Microsoft Entra целевого развертывания с гибридным присоединением

  • Статья

Вы можете проверить планирование и предварительные требования для гибридного Microsoft Entra присоединения устройств с помощью целевого развертывания, прежде чем включать его во всей организации. В этой статье объясняется, как выполнить целевое развертывание Microsoft Entra гибридного соединения.

Целевое развертывание Microsoft Entra гибридного присоединения на текущих устройствах Windows

Для устройств под управлением Windows 10 гибридное присоединение поддерживается только для версии 1607 и выше. Мы всегда рекомендуем выполнить обновление до последней версии Windows 10 или 11. Если вам требуется поддержка предыдущих версий операционных систем, воспользуйтесь разделом Контролируемая проверка гибридного присоединения к Azure AD на устройствах низкого уровня под управлением Windows.

Чтобы выполнить целевое развертывание Microsoft Entra гибридного присоединения на текущих устройствах Windows, необходимо:

  1. Удалите запись точки подключения службы (SCP) из Active Directory (AD), если она существует.
  2. Настройте параметры реестра на стороне клиента для SCP на компьютерах, присоединенных к домену, с помощью объекта групповой политики (GPO).
  3. Если вы используете службы федерации Active Directory (AD FS), необходимо также настроить параметр реестра на стороне клиента для SCP на сервере AD FS, используя объект групповой политики.
  4. Вам также может потребоваться настроить параметры синхронизации в Microsoft Entra Connect, чтобы включить синхронизацию устройств.

Удаление SCP из AD

Для редактирования объектов SCP в AD используйте редактор интерфейсов служб Active Directory (ADSI Edit).

  1. Запустите приложение ADSI Edit для компьютеров от имени администратора на рабочей станции или контроллере домена.
  2. Подключитесь к контексту именования конфигурации своего домена.
  3. Перейдите к CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration.
  4. Щелкните правой кнопкой мыши объект CN=62a0ff2e-97b9-4513-943f-0d221bd30080 и выберите Свойства.
    1. В окне редактора атрибутов выберите ключевые слова и нажмите кнопку Изменить.
    2. Выберите значения azureADId и azureADName (поочередно), а затем нажмите Удалить.
  5. Закройте окно ADSI Edit.

Настройка параметров реестра для SCP на стороне клиента

Следующий пример показывает, как создать объект групповой политики (GPO) для развертывания параметра реестра при настройке записи SCP в реестре устройств.

  1. Откройте консоль управления групповыми политиками и создайте в своем домене новый объект групповой политики.
    1. Укажите имя для созданного объекта групповой политики (например, ClientSideSCP).
  2. Откройте для редактирования объект групповой политики и найдите следующий путь: Конфигурация компьютера>Параметры>Параметры Windows>Реестр.
  3. Щелкните "Реестр" правой кнопкой мыши и выберите пункт Создать>Элемент реестра.
    1. На вкладке Общие настройте следующие параметры.
      1. Действие: Update.
      2. Куст: HKEY_LOCAL_MACHINE.
      3. Расположение ключа: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Имя значения: TenantId.
      5. Тип значения: REG_SZ.
      6. Данные значений: GUID или идентификатор клиента Microsoft Entra клиента, который можно найти в разделеОбщие сведенияо>удостоверении> Свойства >Идентификатор клиента.
    2. Выберите ОК.
  4. Щелкните "Реестр" правой кнопкой мыши и выберите пункт Создать>Элемент реестра.
    1. На вкладке Общие настройте следующие параметры.
      1. Действие: Update.
      2. Куст: HKEY_LOCAL_MACHINE.
      3. Расположение ключа: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Имя значения: TenantName.
      5. Тип значения: REG_SZ.
      6. Значение: проверенное доменное имя, если вы используете AD FS или другую федеративную среду. Проверенное доменное имя или имя в домене onmicrosoft.com, например contoso.onmicrosoft.com, если вы используете управляемую среду.
    2. Нажмите кнопку ОК.
  5. Закройте редактор созданного объекта групповой политики.
  6. Привяжите новый объект групповой политики к правильному подразделению, которое содержит предназначенные для ограниченного развертывания и подключенные к домену компьютеры.

Настройка параметров AD FS

Если ваш идентификатор Microsoft Entra включен в федерацию с AD FS, сначала необходимо настроить SCP на стороне клиента, используя инструкции, упомянутые выше, путем связывания объекта групповой политики с серверами AD FS. Объект SCP определяет главные источники для объектов устройств. Это может быть локальный или Microsoft Entra идентификатор. При настройке SCP на стороне клиента для AD FS источник для объектов устройств устанавливается как идентификатор Microsoft Entra.

Примечание

Если не удалось настроить SCP на серверах AD FS на стороне клиента, будет использоваться локальный источник удостоверений устройств. Затем AD FS начнет удалять объекты устройств из локального каталога по истечении периода, указанного в атрибуте регистрации устройства AD FS MaximumInactiveDays. Объекты регистрации устройств AD FS можно найти с помощью командлета Get-AD FSDeviceRegistration.

Поддержка устройств с операционной системой прежних версий

Чтобы зарегистрировать устройства Windows нижнего уровня, необходимо установить в организации Microsoft Workplace Join для компьютеров, на которых не используется Windows 10. Это средство доступно в Центре загрузки Майкрософт.

Пакет можно развернуть с помощью системы распространения программного обеспечения, например Microsoft Configuration Manager. Этот пакет поддерживает параметры стандартной автоматической установки с использованием параметра quiet. В текущей ветви System Center Configuration Manager доступны дополнительные преимущества предыдущих версий, такие как возможность отслеживать ход регистрации.

Установщик создает в системе запланированную задачу, которая выполняется в контексте пользователя. Задача запускается в момент входа пользователя в систему Windows. Задача автоматически присоединяет устройство с идентификатором Microsoft Entra с учетными данными пользователя после проверки подлинности с помощью идентификатора Microsoft Entra.

В целях контроля регистрации устройств следует развернуть пакет установщика Windows только на выбранной группе устройств Windows нижнего уровня.

Примечание

Если в AD не настроена SCP, следует использовать подход, описанный в разделе Настройка параметра реестра для SCP на стороне клиентана компьютерах, присоединенных к домену, с помощью объекта групповой политики (GPO).

Почему устройство может находиться в состоянии ожидания

При настройке задачи Microsoft Entra гибридного присоединения в Microsoft Entra Connect Sync для локальных устройств задача синхронизирует объекты устройств с идентификатором Microsoft Entra и временно устанавливает зарегистрированное состояние устройств на "ожидание", прежде чем устройство завершит регистрацию устройства. Это состояние ожидания связано с тем, что устройство необходимо добавить в каталог Microsoft Entra, прежде чем его можно будет зарегистрировать. Дополнительные сведения о процессе регистрации устройства см. в разделе "Как это работает: регистрация устройства".

Действия после проверки

Убедившись, что все работает должным образом, можно автоматически зарегистрировать остальные устройства Windows текущего и нижнего уровней с помощью идентификатора Microsoft Entra. Автоматизируйте Microsoft Entra гибридное присоединение, настроив SCP с помощью Microsoft Entra Connect.

Дальнейшие действия