Hybridní Azure AD připojení k cílovému nasazení

Před povolením v rámci celé organizace můžete ověřit plánování a požadavky na hybridní Azure AD připojení zařízení pomocí cíleného nasazení. Tento článek vysvětluje, jak provést cílené nasazení hybridního Azure AD připojení.

Cílené nasazení hybridních Azure AD připojení na aktuálních zařízeních s Windows

Pro zařízení se systémem Windows 10 je minimální podporovaná verze Windows 10 (verze 1607) pro hybridní připojení. Osvědčeným postupem je upgradovat na nejnovější verzi Windows 10 nebo 11. Pokud potřebujete podporovat předchozí operační systémy, přečtěte si část Podpora zařízení nižší úrovně.

Pokud chcete provést cílené nasazení hybridních Azure AD připojení na aktuálních zařízeních s Windows, musíte:

  1. Vymažte položku Spojovací bod služby (SCP) ze služby Active Directory (AD), pokud existuje.
  2. Nakonfigurujte nastavení registru na straně klienta pro SCP na počítačích připojených k doméně pomocí objektu Zásady skupiny (GPO).
  3. Pokud používáte Active Directory Federation Services (AD FS) (AD FS), musíte také nakonfigurovat nastavení registru na straně klienta pro SCP na serveru SLUŽBY AD FS pomocí objektu zásad.
  4. Možná budete také muset přizpůsobit možnosti synchronizace v Azure AD Connect, abyste povolili synchronizaci zařízení.

Vymazání spojovacího bodu služby z AD

Pomocí editoru rozhraní služby Active Directory Services (ADSI Edit) upravte objekty SCP ve službě AD.

  1. Spusťte desktopovou aplikaci ADSI Edit z pracovní stanice pro správu nebo řadiče domény jako podnikový správce.
  2. Připojte se k názvovému kontextu konfigurace vaší domény.
  3. Přejděte na CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration.
  4. Klikněte pravým tlačítkem na objekt listu CN=62a0ff2e-97b9-4513-943f-0d221bd30080 a vyberte Vlastnosti.
    1. V okně Editor atributů vyberte klíčová slova a vyberte Upravit.
    2. Vyberte hodnoty azureADId a azureADName (jeden po druhém) a vyberte Odebrat.
  5. Zavřete editor ADSI.

Konfigurace nastavení registru na straně klienta pro SCP

Následující příklad slouží k vytvoření objektu Zásady skupiny (GPO) pro nasazení nastavení registru, které konfiguruje položku spojovacího bodu služby v registru vašich zařízení.

  1. Otevřete konzolu Správa zásad skupiny a vytvořte ve vaší doméně nový objekt zásad skupiny.
    1. Zadejte název nově vytvořeného objektu zásad skupiny (například ClientSideSCP).
  2. Upravte objekt zásad skupiny a vyhledejte následující cestu:Předvolbykonfigurace> počítačeRegistr> nastavení >systému Windows.
  3. Klikněte pravým tlačítkem na registr a vyberte Nová>položka registru.
    1. Na kartě Obecné nakonfigurujte následující:
      1. Akce: Aktualizovat.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Název hodnoty: TenantId.
      5. Typ hodnoty: REG_SZ.
      6. Data hodnoty: IDENTIFIKÁTOR GUID nebo ID tenanta vaší instance Azure AD (tuto hodnotu najdete vID tenantavlastností Azure Portal>Azure Active Directory>>).
    2. Vyberte OK.
  4. Klikněte pravým tlačítkem na registr a vyberte Nová>položka registru.
    1. Na kartě Obecné nakonfigurujte následující:
      1. Akce: Aktualizovat.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Název hodnoty: Název tenanta.
      5. Typ hodnoty: REG_SZ.
      6. Data hodnot: Ověřený název domény , pokud používáte federované prostředí, jako je AD FS. Ověřený název domény nebo název domény onmicrosoft.com, například contoso.onmicrosoft.com pokud používáte spravované prostředí.
    2. Vyberte OK.
  5. Zavřete editor nově vytvořeného objektu zásad skupiny.
  6. Propojte nově vytvořený objekt zásad skupiny se správnou organizační jednotkou obsahující počítače připojené k doméně, které patří do řízeného základního souboru.

Konfigurace nastavení služby AD FS

Pokud je váš Azure AD federovaný se službou AD FS, musíte nejprve nakonfigurovat spojovací bod služby na straně klienta podle výše uvedených pokynů propojením objektu zásad se servery služby AD FS. Objekt SCP definuje zdroj autority pro objekty zařízení. Může to být místní nebo Azure AD. Při konfiguraci spojovacího bodu služby na straně klienta pro službu AD FS se zdroj pro objekty zařízení vytvoří jako Azure AD.

Poznámka

Pokud se vám na serverech AD FS nepodaří nakonfigurovat spojovací bod na straně klienta, bude zdroj identit zařízení považován za místní. Služba AD FS pak začne odstraňovat objekty zařízení z místního adresáře po uplynutí stanoveného období definovaného v atributu MaximumInactiveDays registrace zařízení služby AD FS. Objekty registrace zařízení služby AD FS najdete pomocí rutiny Get-AdfsDeviceRegistration.

Podpora zařízení nižší úrovně

Aby bylo možné zaregistrovat zařízení s Windows nižší úrovně, musí organizace nainstalovat Microsoft Workplace Join pro počítače, které nejsou Windows 10 dostupné na webu Microsoft Download Center.

Balíček můžete nasadit pomocí systému distribuce softwaru, jako je Configuration Manager koncového bodu Microsoft. Balíček podporuje standardní možnosti bezobslužné instalace s parametrem quiet. Aktuální větev Configuration Manager nabízí oproti dřívějším verzím výhody, jako je možnost sledovat dokončené registrace.

Instalační program vytvoří naplánovanou úlohu v systému, která běží v kontextu uživatele. Úloha se aktivuje, když se uživatel přihlásí k Windows. Úloha po ověření pomocí Azure AD bezobslužně připojí zařízení s Azure AD s přihlašovacími údaji uživatele.

Pokud chcete řídit registraci zařízení, měli byste balíček Instalační služby systému Windows nasadit do vybrané skupiny zařízení s Windows nižší úrovně.

Poznámka

Pokud není spojovací bod služby nakonfigurovaný ve službě AD, měli byste použít stejný postup, jaký je popsaný v tématu Konfigurace nastavení registru na straně klienta pro SCP) na počítačích připojených k doméně pomocí objektu Zásady skupiny (GPO).

Proč může být zařízení ve stavu čekání

Když nakonfigurujete úlohu Hybrid Azure AD join v Azure AD Connect Sync pro vaše místní zařízení, úloha synchronizuje objekty zařízení s Azure AD a dočasně nastaví zaregistrovaný stav zařízení na čekající, než zařízení dokončí registraci zařízení. Důvodem je to, že zařízení musí být přidáno do adresáře Azure AD, aby bylo možné ho zaregistrovat. Další informace o procesu registrace zařízení najdete v tématu Jak to funguje: Registrace zařízení.

Po ověření

Jakmile ověříte, že vše funguje podle očekávání, můžete pomocí Azure AD automaticky zaregistrovat zbývající zařízení s Windows a zařízení nižší úrovně pomocí konfigurace spojovacího bodu služby pomocí Azure AD Connect.

Další kroky