Cílové nasazení hybridního připojení Microsoft Entra

Před povolením zařízení v celé organizaci můžete ověřit plánování a předpoklady pro hybridní připojení zařízení Microsoft Entra pomocí cílového nasazení. Tento článek vysvětluje, jak provést cílené nasazení hybridního připojení Microsoft Entra.

Upozornění

Při úpravách hodnot ve službě Active Directory buďte opatrní. Provádění změn v zavedeném prostředí může mít nezamýšlené důsledky.

Cílené nasazení hybridního připojení Microsoft Entra na aktuálních zařízeních s Windows

Pro zařízení s Windows 10 je minimální podporovaná verze Windows 10 (verze 1607) pro hybridní připojení. Osvědčeným postupem je upgrade na nejnovější verzi Windows 10 nebo 11. Pokud potřebujete podporovat předchozí operační systémy, přečtěte si část Podpora zařízení nižší úrovně.

Pokud chcete na aktuálních zařízeních s Windows provést cílené nasazení hybridního připojení Microsoft Entra, musíte:

  1. Vymažte položku bod služby Připojení ion (SCP) ze služby Windows Server Active Directory, pokud existuje.
  2. Nakonfigurujte nastavení registru na straně klienta pro spojovací bod služby na počítačích připojených k doméně pomocí objektu zásad skupiny (GPO).
  3. Pokud používáte Active Directory Federation Services (AD FS) (AD FS), musíte také nakonfigurovat nastavení registru na straně klienta pro SCP na serveru služby AD FS pomocí objektu zásad skupiny.
  4. Možná budete muset upravit možnosti synchronizace v Microsoft Entra Připojení, aby se povolila synchronizace zařízení.

Tip

Spojovací bod služby může být nakonfigurovaný místně v registru zařízení v určitých situacích. Pokud zařízení najde hodnotu v registru, použije danou konfiguraci, v opačném případě se dotáže adresáře na spojovací bod služby a pokusí se připojit k hybridnímu připojení.

Vymazání spojovacího bodu služby ze služby Microsoft Windows Server Active Directory

Pomocí editoru rozhraní služby Active Directory Services (ADSI Edit) upravte objekty SCP v microsoft Windows Serveru Active Directory.

  1. Spusťte desktopovou aplikaci ADSI Edit z pracovní stanice pro správu nebo řadiče domény jako podnikový Správa istrator.
  2. Připojení na Kontext pojmenování konfigurace vaší domény
  3. Přejděte na CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration.
  4. Klikněte pravým tlačítkem myši na objekt typu list CN=62a0ff2e-97b9-4513-943f-0d221bd30080 a vyberte Vlastnosti.
    1. V okně Editor atributů vyberte klíčová slovaa vyberte Upravit.
    2. Vyberte hodnoty azureADId a azureADName (jeden po druhém) a vyberte Odebrat.
  5. Zavřete nástroj ADSI Edit.

Konfigurace nastavení registru na straně klienta pro SCP

Pomocí následujícího příkladu vytvořte objekt zásad skupiny (GPO) pro nasazení nastavení registru, který konfiguruje položku SCP v registru vašich zařízení.

  1. Otevřete konzolu Správa zásad skupiny a vytvořte ve vaší doméně nový objekt zásad skupiny.
    1. Zadejte název nově vytvořeného objektu zásad skupiny (například ClientSideSCP).
  2. Upravte objekt zásad skupiny a vyhledejte následující cestu: Předvolby>konfigurace>počítače systému Windows Nastavení> Registry.
  3. Klikněte pravým tlačítkem na Registr a vyberte Nová>položka registru.
    1. Na kartě Obecné nakonfigurujte následující:
      1. Akce: Aktualizace
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Název hodnoty: TenantId.
      5. Typ hodnoty: REG_SZ.
      6. Data hodnot: Globálně jedinečný identifikátor (GUID) nebo ID tenanta vašeho tenanta Microsoft Entra, které najdete v ID tenanta přehledu identit>>>.
    2. Vyberte OK.
  4. Klikněte pravým tlačítkem na Registr a vyberte Nová>položka registru.
    1. Na kartě Obecné nakonfigurujte následující:
      1. Akce: Aktualizace
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Název hodnoty: Název tenanta.
      5. Typ hodnoty: REG_SZ.
      6. Data hodnoty: Ověřený název domény, pokud používáte federované prostředí, jako je služba AD FS. Ověřený název domény nebo název domény onmicrosoft.com, například contoso.onmicrosoft.com pokud používáte spravované prostředí.
    2. Vyberte OK.
  5. Zavřete editor nově vytvořeného objektu zásad skupiny.
  6. Propojte nově vytvořený objekt zásad skupiny se správnou organizační jednotkou (OU) obsahující počítače připojené k doméně, které patří k řízenému zavedení.

