Riktad distribution av Microsoft Entra-hybridanslutning

  • Artikel

Du kan verifiera planeringen och förutsättningarna för microsoft Entra-hybridanslutningsenheter med hjälp av en riktad distribution innan du aktiverar den i hela organisationen. Den här artikeln beskriver hur du utför en riktad distribution av Microsoft Entra-hybridanslutning.

Varning

Var försiktig när du ändrar värden i Active Directory. Att göra ändringar i en etablerad miljö kan få oavsiktliga konsekvenser.

Riktad distribution av Microsoft Entra-hybridanslutning på aktuella Windows-enheter

För enheter som kör Windows 10 är den lägsta versionen som stöds Windows 10 (version 1607) för hybridanslutning. Vi rekommenderar att du uppgraderar till den senaste versionen av Windows 10 eller 11. Om du behöver stöd för tidigare operativsystem kan du läsa avsnittet Stöd för enheter på nednivå.

Om du vill göra en riktad distribution av Microsoft Entra-hybridanslutning på aktuella Windows-enheter måste du:

  1. Rensa posten Tjänst Anslut ion Point (SCP) från Windows Server Active Directory om den finns.
  2. Konfigurera registerinställningen på klientsidan för SCP på dina domänanslutna datorer med hjälp av ett grupprincipobjekt (GPO).
  3. Om du använder Active Directory Federation Services (AD FS) (AD FS) måste du också konfigurera registerinställningen på klientsidan för SCP på AD FS-servern med hjälp av ett grupprincipobjekt.
  4. Du kan behöva anpassa synkroniseringsalternativ i Microsoft Entra Anslut för att aktivera enhetssynkronisering.

Dricks

SCP kan konfigureras lokalt i enhetens register i vissa situationer. Om enheten hittar ett värde i registret som den använder den konfigurationen, frågar den annars katalogen för SCP och försöker ansluta till hybriden.

Rensa SCP från Microsoft Windows Server Active Directory

Använd Active Directory Services Interfaces Editor (ADSI Edit) för att ändra SCP-objekten i Microsoft Windows Server Active Directory.

  1. Starta ADSI Edit Desktop-programmet från och den administrativa arbetsstationen eller en domänkontrollant som företagsadministratör.
  2. Anslut till Namngivningskontext för din domän.
  3. Bläddra till CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration.
  4. Högerklicka på lövobjektet CN=62a0ff2e-97b9-4513-943f-0d221bd30080 och välj Egenskaper.
    1. Välj nyckelord i fönstret Attributredigerare och välj Redigera.
    2. Välj värdena för azureADId och azureADName (ett i taget) och välj Ta bort.
  5. Stäng ADSI-redigering.

Konfigurera registerinställning på klientsidan för SCP

Använd följande exempel för att skapa ett grupprincipobjekt (GPO) för att distribuera en registerinställning som konfigurerar en SCP-post i registret på dina enheter.

  1. Öppna en hanteringskonsol för grupprincip och skapa ett nytt grupprincipobjekt i din domän.
    1. Ge ditt nyligen skapade grupprincipobjekt ett namn (exempelvis ClientSideSCP).
  2. Redigera grupprincipobjektet och leta upp följande sökväg: Inställningar för datorkonfiguration>>Windows Inställningar> Registry.
  3. Högerklicka på registret och välj Nytt>registerobjekt.
    1. På fliken Allmänt konfigurerar du följande.
      1. Åtgärd: Uppdatera.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Nyckelsökväg: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Värdenamn: TenantId.
      5. Värdetyp: REG_SZ.
      6. Värdedata: Den globalt unika identifieraren (GUID) eller klientorganisations-ID:t för din Microsoft Entra-klientorganisation, som finns i Klient-ID för identitetsöversiktsegenskaper>>>.
    2. Välj OK.
  4. Högerklicka på registret och välj Nytt>registerobjekt.
    1. På fliken Allmänt konfigurerar du följande.
      1. Åtgärd: Uppdatera.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Nyckelsökväg: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Värdenamn: TenantName.
      5. Värdetyp: REG_SZ.
      6. Värdedata: Ditt verifierade domännamn om du använder federerad miljö, till exempel AD FS. Ditt verifierade domännamn eller ditt onmicrosoft.com domännamn, till exempel contoso.onmicrosoft.com om du använder en hanterad miljö.
    2. Välj OK.
  5. Stäng redigeraren för det nyligen skapade grupprincipobjektet.
  6. Länka det nyligen skapade grupprincipobjektet till rätt organisationsenhet (OU) som innehåller domänanslutna datorer som tillhör den kontrollerade distributionspopulationen.

