Megosztás a következőn keresztül:


A Microsoft Entra hibrid csatlakozás célzott üzembe helyezése

A tervezés és az előfeltételek, a hibrid Microsoft Entra-eszközökhöz való csatlakozáshoz, célzott üzembe helyezéssel ellenőrizhetők, mielőtt azokat a teljes szervezetben engedélyeznék. Ez a cikk a Microsoft Entra hibrid csatlakozás célzott üzembe helyezésének elvégzését ismerteti.

Figyelem

Az Active Directoryban lévő értékek módosításakor körültekintően kell eljárni. A meglévő környezetben végzett módosítások nem szándékos következményekkel járhatnak.

A Microsoft Entra hibrid csatlakoztatásának célzott üzembe helyezése Windows-eszközökön

Windows 10 rendszerű eszközök esetén a minimális támogatott verzió a Windows 10 (1607-es verzió) a hibrid csatlakozáshoz. Ajánlott eljárásként frissítsen a Windows 10 vagy 11 legújabb verziójára.

A Microsoft Entra hibrid csatlakoztatásának célzott üzembe helyezéséhez Windows-eszközökön a következőkre van szükség:

  1. Törölje a Szolgáltatáskapcsolati pont (SCP) bejegyzést a Windows Server Active Directoryból, ha létezik.
  2. Az ügyféloldali SCP beállításjegyzék beállításainak konfigurálása a tartományhoz csatlakozott számítógépeken egy csoportházirend-objektum (GPO) használatával.
  3. Ha Active Directory összevonási szolgáltatásokat (AD FS) használ, az SCP ügyféloldali beállításjegyzék-beállítását is konfigurálnia kell az AD FS-kiszolgálón egy csoportházirend-objektumhasználatával.
  4. Előfordulhat, hogy az eszközszinkronizálás engedélyezéséhez szinkronizálási beállításokat kell testre szabnia a Microsoft Entra Connectben.

Borravaló

Előfordulhat, hogy az SCP helyileg van konfigurálva az eszköz beállításjegyzékében bizonyos helyzetekben. Ha az eszköz talál egy értéket a beállításjegyzékben, akkor ezt a konfigurációt használja, ellenkező esetben lekérdezi az SCP könyvtárát, és megkísérli a hibrid csatlakozást.

Az SCP törlése a Microsoft Windows Server Active Directoryból

Az Active Directory Services Interfaces Editor (ADSI Edit) használatával módosíthatja az SCP-objektumokat a Microsoft Windows Server Active Directoryban.

  1. Indítsa el az ADSI Edit asztali alkalmazást a felügyeleti munkaállomásról vagy egy tartományvezérlőről vállalati rendszergazdaként.
  2. Csatlakozz a(z) tartomány konfigurációs elnevezési környezetéhez.
  3. Keresse fel CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration.
  4. Kattintson a jobb gombbal a levélobjektumra CN=62a0ff2e-97b9-4513-943f-0d221bd30080, és válassza Tulajdonságoklehetőséget.
    1. Válassza Attribútumszerkesztő ablakából kulcsszavakat, majd válassza Szerkesztéslehetőséget.
    2. Válassza ki az azureADId és az azureADName értékeit egyenként, majd válassza az Eltávolításlehetőséget.
  5. Zárja be ADSI Edit.

Ügyféloldali beállításjegyzék-beállítás konfigurálása az SCP-hez

Az alábbi példában létrehozhat egy csoportházirend-objektumot (GPO) egy beállításjegyzék-beállítás üzembe helyezéséhez, amely konfigurál egy SCP-bejegyzést az eszközök beállításjegyzékében.

