Megosztás a következőn keresztül:


A Microsoft Entra hibrid csatlakozás célzott üzembe helyezése

A hibrid Microsoft Entra eszközökhöz való csatlakozásának tervezését és előfeltételeit egy célzott üzembe helyezéssel ellenőrizheti, mielőtt a teljes szervezeten belül engedélyezve lenne. Ez a cikk a Microsoft Entra hibrid csatlakozás célzott üzembe helyezésének elvégzését ismerteti.

Figyelem

Az Active Directoryban lévő értékek módosításakor körültekintően kell eljárni. A meglévő környezetben végzett módosítások nem szándékos következményekkel járhatnak.

A Microsoft Entra hibrid csatlakoztatásának célzott üzembe helyezése Windows-eszközökön

Windows 10 rendszerű eszközök esetén a minimális támogatott verzió a Windows 10 (1607-es verzió) a hibrid csatlakozáshoz. Ajánlott eljárásként frissítsen a Windows 10 vagy 11 legújabb verziójára.

A Microsoft Entra hibrid csatlakoztatásának célzott üzembe helyezéséhez Windows-eszközökön a következőkre van szükség:

  1. Törölje a szolgáltatáskapcsolati pont (SCP) bejegyzését a Windows Server Active Directoryból, ha létezik.
  2. Konfigurálja az SCP ügyféloldali beállításjegyzék-beállítását a tartományhoz csatlakoztatott számítógépeken csoportházirend-objektum (GPO) használatával.
  3. Ha Active Directory összevonási szolgáltatásokat (AD FS) használ, az AD FS-kiszolgálón az SCP ügyféloldali beállításjegyzék-beállítását is konfigurálnia kell egy csoportházirend-objektum használatával.
  4. Előfordulhat, hogy az eszközszinkronizálás engedélyezéséhez szinkronizálási beállításokat kell testre szabnia a Microsoft Entra Connectben.

Borravaló

Előfordulhat, hogy az SCP helyileg van konfigurálva az eszköz beállításjegyzékében bizonyos helyzetekben. Ha az eszköz talál egy értéket a beállításjegyzékben, akkor ezt a konfigurációt használja, ellenkező esetben lekérdezi az SCP könyvtárát, és megkísérli a hibrid csatlakozást.

Az SCP törlése a Microsoft Windows Server Active Directoryból

Az Active Directory Services Interfaces Editor (ADSI Edit) használatával módosíthatja az SCP-objektumokat a Microsoft Windows Server Active Directoryban.

  1. Indítsa el az ADSI Edit asztali alkalmazást a felügyeleti munkaállomásról vagy egy tartományvezérlőről vállalati rendszergazdaként.
  2. Csatlakozzon a tartomány konfigurációs névkörnyezetéhez .
  3. Keresse meg a CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration elemet.
  4. Kattintson a jobb gombbal a CN=62a0ff2e-97b9-4513-943f-0d221bd30080 levélobjektumra, és válassza a Tulajdonságok lehetőséget.
    1. Válassza ki a kulcsszavakat az Attribútumszerkesztő ablakban, és válassza a Szerkesztés lehetőséget.
    2. Válassza ki az azureADId és az azureADName értékét (egyenként), majd válassza az Eltávolítás lehetőséget.
  5. Zárja be az ADSI Edit-et.

Ügyféloldali beállításjegyzék-beállítás konfigurálása az SCP-hez

Az alábbi példában létrehozhat egy csoportházirend-objektumot (GPO) egy beállításjegyzék-beállítás üzembe helyezéséhez, amely konfigurál egy SCP-bejegyzést az eszközök beállításjegyzékében.

