Microsoft Entra cílové nasazení hybridního připojení

  • Článek

Před povolením v rámci celé organizace můžete ověřit plánování a požadavky na hybridní Microsoft Entra připojení zařízení pomocí cíleného nasazení. Tento článek vysvětluje, jak provést cílené nasazení Microsoft Entra hybridního připojení.

Cílené nasazení Microsoft Entra hybridního připojení na aktuálních zařízeních s Windows

Pro zařízení se systémem Windows 10 je minimální podporovaná verze Windows 10 (verze 1607) pro hybridní připojení. Osvědčeným postupem je upgradovat na nejnovější verzi Windows 10 nebo 11. Pokud potřebujete podporovat předchozí operační systémy, přečtěte si část Podpora zařízení nižší úrovně.

Pokud chcete provést cílené nasazení Microsoft Entra hybridního připojení na aktuálních zařízeních s Windows, musíte:

  1. Vymažte položku Spojovací bod služby (SCP) ze služby Active Directory (AD), pokud existuje.
  2. Nakonfigurujte nastavení registru na straně klienta pro SCP na počítačích připojených k doméně pomocí objektu Zásady skupiny (GPO).
  3. Pokud používáte Active Directory Federation Services (AD FS) (AD FS), musíte také nakonfigurovat nastavení registru na straně klienta pro SCP na serveru SLUŽBY AD FS pomocí objektu zásad.
  4. Možná budete také muset přizpůsobit možnosti synchronizace v Microsoft Entra Connect, abyste povolili synchronizaci zařízení.

Vymazání spojovacího bodu služby z AD

Pomocí editoru rozhraní služby Active Directory Services (ADSI Edit) upravte objekty SCP ve službě AD.

  1. Spusťte desktopovou aplikaci ADSI Edit z pracovní stanice pro správu nebo řadiče domény jako podnikový správce.
  2. Připojte se k názvovému kontextu konfigurace vaší domény.
  3. Přejděte na CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration.
  4. Klikněte pravým tlačítkem na objekt listu CN=62a0ff2e-97b9-4513-943f-0d221bd30080 a vyberte Vlastnosti.
    1. V okně Editor atributů vyberte klíčová slova a vyberte Upravit.
    2. Vyberte hodnoty azureADId a azureADName (jeden po druhém) a vyberte Odebrat.
  5. Zavřete editor ADSI.

Konfigurace nastavení registru na straně klienta pro SCP

Následující příklad slouží k vytvoření objektu Zásady skupiny (GPO) pro nasazení nastavení registru, které konfiguruje položku spojovacího bodu služby v registru vašich zařízení.

  1. Otevřete konzolu Správa zásad skupiny a vytvořte ve vaší doméně nový objekt zásad skupiny.
    1. Zadejte název nově vytvořeného objektu zásad skupiny (například ClientSideSCP).
  2. Upravte objekt zásad skupiny a vyhledejte následující cestu:Předvolbykonfigurace> počítačeRegistr> nastavení >systému Windows.
  3. Klikněte pravým tlačítkem na registr a vyberte Nová>položka registru.
    1. Na kartě Obecné nakonfigurujte následující:
      1. Akce: Aktualizovat.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Název hodnoty: TenantId.
      5. Typ hodnoty: REG_SZ.
      6. Data hodnot: Identifikátor GUID nebo ID tenanta vašeho tenanta Microsoft Entra, který najdete v tématuID tenantavlastností>přehledu>identit>.
    2. Vyberte OK.
  4. Klikněte pravým tlačítkem na registr a vyberte Nová>položka registru.
    1. Na kartě Obecné nakonfigurujte následující:
      1. Akce: Aktualizovat.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Název hodnoty: Název tenanta.
      5. Typ hodnoty: REG_SZ.
      6. Data hodnot: Ověřený název domény , pokud používáte federované prostředí, jako je AD FS. Ověřený název domény nebo název domény onmicrosoft.com, například contoso.onmicrosoft.com pokud používáte spravované prostředí.
    2. Vyberte OK.
  5. Zavřete editor nově vytvořeného objektu zásad skupiny.
  6. Propojte nově vytvořený objekt zásad skupiny se správnou organizační jednotkou obsahující počítače připojené k doméně, které patří do řízeného souboru zavádění.

Konfigurace nastavení služby AD FS

Pokud je vaše id Microsoft Entra federované se službou AD FS, musíte nejprve nakonfigurovat spojovací bod služby na straně klienta podle výše uvedených pokynů propojením objektu zásad skupiny se servery služby AD FS. Objekt SCP definuje zdroj autority pro objekty zařízení. Může to být místní nebo Microsoft Entra ID. Při konfiguraci spojovacího bodu služby na straně klienta pro službu AD FS se zdroj pro objekty zařízení vytvoří jako id Microsoft Entra.

Poznámka

Pokud se vám na serverech AD FS nepodaří nakonfigurovat spojovací bod na straně klienta, bude zdroj identit zařízení považován za místní. Služba AD FS pak začne odstraňovat objekty zařízení z místního adresáře po uplynutí stanoveného období definovaného v atributu MaximumInactiveDays registrace zařízení služby AD FS. Objekty registrace zařízení služby AD FS najdete pomocí rutiny Get-AdfsDeviceRegistration.

Podpora zařízení nižší úrovně

Aby bylo možné zaregistrovat zařízení s Windows nižší úrovně, musí organizace nainstalovat microsoft Workplace Join pro Windows 10 počítače, které jsou k dispozici na webu Stažení softwaru.

Balíček můžete nasadit pomocí distribučního systému softwaru, jako je Microsoft Configuration Manager. Balíček podporuje standardní možnosti bezobslužné instalace s parametrem quiet. Aktuální větev Configuration Manager nabízí výhody oproti dřívějším verzím, jako je možnost sledovat dokončené registrace.

Instalační program vytvoří naplánovanou úlohu v systému, která běží v kontextu uživatele. Úloha se aktivuje, když se uživatel přihlásí k Windows. Úloha po ověření pomocí id Microsoft Entra bezobslužně připojí zařízení s ID Microsoft Entra s přihlašovacími údaji uživatele.

Pokud chcete řídit registraci zařízení, měli byste balíček Instalační služby systému Windows nasadit do vybrané skupiny zařízení s Windows nižší úrovně.

Poznámka

Pokud není spojovací bod služby nakonfigurovaný ve službě AD, měli byste použít stejný postup, jaký je popsaný v tématu Konfigurace nastavení registru na straně klienta pro SCP) na počítačích připojených k doméně pomocí objektu Zásady skupiny (GPO).

Proč může být zařízení ve stavu čekání

Když nakonfigurujete úlohu hybridního připojení Microsoft Entra v Microsoft Entra Connect Sync pro vaše místní zařízení, úloha synchronizuje objekty zařízení s id Microsoft Entra a dočasně nastaví registrovaný stav zařízení na čekající, než zařízení dokončí registraci zařízení. Tento stav čekání je způsobený tím, že zařízení musí být přidáno do adresáře Microsoft Entra, aby bylo možné ho zaregistrovat. Další informace o procesu registrace zařízení najdete v tématu Jak to funguje: Registrace zařízení.

Po ověření

Jakmile ověříte, že všechno funguje podle očekávání, můžete s ID Microsoft Entra automaticky zaregistrovat zbývající zařízení s Windows a zařízení nižší úrovně. Automatizujte Microsoft Entra hybridní připojení konfigurací spojovacího bodu služby pomocí Microsoft Entra Connect.

Další kroky