内部部署域加入。
    1. 在 ADUC 中,配置具有 Windows Server 委派权限的用户帐户,创建自定义委派任务,然后配置权限。
    2. 在 ACC 中,更新 Airwatch Cloud Connector 服务以使用在 ADUC 中创建的用户帐户登录,然后向 ACC 文件夹添加写入权限。
    3. 在 Workspace ONE UEM 中,为内部部署 Active Directory 创建域加入配置。
    4. 在 Workspace ONE UEM 中,通过为域加入配置创建并部署单个或多个分配来指定组织单位信息。

配置 Autopilot 设备

在 Azure 中,根据 Microsoft 文档设置 Autopilot 设备。目前,此过程包括以下步骤。

  1. 创建设备组
  2. 注册 Autopilot 设备
  3. 创建并分配 Autopilot 部署配置文件

配置内部部署域加入

以下步骤概述了如何在 Workspace ONE UEM 中配置和分配域加入配置。这些步骤允许设备在注册到 Workspace ONE 时加入内部部署域。与混合加入 Autopilot 配置文件一起配置后,设备将完成 OOBE,以便将 Azure AD 以加入混合 Azure AD 的方式加入 Azure AD。如果您满足了混合域加入的所有要求和假设条件,则表示您已满足内部部署域加入的所有要求和假设条件,因此可从内部部署域加入部分中的步骤 1:配置 ADUC 开始继续进行此设置。

内部部署域加入的其他要求

如要使用 Active Directory 管理用户,您可以使用 Workspace ONE UEM 分配内部部署域加入配置。在开始之前,请确认已完成以下要求:

  • AirWatch Cloud Connector (ACC):使用 ACC 为内部部署 Active Directory 配置域加入。
  • Active Directory 用户和计算机 (ADUC):您需要使用名为 ADUC 的 MMC 管理单元来配置内部部署域加入。此管理单元是远程服务器管理工具 (RSAT) 的一部分。请参阅 Microsoft | Docs,获取有关 Windows Server 的最新文档。
  • 您已在 Azure 中在您的域中设置了域和组织单位。
  • 已在 Workspace ONE UEM console 中配置目录服务(如果使用 Active Directory)。有关如何配置目录服务的详细信息,请访问将 Workspace ONE UEM 与目录服务集成

任务顺序

  1. 在 ADUC 中,配置具有 Windows Server 委派权限的用户帐户,创建自定义委派任务,然后配置权限。
  2. 在 ACC 中,使用在 ADUC 中创建的用户帐户更新登录并添加写入权限。确保用户在 ACC 服务器上也具有本地管理员特权,以便能够成功启动服务。
  3. 在 Workspace ONE UEM 中,为内部部署 Active Directory 创建域加入配置。
  4. 在 Workspace ONE UEM 中,通过为域加入配置创建并部署单个或多个分配来指定组织单位信息。

配置 Active Directory 用户和计算机 (ADUC)

在 ADUC 中,选择具有 Windows Server 委派权限的用户,创建自定义委派任务,然后配置权限。

  1. 右键单击要向其添加设备的容器或文件夹,然后选择委派控制。此选择将显示控制委派向导
  2. 选择控制委派向导中的下一步
  3. 用户或组窗口中,从列表中选择具有 Windows Server 委派权限的用户,选择添加,然后选择下一步。如果此用户帐户不是域管理员组的成员,请将计算机帐户创建限制 (ms-ds-machine-account-quota) 从默认值 10 更改为更大的值,以防止在将 10 个设备加入到域后出现故障。

  4. 要委派的任务窗口中,选择创建自定义任务去委派,然后选择下一步

    此时将显示“要委派的任务”窗口并选定“创建自定义任务”和选择的“下一步”按钮

  5. Active Directory 对象类型窗口中,选择仅限此文件夹中的下列对象:计算机对象在此文件夹中创建所选对象菜单项,然后选择下一步

    “控制委派”窗口显示选择的“仅限此文件夹中的下列对象”,并选中此文件中的“计算机对象”和“在此文件夹中创建所选对象”选项,然后选择“下一步”。

  6. 权限窗口中,选择常规创建/删除特定子对象写入创建所有子对象,然后选择下一步

    “控制委派”窗口显示“权限”部分,在选择下一步之前选中“常规”、“创建/删除”、“写入”和“创建所有子对象”选项

配置 AirWatch Cloud Connector (ACC)

更新登录名并为在 ADUC 中编辑的用户添加 ACC 写入权限,以委派自定义任务。

  1. 将 ACC 的登录身份更改为配置有 Windows Server 委派权限的用户。
    注意:确保用户在 ACC 服务器上也具有本地管理员特权,以便能够成功启动服务。
  2. 在 ACC 高级安全设置区域中,向用户授予对 <Drive>:\VMware\AirWatch\CloudConnector 处的 ACC 文件夹的写入权限。

