Wdrożenie docelowe przyłączania hybrydowego firmy Microsoft Entra

Przed włączeniem jej w całej organizacji można zweryfikować planowanie i wymagania wstępne dotyczące hybrydowego dołączania urządzeń firmy Microsoft Entra przy użyciu wdrożenia docelowego. W tym artykule wyjaśniono, jak przeprowadzić ukierunkowane wdrożenie dołączania hybrydowego firmy Microsoft Entra.

Uwaga

Zachowaj ostrożność podczas modyfikowania wartości w usłudze Active Directory. Wprowadzanie zmian w ustalonym środowisku może mieć niezamierzone konsekwencje.

Docelowe wdrożenie dołączania hybrydowego firmy Microsoft Entra na bieżących urządzeniach z systemem Windows

W przypadku urządzeń z systemem Windows 10 minimalna obsługiwana wersja to Windows 10 (wersja 1607) do przyłączenia hybrydowego. Najlepszym rozwiązaniem jest uaktualnienie do najnowszej wersji systemu Windows 10 lub 11. Jeśli potrzebujesz obsługi poprzednich systemów operacyjnych, zobacz sekcję Obsługa urządzeń na poziomie podrzędnym.

Aby przeprowadzić docelowe wdrożenie dołączania hybrydowego firmy Microsoft Entra na bieżących urządzeniach z systemem Windows, należy wykonać następujące czynności:

1. Wyczyść wpis service Połączenie ion point (SCP) z usługi Active Directory systemu Windows Server, jeśli istnieje.
2. Skonfiguruj ustawienie rejestru po stronie klienta dla punktu połączenia usługi na komputerach przyłączonych do domeny przy użyciu obiektu zasad grupy (GPO).
3. Jeśli używasz usług Active Directory Federation Services (AD FS), należy również skonfigurować ustawienie rejestru po stronie klienta dla punktu połączenia usługi na serwerze usług AD FS przy użyciu obiektu zasad grupy.
4. Aby włączyć synchronizację urządzeń, może być konieczne dostosowanie opcji synchronizacji w usłudze Microsoft Entra Połączenie.

Napiwek

Punkt połączenia punktów połączenia można skonfigurować lokalnie w rejestrze urządzenia w pewnych sytuacjach. Jeśli urządzenie znajdzie wartość w rejestrze, używa tej konfiguracji, w przeciwnym razie wysyła zapytanie do katalogu dla punktu połączenia i próbuje sprzężenia hybrydowego.

Czyszczenie punktu połączenia z usługi Microsoft Windows Server Active Directory

Użyj Edytora interfejsów usług Active Directory (ADSI Edit), aby zmodyfikować obiekty SCP w usłudze Active Directory systemu Microsoft Windows Server.

1. Uruchom aplikację klasyczną Edit ADSI ze stacji roboczej i administracyjnej stacji roboczej lub kontrolera domeny jako Administracja istratora przedsiębiorstwa.
2. Połączenie do Kontekst nazewnictwa konfiguracji domeny.
3. Przejdź do folderu CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Konfiguracja rejestracji urządzeń.
4. Kliknij prawym przyciskiem myszy obiekt liścia CN=62a0ff2e-97b9-4513-943f-0d221bd30080 i wybierz pozycję Właściwości.
   1. Wybierz słowa kluczowe w oknie Edytor atrybutów i wybierz pozycję Edytuj.
   2. Wybierz wartości azureADId i azureADName (pojedynczo) i wybierz pozycję Usuń.
5. Zamknij edytor ADSI.

Konfigurowanie ustawienia SCP rejestru po stronie klienta

Użyj poniższego przykładu, aby utworzyć obiekt zasad grupy (GPO), aby wdrożyć ustawienie rejestru konfigurujące wpis scp w rejestrze urządzeń.

1. Otwórz Konsolę zarządzania zasadami grupy i utwórz nowy obiekt zasad grupy w domenie.
   1. Podaj nazwę nowo utworzonego obiektu (np. ClientSideSCP).
2. Zmodyfikuj obiekt zasad grupy i znajdź następującą ścieżkę: Preferencje>konfiguracji>komputera Systemu Windows Ustawienia> Registry.
3. Kliknij prawym przyciskiem myszy rejestr i wybierz pozycję Nowy>element rejestru.
   1. Na karcie Ogólne skonfiguruj następujące ustawienia.
      1. Akcja: Aktualizacja.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nazwa wartości: TenantId.
      5. Typ wartości: REG_SZ.
      6. Dane wartości: globalnie unikatowy identyfikator (GUID) lub identyfikator dzierżawy dzierżawy firmy Microsoft Entra, który można znaleźć w temacie Identity Overview Properties Tenant ID (Identyfikator dzierżawy właściwości>przeglądu>tożsamości).>
   2. Wybierz przycisk OK.
4. Kliknij prawym przyciskiem myszy rejestr i wybierz pozycję Nowy>element rejestru.
   1. Na karcie Ogólne skonfiguruj następujące ustawienia.
      1. Akcja: Aktualizacja.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nazwa wartości: TenantName.
      5. Typ wartości: REG_SZ.
      6. Dane wartości: zweryfikowana nazwa domeny, jeśli używasz środowiska federacyjnego, takiego jak usługi AD FS. Zweryfikowana nazwa domeny lub nazwa domeny onmicrosoft.com, na przykład contoso.onmicrosoft.com jeśli używasz środowiska zarządzanego.
   2. Wybierz przycisk OK.
5. Zamknij edytor nowo utworzonego obiektu zasad grupy.
6. Połącz nowo utworzony obiekt zasad grupy z poprawną jednostką organizacyjną zawierającą komputery przyłączone do domeny należące do kontrolowanej populacji wdrażania.