  1. Nyisson meg egy csoportházirend-kezelési konzolt, és hozzon létre egy új csoportházirend-objektumot a tartományban.
    1. Adjon nevet az újonnan létrehozott csoportházirend-objektumnak (például ClientSideSCP).
  2. Szerkessze a csoportházirend-objektumot, és keresse meg a következő elérési utat: Számítógép konfiguráció>Beállítások>Windows beállítások>Beállításjegyzék.
  3. Kattintson a jobb gombbal a beállításjegyzékre, és válassza az Új>beállításjegyzékelemet.
    1. Az Általános lapon konfigurálja a következőket.
      1. Művelet: Frissítés.
      2. Kaptár: HKEY_LOCAL_MACHINE.
      3. Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Érték neve: TenantId.
      5. Érték típusa: REG_SZ.
      6. Értékadatok: A Microsoft Entra-bérlő globálisan egyedi azonosítója (GUID) vagy bérlői azonosítója, amely az Entra ID>Áttekintés>Tulajdonságok>Bérlői azonosító részben található.
    2. Válassza az OK gombot.
  4. Kattintson a jobb gombbal a beállításjegyzékre, és válassza az Új>beállításjegyzékelemet.
    1. Az Általános lapon konfigurálja a következőket.
      1. Művelet: Frissítés.
      2. Kaptár: HKEY_LOCAL_MACHINE.
      3. Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Érték neve: TenantName.
      5. Érték típusa: REG_SZ.
      6. Értékadatok: Az ellenőrzött tartománynév, ha egy összevont környezetet, például az AD FS-t használja. Ellenőrzött tartományneve vagy onmicrosoft.com tartományneve, például contoso.onmicrosoft.com felügyelt környezet használata esetén.
    2. Válassza az OK gombot.
  5. Zárja be az újonnan létrehozott csoportházirend-objektum szerkesztőjét.
  6. Csatolja az újonnan létrehozott csoportházirend-objektumot a megfelelő szervezeti egységhez (OU), amely tartományhoz csatlakoztatott számítógépeket tartalmaz, amelyek a szabályozott bevezetési csoporthoz tartoznak.

Az AD FS beállításainak konfigurálása

Ha a Microsoft Entra-azonosító federálva van az AD FS-sel, először konfigurálnia kell az ügyféloldali SCP-t a korábban említett utasítások alapján, úgy hogy a csoportházirendet csatolja az AD FS-kiszolgálókhoz. Az SCP-objektum határozza meg az eszközobjektumok tekintély forrását. Ez lehet helyszíni vagy Microsoft Entra-azonosító. Ha az ügyféloldali SCP az AD FS-hez van konfigurálva, az eszközobjektumok forrása Microsoft Entra-azonosítóként lesz létrehozva.

Jegyzet

Ha nem tudta konfigurálni az ügyféloldali SCP-t az AD FS-kiszolgálókon, az eszközidentitások forrása helyszíninek minősül. Az AD FS ezután megkezdi az eszközobjektumok törlését a helyszíni címtárból az AD FS-eszközregisztráció "MaximumInactiveDays" attribútumában meghatározott időtartam után. Az AD FS eszközregisztrációs objektumai a Get-AdfsDeviceRegistration parancsmaggal találhatók.

Miért van egy eszköz függőben lévő állapotban?

Amikor a Microsoft Entra hibrid csatlakoztatási feladatát konfigurálja a helyszíni eszközökHöz tartozó Microsoft Entra Connect Syncben, a feladat szinkronizálja az eszközobjektumokat a Microsoft Entra-azonosítóval, és ideiglenesen "függőben" állapotba állítja az eszközök regisztrált állapotát, mielőtt az eszköz befejezené az eszközregisztrációt. Ennek a függőben lévő állapotnak az az oka, hogy az eszközt hozzá kell adni a Microsoft Entra könyvtárhoz, mielőtt regisztrálható lenne. Az eszközregisztrációs folyamatról további információt az Eszközregisztráció működése című témakörben talál.

Utólagos érvényesítés

Miután ellenőrizte, hogy minden a várt módon működik-e, automatikusan regisztrálhatja a többi Windows-eszközét a Microsoft Entra ID azonosítóval. A Microsoft Entra hibrid csatlakoztatásának automatizálása az SCP konfigurálásával a Microsoft Entra Connect használatával.