Doelimplementatie voor hybride deelname aan Microsoft Entra
U kunt uw planning en vereisten voor hybride Microsoft Entra-apparaten valideren met behulp van een gerichte implementatie voordat u deze inschakelt in de hele organisatie. In dit artikel wordt uitgelegd hoe u een gerichte implementatie van Microsoft Entra Hybrid Join kunt uitvoeren.
Let op
Wees voorzichtig bij het wijzigen van waarden in Active Directory. Het aanbrengen van wijzigingen in een gevestigde omgeving kan onbedoelde gevolgen hebben.
Gerichte implementatie van hybride deelname van Microsoft Entra op huidige Windows-apparaten
Voor apparaten met Windows 10 is de minimaal ondersteunde versie Windows 10 (versie 1607) om samenvoegen van hybride systemen uit te voeren. Voer als best practice een upgrade uit naar de nieuwste versie van Windows 10 of 11. Als u eerdere besturingssystemen wilt ondersteunen, raadpleegt u de sectie Apparaten op lager niveau ondersteunen.
Als u een doelimplementatie wilt uitvoeren van hybride deelname aan Microsoft Entra op huidige Windows-apparaten, moet u het volgende doen:
- Wis de SCP-vermelding (Service Verbinding maken ion Point) uit Windows Server Active Directory als deze bestaat.
- Configureer de registerinstelling aan de clientzijde voor SCP op uw computers die lid zijn van een domein met behulp van een groepsbeleidsobject (GPO).
- Als u Active Directory Federation Services (AD FS) gebruikt, moet u ook de registerinstelling aan de clientzijde configureren voor SCP op uw AD FS-server met behulp van een GPO.
- Mogelijk moet u synchronisatieopties in Microsoft Entra Verbinding maken aanpassen om apparaatsynchronisatie in te schakelen.
Tip
Het SCP kan in bepaalde situaties lokaal worden geconfigureerd in het register van het apparaat. Als het apparaat een waarde vindt in het register, wordt die configuratie gebruikt, anders wordt er een query uitgevoerd op de map voor het SCP en wordt geprobeerd hybride join te maken.
SCP wissen uit Microsoft Windows Server Active Directory
Gebruik de Active Directory Services Interfaces Editor (ADSI Edit) om de SCP-objecten in Microsoft Windows Server Active Directory te wijzigen.
- Start de bureaubladtoepassing ADSI bewerken vanaf een beheerwerkstation of een domeincontroller als bedrijfsbeheerder.
- Maak verbinding met de Naamgevingscontext van de configuratie van uw domein.
- Blader naar CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration.
- Klik met de rechtermuisknop op het bladobject CN=62a0ff2e-97b9-4513-943f-0d221bd30080 en selecteer Eigenschappen.
- Selecteer trefwoorden in het venster Kenmerkeditor en selecteer Bewerken.
- Selecteer de waarden van azureADId en azureADName (één voor één) en selecteer Verwijderen.
- Sluit ADSI bewerken.
Registerinstelling aan clientzijde configureren voor SCP
Gebruik het volgende voorbeeld om een GPO (groepsbeleidsobject) te maken om een registerinstelling te implementeren die een SCP-vermelding configureert in het register van uw apparaten:
- Open de console Groepsbeleidbeheer en maak een nieuw GPO in uw domein.
- Geef een naam op voor het GPO dat u zojuist hebt gemaakt (bijvoorbeeld ClientSideSCP).
- Bewerk het groepsbeleidsobject en zoek het volgende pad:Computerconfiguratie>voorkeuren >Windows-instellingen>Register.
- Klik met de rechtermuisknop op Register en selecteer Nieuw>Registeritem.
- Configureer op het tabblad Algemeen het volgende:
- Actie: Bijwerken
- Hive: HKEY_LOCAL_MACHINE.
- Sleutelpad: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
- Waardenaam: TenantId.
- Waardetype: REG_SZ.
- Waardegegevens: de GUID (Globally Unique Identifier) of tenant-id van uw Microsoft Entra-tenant, die te vinden is in> tenant-id van tenant-id identiteitsoverzicht.>>
- Selecteer OK.
- Configureer op het tabblad Algemeen het volgende:
- Klik met de rechtermuisknop op Register en selecteer Nieuw>Registeritem.
- Configureer op het tabblad Algemeen het volgende:
- Actie: Bijwerken
- Hive: HKEY_LOCAL_MACHINE.
