Microsoft Entra gerichte implementatie van hybride join

  • Artikel

U kunt uw planning en vereisten voor hybride Microsoft Entra koppelen van apparaten valideren met behulp van een gerichte implementatie voordat u deze in de hele organisatie inschakelt. In dit artikel wordt uitgelegd hoe u een gerichte implementatie van Microsoft Entra hybride join kunt uitvoeren.

Gerichte implementatie van Microsoft Entra hybride join op huidige Windows-apparaten

Voor apparaten met Windows 10 is de minimaal ondersteunde versie Windows 10 (versie 1607) om samenvoegen van hybride systemen uit te voeren. Voer als best practice een upgrade uit naar de nieuwste versie van Windows 10 of 11. Als u eerdere besturingssystemen wilt ondersteunen, raadpleegt u de sectie Ondersteuning voor apparaten op lager niveau

Als u een gerichte implementatie van Microsoft Entra hybride join wilt uitvoeren op huidige Windows-apparaten, moet u het volgende doen:

  1. Wis de SCP-vermelding (Service Connection Point) uit Active Directory (AD) als deze bestaat.
  2. Configureer de registerinstelling van de client voor SCP op uw computers die lid zijn van een domein met een groepsbeleidobject (GPO).
  3. Als u Active Directory Federation Services (AD FS) gebruikt, moet u ook de registerinstelling van de client configureren voor SCP op uw AD FS-server met een groepsbeleidsobject.
  4. Mogelijk moet u ook synchronisatieopties in Microsoft Entra Connect aanpassen om apparaatsynchronisatie in te schakelen.

Het SCP uit AD wissen

Gebruik de Active Directory Services Interfaces Editor (ADSI Edit) om de SCP-objecten in AD te wijzigen.

  1. Start de bureaubladtoepassing ADSI bewerken vanaf een beheerwerkstation of een domeincontroller als bedrijfsbeheerder.
  2. Maak verbinding met de Naamgevingscontext van de configuratie van uw domein.
  3. Blader naar CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration.
  4. Klik met de rechtermuisknop op het bladobject CN=62a0ff2e-97b9-4513-943f-0d221bd30080 en selecteer Eigenschappen.
    1. Selecteer trefwoorden in het venster Kenmerkeditor en selecteer Bewerken.
    2. Selecteer de waarden van azureADId en azureADName (één voor één) en selecteer Verwijderen.
  5. Sluit ADSI bewerken.

Registerinstelling aan clientzijde configureren voor SCP

Gebruik het volgende voorbeeld om een GPO (groepsbeleidsobject) te maken om een registerinstelling te implementeren die een SCP-vermelding configureert in het register van uw apparaten:

  1. Open de console Groepsbeleidbeheer en maak een nieuw GPO in uw domein.
    1. Geef een naam op voor het GPO dat u zojuist hebt gemaakt (bijvoorbeeld ClientSideSCP).
  2. Bewerk het groepsbeleidsobject en zoek het volgende pad:Computerconfiguratie>voorkeuren >Windows-instellingen>Register.
  3. Klik met de rechtermuisknop op Register en selecteer Nieuw>Registeritem.
    1. Configureer op het tabblad Algemeen het volgende:
      1. Actie: Bijwerken
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Sleutelpad: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Waardenaam: TenantId.
      5. Waardetype: REG_SZ.
      6. Waardegegevens: de GUID of Tenant-id van uw Microsoft Entra tenant, die u kunt vinden inIdentiteitsoverzicht>>eigenschappen>Tenant-id.
    2. Selecteer OK.
  4. Klik met de rechtermuisknop op Register en selecteer Nieuw>Registeritem.
    1. Configureer op het tabblad Algemeen het volgende:
      1. Actie: Bijwerken
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Sleutelpad: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Waardenaam: TenantNaam.
      5. Waardetype: REG_SZ.
      6. Waardegegevens: uw geverifieerde domeinnaam als u een federatieve omgeving gebruikt, zoals AD FS. Uw geverifieerde domeinnaam of uw onmicrosoft.com-domeinnaam, bijvoorbeeld contoso.onmicrosoft.com als u een beheerde omgeving gebruikt.
    2. Selecteer OK.
  5. Sluit de editor voor het GPO dat u zojuist hebt gemaakt.
  6. Koppel de nieuwe GPO aan de gewenste OE met computers die lid zijn van een domein en die deel uitmaken van uw beheerde implementatiepopulatie.

