Office365 AzureAD Intune 配置

1、window 设备退出 AAD

# 以管理员运行
dsregcmd /debug /leave

2、window 设备加入 AAD

# 以管理员运行
dsregcmd /debug /join

3、查看状态

# 普通用户运行  AzureAdJoined 和 AzureAdPr 显示值为 YES
dsregcmd /status

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+

             AzureAdJoined : YES   # 检查
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : SBI
               Device Name : mashihua.SBI.Local

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : YES   # 检查
      AzureAdPrtUpdateTime : 2022-07-11 01:04:07.000 UTC
      AzureAdPrtExpiryTime : 2022-07-25 01:04:06.000 UTC
       AzureAdPrtAuthority : https://login.microsoftonline.com/
             EnterprisePrt : NO
    EnterprisePrtAuthority :

4、手动同步（增量）

Start-ADSyncSyncCycle -PolicyType delta

5、查看同步状态

Get-ADSyncScheduler

6、停止自动同步服务

set-adsyncscheduler -SyncCycleEnabled $false

7、如何把一个 office365账号变成一个纯云端账号 

1. 把要操作的用户拉到一个非同步的 ou 下面    # 这时云端用户或自动删除到 "已删除列表"
2. 在从 "已删除列表" 移动到 "使用中的列表"
3. 执行同步命令2次                                            # 这时就变成了一个纯云用户

8、本地设备加入AAD，其实是执行的本地计划任务，
        Microsoft → Windows → Workplace Join → Automatic-Device-Join

9、本地设备加入 intune，也是执行的本地计划任务，注意：这个任务需要DC通过 Policy 派发
        Microsoft → Windows → EnterpriseMgmt → VirtualizationBasedIsolation

DC 策略如下