A Microsoft Entra hibrid csatlakozás célzott üzembe helyezése
A tervezés és az előfeltételek, a hibrid Microsoft Entra-eszközökhöz való csatlakozáshoz, célzott üzembe helyezéssel ellenőrizhetők, mielőtt azokat a teljes szervezetben engedélyeznék. Ez a cikk a Microsoft Entra hibrid csatlakozás célzott üzembe helyezésének elvégzését ismerteti.
Figyelem
Az Active Directoryban lévő értékek módosításakor körültekintően kell eljárni. A meglévő környezetben végzett módosítások nem szándékos következményekkel járhatnak.
A Microsoft Entra hibrid csatlakoztatásának célzott üzembe helyezése Windows-eszközökön
Windows 10 rendszerű eszközök esetén a minimális támogatott verzió a Windows 10 (1607-es verzió) a hibrid csatlakozáshoz. Ajánlott eljárásként frissítsen a Windows 10 vagy 11 legújabb verziójára.
A Microsoft Entra hibrid csatlakoztatásának célzott üzembe helyezéséhez Windows-eszközökön a következőkre van szükség:
- Törölje a Szolgáltatáskapcsolati pont (SCP) bejegyzést a Windows Server Active Directoryból, ha létezik.
- Az ügyféloldali SCP beállításjegyzék beállításainak konfigurálása a tartományhoz csatlakozott számítógépeken egy csoportházirend-objektum (GPO) használatával.
- Ha Active Directory összevonási szolgáltatásokat (AD FS) használ, az SCP ügyféloldali beállításjegyzék-beállítását is konfigurálnia kell az AD FS-kiszolgálón egy csoportházirend-objektumhasználatával.
- Előfordulhat, hogy az eszközszinkronizálás engedélyezéséhez szinkronizálási beállításokat kell testre szabnia a Microsoft Entra Connectben.
Borravaló
Előfordulhat, hogy az SCP helyileg van konfigurálva az eszköz beállításjegyzékében bizonyos helyzetekben. Ha az eszköz talál egy értéket a beállításjegyzékben, akkor ezt a konfigurációt használja, ellenkező esetben lekérdezi az SCP könyvtárát, és megkísérli a hibrid csatlakozást.
Az SCP törlése a Microsoft Windows Server Active Directoryból
Az Active Directory Services Interfaces Editor (ADSI Edit) használatával módosíthatja az SCP-objektumokat a Microsoft Windows Server Active Directoryban.
- Indítsa el az ADSI Edit asztali alkalmazást a felügyeleti munkaállomásról vagy egy tartományvezérlőről vállalati rendszergazdaként.
- Csatlakozz a(z) tartomány konfigurációs elnevezési környezetéhez.
- Keresse fel CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration.
- Kattintson a jobb gombbal a levélobjektumra CN=62a0ff2e-97b9-4513-943f-0d221bd30080, és válassza Tulajdonságoklehetőséget.
- Válassza Attribútumszerkesztő ablakából kulcsszavakat, majd válassza Szerkesztéslehetőséget.
- Válassza ki az azureADId és az azureADName értékeit egyenként, majd válassza az Eltávolításlehetőséget.
- Zárja be ADSI Edit.
Ügyféloldali beállításjegyzék-beállítás konfigurálása az SCP-hez
Az alábbi példában létrehozhat egy csoportházirend-objektumot (GPO) egy beállításjegyzék-beállítás üzembe helyezéséhez, amely konfigurál egy SCP-bejegyzést az eszközök beállításjegyzékében.
- Nyisson meg egy csoportházirend-kezelési konzolt, és hozzon létre egy új csoportházirend-objektumot a tartományban.
- Adjon nevet az újonnan létrehozott csoportházirend-objektumnak (például ClientSideSCP).
- Szerkessze a csoportházirend-objektumot, és keresse meg a következő elérési utat: Számítógép konfigurációja>Beállítások>Windows-beállítások>Beállításjegyzék.
