Riktad distribution av Microsoft Entra-hybridanslutning
Du kan verifiera din planering och dina förutsättningar för enheter som ansluter till Microsoft Entra hybridmiljö genom att använda en målinriktad utrullning innan du aktiverar funktionen i hela organisationen. Den här artikeln beskriver hur du utför en riktad distribution av Microsoft Entra-hybridanslutning.
Försiktighet
Var försiktig när du ändrar värden i Active Directory. Att göra ändringar i en etablerad miljö kan få oavsiktliga konsekvenser.
Målinriktad utrullning av Microsoft Entra-hybridanslutning på Windows-enheter
För enheter som kör Windows 10 är den lägsta versionen som stöds Windows 10 (version 1607) för hybridanslutning. Vi rekommenderar att du uppgraderar till den senaste versionen av Windows 10 eller 11.
Om du vill göra en riktad distribution av Microsoft Entra-hybridanslutningar på Windows-enheter måste du:
- Rensa posten tjänstanslutningspunkt (SCP) från Windows Server Active Directory om den finns.
- Konfigurera registerinställningen på klientsidan för SCP på dina domänanslutna datorer med hjälp av ett grupprincipobjekt (GPO).
- Om du använder Active Directory Federation Services (AD FS) måste du också konfigurera registerinställningen på klientsidan för SCP på AD FS-servern med hjälp av ett grupprincipobjekt.
- Du kan behöva anpassa synkroniseringsalternativ i Microsoft Entra Connect för att aktivera enhetssynkronisering.
Tips
SCP kan konfigureras lokalt i enhetens register i vissa situationer. Om enheten hittar ett värde i registret använder den den konfigurationen; annars frågar den katalogen efter SCP och försöker göra en hybridanslutning.
Rensa SCP från Microsoft Windows Server Active Directory
Använd Active Directory Services Interfaces Editor (ADSI Edit) för att ändra SCP-objekten i Microsoft Windows Server Active Directory.
- Starta ADSI Redigera skrivbordsprogram från en administrativ arbetsstation eller en domänkontrollant som Enterprise-administratör.
- Anslut till -konfigurationens namngivningskontext för din domän.
- Bläddra till CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration.
- Högerklicka på lövobjektet CN=62a0ff2e-97b9-4513-943f-0d221bd30080 och välj Egenskaper.
- Välj nyckelord i fönstret Attributredigeraren och välj Redigera.
- Välj värdena för azureADId och azureADName (en i taget) och välj Ta bort.
- Stäng ADSI Redigera.
Konfigurera registerinställning på klientsidan för SCP
Använd följande exempel för att skapa ett grupprincipobjekt (GPO) för att distribuera en registerinställning som konfigurerar en SCP-post i registret på dina enheter.
- Öppna en konsol för grupprinciphantering och skapa ett nytt grupprincipobjekt i domänen.
- Ange ett namn för ditt nyligen skapade grupprincipobjekt (till exempel ClientSideSCP).
- Redigera gruppolicyobjektet och leta upp följande sökväg: Datorkonfiguration>Inställningar>Windowsinställningar>Register.
- Högerklicka på registret och välj Nytt>registerobjekt.
- Konfigurera följande på fliken Allmänt.
- Åtgärd: Uppdatera .
- Hive: HKEY_LOCAL_MACHINE.
- Nyckelsökväg: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
- Värdenamn: hyresgästs-ID.
- Värdetyp: REG_SZ.
- Värdedata: Den globalt unika identifieraren (GUID) eller klient-ID för din Microsoft Entra-klientorganisation, som finns i Identity>Overview>Properties>Tenant ID.
- Välj OK.
- Konfigurera följande på fliken Allmänt.
- Högerklicka på registret och välj Nytt>registerobjekt.
- Konfigurera följande på fliken Allmänt.
- Åtgärd: Uppdatera.
- Hive: HKEY_LOCAL_MACHINE.
- Nyckelsökväg: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
- Värdenamn: TenantName.
- Värdetyp: REG_SZ.
- Värdedata: Ditt verifierade domännamn om du använder federerad miljö, till exempel AD FS. Ditt verifierade domännamn eller ditt onmicrosoft.com domännamn, till exempel
contoso.onmicrosoft.com
om du använder en hanterad miljö.
- Välj OK.
- Konfigurera följande på fliken Allmänt.
- Stäng redigeraren för det nyligen skapade grupppolicyobjektet.
- Länka det nyligen skapade gruppolicyobjektet till rätt organisationsenhet (OU) som innehåller datorer anslutna till domänen som tillhör din kontrollerade distributionspopulation.
Konfigurera AD FS-inställningar
Om ditt Microsoft Entra ID är federerat med AD FS måste du först konfigurera klient-SCP:n enligt de instruktioner som nämndes tidigare genom att länka GPO:t till dina AD FS-servrar. SCP-objektet definierar auktoritetskällan för enhetsobjekt. Det kan vara lokalt eller Microsoft Entra-ID. När SCP på klientsidan har konfigurerats för AD FS upprättas källan för enhetsobjekt som Microsoft Entra-ID.
Notera
Om du inte kunde konfigurera SCP på klientsidan på dina AD FS-servrar betraktas källan för enhetsidentiteter som lokal. AD FS börjar sedan ta bort enhetsobjekt från den lokala katalogen efter den angivna perioden som definierats i AD FS-enhetsregistreringens attribut "MaximumInactiveDays". AD FS-enhetsregistreringsobjekt finns med hjälp av cmdleten Get-AdfsDeviceRegistration.
Varför en enhet kan vara i ett väntande tillstånd
När du konfigurerar en Microsoft Entra-hybridanslutningsuppgift i Microsoft Entra Connect Sync för dina lokala enheter, synkroniserar uppgiften enhetsobjekt till Microsoft Entra-ID och ställer tillfälligt in det registrerade tillståndet för enheterna till "väntande" innan enheten slutför enhetsregistreringen. Det här väntande tillståndet beror på att enheten måste läggas till i Microsoft Entra-katalogen innan den kan registreras. Mer information om registreringsprocessen för enheter finns i Så här fungerar det: Enhetsregistrering.
Efter validering
När du har kontrollerat att allt fungerar som förväntat kan du automatiskt registrera resten av dina Windows-enheter med Microsoft Entra-ID. Automatisera Microsoft Entra-hybridanslutningen genom att konfigurera SCP med hjälp av Microsoft Entra Connect.