Gerichte implementatie voor hybride koppeling bij Microsoft Entra
U kunt uw planning en vereisten voor apparaten die hybride Microsoft Entra gebruiken valideren met behulp van een gerichte implementatie voordat u dit voor de hele organisatie inschakelt. In dit artikel wordt uitgelegd hoe u een gerichte implementatie van Microsoft Entra Hybrid Join kunt uitvoeren.
Voorzichtigheid
Wees voorzichtig bij het wijzigen van waarden in Active Directory. Het aanbrengen van wijzigingen in een gevestigde omgeving kan onbedoelde gevolgen hebben.
Gerichte implementatie van de hybride koppeling van Microsoft Entra op Windows-apparaten
Voor apparaten met Windows 10 is de minimaal ondersteunde versie Windows 10 (versie 1607) om hybrid join uit te voeren. Als best practice voert u een upgrade uit naar de nieuwste versie van Windows 10 of 11.
Als u een doelimplementatie wilt uitvoeren van hybride deelname aan Microsoft Entra op Windows-apparaten, moet u het volgende doen:
- wis de SCP-vermelding (Service Connection Point) uit Windows Server Active Directory als deze bestaat.
- Registerinstelling aan de clientzijde configureren voor SCP op uw computers die lid zijn van een domein met behulp van een groepsbeleidsobject (GPO).
- Als u Active Directory Federation Services (AD FS) gebruikt, moet u ook de registerinstelling aan de clientzijde configureren voor SCP op uw AD FS-server met behulp van een groepsbeleidsobject.
- Mogelijk moet u synchronisatieopties aanpassen in Microsoft Entra Connect om apparaatsynchronisatie in te schakelen.
Tip
Het SCP kan in bepaalde situaties lokaal worden geconfigureerd in het register van het apparaat. Als het apparaat een waarde vindt in het register, wordt die configuratie gebruikt, anders wordt er een query uitgevoerd op de map voor het SCP en wordt geprobeerd hybride join te maken.
Het SCP wissen uit Microsoft Windows Server Active Directory
Gebruik de Active Directory Services Interfaces Editor (ADSI Edit) om de SCP-objecten in Microsoft Windows Server Active Directory te wijzigen.
- Start de ADSI Edit desktoptoepassing vanaf een beheerwerkstation of een domeincontroller als Enterprise Administrator.
- Maak verbinding met de Configuration Naming Context van uw domein.
- Blader naar CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration.
- Klik met de rechtermuisknop op het bladobject CN=62a0ff2e-97b9-4513-943f-0d221bd30080 en selecteer Eigenschappen.
- Selecteer trefwoorden in het venster Kenmerkeditor en selecteer Bewerken.
- Selecteer de waarden van azureADId en azureADName (een voor één) en selecteer verwijderen.
- Sluit ADSI Edit.
Registerinstelling aan clientzijde configureren voor SCP
Gebruik het volgende voorbeeld om een groepsbeleidsobject (GPO) te maken om een registerinstelling te implementeren die een SCP-vermelding configureert in het register van uw apparaten.
- Open een console groepsbeleidsbeheer en maak een nieuw groepsbeleidsobject in uw domein.
- Geef uw zojuist gemaakte groepsbeleidsobject een naam op (bijvoorbeeld ClientSideSCP).
- Bewerk het groepsbeleidsobject en zoek het volgende pad: Computerconfiguratie>Voorkeuren>Windows-instellingen>Register.
- Klik met de rechtermuisknop op het register en selecteer Nieuw>registeritem.
- Configureer het volgende op het tabblad Algemeen.
- Actie: bijwerken.
- Hive: HKEY_LOCAL_MACHINE.
- Sleutelpad: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
- Waardenaam: TenantId.
- Waardetype: REG_SZ.
- Waardegegevens: de GUID (Globally Unique Identifier) of Tenant-id van uw Microsoft Entra-tenant, die u kunt vinden in Identity>Overview>Properties>Tenant ID.
- Selecteer OK-.
- Configureer het volgende op het tabblad Algemeen.
- Klik met de rechtermuisknop op het register en selecteer Nieuw>registeritem.
- Configureer het volgende op het tabblad Algemeen.
- Actie: bijwerken.
- Hive: HKEY_LOCAL_MACHINE.
- Sleutelpad: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
- Waardenaam: TenantName.
- Waardetype: REG_SZ.
- Waardegegevens: uw geverifieerde domeinnaam als u federatieve omgeving zoals AD FS gebruikt. Uw geverifieerde domeinnaam of uw onmicrosoft.com domeinnaam, bijvoorbeeld
contoso.onmicrosoft.com
als u een beheerde omgeving gebruikt.
- Selecteer OK-.
- Configureer het volgende op het tabblad Algemeen.
- Sluit de editor voor het nieuw gemaakte groepsbeleidsobject.
- Koppel het zojuist gemaakte groepsbeleidsobject aan de juiste organisatie-eenheid (OE) met domeingebonden computers die deel uitmaken van uw gecontroleerde uitrolpopulatie.
AD FS-instellingen configureren
Als uw Microsoft Entra-id is gefedereerd met AD FS, moet u eerst SCP aan de clientzijde configureren met behulp van de eerder genoemde instructies door het groepsbeleidsobject te koppelen aan uw AD FS-servers. Het SCP-object definieert de bron van autoriteit voor apparaatobjecten. Het kan on-premises of Microsoft Entra ID zijn. Wanneer SCP aan de clientzijde is geconfigureerd voor AD FS, wordt de bron voor apparaatobjecten ingesteld als Microsoft Entra-id.
Notitie
Als u SCP aan clientzijde niet op uw AD FS-servers hebt geconfigureerd, wordt de bron voor apparaatidentiteiten beschouwd als on-premises. AD FS begint vervolgens met het verwijderen van apparaatobjecten uit de on-premises map na de vastgestelde periode die is gedefinieerd in het kenmerk "MaximumInactiveDays" van AD FS. AD FS-apparaatregistratieobjecten zijn te vinden met behulp van de Get-AdfsDeviceRegistration cmdlet.
Waarom een apparaat wellicht de status in behandeling heeft
Wanneer u een hybride koppeling van Microsoft Entra configureert taak in de Microsoft Entra Connect Sync voor uw on-premises apparaten, synchroniseert de taak apparaatobjecten met Microsoft Entra ID en stelt de geregistreerde status van de apparaten tijdelijk in op 'in behandeling' voordat het apparaat de apparaatregistratie voltooit. Deze in behandeling zijnde status komt doordat het apparaat moet worden toegevoegd aan de Microsoft Entra-map voordat het kan worden geregistreerd. Zie Hoe het werkt: Apparaatregistratievoor meer informatie over het apparaatregistratieproces.
Na validatie
Nadat u hebt gecontroleerd of alles werkt zoals verwacht, kunt u de rest van uw Windows-apparaten automatisch registreren bij Microsoft Entra-id. Automatiseer hybride deelname van Microsoft Entra door het SCP te configureren met behulp van Microsoft Entra Connect.