Aracılığıyla paylaş


Microsoft Entra karma birleştirme hedefli dağıtımı

Bir hedef dağıtım kullanarak, tüm kuruluşta etkinleştirmeden önce planlamanızı ve karma Microsoft Entra'ya katılan cihazlar için önkoşulları doğrulayabilirsiniz. Bu makalede, Microsoft Entra karma katılımının hedeflenen dağıtımının nasıl gerçekleştirilmesi açıklanmaktadır.

Dikkat

Active Directory'deki değerleri değiştirirken dikkatli olun. Yerleşik bir ortamda değişiklik yapmak istenmeyen sonuçlara neden olabilir.

Windows cihazlarında Microsoft Entra karma bağlantısının hedefli dağıtımı

Windows 10 çalıştıran cihazlarda, karma birleştirme için desteklenen en düşük sürüm Windows 10 'dur (sürüm 1607). En iyi uygulama olarak, Windows 10 veya 11'in en son sürümüne yükseltin.

Windows cihazlarında Microsoft Entra karma katılımının hedefli dağıtımını yapmak için şunları yapmanız gerekir:

  1. varsa Windows Server Active Directory'den Hizmet Bağlantı Noktası (SCP) girişini temizleyin.
  2. Grup İlkesi Nesnesi (GPO)kullanarak etki alanına katılmış bilgisayarlarınızda SCP için istemci tarafı kayıt defteri ayarını yapılandırın.
  3. Active Directory Federasyon Hizmetleri (AD FS) kullanıyorsanız, GPO kullanarak AD FS sunucunuzda SCP için istemci tarafı kayıt defteri ayarını da yapılandırmanızgerekir.
  4. Cihaz eşitlemesini etkinleştirmek için Microsoft Entra Connect'te eşitleme seçeneklerini özelleştirmeniz gerekebilir.

Bahşiş

SCP, belirli durumlarda cihazın kayıt defterinde yerel olarak yapılandırılabilir. Cihaz, kayıt defterinde bir yapılandırma değeri bulursa bu değeri kullanır, aksi takdirde SCP için dizini sorgular ve hibrit birleştirmeyi dener.

Microsoft Windows Server Active Directory'den SCP'yi temizleyin

Microsoft Windows Server Active Directory'deki SCP nesnelerini değiştirmek için Active Directory Hizmetleri Arabirimleri Düzenleyicisi'ni (ADSI Düzenleme) kullanın.

  1. yönetim iş istasyonundan veya etki alanı denetleyicisinden ADSI Düzenleme masaüstü uygulamasını Kuruluş Yöneticisi olarak başlatın.
  2. Etki alanınızın Yapılandırma Adlandırma Bağlamı'e bağlanın.
  3. CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Cihaz Kayıt Yapılandırmasıgidin.
  4. CN=62a0ff2e-97b9-4513-943f-0d221bd30080 yaprak nesnesine sağ tıklayın ve özelliklerseçeneğini seçin.
    1. Öznitelik Düzenleyicisi penceresinden anahtar sözcükler seçin ve Düzenleöğesini seçin.
    2. azureADId ve azureADName değerlerini teker teker seçin ve Kaldır'ı seçin.
  5. ADSI Düzenleyicisi'i kapatın.

SCP için istemci tarafı kayıt defteri ayarını yapılandırma

Cihazlarınızın kayıt defterinde SCP girişi yapılandıran bir kayıt defteri ayarı dağıtmak üzere bir Grup İlkesi Nesnesi (GPO) oluşturmak için aşağıdaki örneği kullanın.

