Udostępnij za pośrednictwem

Ukierunkowane wdrożenie przyłączania hybrydowego Microsoft Entra

  • Artykuł

Przed włączeniem jej w całej organizacji można zweryfikować planowanie i wymagania wstępne dotyczące hybrydowego dołączania urządzeń do Microsoft Entra przy użyciu wdrożenia ukierunkowanego. W tym artykule wyjaśniono, jak przeprowadzić ukierunkowane wdrożenie hybrydowego dołączenia w Microsoft Entra.

Ostrożność

Zachowaj ostrożność podczas modyfikowania wartości w usłudze Active Directory. Wprowadzanie zmian w ustalonym środowisku może mieć niezamierzone konsekwencje.

Ukierunkowane wdrożenie łączności hybrydowej Microsoft Entra na urządzeniach z systemem Windows

W przypadku urządzeń z systemem Windows 10 minimalna obsługiwana wersja to Windows 10 (wersja 1607) do przyłączenia hybrydowego. Najlepszym rozwiązaniem jest uaktualnienie do najnowszej wersji systemu Windows 10 lub 11.

Aby przeprowadzić docelowe wdrożenie hybrydowego dołączania Microsoft Entra na urządzeniach z systemem Windows, wykonaj następujące kroki:

  1. Wyczyść wpis punktu połączeniowego usługi (SCP) z usługi Active Directory systemu Windows Server, jeśli istnieje.
  2. Skonfiguruj ustawienia rejestru po stronie klienta dla SCP na komputerach przyłączonych do domeny za pomocą obiektu zasad grupy (GPO).
  3. Jeśli używasz usług Active Directory Federation Services (AD FS), należy również skonfigurować ustawienie rejestru po stronie klienta dla punktu połączenia usługi (SCP) na serwerze AD FS za pomocą GPO.
  4. Aby włączyć synchronizację urządzeń, może być konieczne dostosowanie opcji synchronizacji w programie Microsoft Entra Connect.

Napiwek

Punkt połączenia usługi może być skonfigurowany lokalnie w rejestrze urządzenia w pewnych sytuacjach. Jeśli urządzenie znajdzie wartość w rejestrze, używa tej konfiguracji, w przeciwnym razie wysyła zapytanie do katalogu o Punkt Połączenia Usługi i próbuje hybrydowego dołączenia.

Usuń punkt połączenia (SCP) z usługi Microsoft Windows Server Active Directory

Użyj Edytora interfejsów usług Active Directory (ADSI Edit), aby zmodyfikować obiekty SCP w usłudze Active Directory systemu Microsoft Windows Server.

  1. Uruchom aplikację klasyczną ADSI Edit z administracyjnej stacji roboczej lub kontrolera domeny jako administrator przedsiębiorstwa.
  2. Połącz się z kontekstem nazewnictwa konfiguracji w Twojej domenie.
  3. Przejdź do CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Konfiguracja rejestracji urządzeń.
  4. Kliknij prawym przyciskiem myszy obiekt liścia CN=62a0ff2e-97b9-4513-943f-0d221bd30080 i wybierz pozycję Właściwości.
    1. Wybierz słowa kluczowe w oknie Edytor atrybutów i wybierz pozycję Edytuj.
    2. Wybierz wartości azureADId i azureADName (pojedynczo) i wybierz pozycję Usuń.
  5. Zamknij edytor ADSI.

Konfigurowanie ustawienia rejestru po stronie klienta dla SCP

Użyj poniższego przykładu, aby utworzyć obiekt zasad grupy (GPO) do wdrożenia ustawienia rejestru konfigurującego wpis SCP w rejestrze urządzeń.