Konfigurera AD FS-inställningar

Om ditt Microsoft Entra-ID är federerat med AD FS måste du först konfigurera SCP på klientsidan med hjälp av de instruktioner som nämndes tidigare genom att länka grupprincipobjektet till dina AD FS-servrar. SCP-objektet definierar auktoritetskällan för enhetsobjekt. Det kan vara lokalt eller Microsoft Entra-ID. När SCP på klientsidan har konfigurerats för AD FS upprättas källan för enhetsobjekt som Microsoft Entra-ID.

Kommentar

Om du inte kunde konfigurera SCP på klientsidan på dina AD FS-servrar betraktas källan för enhetsidentiteter som lokal. AD FS börjar sedan ta bort enhetsobjekt från den lokala katalogen efter den angivna perioden som definierats i AD FS-enhetsregistreringens attribut "MaximumInactiveDays". AD FS-enhetsregistreringsobjekt finns med cmdleten Get-AdfsDeviceRegistration.

Stöd för enheter på nednivå

Organisationer måste installera Microsoft Workplace Join för datorer som inte är Windows 10-datorer som är tillgängliga i Microsoft Download Center för att registrera enheter på nednivå i Windows.

Du kan distribuera paketet med hjälp av ett programdistributionssystem som Microsoft Configuration Manager. Paketet stöder standardalternativen för tyst installation med den tysta parametern. Den aktuella grenen av Configuration Manager erbjuder fördelar jämfört med tidigare versioner, till exempel möjligheten att spåra slutförda registreringar.

Installationsprogrammet skapar en schemalagd aktivitet i systemet som körs i användarkontexten. Uppgiften utlöses när användaren loggar in på Windows. Uppgiften ansluter tyst enheten med Microsoft Entra-ID med användarautentiseringsuppgifterna efter autentisering med Microsoft Entra-ID.

Om du vill styra enhetsregistreringen bör du distribuera Windows Installer-paketet till den valda gruppen windows-enheter på nednivå.

Kommentar

Om en SCP inte har konfigurerats i Microsoft Windows Server Active Directory bör du följa samma metod som beskrivs i Konfigurera registerinställning på klientsidan för SCP) på dina domänanslutna datorer med ett grupprincipobjekt (GPO).

Varför en enhet kan vara i ett väntande tillstånd

När du konfigurerar en Microsoft Entra-hybridanslutningsaktivitet i Microsoft Entra Anslut Sync för dina lokala enheter synkroniserar uppgiften enhetsobjekt till Microsoft Entra-ID och ställer tillfälligt in enheternas registrerade tillstånd till "väntande" innan enheten slutför enhetsregistreringen. Det här väntande tillståndet beror på att enheten måste läggas till i Microsoft Entra-katalogen innan den kan registreras. Mer information om registreringsprocessen för enheter finns i Så här fungerar det: Enhetsregistrering.

Efter validering

När du har kontrollerat att allt fungerar som förväntat kan du automatiskt registrera resten av dina aktuella Windows- och nednivåenheter med Microsoft Entra-ID. Automatisera Microsoft Entra-hybridanslutningen genom att konfigurera SCP med hjälp av Microsoft Entra Anslut.

Relaterat innehåll