共用方式為


Microsoft Entra混合式聯結目標部署

您可以在在整個組織中啟用裝置之前,先驗證混合式Microsoft Entra使用目標部署來加入裝置的規劃和必要條件。 本文說明如何完成Microsoft Entra混合式聯結的目標部署。

Windows 目前裝置上Microsoft Entra混合式聯結的目標部署

針對執行 Windows 10 的裝置,支援執行混合式 Join 的最低版本是 Windows 10 (1607 版)。 最佳做法是升級至最新版的 Windows 10 或 11。 如果您需要支援舊版作業系統,請參閱支援舊版裝置一節

若要在 Windows 目前裝置上執行Microsoft Entra混合式聯結的目標部署,您需要:

  1. 從 Active Directory (AD) 中清除服務連接點 (SCP) 項目 (如果有)。
  2. 使用群組原則物件 (GPO) 在已加入網域的電腦上設定 SCP 的用戶端登錄設定。
  3. 如果您使用 Active Directory 同盟服務 (AD FS),您也必須使用 GPO 在 AD FS 伺服器上設定 SCP 的用戶端登錄設定。
  4. 您可能也需要在 Microsoft Entra Connect 中自訂同步處理選項,以啟用裝置同步處理。

從 AD 中清除 SCP

使用 Active Directory 服務介面編輯器 (ADSI 編輯器) 來修改 AD 中的 SCP 物件。

  1. 以企業系統管理員身分,從系統管理工作站或網域控制站啟動 ADSI 編輯器傳統型應用程式。
  2. 連線到您網域的組態命名內容
  3. 瀏覽至 [CN=Configuration,DC=contoso,DC=com]>[CN=Services]>[CN=Device Registration Configuration]。
  4. 以滑鼠右鍵按一下分葉物件 CN=62a0ff2e-97b9-4513-943f-0d221bd30080,然後選取 [屬性]。
    1. 從 [屬性編輯器] 視窗選取關鍵字,然後選取 [編輯]。
    2. 選取 [azureADId] 和 [azureADName] 的值 (一次一個),然後選取 [移除]。
  5. 關閉 [ADSI 編輯器]。

設定 SCP 的用戶端登錄設定

使用下列範例建立群組原則物件 (GPO) 來部署登錄設定,以在您的裝置登錄中設定 SCP 項目。

  1. 開啟群組原則管理主控台,並在您的網域中建立新的群組原則物件。
    1. 為新建立的 GPO 提供一個名稱 (例如,ClientSideSCP)。
  2. 編輯 GPO 並找出下列路徑:[電腦組態]>[喜好設定]>[Windows 設定]>[登錄]。
  3. 以滑鼠右鍵按一下 [登錄],然後選取 [新增]>[登錄項目]。
    1. 在 [一般] 索引標籤上,設定下列項目。
      1. 動作:更新
      2. 登錄區:HKEY_LOCAL_MACHINE
      3. 金鑰路徑:SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD
      4. 值名稱:TenantId
      5. 值類型:REG_SZ
      6. 值資料:您可以在身分識別>> 概觀屬性>使用者識別碼中找到Microsoft Entra租使用者的 GUID 或租使用者識別碼
    2. 選取 [確定]。
  4. 以滑鼠右鍵按一下 [登錄],然後選取 [新增]>[登錄項目]。
    1. 在 [一般] 索引標籤上,設定下列項目。
      1. 動作:更新
      2. 登錄區:HKEY_LOCAL_MACHINE
      3. 金鑰路徑:SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD
      4. 值名稱:TenantName
      5. 值類型:REG_SZ
      6. 值資料:如果您使用同盟環境 (例如 AD FS),則為已驗證的網域名稱。 您已驗證的網域名稱或 onmicrosoft.com 網域名稱 (例如,如果您是使用受控環境,則為 contoso.onmicrosoft.com)。
    2. 選取 [確定]。
  5. 針對新建立的 GPO 關閉編輯器。
  6. 將新建立的 GPO 連結到正確的 OU,其中包含屬於您所控制推出母體擴展的已加入網域電腦。

進行 AD FS 設定

如果您的Microsoft Entra識別碼與 AD FS 同盟,您必須先使用稍早所述的指示來設定用戶端 SCP,方法是將 GPO 連結到 AD FS 伺服器。 SCP 物件會定義裝置物件的授權來源。 它可以是內部部署或Microsoft Entra識別碼。 為 AD FS 設定用戶端 SCP 時,會將裝置物件的來源建立為Microsoft Entra識別碼。

注意

如果您無法在 AD FS 伺服器上設定用戶端 SCP,則會將裝置身分識別的來源視為內部部署。 AD FS 接著會在 AD FS 裝置註冊屬性 "MaximumInactiveDays" 所定義的規定期限之後,開始從內部部署目錄中刪除裝置物件。 您可以使用 Get-AdfsDeviceRegistration Cmdlet 找到 AD FS 裝置註冊物件。

支援舊版裝置

若要註冊舊版 Windows 裝置,組織必須安裝可在 Microsoft 下載中心取得的適用於非 Windows 10 電腦的 Microsoft Workplace Join

您可以使用Microsoft Configuration Manager之類的軟體發佈系統來部署套件。 此套件支援使用 quiet 參數的標準無訊息安裝選項。 組態管理員的目前分支會提供勝過舊版的好處,例如能夠追蹤已完成的註冊。

安裝程式會在系統上建立排定的工作,此工作是在使用者內容中執行。 此工作會在使用者登入 Windows 時觸發。 工作會以無訊息方式將裝置與Microsoft Entra識別碼與使用者認證聯結,然後向Microsoft Entra識別碼進行驗證。

若要控制裝置註冊,您應將 Windows Installer 套件部署到所選取的一組舊版 Windows 裝置。

注意

如果未在 AD 中設定 SCP,則您應該遵循與上述相同的方法,使用群組原則物件 (GPO) 在已加入網域的電腦上設定 SCP 的用戶端登錄設定

裝置可能處於擱置狀態的原因

當您在內部部署裝置的 Microsoft Entra Connect Sync 中設定Microsoft Entra混合式聯結工作時,工作會將裝置物件同步至Microsoft Entra識別碼,並在裝置完成裝置註冊之前,暫時將裝置的已註冊狀態設定為「擱置」。 此擱置狀態是因為裝置必須先新增至Microsoft Entra目錄,才能註冊。 如需裝置註冊程序的詳細資訊,請參閱運作方式:裝置註冊

驗證後

確認一切如預期般運作之後,您可以使用Microsoft Entra識別碼自動註冊其餘的 Windows 目前和下層裝置。 使用 Microsoft Entra Connect 設定 SCP,以自動化Microsoft Entra混合式聯結。

下一步