Distribuzione mirata del join ibrido a Microsoft Entra
È possibile convalidare la pianificazione e i prerequisiti per l'aggiunta ibrida di Microsoft Entra ai dispositivi usando una distribuzione mirata prima di abilitarla nell'intera organizzazione. Questo articolo illustra come eseguire una distribuzione mirata del join ibrido di Microsoft Entra.
Cautela
Prestare attenzione quando si modificano i valori in Active Directory. Le modifiche apportate in un ambiente stabilito potrebbero avere conseguenze impreviste.
Distribuzione mirata dell'unione ibrida di Microsoft Entra nei dispositivi Windows
Per i dispositivi che eseguono Windows 10, la versione minima supportata è Windows 10 (versione 1607) per eseguire l'aggiunta ibrida. Come procedura consigliata, eseguire l'aggiornamento alla versione più recente di Windows 10 o 11.
Per eseguire una distribuzione mirata dell'adesione ibrida di Microsoft Entra sui dispositivi Windows, è necessario:
- Deselezionare la voce SCP (Service Connection Point) da Windows Server Active Directory se esiste.
- Configurare l'impostazione del Registro di sistema sul lato client per SCP nei computer aggiunti a un dominio usando un oggetto Criteri di gruppo (GPO).
- Se si usa Active Directory Federation Services (AD FS), è necessario anche configurare l'impostazione del Registro di sistema lato client per SCP nel server AD FS usando un oggetto Criteri di gruppo.
- Potrebbe essere necessario personalizzare le opzioni di sincronizzazione in Microsoft Entra Connect per abilitare la sincronizzazione dei dispositivi.
Consiglio
SCP potrebbe essere configurato localmente nel Registro di sistema del dispositivo in determinate situazioni. Se il dispositivo trova un valore nel Registro di sistema, utilizza tale configurazione, altrimenti esegue una query sulla directory per SCP e tenta di eseguire un join ibrido.
Deselezionare SCP da Microsoft Windows Server Active Directory
Utilizzare ADSI Edit per modificare gli oggetti SCP in Microsoft Windows Server Active Directory.
- Avvia il ADSI Edit applicazione desktop da una workstation amministrativa o un controller di dominio come Amministratore dell'Organizzazione.
- Connettersi al contesto di denominazione della configurazione del dominio.
- Accedere a CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration.
- Fare clic con il pulsante destro del mouse sull'oggetto foglia CN=62a0ff2e-97b9-4513-943f-0d221bd30080 e selezionare Proprietà.
- Selezionare parole chiave dalla finestra Editor attributi e selezionare Modifica.
- Selezionare i valori di azureADId e azureADName (uno alla volta) e selezionare Rimuovi.
- Chiudi ADSI Edit.
Configurare le impostazioni del registro di sistema del client per SCP
Usare l'esempio seguente per creare un oggetto Criteri di gruppo per distribuire un'impostazione del Registro di sistema che configura una voce SCP nel Registro di sistema dei dispositivi.
- Aprire una console Gestione Criteri di gruppo e creare un nuovo oggetto Criteri di gruppo nel dominio.
- Specificare un nome per il nuovo GPO (Oggetto Criteri di gruppo) appena creato, ad esempio ClientSideSCP.
- Modificare Criteri di gruppo e individuare il percorso seguente: Configurazione Computer>Preferenze>Impostazioni di Windows>Registro di sistema.
- Fare clic con il pulsante destro del mouse sul Registro di sistema e selezionare Nuovo elemento del Registro di sistema>.
- Nella scheda Generale, configurare quanto segue.
- Azione: Aggiornare.
- Hive: HKEY_LOCAL_MACHINE.
- Percorso chiave: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
- Nome valore: TenantId.
- Tipo di valore: REG_SZ.
- Dati valore: identificatore univoco globale (GUID) o ID tenant del tenant di Microsoft Entra, disponibile in Identity>Overview>Properties>Tenant ID.
- Selezionare OK.
- Nella scheda Generale, configurare quanto segue.
- Fare clic con il pulsante destro del mouse sul Registro di sistema e selezionare Nuovo elemento del Registro di sistema>.
- Nella scheda generale, configurare quanto segue.
- Azione: Aggiornare.
- Hive: HKEY_LOCAL_MACHINE.
- Percorso chiave: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
- Nome valore: TenantName.
- Tipo di valore: REG_SZ.
- Valore dei dati: il nome di dominio verificato se si utilizza un ambiente federato, ad esempio AD FS. Il nome di dominio verificato o il nome di dominio onmicrosoft.com, ad esempio
contoso.onmicrosoft.com
se si utilizza un ambiente gestito.
- Selezionare OK.
- Nella scheda generale, configurare quanto segue.
- Chiudere l'editor per l'oggetto Criteri di gruppo appena creato.
- Collegare l'oggetto Criteri di gruppo (GPO) appena creato all'unità organizzativa corretta contenente computer aggiunti a un dominio che appartengono alla vostra popolazione di rollout controllato.
Configurare le impostazioni di AD FS
Se l'ID Microsoft Entra è federato con AD FS, è innanzitutto necessario configurare l'SCP lato client utilizzando le istruzioni fornite precedentemente, collegando il GPO ai server AD FS. L'oggetto SCP definisce l'origine dell'autorità per gli oggetti di dispositivo. Può essere locale o Microsoft Entra ID. Quando l'SCP sul lato client è configurato per AD FS, l'origine per gli oggetti dispositivo viene stabilita come Microsoft Entra ID.
Nota
Se non è stato possibile configurare SCP sul lato client nei server AD FS, l'origine per le identità dei dispositivi viene considerata locale. AD FS inizierà quindi a eliminare gli oggetti dispositivo dalla directory locale dopo il periodo stabilito definito nell'attributo "MaximumInactiveDays" della registrazione del dispositivo di AD FS. Gli oggetti Registrazione dispositivo AD FS sono disponibili usando il cmdlet Get-AdfsDeviceRegistration.
Perché un dispositivo potrebbe trovarsi in uno stato in sospeso
Quando si configura un 'attività di aggiunta ibrida a Microsoft Entra in Microsoft Entra Connect Sync per i dispositivi locali, l'attività sincronizza gli oggetti dispositivo con l'ID Microsoft Entra e imposta temporaneamente lo stato registrato dei dispositivi su "in sospeso" prima che il dispositivo completi la registrazione del dispositivo. Questo stato in sospeso è dovuto al fatto che il dispositivo deve essere aggiunto alla directory Microsoft Entra prima di poter essere registrato. Per altre informazioni sul processo di registrazione del dispositivo, vedere Funzionamento: Registrazione del dispositivo.
Dopo la convalida
Dopo aver verificato che tutto funzioni come previsto, è possibile registrare automaticamente il resto dei dispositivi Windows con Microsoft Entra ID. Automatizzare l'unione ibrida di Microsoft Entra configurando l'SCP tramite Microsoft Entra Connect.