Microsoft Entra wdrożenie docelowe przyłączania hybrydowego

  • Artykuł

Przed włączeniem go w całej organizacji można zweryfikować planowanie i wymagania wstępne dotyczące dołączania urządzeń hybrydowych Microsoft Entra przy użyciu wdrożenia docelowego. W tym artykule wyjaśniono, jak przeprowadzić ukierunkowane wdrożenie Microsoft Entra sprzężenia hybrydowego.

Docelowe wdrożenie dołączania hybrydowego Microsoft Entra na bieżących urządzeniach z systemem Windows

W przypadku urządzeń z systemem Windows 10 minimalna obsługiwana wersja to Windows 10 (wersja 1607) do przyłączenia hybrydowego. Najlepszym rozwiązaniem jest uaktualnienie do najnowszej wersji Windows 10 lub 11. Jeśli potrzebujesz obsługi poprzednich systemów operacyjnych, zobacz sekcję Obsługa urządzeń na poziomie podrzędnym

Aby przeprowadzić docelowe wdrożenie Microsoft Entra dołączania hybrydowego na bieżących urządzeniach z systemem Windows, należy wykonać następujące czynności:

  1. Wyczyść wpis punkt połączenia usługi (SCP) z usługi Active Directory (AD), jeśli istnieje.
  2. Skonfiguruj ustawienie rejestru po stronie klienta dla punktu połączenia usługi na komputerach przyłączonych do domeny przy użyciu obiektu zasady grupy (GPO).
  3. Jeśli używasz Active Directory Federation Services (AD FS), należy również skonfigurować ustawienie rejestru po stronie klienta dla punktu połączenia usługi NA serwerze usług AD FS przy użyciu obiektu zasad grupy.
  4. Może być również konieczne dostosowanie opcji synchronizacji w programie Microsoft Entra Connect w celu włączenia synchronizacji urządzeń.

Wyczyść punkt połączenia usługi z usługi AD

Użyj Edytora interfejsów usług Active Directory (ADSI Edit), aby zmodyfikować obiekty SCP w usłudze AD.

  1. Uruchom aplikację klasyczną EDIT ADSI z administracyjnej stacji roboczej lub kontrolera domeny jako administrator przedsiębiorstwa.
  2. Połącz się z kontekstem nazewnictwa konfiguracji domeny.
  3. Przejdź do CN=Configuration,DC=contoso,DC=com>CN=Services CN=Services>CN=Konfiguracja rejestracji urządzeń.
  4. Kliknij prawym przyciskiem myszy obiekt liścia CN=62a0ff2e-97b9-4513-943f-0d221bd30080 i wybierz pozycję Właściwości.
    1. Wybierz słowa kluczowe w oknie Edytor atrybutów i wybierz pozycję Edytuj.
    2. Wybierz wartości azureADId i azureADName (pojedynczo) i wybierz pozycję Usuń.
  5. Zamknij edytor ADSI.

Konfigurowanie ustawienia SCP rejestru po stronie klienta

Skorzystaj z poniższego przykładu, aby utworzyć obiekt zasady grupy (GPO), aby wdrożyć ustawienie rejestru konfigurujące wpis punktu połączenia usługi w rejestrze urządzeń.

  1. Otwórz Konsolę zarządzania zasadami grupy i utwórz nowy obiekt zasad grupy w domenie.
    1. Podaj nazwę nowo utworzonego obiektu (np. ClientSideSCP).
  2. Zmodyfikuj obiekt zasad grupy i znajdź następującą ścieżkę: Konfiguracja> komputeraPreferencje>rejestru ustawień systemu> Windows.
  3. Kliknij prawym przyciskiem myszy rejestr i wybierz pozycję Nowy>element rejestru.
    1. Na karcie Ogólne skonfiguruj następujące ustawienia.
      1. Akcja: Zaktualizuj.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nazwa wartości: TenantId.
      5. Typ wartości: REG_SZ.
      6. Dane wartości: identyfikator GUID lub identyfikator dzierżawy Microsoft Entra dzierżawy, który można znaleźć w temacie IdentityOverview PropertiesTenant ID (Identyfikator dzierżawywłaściwości>przeglądu> tożsamości>).
    2. Wybierz przycisk OK.
  4. Kliknij prawym przyciskiem myszy rejestr i wybierz pozycję Nowy>element rejestru.
    1. Na karcie Ogólne skonfiguruj następujące ustawienia.
      1. Akcja: Zaktualizuj.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nazwa wartości: TenantName.
      5. Typ wartości: REG_SZ.
      6. Dane wartości: zweryfikowana nazwa domeny , jeśli używasz środowiska federacyjnego, takiego jak usługi AD FS. Zweryfikowana nazwa domeny lub nazwa domeny onmicrosoft.com, na przykład contoso.onmicrosoft.com jeśli używasz środowiska zarządzanego.
    2. Wybierz przycisk OK.
  5. Zamknij edytor nowo utworzonego obiektu zasad grupy.
  6. Połącz nowo utworzony obiekt zasad grupy z prawidłową jednostką organizacyjną zawierającą komputery przyłączone do domeny, które należą do kontrolowanej populacji wdrożenia.

