Microsoft Entra 混合式聯結目標式部署
您可以使用目標式部署來驗證已使用混合式 Microsoft Entra 聯結之裝置的規劃和必要條件,再於整個組織內啟用。 本文將說明如何完成 Microsoft Entra 混合式聯結的目標式部署。
警告
在 Active Directory 修改值時請務必小心。 在已建立的環境中進行變更可能會導致意外結果。
在現行 Windows 裝置上針對 Microsoft Entra 混合式聯結進行目標式部署
針對執行 Windows 10 的裝置,支援執行混合式 Join 的最低版本是 Windows 10 (1607 版)。 最佳做法是升級至最新版的 Windows 10 或 11。 如果您需要支援舊版作業系統,請參閱支援舊版裝置一節。
若要在現行 Windows 裝置上針對 Microsoft Entra 混合式聯結進行目標式部署,您必須:
- 若 Windows Server Active Directory 中存在服務連接點 (SCP) 項目,請將其清除。
- 使用群組原則物件 (GPO),在已加入網域的電腦上設定 SCP 的用戶端登錄設定。
- 如果您使用 Active Directory 同盟服務 (AD FS),您也必須使用 GPO 在 AD FS 伺服器上設定 SCP 的用戶端登錄設定。
- 您可能必須在 Microsoft Entra Connect 中自訂同步處理選項,以啟用裝置同步處理。
提示
在某些狀況下,可以在裝置的本機登錄中設定 SCP。 若裝置在登錄中找到某值,便會使用該設定,否則會查詢 SCP 的目錄並嘗試進行混合式聯結。
清除 Microsoft Windows Server Active Directory 中的 SCP
使用 Active Directory 服務介面編輯器 (ADSI 編輯器) 來修改 Microsoft Windows Server Active Directory 中的 SCP 物件。
- 以企業系統管理員身分,從系統管理工作站或網域控制站啟動 ADSI 編輯器傳統型應用程式。
- 連線到您網域的組態命名內容。
- 瀏覽至 [CN=Configuration,DC=contoso,DC=com]>[CN=Services]>[CN=Device Registration Configuration]。
- 以滑鼠右鍵按一下分葉物件 CN=62a0ff2e-97b9-4513-943f-0d221bd30080,然後選取 [屬性]。
- 從 [屬性編輯器] 視窗選取關鍵字,然後選取 [編輯]。
- 選取 [azureADId] 和 [azureADName] 的值 (一次一個),然後選取 [移除]。
- 關閉 [ADSI 編輯器]。
設定 SCP 的用戶端登錄設定
使用下列範例建立群組原則物件 (GPO) 來部署登錄設定,以在您的裝置登錄中設定 SCP 項目。
- 開啟群組原則管理主控台,並在您的網域中建立新的群組原則物件。
- 為新建立的 GPO 提供一個名稱 (例如,ClientSideSCP)。
- 編輯 GPO 並找出下列路徑:[電腦組態]>[喜好設定]>[Windows 設定]>[登錄]。
- 以滑鼠右鍵按一下 [登錄],然後選取 [新增]>[登錄項目]。
- 在 [一般] 索引標籤上,設定下列項目。
- 動作:更新。
- 登錄區:HKEY_LOCAL_MACHINE。
- 金鑰路徑:SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD。
- 值名稱:TenantId。
- 值類型:REG_SZ。
- 值資料:Microsoft Entra 執行個體的全域唯一識別碼 (GUID) 或租用戶識別碼,可在 [身分識別]> [概觀]> [屬性]> [租用戶識別碼] 中找到。
- 選取 [確定]。
- 在 [一般] 索引標籤上,設定下列項目。
- 以滑鼠右鍵按一下 [登錄],然後選取 [新增]>[登錄項目]。
- 在 [一般] 索引標籤上,設定下列項目。
- 動作:更新。
- 登錄區:HKEY_LOCAL_MACHINE。
- 金鑰路徑:SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD。
- 值名稱:TenantName。
- 值類型:REG_SZ。
- 值資料:如果您使用同盟環境 (例如 AD FS),則為已驗證的網域名稱。 您已驗證的網域名稱或 onmicrosoft.com 網域名稱 (例如,如果您是使用受控環境,則為
contoso.onmicrosoft.com
)。
- 選取 [確定]。
- 在 [一般] 索引標籤上,設定下列項目。
- 針對新建立的 GPO 關閉編輯器。
- 將新建立的 GPO 連結到正確的組織單位 (OU),其中會包含受控推出母體擴展中已加入網域的電腦。
進行 AD FS 設定
如果您的 Microsoft Entra ID 與 AD FS 同盟,則必須先使用先前所述的指示,透過將 GPO 連結至您的 AD FS 伺服器來設定用戶端 SCP。 SCP 物件會定義裝置物件的授權來源。 其可以為內部部署或 Microsoft Entra ID。 針對 AD FS 設定用戶端 SCP 時,會將裝置物件的來源建立為 Microsoft Entra ID。
注意
如果您無法在 AD FS 伺服器上設定用戶端 SCP,則會將裝置身分識別的來源視為內部部署。 AD FS 接著會在 AD FS 裝置註冊屬性 "MaximumInactiveDays" 所定義的規定期限之後,開始從內部部署目錄中刪除裝置物件。 您可以使用 Get-AdfsDeviceRegistration Cmdlet 找到 AD FS 裝置註冊物件。
支援舊版裝置
若要註冊舊版 Windows 裝置,組織必須安裝可在 Microsoft 下載中心取得的適用於非 Windows 10 電腦的 Microsoft Workplace Join。
您可以使用軟體發佈系統 (例如 Microsoft Configuration Manager) 來部署該套件。 此套件支援使用 quiet 參數的標準無訊息安裝選項。 組態管理員的目前分支會提供勝過舊版的好處,例如能夠追蹤已完成的註冊。
安裝程式會在系統上建立排定的工作,此工作是在使用者內容中執行。 此工作會在使用者登入 Windows 時觸發。 此工作會在向 Microsoft Entra ID 進行驗證後,透過使用者認證以無訊息方式向 Microsoft Entra ID 加入裝置。
若要控制裝置註冊,您應將 Windows Installer 套件部署到所選取的一組舊版 Windows 裝置。
注意
如果未在 Microsoft Windows Server Active Directory 中設定 SCP,則您應該遵循與上述相同的方法,使用群組原則物件 (GPO) 在已加入網域的電腦上設定 SCP 的用戶端登錄設定。
裝置可能處於擱置狀態的原因
當您在內部部署裝置的 Microsoft Entra Connect 同步中設定 Microsoft Entra 混合式聯結工作時,工作會將裝置物件同步至 Microsoft Entra ID,並在裝置完成裝置註冊之前,暫時將裝置的已註冊狀態設定為「擱置」。 之所以會出現這種擱置狀態,是因為必須先將裝置新增至 Microsoft Entra 目錄,才能註冊。 如需裝置註冊程序的詳細資訊,請參閱運作方式:裝置註冊。
驗證後
確認一切都如預期般運作之後,您可以使用 Microsoft Entra ID 自動註冊其餘的現行和舊版 Windows 裝置。 使用 Microsoft Entra Connect 設定 SCP,以自動化 Microsoft Entra 混合式聯結。