Share via

Microsoft Entra التوزيع المستهدف للانضمام المختلط

  • مقالة

يمكنك التحقق من صحة التخطيط والمتطلبات الأساسية Microsoft Entra المختلطة للانضمام إلى الأجهزة باستخدام توزيع مستهدف قبل تمكينه عبر المؤسسة بأكملها. توضح هذه المقالة كيفية إنجاز توزيع مستهدف Microsoft Entra صلة مختلطة.

التوزيع المستهدف Microsoft Entra المختلط على أجهزة Windows الحالية

بالنسبة للأجهزة التي تشغل Windows 10، يكون الحد الأدنى للنسخة المدعومة هو Windows 10 (إصدار 1607) للقيام بالانضمام المختلط. وكأفضل ممارسة، قم بالترقية إلى أحدث إصدار من نافذة 10 أو 11. إذا كنت بحاجة إلى دعم أنظمة التشغيل السابقة، راجع قسم دعم الأجهزة ذات المستوى الأدنى

للقيام بنشر مستهدف Microsoft Entra صلة مختلطة على أجهزة Windows الحالية، تحتاج إلى:

  1. إلغاء إدخال نقطة اتصال الخدمة (SCP) من إدخال خدمات مجال Active Directory إذا كان موجودًا.
  2. يكوّن إعداد التسجيل من جانب العميل ل SCP على مجال أجهزة الكمبيوتر الخاصة بك - ذات الصلة باستخدام عنصر نهج المجموعة (GPO).
  3. إذا كنت تستخدم Active Directory Federation Services، يجب أيضا تكوين إعداد التسجيل من جانب العميل لـSCP على خادم AD FS باستخدام AD FS.
  4. قد تحتاج أيضا إلى تخصيص خيارات المزامنة في Microsoft Entra Connect لتمكين مزامنة الجهاز.

إلغاء تحديد SCP من مجال التطبيق

استخدام محرر واجهات خدمة الدلائل Active Directory (ADSI Edit) لتعديل عناصرSCP في مجال التطبيق.

  1. تشغيل تطبيق سطح المكتب تحرير ADSI تطبيق سطح المكتب من محطة العمل الإدارية أو وحدة تحكم المجال كمسؤول المؤسسة.
  2. يعيّن إلى تسمية سياق التكوين للمجال الخاص بك.
  3. يستعرض للوصول إلى CN = التكوين، DC = contoso DC = com>CN=خدمات>تكوين تسجيل الجهاز.
  4. انقر بزر الماوس الأيمن على عنصر عقدة طرفيةCN = 62a0ff2e-97b9-4513-943f-0d221bd30080 وحدد خصائص.
    1. تحديد الكلمات الأساسية من نافذة محرر السمة وحدد تحرير.
    2. حدد قيم azureADId وazureADName (واحد في كل مرة) وانقر فوقإزالة.
  5. إغلاق تحرير ADSI .

يكوّن إعداد التسجيل من جانب العميل لـSCP

استخدم المثال التالي لإنشاء عنصر نهج المجموعة (GPO) لاستخدام تسجيل تكوين إدخال SCP في تسجيل الأجهزة الخاصة بك.

  1. افتح وحدة تحكم إدارة عنصر نهج المجموعة وإنشاء عنصر نهج مجموعة جديد في المجال الخاص بك.
    1. توفير GPO المنشأ حديثًا اسم (على سبيل المثال، ClientSide SCP).
  2. تحرير عنصر نهج المجموعة وتحديد مسار المتابعة: تكوين الكمبيوتر> التفضيلات>نافذة الإعدادات> السجل.
  3. انقر بزر الماوس الأيمن على التسجيل وحدد جديد>عنصر السجل.
    1. في علامة التبويب عام قم بتكوين المتابعة.
      1. الإجراء: تحديث.
      2. Apache HiveHKEY_LOCAL_MACHINE.
      3. المسار الرئيسي: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. اسم القيمة:معرف المستأجر.
      5. نوع القيمة:REG_SZ.
      6. بيانات القيمة: GUID أو معرف المستأجر لمستأجر Microsoft Entra الخاص بك، والذي يمكن العثور عليه فيمعرف مستأجرخصائص>نظرة عامة على>الهوية>.
    2. حدد "OK".
  4. انقر بزر الماوس الأيمن على التسجيل وحدد جديد>عنصر السجل.
    1. في علامة التبويب عام قم بتكوين المتابعة.
      1. الإجراء: تحديث.
      2. Apache HiveHKEY_LOCAL_MACHINE.
      3. المسار الرئيسي: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. اسم القيمة: اسم المستأجر.
      5. نوع القيمة:REG_SZ.
      6. بيانات القيمة:اسم المجالالذي تم التحقق منه إذا كنت تستخدم بيئة موحدة مثل AD FS. اسم المجال الذي تم التحقق منه أو اسم المجال onmicrosoft.com، على سبيل المثال contoso.onmicrosoft.com إذا كنت تستخدم بيئة مدارة.
    2. حدد "OK".
  5. يغلق محرر GPO المنشأ حديثًا.
  6. ارتباط عنصر نهج المجموعة الذي تم إنشاؤه حديثًا إلى الوحدة التنظيمية المطلوبة التي انضمت إلى مجال أجهزة الكمبيوتر في المجموعة التي أطلقت فحص المحتوى.

