Поделиться через

Целевое развертывание гибридного соединения Microsoft Entra

  • Статья

Вы можете проверить планирование и предварительные требования для присоединения гибридных устройств к Microsoft Entra с помощью целевого развертывания, прежде чем включить его во всей организации. В этой статье рассказывается, как выполнить целенаправленное развертывание гибридного соединения Microsoft Entra.

Осторожность

При изменении значений в Active Directory используйте осторожность. Внесение изменений в установленной среде может иметь непредвиденные последствия.

Целевое развертывание гибридного соединения Microsoft Entra на устройствах Windows

Для устройств под управлением Windows 10 минимальная поддерживаемая версия — Windows 10 (версия 1607) для гибридного соединения. Рекомендуется обновить до последней версии Windows 10 или 11.

Чтобы выполнить целевое развертывание гибридного соединения Microsoft Entra на устройствах Windows, необходимо:

  1. Снимите запись точки подключения службы (SCP) из Windows Server Active Directory, если она существует.
  2. Настройте параметр реестра на стороне клиента для SCP на компьютерах, присоединенных к домену, с помощью объекта групповой политики (GPO).
  3. Если вы используете службы федерации Active Directory (AD FS), необходимо также настроить параметр реестра на стороне клиента для SCP на сервере AD FS с помощью групповой политики объектов.
  4. Чтобы включить синхронизацию устройств, может потребоваться настроить параметры синхронизации в Microsoft Entra Connect.

Подсказка

SCP может быть настроен локально в реестре устройства в определенных ситуациях. Если устройство находит значение в реестре, в нем используется эта конфигурация, в противном случае он запрашивает каталог для SCP и пытается выполнить гибридное присоединение.

Очистка SCP из Microsoft Windows Server Active Directory

Используйте редактор интерфейсов служб Active Directory (ADSI Edit) для изменения объектов SCP в Microsoft Windows Server Active Directory.

  1. Запустите настольное приложение ADSI Edit с административной рабочей станции или контроллера домена в качестве администратора предприятий.
  2. Подключитесь к контексту именования конфигурации вашего домена.
  3. Перейдите к CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration.
  4. Щелкните правой кнопкой мыши конечный объект CN=62a0ff2e-97b9-4513-943f-0d221bd30080 и выберите "Свойства".
    1. Выберите ключевые слова в окне редактора атрибутов и нажмите кнопку "Изменить".
    2. Выберите значения azureADId и azureADName (один раз) и нажмите кнопку "Удалить".
  5. Закройте команду ADSI Edit.

Настройка параметров реестра для SCP на стороне клиента

Используйте следующий пример, чтобы создать объект групповой политики (GPO) для развертывания параметра реестра, настраивающего запись SCP в реестре устройств.

  1. Откройте консоль управления групповыми политиками и создайте в своем домене новый объект групповой политики.
    1. Укажите имя для созданного объекта групповой политики (например, ClientSideSCP).
  2. Измените объект групповой политики и найдите следующий путь: Конфигурация компьютера>Параметры>Параметры Windows>Реестр.
  3. Щелкните правой кнопкой мыши реестр и выберите новый>элемент реестра.
    1. На вкладке "Общие " настройте следующее.
      1. Действие: обновление.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Имя значения: TenantId.
      5. Тип значения: REG_SZ.
      6. Данные о значении: глобальный уникальный идентификатор (GUID) или идентификатор клиента вашего клиента Microsoft Entra, который можно найти в разделе Удостоверения>, Обзор, Свойства, Идентификатор клиента.
    2. Нажмите ОК.
  4. Щелкните правой кнопкой мыши реестр и выберите новый>элемент реестра.
    1. На вкладке "Общие " настройте следующее.
      1. Действие: обновление.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Путь к ключу: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Имя значения: TenantName.
      5. Тип значения: REG_SZ.
      6. Данные о значении: проверенное доменное имя , если вы используете федеративную среду, например AD FS. Ваше проверенное доменное имя или доменное имя onmicrosoft.com, например, если вы используете управляемую среду contoso.onmicrosoft.com.
    2. Нажмите ОК.
  5. Закройте редактор только что созданного GPO.
  6. Свяжите только что созданный объект групповой политики с правильным организационным подразделением, содержащим присоединенные к домену компьютеры, принадлежащие группе контролируемого развертывания.

Настройка параметров AD FS

Если идентификатор Microsoft Entra федеративный с AD FS, сначала необходимо настроить SCP на стороне клиента, используя приведенные ранее инструкции, связав объект групповой политики с серверами AD FS. Объект SCP определяет источник полномочий для объектов устройств. Он может быть локальным или Microsoft Entra ID. При настройке SCP на стороне клиента для AD FS источник для объектов устройств устанавливается как идентификатор Microsoft Entra.

Замечание

Если на серверах AD FS не удалось настроить SCP на стороне клиента, источник для удостоверений устройств будет считаться локальным. AD FS начнет удалять объекты устройств из локального каталога после указанного периода, определенного в атрибуте регистрации устройств AD FS "MaximumInactiveDays". Объекты регистрации устройств AD FS можно найти с помощью командлетаGet-AdfsDeviceRegistration.

Почему устройство может находиться в состоянии ожидания

При настройке задачи гибридного соединения Microsoft Entra в службе "Синхронизация Microsoft Entra Connect" для локальных устройств задача синхронизирует объекты устройств с идентификатором Microsoft Entra и временно устанавливает зарегистрированное состояние устройств на "ожидание", прежде чем устройство завершит регистрацию устройства. Это ожидающее состояние связано с тем, что устройство должно быть добавлено в каталог Microsoft Entra, прежде чем его можно будет зарегистрировать. Дополнительные сведения о процессе регистрации устройства см. в статье "Практическое руководство. Регистрация устройств".

После валидации

Убедившись, что все работает должным образом, вы можете автоматически зарегистрировать остальные устройства Windows с помощью идентификатора Microsoft Entra. Автоматизируйте гибридное соединение Microsoft Entra, настроив SCP с помощью Microsoft Entra Connect.

Связанный контент