Gerichte implementatie voor hybride koppeling bij Microsoft Entra

U kunt uw planning en vereisten voor apparaten die hybride Microsoft Entra gebruiken valideren met behulp van een gerichte implementatie voordat u dit voor de hele organisatie inschakelt. In dit artikel wordt uitgelegd hoe u een gerichte implementatie van Microsoft Entra Hybrid Join kunt uitvoeren.

Gerichte implementatie van de hybride koppeling van Microsoft Entra op Windows-apparaten

Voor apparaten met Windows 10 is de minimaal ondersteunde versie Windows 10 (versie 1607) om hybrid join uit te voeren. Als best practice voert u een upgrade uit naar de nieuwste versie van Windows 10 of 11.

Als u een doelimplementatie wilt uitvoeren van hybride deelname aan Microsoft Entra op Windows-apparaten, moet u het volgende doen:

1. wis de SCP-vermelding (Service Connection Point) uit Windows Server Active Directory als deze bestaat.
2. Registerinstelling aan de clientzijde configureren voor SCP op uw computers die lid zijn van een domein met behulp van een groepsbeleidsobject (GPO).
3. Als u Active Directory Federation Services (AD FS) gebruikt, moet u ook de registerinstelling aan de clientzijde configureren voor SCP op uw AD FS-server met behulp van een groepsbeleidsobject.
4. Mogelijk moet u synchronisatieopties aanpassen in Microsoft Entra Connect om apparaatsynchronisatie in te schakelen.

Het SCP wissen uit Microsoft Windows Server Active Directory

Gebruik de Active Directory Services Interfaces Editor (ADSI Edit) om de SCP-objecten in Microsoft Windows Server Active Directory te wijzigen.

1. Start de ADSI Edit desktoptoepassing vanaf een beheerwerkstation of een domeincontroller als Enterprise Administrator.
2. Maak verbinding met de Configuration Naming Context van uw domein.
3. Blader naar CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration.
4. Klik met de rechtermuisknop op het bladobject CN=62a0ff2e-97b9-4513-943f-0d221bd30080 en selecteer Eigenschappen.
   1. Selecteer trefwoorden in het venster Kenmerkeditor en selecteer Bewerken.
   2. Selecteer de waarden van azureADId en azureADName (een voor één) en selecteer verwijderen.
5. Sluit ADSI Edit.

Registerinstelling aan clientzijde configureren voor SCP

Gebruik het volgende voorbeeld om een groepsbeleidsobject (GPO) te maken om een registerinstelling te implementeren die een SCP-vermelding configureert in het register van uw apparaten.

1. Open een console groepsbeleidsbeheer en maak een nieuw groepsbeleidsobject in uw domein.
   1. Geef uw zojuist gemaakte groepsbeleidsobject een naam op (bijvoorbeeld ClientSideSCP).
2. Bewerk het groepsbeleidsobject en zoek het volgende pad: Computerconfiguratie>Voorkeuren>Windows-instellingen>Register.
3. Klik met de rechtermuisknop op het register en selecteer Nieuw>registeritem.
   1. Configureer het volgende op het tabblad Algemeen.
      1. Actie: bijwerken.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Sleutelpad: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Waardenaam: TenantId.
      5. Waardetype: REG_SZ.
      6. Waardegegevens: de GUID (Globally Unique Identifier) of Tenant-id van uw Microsoft Entra-tenant, die u kunt vinden in Identity>Overview>Properties>Tenant ID.
   2. Selecteer OK-.
4. Klik met de rechtermuisknop op het register en selecteer Nieuw>registeritem.
   1. Configureer het volgende op het tabblad Algemeen.
      1. Actie: bijwerken.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Sleutelpad: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Waardenaam: TenantName.
      5. Waardetype: REG_SZ.
      6. Waardegegevens: uw geverifieerde domeinnaam als u federatieve omgeving zoals AD FS gebruikt. Uw geverifieerde domeinnaam of uw onmicrosoft.com domeinnaam, bijvoorbeeld contoso.onmicrosoft.com als u een beheerde omgeving gebruikt.
   2. Selecteer OK-.
5. Sluit de editor voor het nieuw gemaakte groepsbeleidsobject.
6. Koppel het zojuist gemaakte groepsbeleidsobject aan de juiste organisatie-eenheid (OE) met domeingebonden computers die deel uitmaken van uw gecontroleerde uitrolpopulatie.

AD FS-instellingen configureren

Als uw Microsoft Entra-id is gefedereerd met AD FS, moet u eerst SCP aan de clientzijde configureren met behulp van de eerder genoemde instructies door het groepsbeleidsobject te koppelen aan uw AD FS-servers. Het SCP-object definieert de bron van autoriteit voor apparaatobjecten. Het kan on-premises of Microsoft Entra ID zijn. Wanneer SCP aan de clientzijde is geconfigureerd voor AD FS, wordt de bron voor apparaatobjecten ingesteld als Microsoft Entra-id.

Waarom een apparaat wellicht de status in behandeling heeft

Wanneer u een hybride koppeling van Microsoft Entra configureert taak in de Microsoft Entra Connect Sync voor uw on-premises apparaten, synchroniseert de taak apparaatobjecten met Microsoft Entra ID en stelt de geregistreerde status van de apparaten tijdelijk in op 'in behandeling' voordat het apparaat de apparaatregistratie voltooit. Deze in behandeling zijnde status komt doordat het apparaat moet worden toegevoegd aan de Microsoft Entra-map voordat het kan worden geregistreerd. Zie Hoe het werkt: Apparaatregistratievoor meer informatie over het apparaatregistratieproces.

Na validatie

Nadat u hebt gecontroleerd of alles werkt zoals verwacht, kunt u de rest van uw Windows-apparaten automatisch registreren bij Microsoft Entra-id. Automatiseer hybride deelname van Microsoft Entra door het SCP te configureren met behulp van Microsoft Entra Connect.

Verwante inhoud

• de implementatie van hybride deelname van Microsoft Entra plannen
• Hybride deelname van Microsoft Entra configureren
• Hybride koppeling van Microsoft Entra handmatig configureren