Konfigurowanie ustawień usług AD FS

Jeśli identyfikator Entra firmy Microsoft jest sfederowany z usługami AD FS, najpierw należy skonfigurować punkt połączenia punktów połączenia po stronie klienta, korzystając z instrukcji wymienionych wcześniej przez połączenie obiektu zasad grupy z serwerami usług AD FS. Obiekt SCP definiuje źródło urzędu dla obiektów urządzeń. Może to być identyfikator lokalny lub Microsoft Entra ID. Po skonfigurowaniu punktu połączenia punktów połączenia po stronie klienta dla usług AD FS źródło obiektów urządzeń jest ustanawiane jako identyfikator Entra firmy Microsoft.

Uwaga

Jeśli nie można skonfigurować punktu połączenia punktów połączenia po stronie klienta na serwerach usług AD FS, źródło tożsamości urządzeń zostanie uznane za lokalne. Następnie usługi AD FS zaczną usuwać obiekty urządzeń z katalogu lokalnego po określonym okresie zdefiniowanym w atrybucie Rejestracji urządzeń usług AD FS "MaximumInactiveDays". Obiekty rejestracji urządzeń usług AD FS można znaleźć za pomocą polecenia cmdlet Get-AdfsDeviceRegistration.

Obsługa urządzeń na poziomie podrzędnym

Aby zarejestrować urządzenia z systemem Windows na poziomie podrzędnym, organizacje muszą zainstalować program Microsoft Workplace Join dla komputerów z systemem innych niż Windows 10 dostępnych w Centrum pobierania Microsoft.

Pakiet można wdrożyć przy użyciu systemu dystrybucji oprogramowania, takiego jak Microsoft Configuration Manager. Pakiet obsługuje standardowe opcje instalacji dyskretnej z cichym parametrem. Bieżąca gałąź programu Configuration Manager oferuje korzyści w porównaniu z wcześniejszymi wersjami, takimi jak możliwość śledzenia ukończonych rejestracji.

Instalator tworzy zaplanowane zadanie w systemie, które jest uruchamiane w kontekście użytkownika. Zadanie jest wyzwalane, gdy użytkownik zaloguje się do systemu Windows. Zadanie w trybie dyskretnym łączy urządzenie z identyfikatorem Entra firmy Microsoft z poświadczeniami użytkownika po uwierzytelnieniu przy użyciu identyfikatora Entra firmy Microsoft.

Aby kontrolować rejestrację urządzenia, należy wdrożyć pakiet Instalatora Windows w wybranej grupie urządzeń z systemem Windows na poziomie podrzędnym.

Uwaga

Jeśli punkt połączenia połączenia usługi nie jest skonfigurowany w usłudze Active Directory systemu Microsoft Windows Server, należy postępować zgodnie z tym samym podejściem, co opisano w temacie Konfigurowanie ustawienia rejestru po stronie klienta dla punktu połączenia usługi) na komputerach przyłączonych do domeny przy użyciu obiektu zasad grupy (GPO).

Dlaczego urządzenie może znajdować się w stanie oczekiwania

Podczas konfigurowania zadania dołączania hybrydowego firmy Microsoft Entra w usłudze Microsoft Entra Połączenie Sync dla urządzeń lokalnych zadanie synchronizuje obiekty urządzeń z identyfikatorem Entra firmy Microsoft i tymczasowo ustawia stan zarejestrowany urządzeń na "oczekujące", zanim urządzenie zakończy rejestrację urządzenia. Ten stan oczekiwania jest spowodowany tym, że urządzenie musi zostać dodane do katalogu Microsoft Entra, zanim będzie można je zarejestrować. Aby uzyskać więcej informacji na temat procesu rejestracji urządzenia, zobacz Jak to działa: rejestracja urządzenia.

Po weryfikacji

Po sprawdzeniu, czy wszystko działa zgodnie z oczekiwaniami, możesz automatycznie zarejestrować pozostałe urządzenia z systemem Windows bieżące i na poziomie podrzędnym za pomocą identyfikatora Entra firmy Microsoft. Zautomatyzuj dołączanie hybrydowe firmy Microsoft Entra, konfigurując punkt połączenia przy użyciu usługi Microsoft Entra Połączenie.

Powiązana zawartość

• Planowanie implementacji dołączania hybrydowego firmy Microsoft Entra
• Konfigurowanie dołączania hybrydowego firmy Microsoft Entra
• Ręczne konfigurowanie przyłączania hybrydowego firmy Microsoft Entra