  1. Otwórz konsolę zarządzania zasadami grupy i utwórz nowy obiekt zasad grupy w domenie.
    1. Podaj nazwę nowo utworzonego obiektu zasad grupy (na przykład ClientSideSCP).
  2. Zmodyfikuj obiekt zasad grupy i znajdź następującą ścieżkę: Konfiguracja komputera>Preferencje>Ustawienia Windows>Rejestr.
  3. Kliknij prawym przyciskiem myszy rejestr i wybierz pozycję Nowy>element rejestru.
    1. Na karcie Ogólne skonfiguruj następujące ustawienia.
      1. Akcja: Aktualizacja.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nazwa wartości: TenantId.
      5. Typ wartości: REG_SZ.
      6. Dane wartości: globalnie unikatowy identyfikator (GUID) lub identyfikator dzierżawy firmy Microsoft Entra, który można znaleźć w Identyfikator Entra>Przeglądzie>Właściwościach>Identyfikatorze dzierżawy.
    2. Wybierz przycisk OK.
  4. Kliknij prawym przyciskiem myszy rejestr i wybierz pozycję Nowy>element rejestru.
    1. Na karcie Ogólne skonfiguruj następujące ustawienia.
      1. Akcja: Aktualizacja.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nazwa wartości: TenantName.
      5. Typ wartości: REG_SZ.
      6. Dane wartości: zweryfikowana nazwa domeny , jeśli używasz takiego środowiska federacyjnego jak AD FS. Zweryfikowana nazwa domeny lub nazwa domeny onmicrosoft.com, na przykład contoso.onmicrosoft.com, jeśli używasz środowiska zarządzanego.
    2. Wybierz przycisk OK.
  5. Zamknij edytor nowo utworzonego obiektu zasad grupy.
  6. Połącz nowo utworzony GPO z odpowiednią jednostką organizacyjną, zawierającą komputery przyłączone do domeny, które należą do kontrolowanej grupy wdrożeniowej.

Konfigurowanie ustawień usług AD FS

Jeśli identyfikator Microsoft Entra jest sfederowany z usługami AD FS, najpierw należy skonfigurować SCP po stronie klienta zgodnie z wcześniej podanymi instrukcjami, łącząc obiekt zasad grupy z serwerami usług AD FS. Obiekt SCP definiuje źródło autorytetu dla obiektów urządzeń. Może to być rozwiązanie lokalne lub Microsoft Entra ID. Po skonfigurowaniu SCP po stronie klienta dla usług AD FS źródłem obiektów urządzeń jest Microsoft Entra ID.

Nota

Jeśli nie udało się skonfigurować SCP po stronie klienta na serwerach AD FS, źródło tożsamości urządzeń zostanie uznane za lokalne. Następnie usługi AD FS zaczną usuwać obiekty urządzeń z katalogu lokalnego po określonym okresie zdefiniowanym w atrybucie Rejestracji urządzeń usług AD FS "MaximumInactiveDays". Obiekty rejestracji urządzeń w usługach AD FS można znaleźć za pomocą cmdletu Get-AdfsDeviceRegistration.

Dlaczego urządzenie może znajdować się w stanie oczekiwania

Podczas konfigurowania zadania dołączania hybrydowego Microsoft Entra w programie Microsoft Entra Connect Sync dla urządzeń lokalnych, zadanie synchronizuje obiekty urządzeń z Microsoft Entra ID i tymczasowo ustawia stan rejestracji urządzeń na "oczekujące" przed zakończeniem rejestracji urządzenia. Ten stan oczekiwania jest spowodowany tym, że urządzenie musi zostać dodane do katalogu Microsoft Entra, zanim będzie można je zarejestrować. Aby uzyskać więcej informacji na temat procesu rejestracji urządzenia, zobacz Jak to działa: rejestracja urządzenia.

Po weryfikacji

Po sprawdzeniu, czy wszystko działa zgodnie z oczekiwaniami, możesz automatycznie zarejestrować resztę urządzeń z systemem Windows przy użyciu identyfikatora Microsoft Entra. Zautomatyzuj hybrydowe połączenie Microsoft Entra, konfigurując SCP za pomocą Microsoft Entra Connect.

Powiązana zawartość