Distribuzione di destinazione per l'aggiunta ad Azure AD ibrido

È possibile convalidare la pianificazione e i prerequisiti per l'aggiunta di dispositivi ibridi ad Azure AD usando una distribuzione di destinazione prima di abilitarla nell'intera organizzazione. Questo articolo illustra come eseguire una distribuzione mirata di aggiunta ad Azure AD ibrido.

Distribuzione mirata dell'aggiunta ad Azure AD ibrido nei dispositivi windows correnti

Per i dispositivi che eseguono Windows 10, la versione minima supportata è Windows 10 (versione 1607) per eseguire l'aggiunta ibrida. Come procedura consigliata, eseguire l'aggiornamento alla versione più recente di Windows 10 o 11. Se è necessario supportare i sistemi operativi precedenti, vedere la sezione Supporto dei dispositivi di livello inferiore

Per eseguire una distribuzione mirata dell'aggiunta ad Azure AD ibrido nei dispositivi correnti Windows, è necessario:

  1. Deselezionare la voce Punto di connessione del servizio (SCP) da Active Directory (AD) se esistente.
  2. Configurare l'impostazione del Registro di sistema lato client per SCP nei computer aggiunti a un dominio usando un oggetto Criteri di gruppo.
  3. Se si usa Active Directory Federation Services (AD FS), è necessario configurare anche l'impostazione del Registro di sistema lato client per SCP nel server AD FS usando un oggetto Criteri di gruppo.
  4. Potrebbe anche essere necessario personalizzare le opzioni di sincronizzazione in Azure AD Connect per abilitare la sincronizzazione dei dispositivi.

Cancellare SCP da AD

Utilizzare l'Editor interfacce di Active Directory Services (modifica ADSI) per modificare gli oggetti SCP in AD.

  1. Avviare l'applicazione desktop ADSI Edit da e una workstation amministrativa o un controller di dominio come amministratore dell'organizzazione.
  2. Connettersi al contesto di denominazione della configurazione del dominio.
  3. Passare a CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration.
  4. Fare clic con il pulsante destro del mouse sull'oggetto foglia CN=62a0ff2e-97b9-4513-943f-0d221bd30080 e scegliere Proprietà.
    1. Selezionare le parole chiave nella finestra Editor attributi e selezionare Modifica.
    2. Selezionare i valori di azureADId e azureADName (uno alla volta) e selezionare Rimuovi.
  5. Chiudere modifica ADSI.

Configurare l'impostazione del Registro di sistema lato client per il punto di connessione del servizio

Usare l'esempio seguente per creare un oggetto Criteri di gruppo Per distribuire un'impostazione del Registro di sistema che configura una voce SCP nel Registro di sistema dei dispositivi.

  1. Aprire una console Gestione Criteri di gruppo e creare un nuovo oggetto Criteri di gruppo nel dominio.
    1. Specificare un nome per l'oggetto Criteri di gruppo appena creato, ad esempio ClientSideSCP.
  2. Modificare l'oggetto Criteri di gruppo e individuare il percorso seguente:Preferenze>di configurazione> computerRegistrodi sistema impostazioni di> Windows.
  3. Fare clic con il pulsante destro del mouse sul Registro di sistema e scegliere Nuovo>elemento del Registro di sistema.
    1. Nella scheda Generale configurare quanto segue.
      1. Azione: aggiornamento.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Percorso chiave: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nome valore: TenantId.
      5. Tipo valore: REG_SZ.
      6. Dati valore: GUID o ID tenant dell'istanza di Azure AD .Questo valore è disponibile nella portale di Azure> Idtenantdelle proprietà> di Azure Active Directory>.
    2. Selezionare OK.
  4. Fare clic con il pulsante destro del mouse sul Registro di sistema e scegliere Nuovo>elemento del Registro di sistema.
    1. Nella scheda Generale configurare quanto segue.
      1. Azione: aggiornamento.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Percorso chiave: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nome valore: TenantName.
      5. Tipo valore: REG_SZ.
      6. Dati valore: nome di dominio verificato se si usa un ambiente federato, ad esempio AD FS. Il nome di dominio verificato o il nome di dominio onmicrosoft.com, ad esempio contoso.onmicrosoft.com se si usa l'ambiente gestito.
    2. Selezionare OK.
  5. Chiudere l'editor per l'oggetto Criteri di gruppo appena creato.
  6. Collegare l'oggetto Criteri di gruppo appena creato all'unità organizzativa corretta contenente computer aggiunti a un dominio appartenenti al popolamento controllato dell'implementazione.

Configurare le impostazioni di AD FS

Se Azure AD è federato con AD FS, è prima necessario configurare SCP sul lato client usando le istruzioni indicate in precedenza collegando l'oggetto Criteri di gruppo ai server AD FS. L'oggetto SCP definisce l'origine dell'autorità per gli oggetti dispositivo. Può essere locale o Azure AD. Quando SCP lato client è configurato per AD FS, l'origine per gli oggetti dispositivo viene stabilita come Azure AD.

Nota

Se non è stato possibile configurare SCP sul lato client nei server AD FS, l'origine per le identità dei dispositivi verrà considerata locale. AD FS avvierà quindi l'eliminazione di oggetti dispositivo dalla directory locale dopo il periodo stabilito definito nell'attributo "MaximumInactiveDays" di REGISTRAZIONE dispositivo di AD FS. Gli oggetti Registrazione dispositivi di AD FS sono disponibili usando il cmdlet Get-AdfsDeviceRegistration.

Supporto di dispositivi di livello inferiore

Per registrare i dispositivi Windows di livello inferiore, le organizzazioni devono installare Microsoft Workplace Join per computer non Windows 10, disponibile nell'Area download Microsoft.

È possibile distribuire il pacchetto usando un sistema di distribuzione software come Microsoft Endpoint Configuration Manager. Il pacchetto supporta le opzioni standard di installazione invisibile all'utente con il parametro quiet. Configuration Manager Current Branch offre vantaggi aggiuntivi rispetto alle versioni precedenti, come la possibilità di tenere traccia delle registrazioni completate.

Il programma di installazione crea nel sistema un'attività pianificata che viene eseguita nel contesto utente. e attivata nel momento in cui l'utente accede a Windows. L'attività aggiunge automaticamente il dispositivo con Azure AD con le credenziali dell'utente dopo l'autenticazione con Azure AD.

Per controllare la registrazione del dispositivo, è necessario distribuire il pacchetto Windows Installer nel gruppo selezionato di dispositivi Windows di livello inferiore.

Nota

Se un SCP non è configurato in Active Directory, è necessario seguire lo stesso approccio descritto in Configurare l'impostazione del Registro di sistema lato client per SCP) nei computer aggiunti a un dominio usando un oggetto Criteri di gruppo .

Perché un dispositivo potrebbe trovarsi in uno stato in sospeso

Quando si configura un'attività di aggiunta ad Azure AD ibrido in Azure AD Connect Sync per i dispositivi locali, l'attività sincronizza gli oggetti dispositivo in Azure AD e imposta temporaneamente lo stato registrato dei dispositivi su "in sospeso" prima che il dispositivo completi la registrazione del dispositivo. Ciò è dovuto al fatto che il dispositivo deve essere aggiunto alla directory di Azure AD prima di poter essere registrato. Per altre informazioni sul processo di registrazione del dispositivo, vedere Funzionamento: Registrazione del dispositivo.

Dopo la convalida

Dopo aver verificato che tutto funzioni come previsto, è possibile registrare automaticamente il resto dei dispositivi Windows correnti e di livello inferiore con Azure AD configurando SCP usando Azure AD Connect.

Passaggi successivi