Distribuzione di destinazione dell'aggiunta ibrida a Microsoft Entra

  • Articolo

È possibile convalidare la pianificazione e i prerequisiti per l'aggiunta di dispositivi Microsoft Entra ibridi usando una distribuzione mirata prima di abilitarla nell'intera organizzazione. Questo articolo illustra come eseguire una distribuzione mirata dell'aggiunta ibrida a Microsoft Entra.

Attenzione

Prestare attenzione quando si modificano i valori in Active Directory. Le modifiche apportate in un ambiente stabilito potrebbero avere conseguenze impreviste.

Distribuzione mirata dell'aggiunta ibrida Di Microsoft Entra nei dispositivi windows correnti

Per i dispositivi che eseguono Windows 10, la versione minima supportata è Windows 10 (versione 1607) per eseguire l'aggiunta ibrida. Come procedura consigliata, eseguire l'aggiornamento alla versione più recente di Windows 10 o 11. Se è necessario supportare i sistemi operativi precedenti, vedere la sezione Supporto dei dispositivi di livello inferiore.

Per eseguire una distribuzione mirata dell'aggiunta ibrida Microsoft Entra nei dispositivi correnti Windows, è necessario:

  1. Deselezionare la voce Service Connessione ion Point (SCP) da Windows Server Active Directory, se esistente.
  2. Configurare l'impostazione del Registro di sistema lato client per SCP nei computer aggiunti a un dominio usando un oggetto Criteri di gruppo.
  3. Se si usa Active Directory Federation Services (AD FS), è necessario configurare anche l'impostazione del Registro di sistema lato client per SCP nel server AD FS usando un oggetto Criteri di gruppo.
  4. Potrebbe essere necessario personalizzare le opzioni di sincronizzazione in Microsoft Entra Connessione per abilitare la sincronizzazione dei dispositivi.

Suggerimento

SCP potrebbe essere configurato localmente nel Registro di sistema del dispositivo in determinate situazioni. Se il dispositivo trova un valore nel Registro di sistema che usa tale configurazione, in caso contrario esegue una query sulla directory per SCP e tenta di creare un join ibrido.

Deselezionare SCP da Microsoft Windows Server Active Directory

Utilizzare l'Editor interfacce di Active Directory Services (ADSI Edit) per modificare gli oggetti SCP in Microsoft Windows Server Active Directory.

  1. Avviare l'applicazione desktop ADSI Edit da e una workstation amministrativa o un controller di dominio come enterprise Amministrazione istrator.
  2. Connessione al Contesto di denominazione della configurazione del dominio.
  3. Passare a CN=Configuration,DC=contoso,DC=com>CN=Services CN=Device>Registration Configuration.
  4. Fare clic con il pulsante destro del mouse sull'oggetto foglia CN=62a0ff2e-97b9-4513-943f-0d221bd30080 e selezionare Proprietà.
    1. Selezionare le parole chiave nella finestra Editor attributi e selezionare Modifica.
    2. Selezionare i valori di azureADId e azureADName (uno alla volta) e selezionare Rimuovi.
  5. Chiudere la modifica ad ADSI.

Configurare l'impostazione del Registro di sistema lato client per il punto di connessione del servizio

Usare l'esempio seguente per creare un oggetto Criteri di gruppo per distribuire un'impostazione del Registro di sistema che configura una voce SCP nel Registro di sistema dei dispositivi.

