Ukierunkowane wdrożenie przyłączania hybrydowego Microsoft Entra

Przed włączeniem w całej organizacji można zweryfikować planowanie oraz wymagania wstępne dotyczące dołączania hybrydowego urządzeń z Microsoft Entra, wykorzystując do tego docelowe wdrożenie. W tym artykule wyjaśniono, jak przeprowadzić ukierunkowane wdrożenie hybrydowego dołączenia w Microsoft Entra.

Ukierunkowane wdrożenie łączności hybrydowej Microsoft Entra na urządzeniach z systemem Windows

W przypadku urządzeń z systemem Windows 10 minimalna obsługiwana wersja to Windows 10 (wersja 1607) do przyłączenia hybrydowego. Najlepszym rozwiązaniem jest uaktualnienie do najnowszej wersji systemu Windows 10 lub 11.

Aby przeprowadzić docelowe wdrożenie hybrydowego dołączania Microsoft Entra na urządzeniach z systemem Windows, wykonaj następujące kroki:

1. Wyczyść wpis punktu połączenia usługi (SCP) w usłudze Active Directory systemu Windows Server, jeśli on istnieje.
2. Skonfiguruj ustawienie rejestru po stronie klienta dla SCP na komputerach przyłączonych do domeny przy użyciu obiektu zasad grupy (GPO).
3. Jeśli używasz usług Active Directory Federation Services (AD FS), należy również skonfigurować ustawienie rejestru po stronie klienta dla punktu połączenia usługi na serwerze usług AD FS przy użyciu obiektu zasad grupy.
4. Może być konieczne dostosowanie opcji synchronizacji w Microsoft Entra Connect, aby umożliwić synchronizację urządzeń.

Czyszczenie punktu połączenia z usługi Microsoft Windows Server Active Directory

Użyj Edytora interfejsów usług Active Directory (ADSI Edit), aby zmodyfikować obiekty SCP w usłudze Active Directory systemu Microsoft Windows Server.

1. Uruchom ADSI Edit aplikację klasyczną ze stacji roboczej administracyjnej lub kontrolera domeny jako Administrator przedsiębiorstwa.
2. Połącz się z kontekstem nazewnictwa konfiguracji w Twojej domenie.
3. Przejdź do CN=Konfiguracja,DC=contoso,DC=com>CN=Usługi>CN=Konfiguracja Rejestracji Urządzeń.
4. Kliknij prawym przyciskiem myszy obiekt liścia CN=62a0ff2e-97b9-4513-943f-0d221bd30080 i wybierz Właściwości.
   1. Wybierz słowa kluczowe z okna edytora atrybutów i wybierz Edytuj.
   2. Wybierz wartości azureADId i azureADName (każdą z osobna), a następnie wybierz Usuń.
5. Zamknij ADSI Edit.

Konfigurowanie ustawienia rejestru po stronie klienta dla SCP

Użyj poniższego przykładu, aby utworzyć obiekt zasad grupy (GPO) do wdrożenia ustawienia rejestru konfigurującego wpis SCP w rejestrze urządzeń.

1. Otwórz konsolę zarządzania zasadami grupy i utwórz nowy obiekt zasad grupy w domenie.
   1. Podaj nazwę nowo utworzonego obiektu zasad grupy (na przykład ClientSideSCP).
2. Edytuj GPO i znajdź następującą ścieżkę: Konfiguracja komputera>Preferencje>Ustawienia systemu Windows>Rejestr.
3. Kliknij prawym przyciskiem myszy rejestr i wybierz pozycję Nowy element rejestru>.
   1. Na karcie Ogólne skonfiguruj następujące ustawienia.
      1. Akcja: Update.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nazwa wartości: TenantId.
      5. Typ wartości: REG_SZ.
      6. Dane wartości: globalnie unikatowy identyfikator (GUID) lub identyfikator dzierżawy dzierżawy firmy Microsoft Entra, który można znaleźć w Identity>Overview>Properties>Tenant ID.
   2. Wybierz pozycję OK.
4. Kliknij prawym przyciskiem myszy rejestr i wybierz pozycję Nowy element rejestru>.
   1. Na karcie Ogólne skonfiguruj następujące ustawienia.
      1. Akcja: Update.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Ścieżka klucza: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nazwa wartości: TenantName.
      5. Typ wartości: REG_SZ.
      6. Dane wartości: zweryfikowana nazwa domeny , jeśli używasz takiego środowiska federacyjnego jak AD FS. Zweryfikowana nazwa domeny lub nazwa domeny onmicrosoft.com, na przykład contoso.onmicrosoft.com, jeśli używasz środowiska zarządzanego.
   2. Wybierz pozycję OK.
5. Zamknij edytor nowo utworzonego obiektu zasad grupy.
6. Połącz nowo utworzony GPO z odpowiednią jednostką organizacyjną, zawierającą komputery przyłączone do domeny, które należą do kontrolowanej grupy wdrożeniowej.

Konfigurowanie ustawień usług AD FS

Jeśli identyfikator Microsoft Entra jest sfederowany z usługami AD FS, najpierw należy skonfigurować SCP po stronie klienta zgodnie z wcześniej podanymi instrukcjami, łącząc obiekt zasad grupy z serwerami usług AD FS. Obiekt SCP definiuje źródło autorytetu dla obiektów urządzeń. Może to być rozwiązanie lokalne lub Microsoft Entra ID. Po skonfigurowaniu SCP po stronie klienta dla usług AD FS źródłem obiektów urządzeń jest Microsoft Entra ID.

Dlaczego urządzenie może znajdować się w stanie oczekiwania

Podczas konfigurowania zadania dołączania hybrydowego Microsoft Entra w programie Microsoft Entra Connect Sync dla urządzeń lokalnych, zadanie synchronizuje obiekty urządzeń z Microsoft Entra ID i tymczasowo ustawia stan zarejestrowania urządzeń na "oczekujące", zanim zakończą one proces rejestracji. Ten stan oczekiwania jest spowodowany tym, że urządzenie musi zostać dodane do katalogu Microsoft Entra, zanim będzie można je zarejestrować. Aby uzyskać więcej informacji na temat procesu rejestracji urządzeń, zobacz Jak to działa: rejestracja urządzenia.

Po weryfikacji

Po sprawdzeniu, czy wszystko działa zgodnie z oczekiwaniami, możesz automatycznie zarejestrować resztę urządzeń z systemem Windows przy użyciu identyfikatora Microsoft Entra. Automatyzowanie dołączania hybrydowego firmy Microsoft Entra przez konfigurowania punktu połączenia przy użyciu programu Microsoft Entra Connect.

Powiązana zawartość

• Planowanie wdrożenia dołączania hybrydowego z Microsoft Entra
• Konfiguracja hybrydowego dołączania Microsoft Entra
• Ręczna konfiguracja hybrydowego dołączania Microsoft Entra