Microsoft Entra hybridanslutning riktad distribution

  • Artikel

Du kan verifiera planeringen och förutsättningarna för hybrid Microsoft Entra ansluta enheter med hjälp av en riktad distribution innan du aktiverar den i hela organisationen. Den här artikeln förklarar hur du utför en riktad distribution av Microsoft Entra hybridanslutning.

Riktad distribution av Microsoft Entra hybridanslutning på aktuella Windows-enheter

För enheter som kör Windows 10 är den lägsta versionen som stöds Windows 10 (version 1607) för hybridanslutning. Vi rekommenderar att du uppgraderar till den senaste versionen av Windows 10 eller 11. Om du behöver stöd för tidigare operativsystem kan du läsa avsnittet Stöd för äldre enheter

Om du vill göra en riktad distribution av Microsoft Entra hybridanslutning på aktuella Windows-enheter måste du:

  1. Rensa posten tjänstanslutningspunkt (SCP) från Active Directory (AD) om den finns.
  2. Konfigurera registerinställningen på klientsidan för SCP på dina domänanslutna datorer med hjälp av ett grupprincip-objekt (GPO).
  3. Om du använder Active Directory Federation Services (AD FS) (AD FS) måste du också konfigurera registerinställningen på klientsidan för SCP på AD FS-servern med hjälp av ett grupprincipobjekt.
  4. Du kan också behöva anpassa synkroniseringsalternativen i Microsoft Entra Anslut för att aktivera enhetssynkronisering.

Rensa SCP från AD

Använd Active Directory Services Interfaces Editor (ADSI Edit) för att ändra SCP-objekten i AD.

  1. Starta ADSI Redigera skrivbordsprogram från och administrativ arbetsstation eller en domänkontrollant som företagsadministratör.
  2. Anslut till konfigurationsnamngivningskontexten för din domän.
  3. Bläddra till CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration.
  4. Högerklicka på lövobjektet CN=62a0ff2e-97b9-4513-943f-0d221bd30080 och välj Egenskaper.
    1. Välj nyckelord i fönstret Attributredigeraren och välj Redigera.
    2. Välj värdena för azureADId och azureADName (ett i taget) och välj Ta bort.
  5. Stäng ADSI-redigering.

Konfigurera registerinställning på klientsidan för SCP

Använd följande exempel för att skapa ett grupprincip-objekt (GPO) för att distribuera en registerinställning som konfigurerar en SCP-post i registret för dina enheter.

  1. Öppna en hanteringskonsol för grupprincip och skapa ett nytt grupprincipobjekt i din domän.
    1. Ge ditt nyligen skapade grupprincipobjekt ett namn (exempelvis ClientSideSCP).
  2. Redigera grupprincipobjektet och leta upp följande sökväg: Datorkonfigurationsinställningar>>Windows Settings>Registry.
  3. Högerklicka på registret och välj Nytt>registerobjekt.
    1. Konfigurera följande på fliken Allmänt .
      1. Åtgärd: Uppdatera.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Nyckelsökväg: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Värdenamn: TenantId.
      5. Värdetyp: REG_SZ.
      6. Värdedata: GUID eller klientorganisations-ID för din Microsoft Entra klientorganisation, som finns i IdentityOverview Properties Tenant ID (Egenskaper föridentitetsöversikt>>)>Klientorganisations-ID.
    2. Välj OK.
  4. Högerklicka på registret och välj Nytt>registerobjekt.
    1. Konfigurera följande på fliken Allmänt .
      1. Åtgärd: Uppdatera.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Nyckelsökväg: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Värdenamn: TenantName.
      5. Värdetyp: REG_SZ.
      6. Värdedata: Ditt verifierade domännamn om du använder en federerad miljö, till exempel AD FS. Ditt verifierade domännamn eller ditt onmicrosoft.com domännamn, till exempel contoso.onmicrosoft.com om du använder en hanterad miljö.
    2. Välj OK.
  5. Stäng redigeraren för det nyligen skapade grupprincipobjektet.
  6. Länka det nyligen skapade grupprincipobjektet till rätt organisationsenhet som innehåller domänanslutna datorer som tillhör din kontrollerade distributionspopulation.

Konfigurera AD FS-inställningar

Om ditt Microsoft Entra-ID är federerat med AD FS måste du först konfigurera SCP på klientsidan med hjälp av anvisningarna som nämnts tidigare genom att länka grupprincipobjektet till AD FS-servrarna. SCP-objektet definierar auktoritetskällan för enhetsobjekt. Det kan vara lokalt eller Microsoft Entra-ID. När SCP på klientsidan har konfigurerats för AD FS, upprättas källan för enhetsobjekt som Microsoft Entra-ID.

Anteckning

Om du inte kunde konfigurera SCP på klientsidan på AD FS-servrarna skulle källan för enhetsidentiteter betraktas som lokal. AD FS börjar sedan ta bort enhetsobjekt från den lokala katalogen efter den angivna perioden som definieras i AD FS-enhetsregistreringens attribut "MaximumInactiveDays". AD FS-enhetsregistreringsobjekt kan hittas med hjälp av cmdleten Get-AdfsDeviceRegistration.

Stöd för äldre enheter

För att registrera äldre Windows-enheter måste organisationer installera Microsoft Workplace Join för icke-Windows 10 datorer som är tillgängliga i Microsoft Download Center.

Du kan distribuera paketet med hjälp av ett programdistributionssystem som Microsoft Configuration Manager. Paketet stöder standardalternativen för tyst installation med parametern quiet. Den aktuella grenen av Configuration Manager erbjuder fördelar jämfört med tidigare versioner, till exempel möjligheten att spåra slutförda registreringar.

Installationsprogrammet skapar en schemalagd aktivitet i systemet som körs i användarkontexten. Uppgiften utlöses när användaren loggar in på Windows. Uppgiften kopplar tyst enheten med Microsoft Entra-ID med användarautentiseringsuppgifterna efter autentisering med Microsoft Entra-ID.

Om du vill styra enhetsregistreringen bör du distribuera Windows Installer-paketet till den valda gruppen med äldre Windows-enheter.

Anteckning

Om en SCP inte har konfigurerats i AD bör du följa samma metod som beskrivs i Konfigurera registerinställning på klientsidan för SCP) på dina domänanslutna datorer med hjälp av ett grupprincip-objekt (GPO).

Varför en enhet kan vara i ett väntande tillstånd

När du konfigurerar en Microsoft Entra hybridanslutningsaktivitet i Microsoft Entra Connect Sync för dina lokala enheter synkroniserar aktiviteten enhetsobjekt till Microsoft Entra-ID och ställer tillfälligt in enheternas registrerade tillstånd på "väntande" innan enheten slutför enhetsregistreringen. Det här väntande tillståndet beror på att enheten måste läggas till i katalogen Microsoft Entra innan den kan registreras. Mer information om registreringsprocessen för enheter finns i Så här fungerar det: Enhetsregistrering.

Efter validering

När du har kontrollerat att allt fungerar som förväntat kan du automatiskt registrera resten av dina aktuella Och äldre Windows-enheter med Microsoft Entra-ID. Automatisera Microsoft Entra hybridanslutning genom att konfigurera SCP med hjälp av Microsoft Entra Connect.

Nästa steg