  1. Aprire una console Gestione Criteri di gruppo e creare un nuovo oggetto Criteri di gruppo nel dominio.
    1. Specificare un nome per l'oggetto Criteri di gruppo appena creato, ad esempio ClientSideSCP.
  2. Modificare l'oggetto Criteri di gruppo e individuare il percorso seguente: Preferenze>di configurazione>computer Windows Impostazioni> Registry.
  3. Fare clic con il pulsante destro del mouse sul Registro di sistema e selezionare Nuovo>elemento del Registro di sistema.
    1. Nella scheda Generale configurare quanto segue.
      1. Azione: aggiornamento.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Percorso chiave: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nome valore: TenantId.
      5. Tipo di valore: REG_SZ.
      6. Dati valore: identificatore univoco globale (GUID) o ID tenant del tenant di Microsoft Entra, disponibile in Identity>Overview>Properties Tenant ID (ID tenant).>
    2. Seleziona OK.
  4. Fare clic con il pulsante destro del mouse sul Registro di sistema e selezionare Nuovo>elemento del Registro di sistema.
    1. Nella scheda Generale configurare quanto segue.
      1. Azione: aggiornamento.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Percorso chiave: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nome valore: TenantName.
      5. Tipo di valore: REG_SZ.
      6. Dati valore: nome di dominio verificato se si usa un ambiente federato, ad esempio AD FS. Il nome di dominio verificato o il nome di dominio onmicrosoft.com, ad esempio contoso.onmicrosoft.com se si usa l'ambiente gestito.
    2. Seleziona OK.
  5. Chiudere l'editor per l'oggetto Criteri di gruppo appena creato.
  6. Collegare l'oggetto Criteri di gruppo appena creato all'unità organizzativa corretta contenente computer aggiunti a un dominio che appartengono al popolamento controllato dell'implementazione.

Configurare le impostazioni di AD FS

Se l'ID Microsoft Entra è federato con AD FS, è prima necessario configurare SCP sul lato client usando le istruzioni indicate in precedenza collegando l'oggetto Criteri di gruppo ai server AD FS. L'oggetto SCP definisce l'origine dell'autorità per gli oggetti dispositivo. Può essere locale o Microsoft Entra ID. Quando SCP sul lato client è configurato per AD FS, l'origine per gli oggetti dispositivo viene stabilita come ID Microsoft Entra.

Nota

Se non è stato possibile configurare SCP sul lato client nei server AD FS, l'origine per le identità dei dispositivi viene considerata locale. AD FS inizierà quindi a eliminare gli oggetti dispositivo dalla directory locale dopo il periodo stabilito definito nell'attributo "MaximumInactiveDays" della registrazione del dispositivo di AD FS. Gli oggetti Registrazione dispositivo AD FS sono disponibili usando il cmdlet Get-AdfsDeviceRegistration.

Supporto di dispositivi di livello inferiore

Per registrare i dispositivi Windows di livello inferiore, le organizzazioni devono installare Microsoft Workplace Join per computer non Windows 10, disponibile nell'Area download Microsoft.

È possibile distribuire il pacchetto usando un sistema di distribuzione software come Microsoft Configuration Manager. Il pacchetto supporta le opzioni standard di installazione invisibile all'utente con il parametro quiet. Configuration Manager Current Branch offre vantaggi aggiuntivi rispetto alle versioni precedenti, come la possibilità di tenere traccia delle registrazioni completate.

Il programma di installazione crea nel sistema un'attività pianificata che viene eseguita nel contesto utente. e attivata nel momento in cui l'utente accede a Windows. L'attività aggiunge automaticamente il dispositivo con l'ID Microsoft Entra con le credenziali utente dopo l'autenticazione con Microsoft Entra ID.

Per controllare la registrazione del dispositivo, devi distribuire il pacchetto Windows Installer nel gruppo selezionato di dispositivi Windows di livello inferiore.

Nota

Se un SCP non è configurato in Microsoft Windows Server Active Directory, è necessario seguire lo stesso approccio descritto in Configurare l'impostazione del Registro di sistema lato client per SCP) nei computer aggiunti a un dominio usando un oggetto Criteri di gruppo.

Perché un dispositivo potrebbe trovarsi in uno stato in sospeso

Quando si configura un'attività di join ibrido di Microsoft Entra in Microsoft Entra Connessione Sync per i dispositivi locali, l'attività sincronizza gli oggetti dispositivo con Microsoft Entra ID e imposta temporaneamente lo stato registrato dei dispositivi su "in sospeso" prima che il dispositivo completi la registrazione del dispositivo. Questo stato in sospeso è dovuto al fatto che il dispositivo deve essere aggiunto alla directory Microsoft Entra prima di poter essere registrato. Per altre informazioni sul processo di registrazione del dispositivo, vedere Funzionamento: Registrazione del dispositivo.

Dopo la convalida

Dopo aver verificato che tutto funzioni come previsto, è possibile registrare automaticamente il resto dei dispositivi Windows correnti e di livello inferiore con Microsoft Entra ID. Automatizzare l'aggiunta ibrida a Microsoft Entra configurando SCP usando Microsoft Entra Connessione.

Contenuto correlato