A Microsoft Entra hibrid csatlakozás célzott üzembe helyezése

Cikk
04/06/2024

A hibrid Microsoft Entra eszközökhöz való csatlakozásának tervezését és előfeltételeit egy célzott üzembe helyezéssel ellenőrizheti, mielőtt a teljes szervezeten belül engedélyezve lenne. Ez a cikk a Microsoft Entra hibrid csatlakozás célzott üzembe helyezésének elvégzését ismerteti.

Figyelemfelhívás

Az Active Directoryban lévő értékek módosításakor körültekintően kell eljárni. A meglévő környezetben végzett módosítások nem szándékos következményekkel járhatnak.

A Microsoft Entra hibrid csatlakoztatásának célzott üzembe helyezése a Windows aktuális eszközein

Windows 10 rendszerű eszközök esetén a minimális támogatott verzió a Windows 10 (1607-es verzió) a hibrid csatlakozáshoz. Ajánlott eljárásként frissítsen a Windows 10 vagy 11 legújabb verziójára. Ha támogatnia kell a korábbi operációs rendszereket, olvassa el az Alacsonyabb szintű eszközök támogatása című szakaszt.

A Microsoft Entra hibrid csatlakoztatásának célzott üzembe helyezéséhez a Windows aktuális eszközein a következőkre van szükség:

Törölje a Service Csatlakozás ion Point (SCP) bejegyzést a Windows Server Active Directoryból, ha létezik.
Konfigurálja az SCP ügyféloldali beállításjegyzék-beállítását a tartományhoz csatlakoztatott számítógépeken csoportházirend-objektum (GPO) használatával.
Ha Active Directory összevonási szolgáltatások (AD FS) (AD FS) rendszert használ, az AD FS-kiszolgálón az SCP ügyféloldali beállításjegyzék-beállítását is konfigurálnia kell egy csoportházirend-objektum használatával.
Előfordulhat, hogy az eszközszinkronizálás engedélyezéséhez testre kell szabnia a Microsoft Entra Csatlakozás szinkronizálási beállításait.

Tipp.

Előfordulhat, hogy az SCP helyileg van konfigurálva az eszköz beállításjegyzékében bizonyos helyzetekben. Ha az eszköz talál egy értéket a beállításjegyzékben, akkor ezt a konfigurációt használja, ellenkező esetben lekérdezi az SCP könyvtárát, és megkísérli a hibrid csatlakozást.

Az SCP törlése a Microsoft Windows Server Active Directoryból

Az Active Directory Services Interfaces Editor (ADSI Edit) használatával módosíthatja az SCP-objektumokat a Microsoft Windows Server Active Directoryban.

Indítsa el az ADSI Edit asztali alkalmazást a felügyeleti munkaállomásról vagy egy tartományvezérlőről vállalati Rendszergazda istratorként.
Csatlakozás a A tartomány konfigurációelnevezési környezete.
Keresse meg a CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration lehetőséget.
Kattintson a jobb gombbal a CN=62a0ff2e-97b9-4513-943f-0d221bd30080 levélobjektumra, és válassza a Tulajdonságok lehetőséget.
1. Válassza ki a kulcsszavakat az Attribútumszerkesztő ablakban, és válassza a Szerkesztés lehetőséget.
2. Válassza ki az azureADId és az azureADName értékét (egyenként), majd válassza az Eltávolítás lehetőséget.
Zárja be az ADSI-szerkesztést.

Az SCP ügyféloldali beállításjegyzék-beállításának konfigurálása

Az alábbi példában létrehozhat egy csoportházirend-objektumot (GPO) egy beállításjegyzék-beállítás üzembe helyezéséhez, amely konfigurál egy SCP-bejegyzést az eszközök beállításjegyzékében.

Nyisson meg Csoportházirend-kezelő konzolt, és hozzon létre egy új csoportházirend objektumot a tartományban.
1. Adjon nevet az újonnan létrehozott GPO-nak (például ClientSideSCP).
Szerkessze a csoportházirend-objektumot, és keresse meg a következő elérési utat: Számítógép konfigurációs>>beállításai Windows Gépház> Registry.
Kattintson a jobb gombbal a beállításjegyzékre, és válassza az Új>beállításjegyzékelemet.
1. Az Általános lapon konfigurálja a következőket.
  1. Művelet: Frissítés.
  2. Hive: HKEY_LOCAL_MACHINE.
  3. Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
  4. Érték neve: TenantId.
  5. Érték típusa: REG_SZ.
  6. Értékadatok: A Microsoft Entra-bérlő globálisan egyedi azonosítója (GUID) vagy bérlőazonosítója, amely az Identitásáttekintő>>tulajdonságok>bérlőazonosítójában található.
2. Kattintson az OK gombra.
Kattintson a jobb gombbal a beállításjegyzékre, és válassza az Új>beállításjegyzékelemet.
1. Az Általános lapon konfigurálja a következőket.
  1. Művelet: Frissítés.
  2. Hive: HKEY_LOCAL_MACHINE.
  3. Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
  4. Érték neve: TenantName.
  5. Érték típusa: REG_SZ.
  6. Értékadatok: Az ellenőrzött tartománynév , ha összevont környezetet, például AD FS-t használ. Ellenőrzött tartományneve vagy onmicrosoft.com tartományneve, például contoso.onmicrosoft.com felügyelt környezet használata esetén.
2. Válassza az OK lehetőséget.
Zárja be az újonnan létrehozott GPO szerkesztőjét.
Csatolja az újonnan létrehozott csoportházirend-objektumot a megfelelő szervezeti egységhez (szervezeti egységhez), amely tartományhoz csatlakoztatott számítógépeket tartalmaz, amelyek a szabályozott bevezetési populációhoz tartoznak.

