Целевое развертывание гибридного соединения Microsoft Entra
Вы можете проверить планирование и предварительные требования для гибридных устройств, присоединенных к Microsoft Entra, с помощью целевого развертывания, прежде чем включить его во всей организации. В этой статье объясняется, как выполнить целевое развертывание гибридного соединения Microsoft Entra.
Внимание
При изменении значений в Active Directory используйте осторожность. Внесение изменений в установленной среде может иметь непредвиденные последствия.
Целевое развертывание гибридного соединения Microsoft Entra на текущих устройствах Windows
Для устройств под управлением Windows 10 гибридное присоединение поддерживается только для версии 1607 и выше. Мы всегда рекомендуем выполнить обновление до последней версии Windows 10 или 11. Если вам нужна поддержка предыдущих операционных систем, см. раздел "Поддержка устройств нижнего уровня".
Чтобы выполнить целевое развертывание гибридного соединения Microsoft Entra на текущих устройствах Windows, необходимо:
- Снимите запись точки Подключение ion (SCP) службы из Windows Server Active Directory, если она существует.
- Настройте параметр реестра на стороне клиента для SCP на компьютерах, присоединенных к домену, с помощью объекта групповой политики (GPO).
- Если вы используете службы федерации Active Directory (AD FS) (AD FS), необходимо также настроить параметр реестра на стороне клиента для SCP на сервере AD FS с помощью групповой политики.
- Для включения синхронизации устройств может потребоваться настроить параметры синхронизации в Microsoft Entra Подключение.
Совет
SCP может быть настроен локально в реестре устройства в определенных ситуациях. Если устройство находит значение в реестре, в нем используется эта конфигурация, в противном случае он запрашивает каталог для SCP и пытается выполнить гибридное присоединение.
Очистка SCP из Microsoft Windows Server Active Directory
Используйте редактор интерфейсов служб Active Directory (ADSI Edit) для изменения объектов SCP в Microsoft Windows Server Active Directory.
- Запустите приложение ADSI Edit для компьютеров от имени администратора на рабочей станции или контроллере домена.
- Подключитесь к контексту именования конфигурации своего домена.
- Перейдите к CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration.
- Щелкните правой кнопкой мыши объект CN=62a0ff2e-97b9-4513-943f-0d221bd30080 и выберите Свойства.
- В окне редактора атрибутов выберите ключевые слова и нажмите кнопку Изменить.
- Выберите значения azureADId и azureADName (поочередно), а затем нажмите Удалить.
- Закройте окно ADSI Edit.
Настройка параметров реестра для SCP на стороне клиента
Следующий пример показывает, как создать объект групповой политики (GPO) для развертывания параметра реестра при настройке записи SCP в реестре устройств.
- Откройте консоль управления групповыми политиками и создайте в своем домене новый объект групповой политики.
- Укажите имя для созданного объекта групповой политики (например, ClientSideSCP).
- Откройте для редактирования объект групповой политики и найдите следующий путь: Конфигурация компьютера>Параметры>Параметры Windows>Реестр.
- Щелкните "Реестр" правой кнопкой мыши и выберите пункт Создать>Элемент реестра.
- На вкладке Общие настройте следующие параметры.
- Действие: Update.
- Куст: HKEY_LOCAL_MACHINE.
- Расположение ключа: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
- Имя значения: TenantId.
- Тип значения: REG_SZ.
- Данные о значении: глобальный уникальный идентификатор (GUID) или идентификатор клиента Microsoft Entra, который можно найти в идентификаторе клиента обзора>>удостоверений.>
- Нажмите ОК.
- На вкладке Общие настройте следующие параметры.
- Щелкните "Реестр" правой кнопкой мыши и выберите пункт Создать>Элемент реестра.
- На вкладке Общие настройте следующие параметры.
- Действие: Update.
- Куст: HKEY_LOCAL_MACHINE.
- Расположение ключа: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
- Имя значения: TenantName.
- Тип значения: REG_SZ.
- Значение: проверенное доменное имя, если вы используете AD FS или другую федеративную среду. Проверенное доменное имя или имя в домене onmicrosoft.com, например
contoso.onmicrosoft.com
, если вы используете управляемую среду.
- Нажмите ОК.
- На вкладке Общие настройте следующие параметры.
- Закройте редактор созданного объекта групповой политики.
- Свяжите только что созданный объект групповой политики с правильным подразделением , содержащими присоединенные к домену компьютеры, принадлежащие управляемому населению развертывания.
Настройка параметров AD FS
Если идентификатор Microsoft Entra федеративн с AD FS, сначала необходимо настроить SCP на стороне клиента с помощью инструкций, упоминание ранее, связав объект групповой политики с серверами AD FS. Объект SCP определяет главные источники для объектов устройств. Он может быть локальным или идентификатором Microsoft Entra. При настройке SCP на стороне клиента для AD FS источник для объектов устройств устанавливается как идентификатор Microsoft Entra.
Примечание.
Если не удалось настроить SCP на серверах AD FS на стороне клиента, будет использоваться локальный источник удостоверений устройств. Затем AD FS начнет удалять объекты устройств из локального каталога по истечении периода, указанного в атрибуте регистрации устройства AD FS MaximumInactiveDays. Объекты регистрации устройств AD FS можно найти с помощью командлета Get-AD FSDeviceRegistration.
Поддержка устройств с операционной системой прежних версий
Чтобы зарегистрировать устройства Windows нижнего уровня, необходимо установить в организации Microsoft Workplace Join для компьютеров, на которых не используется Windows 10. Это средство доступно в Центре загрузки Майкрософт.
Пакет можно развернуть с помощью системы распространения программного обеспечения, такой как Microsoft Configuration Manager. Этот пакет поддерживает параметры стандартной автоматической установки с использованием параметра quiet. В текущей ветви System Center Configuration Manager доступны дополнительные преимущества предыдущих версий, такие как возможность отслеживать ход регистрации.
Установщик создает в системе запланированную задачу, которая выполняется в контексте пользователя. Задача запускается в момент входа пользователя в систему Windows. Задача автоматически присоединяется к устройству с идентификатором Microsoft Entra с учетными данными пользователя после проверки подлинности с помощью идентификатора Microsoft Entra.
В целях контроля регистрации устройств следует развернуть пакет установщика Windows только на выбранной группе устройств Windows нижнего уровня.
Примечание.
Если SCP не настроен в Microsoft Windows Server Active Directory, следует использовать тот же подход, как описано в разделе "Настройка параметра реестра на стороне клиента для SCP") на компьютерах, присоединенных к домену, с помощью объекта групповой политики (GPO).
Почему устройство может находиться в состоянии ожидания
При настройке задачи гибридного соединения Microsoft Entra в Microsoft Entra Подключение Sync для локальных устройств задача синхронизирует объекты устройств с идентификатором Microsoft Entra и временно устанавливает зарегистрированное состояние устройств на "ожидание" до завершения регистрации устройства. Это ожидающее состояние связано с тем, что устройство должно быть добавлено в каталог Microsoft Entra, прежде чем его можно будет зарегистрировать. Дополнительные сведения о процессе регистрации устройства см. в разделе "Как это работает: регистрация устройства".
Действия после проверки
Убедившись, что все работает должным образом, вы можете автоматически зарегистрировать остальные устройства Windows текущего и нижнего уровня с помощью идентификатора Microsoft Entra. Автоматизация гибридного соединения Microsoft Entra путем настройки SCP с помощью Microsoft Entra Подключение.