创建内部部署域加入

在 Workspace ONE UEM 中将域加入配置部署到使用 Active Directory 凭证访问资源的已注册 Windows 设备。

  1. 在 Workspace ONE UEM console 中,转到组与设置 > 配置,然后从列表中选择域加入
  2. 选择添加
  3. 名称字段中输入有意义的条目,以便能够识别域加入。例如,如果 Active Directory 中的用户和计算机遵循地理模式,则可以输入 Acme - South America。此条目不必与 Active Directory 中的任何设置匹配,但在这两个系统中使用相似的模式有助于在您的域加入中组织设备。
  4. 域加入类型选择内部部署 Active Directory
  5. 查看域名。域加入配置页面将填充在目录服务页面上配置的服务器的名称。Workspace ONE UEM 目录服务配置允许一台服务器访问目录服务,因此该字段将自动填写。在组与设置 > 所有设置 > 系统 > 企业集成 > 目录服务中查找目录服务设置。
    注意:如果要更改目录服务页面上的服务器条目,必须禁用 DNS SRV 菜单项。
  6. 选择域友好名称。域加入配置页面提供了在目录服务页面上添加到目录服务服务器域列表的可用友好名称的列表。在组与设置 > 所有设置 > 系统 > 企业集成 > 目录服务中查找目录服务。
  7. 计算机名称格式字段中输入首选计算机名称格式。请对计算机名称使用受支持的格式。工具提示将指定接受的格式。Workspace ONE UEM 最多使用 15 个 %SERIAL%%RAND:[#]% 格式的字符。
  8. 保存域加入配置以便稍后分配,或选择立即保存并分配

分配域加入配置

以下是分配域加入配置的步骤:

  1. 在 Workspace ONE UEM console 中,从组与设置 > 配置处的域加入列表视图中选择分配以导航到分配页面,然后选择域加入。如果选择保存并分配域加入配置,则会显示此配置窗口。
  2. 选择域加入配置的名称,除非该条目已预填充。

  3. 添加对您有意义且可帮助您识别分配的分配名称。该条目不必与 Active Directory 中的任何设置匹配。

  4. 搜索在您的 ADUC 设置中配置的组织单位,然后仅选择一个组织单位。

  5. 搜索并选择在 Workspace ONE UEM 中配置的智能组。一个智能组只能分配给一个组织单位,而不能分配给多个组织单位。如果您尝试选择已分配给组织单位的智能组,控制台会显示一条包含相关信息的错误消息,以便您进行故障排除并决定要使用哪些智能组来满足当前部署方案的需求。

  6. 创建并保存分配。

注意:在注册过程中,将评估并应用设备的域加入配置。设备收到域加入配置后,您无法通过在 Workspace ONE UEM 中更改分配的智能组来更新该配置。Workspace ONE UEM 仅在注册时将域加入配置传送到设备一次。

Active Directory(AD) 和 OU/智能组中的计算机容器冲突

您可以将多个分配添加到域加入配置,但请考虑智能组的灵活性。由于智能组具有灵活性,因此您的一台设备可能位于域加入配置的多个分配中。这种情况意味着,设备也会被分配给多个组织单位,这是不允许的。当控制台发现某台设备处于域加入配置的多个分配中时,它会将该设备放在 Active Directory 中的计算机容器中。您可以转到 ADUC,并将设备置于所需的组织单位。设备将接收与组织单位的分配匹配的域加入配置。

在 Workspace ONE UEM 中配置工作组加入。

如果您的用户使用本地帐户访问其Windows设备和资源,则需要在Workspace ONE UEM配置工作组加入。首先,在 Workspace ONE UEM 中,为工作组加入创建域加入配置。然后,再次在Workspace ONE UEM指定工作组名称、计算机名称格式和本地用户设置,然后将配置分配给智能组。

在 Workspace ONE UEM 中为工作组创建域加入

执行以下步骤,在 Workspace ONE UEM 中为使用本地帐户访问资源的已注册 Windows 桌面设备部署域加入配置:

  1. 在 Workspace ONE UEM Console 中,转到组与设置 > 配置,然后从列表中选择域加入
  2. 选择添加
  3. 名称字段中输入有意义的条目,以便能够识别域加入。例如,如果 Active Directory 中的用户和计算机遵循地理模式,则可以输入 Acme - South America。此条目不必与 Active Directory 中的任何设置匹配,但在这两个系统中使用相似的模式有助于在您的域加入中组织设备。
  4. 域加入类型选择工作组
  5. 输入工作组的名称。该条目是为了帮助您在 Workspace ONE UEM console 中组织和识别工作组。
  6. 计算机名称格式字段中输入计算机名称格式。请对计算机名称使用受支持的格式。工具提示将指定 UI 中支持的格式。以 %SERIAL%%RAND:[#]% 格式使用恰好 15 个字符。
  7. 如果要立即创建用于域加入的本地用户,请启用创建本地用户
  8. 如果要授予本地用户管理员权限,请启用设为管理员。管理员拥有的权限包括能够取消设备注册,或者他们可以卸载系统应用。
  9. 输入设备用户输入的本地用户名本地用户密码,以使用此域加入配置访问设备。向用户提供用户名和密码条目。
  10. 保存域加入配置以便稍后分配,或选择立即对其保存并分配

分配域加入配置

  1. 在 Workspace ONE UEM console 中,从组与设置 > 配置处的域加入列表视图中选择分配以转到分配页面,然后选择域加入。如果选择保存并分配域加入配置,则会显示此配置窗口。
  2. 选择域加入配置的名称,除非该条目已预填充。
  3. 添加对您有意义且可帮助您识别分配的分配名称。该条目不必与 Active Directory 中的任何设置匹配。
  4. 搜索并选择在 Workspace ONE UEM 中配置的智能组。只能将一个智能组分配给一个工作组配置。如果您尝试选择已分配有工作组配置的智能组,控制台会显示一条包含相关信息的错误消息,以便您进行故障排除并决定要使用哪些智能组来满足当前部署方案的需求。
  5. 创建并保存分配。
check-circle-line exclamation-circle-line close-line
Scroll to top icon