Bagikan melalui

Penyebaran yang ditargetkan untuk hibrid gabungan Microsoft Entra

  • Artikel

Anda dapat memvalidasi perencanaan dan prasyarat untuk perangkat gabungan Microsoft Entra hibrid menggunakan penyebaran yang ditargetkan sebelum mengaktifkannya di seluruh organisasi. Artikel ini menjelaskan cara menyelesaikan penyebaran gabungan hibrid Microsoft Entra yang ditargetkan.

Perhatian

Berhati-hatilah saat memodifikasi nilai di Direktori Aktif. Membuat perubahan dalam lingkungan yang mapan mungkin memiliki konsekuensi yang tidak diinginkan.

Penyebaran hibrid gabungan Microsoft Entra secara terarah pada perangkat Windows

Untuk perangkat yang menjalankan Windows 10, versi minimum yang didukung adalah Windows 10 (versi 1607) untuk melakukan gabungan hibrid. Sebagai praktik terbaik, tingkatkan ke versi terbaru Windows 10 atau 11.

Untuk melakukan penyebaran gabungan hibrid Microsoft Entra yang ditargetkan di perangkat Windows, Anda perlu:

  1. Hapus entri Titik Koneksi Layanan (SCP) dari Windows Server Active Directory jika ada.
  2. Mengonfigurasi pengaturan registri sisi klien untuk SCP di komputer yang bergabung dengan domain Anda menggunakan Objek Kebijakan Grup (GPO).
  3. Jika Anda menggunakan Active Directory Federation Services (AD FS), Anda juga harus mengonfigurasi pengaturan registri sisi klien untuk SCP di server AD FS Anda menggunakan GPO.
  4. Anda mungkin perlu menyesuaikan opsi sinkronisasi di Microsoft Entra Connect untuk mengaktifkan sinkronisasi perangkat.

Saran

SCP mungkin dikonfigurasi secara lokal dalam registri perangkat dalam situasi tertentu. Jika perangkat menemukan nilai dalam registri, perangkat akan menggunakan konfigurasi tersebut. Jika tidak, perangkat akan meminta direktori untuk SCP dan mencoba bergabung dengan cara hybrid.

Menghapus SCP dari Microsoft Windows Server Active Directory

Gunakan Editor Antarmuka Layanan Direktori Aktif (ADSI Edit) untuk mengubah objek SCP di Microsoft Windows Server Active Directory.

  1. Luncurkan aplikasi desktop ADSI Edit dari stasiun kerja administratif atau pengendali domain sebagai Administrator Tingkat Perusahaan.
  2. Sambungkan ke Konteks Penamaan Konfigurasi dari domain Anda.
  3. Arahkan ke CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration.
  4. Klik kanan pada objek daun CN=62a0ff2e-97b9-4513-943f-0d2221bd30080 dan pilih properti .
    1. Pilih kata kunci dari Editor Atribut di jendela dan pilih Edit.
    2. Pilih nilai azureADId dan azureADName (satu per satu) dan pilih Hapus.
  5. Tutup ADSI Edit.

Mengonfigurasi pengaturan registri sisi klien untuk SCP

Gunakan contoh berikut untuk membuat Objek Kebijakan Grup (GPO) untuk menyebarkan pengaturan registri yang mengonfigurasi entri SCP di registri perangkat Anda.

  1. Buka konsol Manajemen Kebijakan Grup dan buat Objek Kebijakan Grup baru di domain Anda.
    1. Berikan nama GPO yang baru dibuat (misalnya, ClientSideSCP).
  2. Edit GPO dan temukan jalur berikut: Konfigurasi Komputer>Preferensi>Pengaturan Windows>Registri.
  3. Klik kanan pada Registri dan pilih Baru Item Registri>.
    1. Pada tab Umum, konfigurasikan yang berikut ini.
      1. Tindakan: Perbarui.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Jalur Kunci: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nama nilai: TenantId.
      5. Jenis nilai: REG_SZ.
      6. Nilai data: Pengidentifikasi unik global (GUID) atau ID Penyewa dari penyewa Microsoft Entra Anda, yang dapat ditemukan di Ikhtisar>Properti>ID Penyewa>.
    2. Pilih OK.
  4. Klik kanan pada Registri dan pilih Baru>Item Registri.
    1. Pada tab Umum, konfigurasikan yang berikut ini.
      1. Tindakan: Perbarui.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Jalur Kunci: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nama nilai: TenantName.
      5. Jenis nilai: REG_SZ.
      6. Data nilai: Nama domain yang sudah terverifikasi jika Anda menggunakan lingkungan terbatas seperti Active Directory Federation Services. Nama domain terverifikasi Anda atau nama domain onmicrosoft.com Anda, misalnya contoso.onmicrosoft.com jika Anda menggunakan lingkungan terkelola.
    2. Pilih OK.
  5. Tutup editor untuk GPO yang baru dibuat.
  6. Tautkan GPO yang baru dibuat ke unit organisasi (OU) yang benar yang berisi komputer yang tergabung dalam domain untuk populasi peluncuran terkontrol Anda.

Mengonfigurasi pengaturan AD FS (Layanan Federasi Direktori Aktif)

Jika ID Microsoft Entra Anda digabungkan dengan LAYANAN Federasi Direktori Aktif, Anda harus terlebih dahulu mengonfigurasi SCP sisi klien menggunakan instruksi yang disebutkan sebelumnya dengan menautkan GPO ke server Layanan Federasi Direktori Aktif Anda. Objek SCP mendefinisikan sumber otoritas untuk objek perangkat. Ini bisa lokal atau ID Microsoft Entra. Saat SCP sisi klien telah dikonfigurasi untuk Layanan Federasi Direktori Aktif, sumber untuk objek perangkat ditetapkan sebagai ID Microsoft Entra.

Nota

Jika Anda gagal mengonfigurasi SCP sisi klien pada server Active Directory Federation Services (AD FS) Anda, sumber untuk identitas perangkat akan dianggap sebagai lokal. AD FS kemudian akan mulai menghapus objek perangkat dari direktori lokal setelah periode yang ditentukan dalam atribut Pendaftaran Perangkat AD FS "MaximumInactiveDays". Objek Pendaftaran Perangkat AD FS dapat ditemukan menggunakan cmdlet Get-AdfsDeviceRegistration.

Mengapa perangkat mungkin dalam status tertunda

Saat Anda mengonfigurasi tugas gabungan hibrid Microsoft Entra di Sinkronisasi Microsoft Entra Connect untuk perangkat lokal Anda, tugas menyinkronkan objek perangkat ke ID Microsoft Entra, dan mengatur sementara status terdaftar perangkat ke "tertunda" sebelum perangkat menyelesaikan pendaftaran perangkat. Status tertunda ini karena perangkat harus ditambahkan ke direktori Microsoft Entra sebelum dapat didaftarkan. Untuk informasi selengkapnya tentang proses pendaftaran perangkat, lihat Cara kerjanya: Pendaftaran perangkat.

Setelah validasi

Setelah memverifikasi bahwa semuanya berfungsi seperti yang diharapkan, Anda dapat mendaftarkan perangkat Windows lainnya secara otomatis dengan ID Microsoft Entra. Mengotomatisasi penggabungan hibrid Microsoft Entra dengan mengonfigurasi SCP menggunakan Microsoft Entra Connect.

Konten terkait