- Kattintson a jobb gombbal a beállításjegyzékre, és válassza Új>beállításjegyzék-elemlehetőséget.
- Az Általános lapon konfigurálja a következőket.
- Művelet: frissítése.
- Hive: HKEY_LOCAL_MACHINE.
- Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
- Érték neve: TenantId.
- Érték típusa: REG_SZ.
- Értékadatok: A Microsoft Entra-bérlő globálisan egyedi azonosítója (GUID) vagy Bérlőazonosító, amely megtalálható a Identity>Overview>Properties>Tenant IDszakaszban.
- Válassza OKlehetőséget.
- Az Általános lapon konfigurálja a következőket.
- Kattintson a jobb gombbal a beállításjegyzékre, és válassza Új>beállításjegyzék-elemlehetőséget.
- Az Általános lapon konfigurálja a következőket.
- Művelet: frissítése.
- Hive: HKEY_LOCAL_MACHINE.
- Kulcs elérési útja: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
- Érték neve: TenantName.
- Érték típusa: REG_SZ.
- Értékadatok: Az ellenőrzött tartománynév, ha összevont környezetet, például AD FS-t használ. Az ellenőrzött tartománynév vagy a onmicrosoft.com tartományneve, például felügyelt környezet használata esetén
contoso.onmicrosoft.com
.
- Válassza OKlehetőséget.
- Az Általános lapon konfigurálja a következőket.
- Zárja be az újonnan létrehozott csoportházirend-objektum szerkesztőjét.
- Csatolja az újonnan létrehozott csoportházirend-objektumot a megfelelő szervezeti egységhez (szervezeti egységhez), amely tartományhoz csatlakoztatott számítógépeket tartalmaz, amelyek a szabályozott bevezetési populációhoz tartoznak.
Az AD FS beállításainak konfigurálása
Ha a Microsoft Entra-azonosító federálva van az AD FS-sel, először konfigurálnia kell az ügyféloldali SCP-t a korábban említett utasítások alapján, úgy hogy a csoportházirendet csatolja az AD FS-kiszolgálókhoz. Az SCP-objektum határozza meg az eszközobjektumok tekintély forrását. Ez lehet helyszíni vagy Microsoft Entra-azonosító. Ha az ügyféloldali SCP az AD FS-hez van konfigurálva, az eszközobjektumok forrása Microsoft Entra-azonosítóként lesz létrehozva.
Jegyzet
Ha nem tudta konfigurálni az ügyféloldali SCP-t az AD FS-kiszolgálókon, az eszközidentitások forrása helyszíninek minősül. Az AD FS ezután megkezdi az eszközobjektumok törlését a helyszíni címtárból az AD FS-eszközregisztráció "MaximumInactiveDays" attribútumában meghatározott időtartam után. Az AD FS eszközregisztrációs objektumai a Get-AdfsDeviceRegistration parancsmaghasználatával találhatók.
Miért van egy eszköz függőben lévő állapotban?
Amikor konfigurál egy Microsoft Entra hibrid összekapcsolási feladatot a helyszíni eszközökhöz a Microsoft Entra Connect Syncben, a feladat szinkronizálja az eszközobjektumokat a Microsoft Entra ID-be, és ideiglenesen "függőben" állapotba állítja az eszközök regisztrációs állapotát, mielőtt az eszköz befejezi az eszközregisztrációt. Ennek a függőben lévő állapotnak az az oka, hogy az eszközt hozzá kell adni a Microsoft Entra könyvtárhoz, mielőtt regisztrálható lenne. További információ az eszközregisztrációs folyamatról: Hogyan működik: Eszközregisztráció.
Utólagos érvényesítés
Miután ellenőrizte, hogy minden a várt módon működik-e, automatikusan regisztrálhatja a többi Windows-eszközét a Microsoft Entra ID azonosítóval. A Microsoft Entra hibrid csatlakoztatásának automatizálása az SCP konfigurálásával a Microsoft Entra Connecthasználatával.