Distribuzione mirata del join ibrido a Microsoft Entra

È possibile convalidare la pianificazione e i prerequisiti per l'aggiunta ibrida di Microsoft Entra ai dispositivi usando una distribuzione mirata prima di abilitarla nell'intera organizzazione. Questo articolo illustra come eseguire una distribuzione mirata del join ibrido di Microsoft Entra.

Distribuzione mirata dell'unione ibrida di Microsoft Entra nei dispositivi Windows

Per i dispositivi che eseguono Windows 10, la versione minima supportata è Windows 10 (versione 1607) per eseguire l'aggiunta ibrida. Come procedura consigliata, eseguire l'aggiornamento alla versione più recente di Windows 10 o 11.

Per eseguire una distribuzione mirata dell'adesione ibrida di Microsoft Entra sui dispositivi Windows, è necessario:

1. Deselezionare la voce SCP (Service Connection Point) da Windows Server Active Directory se esiste.
2. Configurare l'impostazione del Registro di sistema sul lato client per SCP nei computer aggiunti a un dominio usando un oggetto Criteri di gruppo (GPO).
3. Se si usa Active Directory Federation Services (AD FS), è necessario anche configurare l'impostazione del Registro di sistema lato client per SCP nel server AD FS usando un oggetto Criteri di gruppo.
4. Potrebbe essere necessario personalizzare le opzioni di sincronizzazione in Microsoft Entra Connect per abilitare la sincronizzazione dei dispositivi.

Deselezionare SCP da Microsoft Windows Server Active Directory

Utilizzare ADSI Edit per modificare gli oggetti SCP in Microsoft Windows Server Active Directory.

1. Avvia il ADSI Edit applicazione desktop da una workstation amministrativa o un controller di dominio come Amministratore dell'Organizzazione.
2. Connettersi al contesto di denominazione della configurazione del dominio.
3. Accedere a CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration.
4. Fare clic con il pulsante destro del mouse sull'oggetto foglia CN=62a0ff2e-97b9-4513-943f-0d221bd30080 e selezionare Proprietà.
   1. Selezionare parole chiave dalla finestra Editor attributi e selezionare Modifica.
   2. Selezionare i valori di azureADId e azureADName (uno alla volta) e selezionare Rimuovi.
5. Chiudi ADSI Edit.

Configurare le impostazioni del registro di sistema del client per SCP

Usare l'esempio seguente per creare un oggetto Criteri di gruppo per distribuire un'impostazione del Registro di sistema che configura una voce SCP nel Registro di sistema dei dispositivi.

1. Aprire una console Gestione Criteri di gruppo e creare un nuovo oggetto Criteri di gruppo nel dominio.
   1. Specificare un nome per il nuovo GPO (Oggetto Criteri di gruppo) appena creato, ad esempio ClientSideSCP.
2. Modificare Criteri di gruppo e individuare il percorso seguente: Configurazione Computer>Preferenze>Impostazioni di Windows>Registro di sistema.
3. Fare clic con il pulsante destro del mouse sul Registro di sistema e selezionare Nuovo elemento del Registro di sistema>.
   1. Nella scheda Generale, configurare quanto segue.
      1. Azione: Aggiornare.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Percorso chiave: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nome valore: TenantId.
      5. Tipo di valore: REG_SZ.
      6. Dati valore: identificatore univoco globale (GUID) o ID tenant del tenant di Microsoft Entra, disponibile in Identity>Overview>Properties>Tenant ID.
   2. Selezionare OK.
4. Fare clic con il pulsante destro del mouse sul Registro di sistema e selezionare Nuovo elemento del Registro di sistema>.
   1. Nella scheda generale, configurare quanto segue.
      1. Azione: Aggiornare.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Percorso chiave: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nome valore: TenantName.
      5. Tipo di valore: REG_SZ.
      6. Valore dei dati: il nome di dominio verificato se si utilizza un ambiente federato, ad esempio AD FS. Il nome di dominio verificato o il nome di dominio onmicrosoft.com, ad esempio contoso.onmicrosoft.com se si utilizza un ambiente gestito.
   2. Selezionare OK.
5. Chiudere l'editor per l'oggetto Criteri di gruppo appena creato.
6. Collegare l'oggetto Criteri di gruppo (GPO) appena creato all'unità organizzativa corretta contenente computer aggiunti a un dominio che appartengono alla vostra popolazione di rollout controllato.

Configurare le impostazioni di AD FS

Se l'ID Microsoft Entra è federato con AD FS, è innanzitutto necessario configurare l'SCP lato client utilizzando le istruzioni fornite precedentemente, collegando il GPO ai server AD FS. L'oggetto SCP definisce l'origine dell'autorità per gli oggetti di dispositivo. Può essere locale o Microsoft Entra ID. Quando l'SCP sul lato client è configurato per AD FS, l'origine per gli oggetti dispositivo viene stabilita come Microsoft Entra ID.

Perché un dispositivo potrebbe trovarsi in uno stato in sospeso

Quando si configura un 'attività di aggiunta ibrida a Microsoft Entra in Microsoft Entra Connect Sync per i dispositivi locali, l'attività sincronizza gli oggetti dispositivo con l'ID Microsoft Entra e imposta temporaneamente lo stato registrato dei dispositivi su "in sospeso" prima che il dispositivo completi la registrazione del dispositivo. Questo stato in sospeso è dovuto al fatto che il dispositivo deve essere aggiunto alla directory Microsoft Entra prima di poter essere registrato. Per altre informazioni sul processo di registrazione del dispositivo, vedere Funzionamento: Registrazione del dispositivo.

Dopo la convalida

Dopo aver verificato che tutto funzioni come previsto, è possibile registrare automaticamente il resto dei dispositivi Windows con Microsoft Entra ID. Automatizzare l'unione ibrida di Microsoft Entra configurando l'SCP tramite Microsoft Entra Connect.

Contenuto correlato

• Pianificare l'implementazione di Microsoft Entra join ibrido
• Configurare il join ibrido di Microsoft Entra
• Configurare manualmente la registrazione ibrida in Microsoft Entra