AD FS-instellingen configureren

Als uw Microsoft Entra-id federatief is met AD FS, moet u eerst SCP aan de clientzijde configureren met behulp van de eerder genoemde instructies door het groepsbeleidsobject te koppelen aan uw AD FS-servers. Het SCP-object definieert de bron van autoriteit voor apparaatobjecten. Dit kan on-premises of Microsoft Entra-id zijn. Wanneer SCP aan de clientzijde is geconfigureerd voor AD FS, wordt de bron voor apparaatobjecten tot stand gebracht als Microsoft Entra-id.

Notitie

Als u SCP van de client niet kunt configureren op uw AD FS-servers, wordt de bron voor apparaatidentiteiten beschouwd als on-premises. AD FS begint vervolgens met het verwijderen van apparaatobjecten uit de on-premises map na de opgegeven periode die is gedefinieerd in het kenmerk "MaximumInactiveDays" van AD FS. Registratieobjecten van AD FS-apparaten vindt u met de Get-AdfsDeviceRegistration-cmdlet.

Ondersteuning voor apparaten op lager niveau

Voor het registreren van Windows-apparaten op lager niveau moeten organisaties Microsoft Workplace Join voor niet-Windows 10-computers installeren. Dit is beschikbaar in het Microsoft Download Center.

U kunt het pakket implementeren met behulp van een softwaredistributiesysteem zoals Microsoft Configuration Manager. Het pakket ondersteunt de standaardopties voor installatie op de achtergrond met de parameter op de achtergrond. De huidige branch van Configuration Manager biedt voordelen ten opzichte van eerdere versies, zoals de mogelijkheid om voltooide registraties bij te houden.

Het installatieprogramma maakt een geplande taak op het systeem dat wordt uitgevoerd in de gebruikerscontext. De taak wordt geactiveerd wanneer de gebruiker zich aanmeldt bij Windows. De taak koppelt het apparaat op de achtergrond aan Microsoft Entra-id met de gebruikersreferenties na verificatie met Microsoft Entra-id.

Als u de apparaatregistratie wilt beheren, moet u het Windows Installer-pakket implementeren op uw geselecteerde groep apparaten op lager niveau van Windows.

Notitie

Als een SCP niet is geconfigureerd in AD, moet u dezelfde methode volgen als beschreven voor het configureren van Registerinstelling van client configureren voor SCP) op uw computers die lid zijn van een domein met een groepsbeleidobject (GPO).

Waarom een apparaat de status In behandeling kan hebben

Wanneer u een Microsoft Entra hybride koppelingstaak configureert in de Microsoft Entra Connect Sync voor uw on-premises apparaten, synchroniseert de taak apparaatobjecten naar Microsoft Entra-id en stelt de geregistreerde status van de apparaten tijdelijk in op 'in behandeling' voordat het apparaat de apparaatregistratie voltooit. Deze status in behandeling is omdat het apparaat moet worden toegevoegd aan de map Microsoft Entra voordat het kan worden geregistreerd. Zie Hoe het werkt: Apparaatregistratie voor meer informatie over apparaatregistratie.

Na validatie

Nadat u hebt gecontroleerd of alles werkt zoals verwacht, kunt u de rest van uw huidige en downlevel Windows-apparaten automatisch registreren met Microsoft Entra-id. Automatiseer Microsoft Entra hybride koppeling door het SCP te configureren met behulp van Microsoft Entra Connect.

Volgende stappen