  1. Nyisson meg egy csoportházirend-kezelési konzolt, és hozzon létre egy új csoportházirend-objektumot a tartományban.
    1. Adjon nevet az újonnan létrehozott csoportházirend-objektumnak (például ClientSideSCP).
  2. Szerkessze a csoportházirend-objektumot, és keresse meg a következő elérési utat: Számítógép konfigurációja>Beállítások>Windows-beállítások>Beállításjegyzék.
  3. Kattintson a jobb gombbal a beállításjegyzékre, és válassza Új>beállításjegyzék-elemlehetőséget.
    1. Az Általános lapon konfigurálja a következőket.
      1. Művelet: frissítése.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Érték neve: TenantId.
      5. Érték típusa: REG_SZ.
      6. Értékadatok: A Microsoft Entra-bérlő globálisan egyedi azonosítója (GUID) vagy Bérlőazonosító, amely megtalálható a Identity>Overview>Properties>Tenant IDszakaszban.
    2. Válassza OKlehetőséget.
  4. Kattintson a jobb gombbal a beállításjegyzékre, és válassza Új>beállításjegyzék-elemlehetőséget.
    1. Az Általános lapon konfigurálja a következőket.
      1. Művelet: frissítése.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Érték neve: TenantName.
      5. Érték típusa: REG_SZ.
      6. Értékadatok: Az ellenőrzött tartománynév, ha összevont környezetet, például AD FS-t használ. Az ellenőrzött tartománynév vagy a onmicrosoft.com tartományneve, például felügyelt környezet használata esetén contoso.onmicrosoft.com.
    2. Válassza OKlehetőséget.
  5. Zárja be az újonnan létrehozott csoportházirend-objektum szerkesztőjét.
  6. Csatolja az újonnan létrehozott csoportházirend-objektumot a megfelelő szervezeti egységhez (szervezeti egységhez), amely tartományhoz csatlakoztatott számítógépeket tartalmaz, amelyek a szabályozott bevezetési populációhoz tartoznak.

Az AD FS beállításainak konfigurálása

Ha a Microsoft Entra-azonosító federálva van az AD FS-sel, először konfigurálnia kell az ügyféloldali SCP-t a korábban említett utasítások alapján, úgy hogy a csoportházirendet csatolja az AD FS-kiszolgálókhoz. Az SCP-objektum határozza meg az eszközobjektumok tekintély forrását. Ez lehet helyszíni vagy Microsoft Entra-azonosító. Ha az ügyféloldali SCP az AD FS-hez van konfigurálva, az eszközobjektumok forrása Microsoft Entra-azonosítóként lesz létrehozva.

Jegyzet

Ha nem tudta konfigurálni az ügyféloldali SCP-t az AD FS-kiszolgálókon, az eszközidentitások forrása helyszíninek minősül. Az AD FS ezután megkezdi az eszközobjektumok törlését a helyszíni címtárból az AD FS-eszközregisztráció "MaximumInactiveDays" attribútumában meghatározott időtartam után. Az AD FS eszközregisztrációs objektumai a Get-AdfsDeviceRegistration parancsmaghasználatával találhatók.

Miért van egy eszköz függőben lévő állapotban?

Amikor konfigurál egy Microsoft Entra hibrid összekapcsolási feladatot a helyszíni eszközökhöz a Microsoft Entra Connect Syncben, a feladat szinkronizálja az eszközobjektumokat a Microsoft Entra ID-be, és ideiglenesen "függőben" állapotba állítja az eszközök regisztrációs állapotát, mielőtt az eszköz befejezi az eszközregisztrációt. Ennek a függőben lévő állapotnak az az oka, hogy az eszközt hozzá kell adni a Microsoft Entra könyvtárhoz, mielőtt regisztrálható lenne. További információ az eszközregisztrációs folyamatról: Hogyan működik: Eszközregisztráció.

Utólagos érvényesítés

Miután ellenőrizte, hogy minden a várt módon működik-e, automatikusan regisztrálhatja a többi Windows-eszközét a Microsoft Entra ID azonosítóval. A Microsoft Entra hibrid csatlakoztatásának automatizálása az SCP konfigurálásával a Microsoft Entra Connecthasználatával.