混合式 Azure AD Join 目標式部署

  • 發行項

您可以使用目標式部署來驗證已使用混合式 Azure AD 而聯結的裝置規劃和必要條件,再於整個組織內啟用。 本文說明如何完成混合式 Azure AD Join 的目標部署。

現行 Windows 裝置上混合式 Azure AD Join 的目標式部署

針對執行 Windows 10 的裝置,支援執行混合式 Join 的最低版本是 Windows 10 (1607 版)。 最佳做法是升級至最新版的 Windows 10 或 11。 如果您需要支援舊版作業系統,請參閱支援舊版裝置一節

若要在現行 Windows 裝置上執行混合式 Azure AD Join 的目標式部署,您需要:

  1. 從 Active Directory (AD) 中清除服務連接點 (SCP) 項目 (如果有)。
  2. 使用群組原則物件 (GPO) 在已加入網域的電腦上設定 SCP 的用戶端登錄設定。
  3. 如果您使用 Active Directory 同盟服務 (AD FS),您也必須使用 GPO 在 AD FS 伺服器上設定 SCP 的用戶端登錄設定。
  4. 您可能也必須在 Azure AD Connect 中自訂同步處理選項,以啟用裝置同步處理。

從 AD 中清除 SCP

使用 Active Directory 服務介面編輯器 (ADSI 編輯器) 來修改 AD 中的 SCP 物件。

  1. 以企業系統管理員身分,從系統管理工作站或網域控制站啟動 ADSI 編輯器傳統型應用程式。
  2. 連線到您網域的組態命名內容
  3. 瀏覽至 [CN=Configuration,DC=contoso,DC=com]>[CN=Services]>[CN=Device Registration Configuration]。
  4. 以滑鼠右鍵按一下分葉物件 CN=62a0ff2e-97b9-4513-943f-0d221bd30080,然後選取 [屬性]。
    1. 從 [屬性編輯器] 視窗選取關鍵字,然後選取 [編輯]。
    2. 選取 [azureADId] 和 [azureADName] 的值 (一次一個),然後選取 [移除]。
  5. 關閉 [ADSI 編輯器]。

設定 SCP 的用戶端登錄設定

使用下列範例建立群組原則物件 (GPO) 來部署登錄設定,以在您的裝置登錄中設定 SCP 項目。

  1. 開啟群組原則管理主控台,並在您的網域中建立新的群組原則物件。
    1. 為新建立的 GPO 提供一個名稱 (例如,ClientSideSCP)。
  2. 編輯 GPO 並找出下列路徑:[電腦組態]>[喜好設定]>[Windows 設定]>[登錄]。
  3. 以滑鼠右鍵按一下 [登錄],然後選取 [新增]>[登錄項目]。
    1. 在 [一般] 索引標籤上,設定下列項目。
      1. 動作:更新
      2. 登錄區:HKEY_LOCAL_MACHINE
      3. 金鑰路徑:SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD
      4. 值名稱:TenantId
      5. 值類型:REG_SZ
      6. 值資料:您 Azure AD 執行個體的 GUID 或租用戶識別碼 (此值可在 Azure 入口網站>[Azure Active Directory]>[屬性]>[租用戶識別碼] 中找到)。
    2. 選取 [確定]。
  4. 以滑鼠右鍵按一下 [登錄],然後選取 [新增]>[登錄項目]。
    1. 在 [一般] 索引標籤上,設定下列項目。
      1. 動作:更新
      2. 登錄區:HKEY_LOCAL_MACHINE
      3. 金鑰路徑:SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD
      4. 值名稱:TenantName
      5. 值類型:REG_SZ
      6. 值資料:如果您使用同盟環境 (例如 AD FS),則為已驗證的網域名稱。 您已驗證的網域名稱或 onmicrosoft.com 網域名稱 (例如,如果您是使用受控環境,則為 contoso.onmicrosoft.com)。
    2. 選取 [確定]。
  5. 針對新建立的 GPO 關閉編輯器。
  6. 將新建立的 GPO 連結到正確的 OU,其中包含屬於您所控制推出母體擴展的已加入網域電腦。

進行 AD FS 設定

如果您的 Azure AD 與 AD FS 同盟,則必須先使用先前所述的指示,透過將 GPO 連結至您的 AD FS 伺服器來設定用戶端 SCP。 SCP 物件會定義裝置物件的授權來源。 它可以是內部部署或 Azure AD。 針對 AD FS 設定用戶端 SCP 時,會將裝置物件的來源建立為 Azure AD。

注意

如果您無法在 AD FS 伺服器上設定用戶端 SCP,則會將裝置身分識別的來源視為內部部署。 AD FS 接著會在 AD FS 裝置註冊屬性 "MaximumInactiveDays" 所定義的規定期限之後,開始從內部部署目錄中刪除裝置物件。 您可以使用 Get-AdfsDeviceRegistration Cmdlet 找到 AD FS 裝置註冊物件。

支援舊版裝置

若要註冊舊版 Windows 裝置,組織必須安裝可在 Microsoft 下載中心取得的適用於非 Windows 10 電腦的 Microsoft Workplace Join

您可以使用Microsoft Configuration Manager之類的軟體發佈系統來部署套件。 此套件支援使用 quiet 參數的標準無訊息安裝選項。 組態管理員的目前分支會提供勝過舊版的好處,例如能夠追蹤已完成的註冊。

安裝程式會在系統上建立排定的工作,此工作是在使用者內容中執行。 此工作會在使用者登入 Windows 時觸發。 此工作會在向 Azure AD 進行驗證後,透過使用者認證以無訊息方式向 Azure AD 加入裝置。

若要控制裝置註冊,您應將 Windows Installer 套件部署到所選取的一組舊版 Windows 裝置。

注意

如果未在 AD 中設定 SCP,則您應該遵循與上述相同的方法,使用群組原則物件 (GPO) 在已加入網域的電腦上設定 SCP 的用戶端登錄設定

裝置可能處於擱置狀態的原因

當您在內部部署裝置的 Azure AD Connect Sync 中設定 混合式 Azure AD Join 工作時,工作會將裝置物件同步處理至 Azure AD,並在裝置完成裝置註冊之前,暫時將裝置的已註冊狀態設定為「擱置」。 此擱置狀態是因為裝置必須先新增至 Azure AD 目錄,才能註冊。 如需裝置註冊程序的詳細資訊,請參閱運作方式:裝置註冊

驗證後

確認所有專案如預期般運作之後,您就可以使用 Azure AD 自動註冊其餘的 Windows 目前和下層裝置。 使用 Azure AD Connect 設定 SCP,將混合式 Azure AD 加入自動化。

後續步驟