hibrid csatlakozás célzott üzembe helyezésének Microsoft Entra

  • Cikk

A hibrid Microsoft Entra eszközökhöz való csatlakozás megtervezését és előfeltételeit egy célzott üzembe helyezéssel ellenőrizheti, mielőtt a teljes szervezeten belül engedélyezve lenne. Ez a cikk azt ismerteti, hogyan végezheti el a hibrid csatlakozás Microsoft Entra célzott üzembe helyezését.

Microsoft Entra hibrid csatlakozás célzott üzembe helyezése windowsos aktuális eszközökön

A Windows 10 rendszerű eszközök esetében a minimálisan támogatott verzió a hibrid csatlakozáshoz Windows 10 (1607-es verzió). Ajánlott eljárásként frissítsen a Windows 10 vagy a 11 legújabb verziójára. Ha támogatnia kell a korábbi operációs rendszereket, tekintse meg az Alacsonyabb szintű eszközök támogatása című szakaszt.

Ha Microsoft Entra hibrid csatlakozás célzott üzembe helyezését szeretné elvégezni a Windows aktuális eszközein, a következőket kell tennie:

  1. Törölje a szolgáltatáskapcsolódási pont (SCP) bejegyzését az Active Directoryból (AD), ha létezik.
  2. Konfigurálja az SCP ügyféloldali beállításjegyzék-beállítását a tartományhoz csatlakoztatott számítógépeken egy Csoportházirend Objektum (GPO) használatával.
  3. Ha Active Directory összevonási szolgáltatások (AD FS) (AD FS) szolgáltatást használ, az SCP ügyféloldali beállításjegyzék-beállítását is konfigurálnia kell az AD FS-kiszolgálón egy csoportházirend-objektum használatával.
  4. Előfordulhat, hogy az eszközszinkronizálás engedélyezéséhez a Microsoft Entra Connect szinkronizálási beállításait is testre kell szabnia.

Az SCP törlése az AD-ből

Az Active Directory Services Interfaces Editor (ADSI-szerkesztés) használatával módosíthatja az SCP-objektumokat az AD-ben.

  1. Indítsa el az ADSI Edit asztali alkalmazást a és a felügyeleti munkaállomásról, vagy egy tartományvezérlőt vállalati rendszergazdaként.
  2. Csatlakozzon a tartomány konfigurációs elnevezési környezetéhez .
  3. Keresse meg a CN=Configuration,DC=contoso,DC=com CN=Services CN=Device Registration Configuration (CN=Konfiguráció,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration) elemet.
  4. Kattintson a jobb gombbal a CN=62a0ff2e-97b9-4513-943f-0d221bd30080 levélobjektumra, és válassza a Tulajdonságok parancsot.
    1. Válassza ki a kulcsszavakat az Attribútumszerkesztő ablakban, és válassza a Szerkesztés lehetőséget.
    2. Válassza ki az azureADId és az azureADName értékét (egyenként), majd válassza az Eltávolítás lehetőséget.
  5. Zárja be az ADSI-szerkesztést.

Az SCP ügyféloldali beállításjegyzék-beállításának konfigurálása

Az alábbi példában létrehozhat egy Csoportházirend objektumot (GPO) egy beállításjegyzék-beállítás üzembe helyezéséhez, amely konfigurál egy SCP-bejegyzést az eszközök beállításjegyzékében.

  1. Nyisson meg Csoportházirend-kezelő konzolt, és hozzon létre egy új csoportházirend objektumot a tartományban.
    1. Adjon nevet az újonnan létrehozott GPO-nak (például ClientSideSCP).
  2. Szerkessze a csoportházirend-objektumot, és keresse meg a következő elérési utat: Számítógép konfigurációs>beállításai>Windows-beállítások>beállításjegyzéke.
  3. Kattintson a jobb gombbal a beállításjegyzékre, és válassza az Új>beállításjegyzékelem lehetőséget.
    1. Az Általános lapon konfigurálja a következőket.
      1. Művelet: Frissítés.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Érték neve: TenantId.
      5. Érték típusa: REG_SZ.
      6. Értékadatok: A Microsoft Entra bérlő GUID-azonosítója vagy bérlőazonosítója, amely azIdentitásáttekintő>>tulajdonságok>bérlőazonosítójában található.
    2. Válassza az OK lehetőséget.
  4. Kattintson a jobb gombbal a beállításjegyzékre, és válassza az Új>beállításjegyzékelem lehetőséget.
    1. Az Általános lapon konfigurálja a következőket.
      1. Művelet: Frissítés.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Érték neve: TenantName.
      5. Érték típusa: REG_SZ.
      6. Értékadatok: Ellenőrzött tartományneve , ha összevont környezetet, például AD FS-t használ. Az ellenőrzött tartománynév vagy a onmicrosoft.com tartományneve, például contoso.onmicrosoft.com felügyelt környezet használata esetén.
    2. Válassza az OK lehetőséget.
  5. Zárja be az újonnan létrehozott GPO szerkesztőjét.
  6. Csatolja az újonnan létrehozott csoportházirend-objektumot a megfelelő szervezeti egységhez, amely a szabályozott bevezetési populációhoz tartozó tartományhoz csatlakoztatott számítógépeket tartalmazza.