Az AD FS beállításainak konfigurálása

Ha a Microsoft Entra-azonosító össze van osztva az AD FS-sel, először konfigurálnia kell az ügyféloldali SCP-t a korábban említett utasítások alapján, a csoportházirend-objektum és az AD FS-kiszolgálók összekapcsolásával. Az SCP-objektum határozza meg az eszközobjektumok szolgáltatói forrását. Ez lehet helyszíni vagy Microsoft Entra-azonosító. Ha az ügyféloldali SCP az AD FS-hez van konfigurálva, az eszközobjektumok forrása Microsoft Entra-azonosítóként lesz létrehozva.

Feljegyzés

Ha nem tudta konfigurálni az ügyféloldali SCP-t az AD FS-kiszolgálókon, az eszközidentitások forrása helyszíninek minősül. Az AD FS ezután megkezdi az eszközobjektumok törlését a helyszíni címtárból az AD FS-eszközregisztráció "MaximumInactiveDays" attribútumában meghatározott időtartam után. Az AD FS eszközregisztrációs objektumai a Get-AdfsDeviceRegistration parancsmaggal találhatók.

Alacsonyabb szintű eszközök támogatása

A Windows alacsonyabb szintű eszközök regisztrálásához a szervezeteknek telepíteniük kell a Microsoft Workplace Join alkalmazást a Microsoft Letöltőközpontban elérhető nem Windows 10 rendszerű számítógépekre .

A csomagot egy olyan szoftverterjesztési rendszer használatával helyezheti üzembe, mint a Microsoft Configuration Manager. A csomag támogatja a standard csendes telepítési beállításokat a csendes paraméterrel. A Configuration Manager jelenlegi ága a korábbi verziókhoz hasonló előnyöket kínál, például a befejezett regisztrációk nyomon követését.

A telepítő létrehoz egy ütemezett feladatot a felhasználói környezetben futó rendszeren. A feladat akkor aktiválódik, amikor a felhasználó bejelentkezik a Windowsba. A feladat csendesen csatlakoztatja az eszközt a Microsoft Entra-azonosítóval a felhasználói hitelesítő adatokkal, miután a Microsoft Entra-azonosítóval végzett hitelesítést elvégezte.

Az eszközregisztráció szabályozásához telepítenie kell a Windows Installer-csomagot a windowsos alacsonyabb szintű eszközök kiválasztott csoportjában.

Feljegyzés

Ha egy SCP nincs konfigurálva a Microsoft Windows Server Active Directoryban, akkor a csoportházirend-objektum (GPO) használatával ugyanazt a megközelítést kell követnie, mint az SCP ügyféloldali beállításjegyzék-beállításának konfigurálása).

Miért lehet egy eszköz függőben lévő állapotban?

Amikor hibrid Microsoft Entra illesztési feladatot konfigurál a Microsoft Entra Csatlakozás Syncben a helyszíni eszközökhöz, a feladat szinkronizálja az eszközobjektumokat a Microsoft Entra-azonosítóval, és ideiglenesen "függőben" állapotba állítja az eszközök regisztrált állapotát, mielőtt az eszköz befejezi az eszközregisztrációt. Ennek a függőben lévő állapotnak az az oka, hogy az eszközt hozzá kell adni a Microsoft Entra könyvtárhoz, mielőtt regisztrálható lenne. Az eszközregisztrációs folyamatról további információt az Eszközregisztráció működése című témakörben talál.

Érvényesítés utáni

Miután ellenőrizte, hogy minden a várt módon működik-e, automatikusan regisztrálhatja a Windows jelenlegi és alacsonyabb szintű eszközeit a Microsoft Entra-azonosítóval. A Microsoft Entra hibrid csatlakoztatásának automatizálása az SCP konfigurálásával a Microsoft Entra Csatlakozás használatával.