Konfigurace nastavení služby AD FS

Pokud je VAŠE ID Microsoft Entra federované se službou AD FS, musíte nejprve nakonfigurovat SCP na straně klienta pomocí pokynů uvedených výše propojením objektu zásad skupiny se servery AD FS. Objekt SCP definuje zdroj autority pro objekty zařízení. Může to být místní ID nebo Microsoft Entra ID. Pokud je spojovací bod služby na straně klienta nakonfigurovaný pro službu AD FS, vytvoří se zdroj objektů zařízení jako Microsoft Entra ID.

Poznámka

Pokud jste na serverech SLUŽBY AD FS nepovedlo nakonfigurovat spojovací bod na straně klienta, zdroj identit zařízení by se považoval za místní. Služba AD FS pak začne odstraňovat objekty zařízení z místního adresáře po stanoveném období definovaném v atributu registrace zařízení služby AD FS MaximumInactiveDays. Objekty registrace zařízení služby AD FS najdete pomocí rutiny Get-AdfsDeviceRegistration.

Podpora zařízení nižší úrovně

Aby bylo možné registrovat zařízení s Windows nižší úrovně, musí organizace nainstalovat nástroj Microsoft Workplace Join pro počítače s jiným systémem než Windows 10, které jsou k dispozici na webu Microsoft Download Center.

Balíček můžete nasadit pomocí distribučního systému softwaru, jako je Microsoft Configuration Manager. Balíček podporuje standardní možnosti tiché instalace s tichým parametrem. Aktuální větev Configuration Manageru nabízí výhody oproti dřívějším verzím, jako je možnost sledovat dokončené registrace.

Instalační program vytvoří naplánovanou úlohu v systému, který běží v kontextu uživatele. Úloha se aktivuje, když se uživatel přihlásí k Windows. Úloha bezobslužně připojí zařízení k Microsoft Entra ID s přihlašovacími údaji uživatele po ověření pomocí Microsoft Entra ID.

Pokud chcete řídit registraci zařízení, měli byste balíček Instalační služby systému Windows nasadit do vybrané skupiny zařízení s Windows nižší úrovně.

Poznámka

Pokud není spojovací bod služby nakonfigurovaný ve službě Microsoft Windows Server Active Directory, měli byste postupovat stejným způsobem, jak je popsáno při konfiguraci nastavení registru na straně klienta pro SCP) na počítačích připojených k doméně pomocí objektu zásad skupiny (GPO).

Proč může být zařízení ve stavu čekání

Když nakonfigurujete úlohu hybridního připojení Microsoft Entra v Microsoft Entra Připojení Sync pro vaše místní zařízení, úloha synchronizuje objekty zařízení s ID Microsoft Entra a dočasně nastaví zaregistrovaný stav zařízení na čekající před dokončením registrace zařízení. Tento stav čeká na vyřízení, protože zařízení musí být přidáno do adresáře Microsoft Entra, aby bylo možné ho zaregistrovat. Další informace o procesu registrace zařízení najdete v tématu Jak funguje: Registrace zařízení.

Po ověření

Po ověření, že všechno funguje podle očekávání, můžete automaticky zaregistrovat zbytek aktuálních a nižších zařízení s Windows pomocí Microsoft Entra ID. Automatizujte hybridní připojení Microsoft Entra konfigurací spojovacího bodu služby pomocí microsoft entra Připojení.