  1. Bir Grup İlkesi Yönetim konsolu açın ve etki alanınızda yeni bir Grup İlkesi Nesnesi oluşturun.
    1. Yeni oluşturduğunuz GPO'ya bir ad verin (örneğin, ClientSideSCP).
  2. GPO'yu düzenleyin ve şu yolu bulun: Bilgisayar Yapılandırması>Tercihleri>Windows Ayarları>Kayıt Defteri.
  3. Kayıt Defteri'ne sağ tıklayın ve Yeni >Kayıt Defteri Öğesiseçin.
    1. Genel sekmesinde aşağıdakileri yapılandırın.
      1. Eylem: Güncelleştir.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Anahtar Yolu: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Değer adı: TenantId.
      5. Değer türü: REG_SZ.
      6. Değer verileri: Microsoft Entra kiracınızın genel olarak benzersiz tanımlayıcısı (GUID) veya Kiracı Kimliği, Kimlik>Genel Bakış>Özellikleri>Kiracı Kimliğibölümünde bulunabilir.
    2. TAMAMseçin.
  4. Kayıt Defteri'ne sağ tıklayın ve Yeni >Kayıt Defteri Öğesiseçin.
    1. Genel sekmesinde aşağıdakileri yapılandırın.
      1. Eylem: ,'i güncelleştir.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Anahtar Yolu: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Değer adı: TenantName.
      5. Değer türü: REG_SZ.
      6. Değer verileri: Doğrulanmış etki alanı adınız, AD FS gibi federasyon ortamı kullanıyorsanız. Doğrulanmış etki alanı adınız veya onmicrosoft.com etki alanı adınız (örneğin, yönetilen ortamı kullanıyorsanız contoso.onmicrosoft.com).
    2. OKseçin.
  5. Yeni oluşturulan GPO için düzenleyiciyi kapatın.
  6. Yeni oluşturulan GPO'yu, denetimli dağıtım popülasyonunuza ait olan ve etki alanına katılmış bilgisayarları içeren doğru kuruluş birimine (OU) bağlayın.

AD FS ayarlarını yapılandırma

Microsoft Entra Kimliğiniz AD FS ile birleştirilmişse, önce GPO'nuzu AD FS sunucularınıza bağlayarak daha önce bahsedilen yönergeleri kullanarak istemci tarafı SCP'yi yapılandırmanız gerekir. SCP nesnesi, cihaz nesneleri için yetki kaynağını tanımlar. Şirket içi veya Microsoft Entra Id olabilir. İstemci tarafı SCP AD FS için yapılandırıldığında, cihaz nesnelerinin kaynağı Microsoft Entra Id olarak oluşturulur.

Not

AD FS sunucularınızda istemci tarafı SCP'yi yapılandıramadıysanız cihaz kimliklerinin kaynağı şirket içi olarak kabul edilir. AD FS daha sonra AD FS Cihaz Kaydı'nın "MaximumInactiveDays" özniteliğinde tanımlanan süre dolduktan sonra şirket içi dizinden cihaz nesnelerini silmeye başlar. AD FS Cihaz Kaydı nesneleri Get-AdfsDeviceRegistration cmdlet'i kullanılarak bulunabilir.

Bir cihaz neden bekleme durumunda olabilir?

Şirket içi cihazlarınız için Microsoft Entra Connect Sync'te bir Microsoft Entra karma birleştirme görevi yapılandırdığınızda, görev cihaz nesnelerini Microsoft Entra Id ile eşitler ve cihaz kaydı tamamlanmadan önce cihazların kayıtlı durumunu geçici olarak "beklemede" olarak ayarlar. Bu bekleme durumunun nedeni, cihazın kaydedilebilmesi için önce Microsoft Entra dizinine eklenmesi gerekir. Cihaz kayıt işlemi hakkında daha fazla bilgi için bkz. Nasıl çalışır: Cihaz kaydı.

Doğrulama sonrası

Her şeyin beklendiği gibi çalıştığını doğruladıktan sonra Windows cihazlarınızın geri kalanını Microsoft Entra Id ile otomatik olarak kaydedebilirsiniz. Microsoft Entra Connect kullanarak SCP'yi yapılandırarakMicrosoft Entra karma katılımını otomatikleştirin.