Konfigurowanie ustawień usług AD FS

Jeśli identyfikator Microsoft Entra jest sfederowany z usługami AD FS, należy najpierw skonfigurować punkt połączenia usługi po stronie klienta, korzystając z instrukcji wymienionych wcześniej przez połączenie obiektu zasad grupy z serwerami usług AD FS. Obiekt SCP definiuje źródło urzędu dla obiektów urządzeń. Może to być identyfikator lokalny lub Microsoft Entra. Po skonfigurowaniu punktu połączenia usługi AD FS po stronie klienta źródło obiektów urządzeń jest ustanawiane jako identyfikator Microsoft Entra.

Uwaga

Jeśli nie można skonfigurować punktu połączenia usługi po stronie klienta na serwerach usług AD FS, źródło tożsamości urządzeń będzie traktowane jako lokalne. Następnie usługi AD FS rozpocznie usuwanie obiektów urządzeń z katalogu lokalnego po określonym okresie zdefiniowanym w atrybucie rejestracji urządzeń usług AD FS "MaximumInactiveDays". Obiekty rejestracji urządzeń usług AD FS można znaleźć za pomocą polecenia cmdlet Get-AdfsDeviceRegistration.

Obsługa urządzeń na poziomie podrzędnym

Aby zarejestrować urządzenia z systemem Windows na poziomie podrzędnym, organizacje muszą zainstalować narzędzie Microsoft Workplace Join dla komputerów innych niż Windows 10 dostępnych w Centrum pobierania Microsoft.

Pakiet można wdrożyć przy użyciu systemu dystrybucji oprogramowania, takiego jak Microsoft Configuration Manager. Pakiet obsługuje standardowe opcje instalacji dyskretnej z cichym parametrem. Bieżąca gałąź Configuration Manager oferuje korzyści w porównaniu z wcześniejszymi wersjami, takimi jak możliwość śledzenia ukończonych rejestracji.

Instalator tworzy zaplanowane zadanie w systemie, które jest uruchamiane w kontekście użytkownika. Zadanie jest wyzwalane, gdy użytkownik zaloguje się do systemu Windows. Zadanie w trybie dyskretnym łączy urządzenie z identyfikatorem Microsoft Entra przy użyciu poświadczeń użytkownika po uwierzytelnieniu przy użyciu identyfikatora Microsoft Entra.

Aby kontrolować rejestrację urządzenia, należy wdrożyć pakiet Instalatora Windows w wybranej grupie urządzeń z systemem Windows na poziomie podrzędnym.

Uwaga

Jeśli punkt połączenia usługi nie jest skonfigurowany w usłudze AD, należy postępować zgodnie z tym samym podejściem, co opisano w temacie Konfigurowanie ustawienia rejestru po stronie klienta dla punktu połączenia usługi) na komputerach przyłączonych do domeny przy użyciu obiektu zasady grupy (GPO).

Dlaczego urządzenie może być w stanie oczekiwania

Podczas konfigurowania zadania przyłączania hybrydowego Microsoft Entra w Microsoft Entra Connect Sync dla urządzeń lokalnych zadanie synchronizuje obiekty urządzeń z identyfikatorem Microsoft Entra i tymczasowo ustawia stan zarejestrowany urządzeń na "oczekujące", zanim urządzenie ukończy rejestrację urządzenia. Ten stan oczekiwania jest spowodowany tym, że urządzenie musi zostać dodane do katalogu Microsoft Entra, zanim będzie można je zarejestrować. Aby uzyskać więcej informacji na temat procesu rejestracji urządzenia, zobacz Jak to działa: rejestracja urządzenia.

Weryfikacja po weryfikacji

Po sprawdzeniu, czy wszystko działa zgodnie z oczekiwaniami, możesz automatycznie zarejestrować pozostałe urządzenia z systemem Windows bieżące i na poziomie podrzędnym przy użyciu identyfikatora Microsoft Entra. Automatyzowanie Microsoft Entra dołączania hybrydowego przez skonfigurowanie punktu połączenia usługi przy użyciu programu Microsoft Entra Connect.

Następne kroki