Az AD FS beállításainak konfigurálása

Ha a Microsoft Entra-azonosító össze van osztva az AD FS-sel, először konfigurálnia kell az ügyféloldali SCP-t a korábban említett utasítások alapján, a csoportházirend-objektum és az AD FS-kiszolgálók összekapcsolásával. Az SCP-objektum határozza meg az eszközobjektumok szolgáltatói forrását. Ez lehet helyszíni vagy Microsoft Entra azonosító. Ha az ügyféloldali SCP az AD FS-hez van konfigurálva, az eszközobjektumok forrása Microsoft Entra azonosítóként lesz létrehozva.

Megjegyzés

Ha nem tudta konfigurálni az ügyféloldali SCP-t az AD FS-kiszolgálókon, az eszközidentitások forrása helyszíninek minősül. Az AD FS ezután megkezdi az eszközobjektumok törlését a helyszíni címtárból az AD FS-eszközregisztráció "MaximumInactiveDays" attribútumában meghatározott időtartam után. Az AD FS eszközregisztrációs objektumai a Get-AdfsDeviceRegistration parancsmaggal találhatók.

Alacsonyabb szintű eszközök támogatása

A windowsos alacsonyabb szintű eszközök regisztrálásához a szervezeteknek telepíteniük kell a Microsoft Workplace Join alkalmazást a Microsoft letöltőközpontban elérhető nem Windows 10 számítógépekre.

A csomagot egy olyan szoftverterjesztési rendszer használatával helyezheti üzembe, mint a Microsoft Configuration Manager. A csomag támogatja a standard csendes telepítési lehetőségeket a quiet paraméterrel. A Configuration Manager jelenlegi ága olyan előnyöket kínál a korábbi verziókhoz képest, mint a befejezett regisztrációk nyomon követése.

A telepítő létrehoz egy ütemezett feladatot a felhasználói környezetben futó rendszeren. A feladat akkor aktiválódik, amikor a felhasználó bejelentkezik a Windowsba. A feladat csendesen csatlakoztatja az eszközt Microsoft Entra azonosítóval a felhasználói hitelesítő adatokkal, miután Microsoft Entra azonosítóval végzett hitelesítést.

Az eszközregisztráció szabályozásához telepítse a Windows Installer-csomagot a windowsos, alacsonyabb szintű eszközök kiválasztott csoportjába.

Megjegyzés

Ha az SCP nincs konfigurálva az AD-ben, akkor a tartományhoz csatlakoztatott számítógépeken az SCP ügyféloldali beállításjegyzék-beállításának konfigurálása Csoportházirend objektum (GPO) használatával című cikkben leírtak szerint kell eljárnia.

Miért lehet egy eszköz függő állapotban?

Amikor Microsoft Entra hibrid csatlakoztatási feladatot konfigurál a helyszíni eszközök Microsoft Entra Connect Sync szolgáltatásban, a feladat az eszközobjektumokat Microsoft Entra azonosítóra szinkronizálja, és ideiglenesen "függőben" állapotba állítja az eszközök regisztrált állapotát, mielőtt az eszköz befejezi az eszközregisztrációt. Ennek a függő állapotnak az az oka, hogy az eszközt hozzá kell adni a Microsoft Entra könyvtárhoz, mielőtt regisztrálható lenne. További információ az eszközregisztrációs folyamatról : Hogyan működik: Eszközregisztráció.

Ellenőrzés után

Miután ellenőrizte, hogy minden a várt módon működik-e, automatikusan regisztrálhatja a Windows jelenlegi és alacsonyabb szintű eszközeit Microsoft Entra azonosítóval. Automatizálhatja Microsoft Entra hibrid csatlakozást az SCP konfigurálásával a Microsoft Entra Connect használatával.

Következő lépések