تكوين إعدادات خدمات الأمان المشترك لـActive Directory

إذا كان معرف Microsoft Entra الخاص بك متحدا مع AD FS، فستحتاج أولا إلى تكوين SCP من جانب العميل باستخدام الإرشادات المذكورة سابقا عن طريق ربط عنصر نهج المجموعة بخوادم AD FS. يعرف عنصر SQL Server مصدر المرجع لعناصر الجهاز. يمكن أن يكون معرفا محليا أو Microsoft Entra. عند تكوين SCP من جانب العميل ل AD FS، يتم إنشاء مصدر عناصر الجهاز كمعرف Microsoft Entra.

ملاحظة

إذا فشلت في تكوين SCP العميل على تكوين AD FS الخاص بك، المصادر لهويات الجهاز سيتم اعتبارها محلية. ستبدأ بعد ذلك AD FS في حذف كائنات الجهاز من الدليل المحلي بعد الفترة المحددة في سمة تسجيل الجهاز AD FS باسم "MaximumInactiveDays". يمكن العثور على كائنات تسجيل جهاز AD FS باستخدام Get-AdfsDeviceRegistration cmdlet.

دعم الأجهزة ذات المستوى الأدنى

لتسجيل أجهزة نافذة ذات مستوى البُعد، يجب على المؤسسات تثبيتالانضمام إلى مكان العمل للحواسيب التي تعمل بنظام غير نافذة 10متوفر في مركز التنزيل لـMicrosoft.

يمكنك نشر الحزمة باستخدام نظام توزيع برامج مثل Microsoft Configuration Manager. تدعم الحزمة خيارات التثبيت الصامتة القياسية مع المعلمة الهادئة. يقدم الفرع الحالي من إدارة التكوين مزايا تتفوق على الإصدارات السابقة، مثل القدرة على تتبع التسجيلات المكتملة.

يقوم المثبت بإنشاء مهمة مجدولة على النظام الذي يتم تشغيله في سياق المستخدم. يجري تشغيل المهمة عند تسجيل دخول المستخدم إلى Windows. تنضم المهمة بصمت إلى الجهاز بمعرف Microsoft Entra ببيانات اعتماد المستخدم بعد المصادقة باستخدام معرف Microsoft Entra.

للتحكم في تسجيل الجهاز، يجب نشر حزمة Windows Installer إلى المجموعة المحددة من أجهزة نافذة ذات مستوى البُعد.

ملاحظة

إذا لم يتم تكوين SCP في AppDomain ثم يجب اتباع نفس الأسلوب كما هو موضح لتكوين إعداد التسجيل من جانب العميل ل SCP) على أجهزة الكمبيوتر الخاصة بك المجال الصلة باستخدام عنصر نهج المجموعة (GPO).

لماذا قد يكون الجهاز في حالة معلقة

عند تكوين مهمة صلة مختلطة Microsoft Entra في Microsoft Entra Connect Sync للأجهزة المحلية، تقوم المهمة بمزامنة عناصر الجهاز إلى معرف Microsoft Entra، وتعيين الحالة المسجلة للأجهزة مؤقتا إلى "معلقة" قبل أن يكمل الجهاز تسجيل الجهاز. هذه الحالة المعلقة هي لأنه يجب إضافة الجهاز إلى دليل Microsoft Entra قبل أن يمكن تسجيله. لمزيد من المعلومات حول عملية تسجيل الجهاز، راجع كيفية العمل: تسجيل الجهاز.

ترحيل التحقق من الصحة

بعد التحقق من أن كل شيء يعمل كما هو متوقع، يمكنك تسجيل بقية الأجهزة الحالية والمنزلة التي تعمل بنظام Windows تلقائيا باستخدام معرف Microsoft Entra. أتمتة Microsoft Entra الصلة المختلطة عن طريق تكوين SCP باستخدام Microsoft Entra Connect.

الخطوات التالية