Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A hibrid Microsoft Entra eszközökhöz való csatlakozásának tervezését és előfeltételeit egy célzott üzembe helyezéssel ellenőrizheti, mielőtt a teljes szervezeten belül engedélyezve lenne. Ez a cikk a Microsoft Entra hibrid csatlakozás célzott üzembe helyezésének elvégzését ismerteti.
Figyelem
Az Active Directoryban lévő értékek módosításakor körültekintően kell eljárni. A meglévő környezetben végzett módosítások nem szándékos következményekkel járhatnak.
A Microsoft Entra hibrid csatlakoztatásának célzott üzembe helyezése Windows-eszközökön
Windows 10 rendszerű eszközök esetén a minimális támogatott verzió a Windows 10 (1607-es verzió) a hibrid csatlakozáshoz. Ajánlott eljárásként frissítsen a Windows 10 vagy 11 legújabb verziójára.
A Microsoft Entra hibrid csatlakoztatásának célzott üzembe helyezéséhez Windows-eszközökön a következőkre van szükség:
- Törölje a szolgáltatáskapcsolati pont (SCP) bejegyzését a Windows Server Active Directoryból, ha létezik.
- Konfigurálja az SCP ügyféloldali beállításjegyzék-beállítását a tartományhoz csatlakoztatott számítógépeken csoportházirend-objektum (GPO) használatával.
- Ha Active Directory összevonási szolgáltatásokat (AD FS) használ, az AD FS-kiszolgálón az SCP ügyféloldali beállításjegyzék-beállítását is konfigurálnia kell egy csoportházirend-objektum használatával.
- Előfordulhat, hogy az eszközszinkronizálás engedélyezéséhez szinkronizálási beállításokat kell testre szabnia a Microsoft Entra Connectben.
Borravaló
Előfordulhat, hogy az SCP helyileg van konfigurálva az eszköz beállításjegyzékében bizonyos helyzetekben. Ha az eszköz talál egy értéket a beállításjegyzékben, akkor ezt a konfigurációt használja, ellenkező esetben lekérdezi az SCP könyvtárát, és megkísérli a hibrid csatlakozást.
Az SCP törlése a Microsoft Windows Server Active Directoryból
Az Active Directory Services Interfaces Editor (ADSI Edit) használatával módosíthatja az SCP-objektumokat a Microsoft Windows Server Active Directoryban.
- Indítsa el az ADSI Edit asztali alkalmazást a felügyeleti munkaállomásról vagy egy tartományvezérlőről vállalati rendszergazdaként.
- Csatlakozzon a tartomány konfigurációs névkörnyezetéhez .
- Keresse meg a CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration elemet.
- Kattintson a jobb gombbal a CN=62a0ff2e-97b9-4513-943f-0d221bd30080 levélobjektumra, és válassza a Tulajdonságok lehetőséget.
- Válassza ki a kulcsszavakat az Attribútumszerkesztő ablakban, és válassza a Szerkesztés lehetőséget.
- Válassza ki az azureADId és az azureADName értékét (egyenként), majd válassza az Eltávolítás lehetőséget.
- Zárja be az ADSI Edit-et.
Ügyféloldali beállításjegyzék-beállítás konfigurálása az SCP-hez
Az alábbi példában létrehozhat egy csoportházirend-objektumot (GPO) egy beállításjegyzék-beállítás üzembe helyezéséhez, amely konfigurál egy SCP-bejegyzést az eszközök beállításjegyzékében.
- Nyisson meg egy csoportházirend-kezelési konzolt, és hozzon létre egy új csoportházirend-objektumot a tartományban.
- Adjon nevet az újonnan létrehozott csoportházirend-objektumnak (például ClientSideSCP).
- Szerkessze a csoportházirend-objektumot, és keresse meg a következő elérési utat: Számítógép konfiguráció>Beállítások>Windows beállítások>Beállításjegyzék.
