Cílové nasazení hybridního připojení ke službě Azure AD

Před povolením v celé organizaci můžete ověřit své plánování a předpoklady pro hybridní připojení zařízení k Azure AD pomocí cílového nasazení. Tento článek vysvětluje, jak provést cílené nasazení hybridního připojení k Azure AD.

Cílené nasazení hybridního připojení k Azure AD na aktuálních zařízeních s Windows

Pro zařízení s Windows 10 je minimální podporovaná verze Windows 10 (verze 1607) pro hybridní připojení. Osvědčeným postupem je upgrade na nejnovější verzi Windows 10 nebo 11. Pokud potřebujete podporovat předchozí operační systémy, přečtěte si část Podpora zařízení nižší úrovně.

Pokud chcete na aktuálních zařízeních s Windows provést cílené nasazení hybridního připojení k Azure AD, musíte:

  1. Vymažte položku spojovacího bodu služby (SCP) ze služby Active Directory (AD), pokud existuje.
  2. Nakonfigurujte nastavení registru na straně klienta pro SCP na počítačích připojených k doméně pomocí objektu zásad skupiny (GPO).
  3. Pokud používáte Službu AD FS (Active Directory Federation Services), musíte také nakonfigurovat nastavení registru na straně klienta pro SCP na serveru SLUŽBY AD FS pomocí objektu zásad skupiny.
  4. Možná budete muset přizpůsobit možnosti synchronizace ve službě Azure AD Connect, abyste povolili synchronizaci zařízení.

Vymazání SCP z AD

Pomocí editoru rozhraní služby Active Directory Services (ADSI Edit) upravte objekty SCP v AD.

  1. Spusťte desktopovou aplikaci ADSI Edit z pracovní stanice pro správu nebo řadiče domény jako podnikový správce.
  2. Připojte se k kontextu pojmenování konfigurace vaší domény.
  3. Přejděte na CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration.
  4. Klikněte pravým tlačítkem myši na objekt listu CN=62a0ff2e-97b9-4513-943f-0d221bd30080 a vyberte Vlastnosti.
    1. V okně Editor atributů vyberte klíčová slova a vyberte Upravit.
    2. Vyberte hodnoty azureADId a azureADName (jeden po druhém) a vyberte Odebrat.
  5. Zavřete nástroj ADSI Edit.

Konfigurace nastavení registru na straně klienta pro SCP

Následující příklad použijte k vytvoření objektu zásad skupiny (GPO) pro nasazení nastavení registru, které konfiguruje položku SCP v registru vašich zařízení.

  1. Otevřete konzolu Správa zásad skupiny a vytvořte ve vaší doméně nový objekt zásad skupiny.
    1. Zadejte název nově vytvořeného objektu zásad skupiny (například ClientSideSCP).
  2. Upravte objekt zásad skupiny a vyhledejte následující cestu:Registrnastavení nastavení> konfigurace počítače>>.
  3. Klikněte pravým tlačítkem myši na Registr a vyberte Nová>položka registru.
    1. Na kartě Obecné nakonfigurujte následující příkaz.
      1. Akce: Aktualizace
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Název hodnoty: TenantId.
      5. Typ hodnoty: REG_SZ.
      6. Data hodnoty: IDENTIFIKÁTOR GUID nebo ID tenanta vaší instance Azure AD (tuto hodnotu najdete na webu Azure Portal> sID tenantavlastností>Azure Active Directory>).
    2. Vyberte OK.
  4. Klikněte pravým tlačítkem myši na Registr a vyberte Nová>položka registru.
    1. Na kartě Obecné nakonfigurujte následující příkaz.
      1. Akce: Aktualizace
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Cesta ke klíči: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Název hodnoty: Název tenanta.
      5. Typ hodnoty: REG_SZ.
      6. Data o hodnotách: Ověřený název domény , pokud používáte federované prostředí, jako je AD FS. Ověřený název domény nebo název domény onmicrosoft.com, například contoso.onmicrosoft.com pokud používáte spravované prostředí.
    2. Vyberte OK.
  5. Zavřete editor nově vytvořeného objektu zásad skupiny.
  6. Propojte nově vytvořený objektů zásad skupiny se správnou organizační jednotky obsahující počítače připojené k doméně, které patří k řízenému zavedení základního souboru.

Konfigurace nastavení služby AD FS

Pokud je vaše služba Azure AD federovaná se službou AD FS, musíte nejprve nakonfigurovat SCP na straně klienta pomocí pokynů uvedených výše tím, že propojíte objekt zásad skupin s vašimi servery AD FS. Objekt SCP definuje zdroj autority pro objekty zařízení. Může to být místní prostředí nebo Azure AD. Pokud je pro službu AD FS nakonfigurovaný spojovací bod na straně klienta, vytvoří se zdroj objektů zařízení jako Azure AD.

Poznámka

Pokud jste na serverech SLUŽBY AD FS nekonfigurovali spojovací bod na straně klienta, zdroj identit zařízení by se považoval za místní. Služba AD FS pak začne odstraňovat objekty zařízení z místního adresáře po stanoveném období definovaném v atributu registrace zařízení služby AD FS "MaximumInactiveDays". Objekty registrace zařízení služby AD FS najdete pomocí rutiny Get-AdfsDeviceRegistration.

Podpora zařízení nižší úrovně

Aby bylo možné zaregistrovat zařízení s Windows nižší úrovně, musí organizace nainstalovat Microsoft Workplace Join pro počítače s windows 10 , které jsou k dispozici na webu Stažení softwaru společnosti Microsoft.

Balíček můžete nasadit pomocí distribučního systému softwaru, jako je Microsoft Endpoint Configuration Manager. Balíček podporuje standardní možnosti tiché instalace s tichým parametrem. Aktuální větev Configuration Manageru nabízí výhody oproti dřívějším verzím, jako je možnost sledovat dokončené registrace.

Instalační program vytvoří naplánovanou úlohu v systému, který běží v kontextu uživatele. Úloha se aktivuje, když se uživatel přihlásí do Windows. Úloha bezobslužně připojí zařízení k Azure AD pomocí přihlašovacích údajů uživatele po ověření v Azure AD.

Pokud chcete řídit registraci zařízení, měli byste balíček Instalační služby systému Windows nasadit do vybrané skupiny zařízení s Windows nižší úrovně.

Poznámka

Pokud není SCP nakonfigurovaný ve službě AD, měli byste postupovat stejným způsobem, jak je popsáno při konfiguraci nastavení registru na straně klienta pro SCP) na počítačích připojených k doméně pomocí objektu zásad skupiny (GPO).

Proč může být zařízení ve stavu čekání

Když pro místní zařízení nakonfigurujete úlohu připojení k Hybridní službě Azure AD Connect, úloha synchronizuje objekty zařízení s Azure AD a dočasně nastaví zaregistrovaný stav zařízení na čekající před dokončením registrace zařízení. Důvodem je to, že zařízení musí být přidáno do adresáře Azure AD, aby bylo možné ho zaregistrovat. Další informace o procesu registrace zařízení najdete v tématu Jak funguje: Registrace zařízení.

Po ověření

Jakmile ověříte, že všechno funguje podle očekávání, můžete ve službě Azure AD automaticky zaregistrovat zbytek aktuálních a nižších zařízení s Windows tím, že nakonfigurujete SCP pomocí služby Azure AD Connect.

Další kroky