- Sleutelpad: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
- Waardenaam: TenantNaam.
- Waardetype: REG_SZ.
- Waardegegevens: uw geverifieerde domeinnaam als u een federatieve omgeving gebruikt, zoals AD FS. Uw geverifieerde domeinnaam of uw onmicrosoft.com-domeinnaam, bijvoorbeeld
contoso.onmicrosoft.com
als u een beheerde omgeving gebruikt.
- Selecteer OK.
- Configureer op het tabblad Algemeen het volgende:
- Sluit de editor voor het GPO dat u zojuist hebt gemaakt.
- Koppel het zojuist gemaakte groepsbeleidsobject aan de juiste organisatie-eenheid (OE) met computers die lid zijn van een domein die deel uitmaken van uw gecontroleerde implementatiepopulatie.
AD FS-instellingen configureren
Als uw Microsoft Entra-id is gefedereerd met AD FS, moet u eerst SCP aan de clientzijde configureren met behulp van de eerder genoemde instructies door het groepsbeleidsobject te koppelen aan uw AD FS-servers. Het SCP-object definieert de bron van autoriteit voor apparaatobjecten. Het kan on-premises of Microsoft Entra ID zijn. Wanneer SCP aan de clientzijde is geconfigureerd voor AD FS, wordt de bron voor apparaatobjecten ingesteld als Microsoft Entra-id.
Notitie
Als u SCP van de client niet kunt configureren op uw AD FS-servers, wordt de bron voor apparaatidentiteiten beschouwd als on-premises. AD FS begint vervolgens met het verwijderen van apparaatobjecten uit de on-premises map na de opgegeven periode die is gedefinieerd in het kenmerk "MaximumInactiveDays" van AD FS. Registratieobjecten van AD FS-apparaten vindt u met de Get-AdfsDeviceRegistration-cmdlet.
Ondersteuning voor apparaten op lager niveau
Voor het registreren van Windows-apparaten op lager niveau moeten organisaties Microsoft Workplace Join voor niet-Windows 10-computers installeren. Dit is beschikbaar in het Microsoft Download Center.
U kunt het pakket implementeren met behulp van een softwaredistributiesysteem zoals Microsoft Configuration Manager. Het pakket ondersteunt de standaardopties voor installatie op de achtergrond met de parameter op de achtergrond. De huidige branch van Configuration Manager biedt voordelen ten opzichte van eerdere versies, zoals de mogelijkheid om voltooide registraties bij te houden.
Het installatieprogramma maakt een geplande taak op het systeem dat wordt uitgevoerd in de gebruikerscontext. De taak wordt geactiveerd wanneer de gebruiker zich aanmeldt bij Windows. De taak voegt het apparaat op de achtergrond toe aan Microsoft Entra-id met de gebruikersreferenties na verificatie met Microsoft Entra-id.
Als u de apparaatregistratie wilt beheren, moet u het Windows Installer-pakket implementeren op uw geselecteerde groep apparaten op lager niveau van Windows.
Notitie
Als een SCP niet is geconfigureerd in Microsoft Windows Server Active Directory, moet u dezelfde benadering volgen als beschreven voor het configureren van registerinstelling aan de clientzijde voor SCP) op uw computers die lid zijn van een domein met behulp van een groepsbeleidsobject (GPO).
Waarom een apparaat de status In behandeling kan hebben
Wanneer u een Hybride Join-taak van Microsoft Entra configureert in de Microsoft Entra Verbinding maken Sync voor uw on-premises apparaten, worden apparaatobjecten met Microsoft Entra-id gesynchroniseerd en wordt de geregistreerde status van de apparaten tijdelijk ingesteld op In behandeling voordat het apparaat de apparaatregistratie voltooit. Deze status in behandeling is omdat het apparaat moet worden toegevoegd aan de Microsoft Entra-map voordat het kan worden geregistreerd. Zie Hoe het werkt: Apparaatregistratie voor meer informatie over apparaatregistratie.
Na validatie
Nadat u hebt gecontroleerd of alles werkt zoals verwacht, kunt u automatisch de rest van uw huidige en downlevel Windows-apparaten registreren met Microsoft Entra-id. Automatiseer hybride deelname van Microsoft Entra door het SCP te configureren met behulp van Microsoft Entra Verbinding maken.