- Kattintson a jobb gombbal a beállításjegyzékre, és válassza az Új>beállításjegyzékelemet.
- Az Általános lapon konfigurálja a következőket.
- Művelet: Frissítés.
- Kaptár: HKEY_LOCAL_MACHINE.
- Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
- Érték neve: TenantId.
- Érték típusa: REG_SZ.
- Értékadatok: A Microsoft Entra-bérlő globálisan egyedi azonosítója (GUID) vagy bérlői azonosítója, amely az Entra ID>Áttekintés>Tulajdonságok>Bérlői azonosító részben található.
- Válassza az OK gombot.
- Az Általános lapon konfigurálja a következőket.
- Kattintson a jobb gombbal a beállításjegyzékre, és válassza az Új>beállításjegyzékelemet.
- Az Általános lapon konfigurálja a következőket.
- Művelet: Frissítés.
- Kaptár: HKEY_LOCAL_MACHINE.
- Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
- Érték neve: TenantName.
- Érték típusa: REG_SZ.
- Értékadatok: Az ellenőrzött tartománynév, ha egy összevont környezetet, például az AD FS-t használja. Ellenőrzött tartományneve vagy onmicrosoft.com tartományneve, például
contoso.onmicrosoft.com
felügyelt környezet használata esetén.
- Válassza az OK gombot.
- Az Általános lapon konfigurálja a következőket.
- Zárja be az újonnan létrehozott csoportházirend-objektum szerkesztőjét.
- Csatolja az újonnan létrehozott csoportházirend-objektumot a megfelelő szervezeti egységhez (OU), amely tartományhoz csatlakoztatott számítógépeket tartalmaz, amelyek a szabályozott bevezetési csoporthoz tartoznak.
Az AD FS beállításainak konfigurálása
Ha a Microsoft Entra-azonosító federálva van az AD FS-sel, először konfigurálnia kell az ügyféloldali SCP-t a korábban említett utasítások alapján, úgy hogy a csoportházirendet csatolja az AD FS-kiszolgálókhoz. Az SCP-objektum határozza meg az eszközobjektumok tekintély forrását. Ez lehet helyszíni vagy Microsoft Entra-azonosító. Ha az ügyféloldali SCP az AD FS-hez van konfigurálva, az eszközobjektumok forrása Microsoft Entra-azonosítóként lesz létrehozva.
Jegyzet
Ha nem tudta konfigurálni az ügyféloldali SCP-t az AD FS-kiszolgálókon, az eszközidentitások forrása helyszíninek minősül. Az AD FS ezután megkezdi az eszközobjektumok törlését a helyszíni címtárból az AD FS-eszközregisztráció "MaximumInactiveDays" attribútumában meghatározott időtartam után. Az AD FS eszközregisztrációs objektumai a Get-AdfsDeviceRegistration parancsmaggal találhatók.
Miért van egy eszköz függőben lévő állapotban?
Amikor a Microsoft Entra hibrid csatlakoztatási feladatát konfigurálja a helyszíni eszközökHöz tartozó Microsoft Entra Connect Syncben, a feladat szinkronizálja az eszközobjektumokat a Microsoft Entra-azonosítóval, és ideiglenesen "függőben" állapotba állítja az eszközök regisztrált állapotát, mielőtt az eszköz befejezené az eszközregisztrációt. Ennek a függőben lévő állapotnak az az oka, hogy az eszközt hozzá kell adni a Microsoft Entra könyvtárhoz, mielőtt regisztrálható lenne. Az eszközregisztrációs folyamatról további információt az Eszközregisztráció működése című témakörben talál.
Utólagos érvényesítés
Miután ellenőrizte, hogy minden a várt módon működik-e, automatikusan regisztrálhatja a többi Windows-eszközét a Microsoft Entra ID azonosítóval. A Microsoft Entra hibrid csatlakoztatásának automatizálása az SCP konfigurálásával a Microsoft Entra Connect használatával.