Microsoft Entra 混合式聯結目標部署
您可以使用目標部署來驗證混合式Microsoft Entra 加入裝置的 規劃和必要條件,再在整個組織中啟用。 本文說明如何完成Microsoft Entra 混合式聯結的目標部署。
謹慎
修改 Active Directory 中的值時請小心。 在已建立的環境中進行變更可能會產生意外的後果。
Microsoft Entra 混合式聯結在 Windows 裝置上的針對性部署
對於執行 Windows 10 的裝置,支援的最低版本是 Windows 10(版本 1607)以執行混合式聯結。 最佳做法是升級至最新版本的 Windows 10 或 11。
若要在 Windows 裝置上執行 Microsoft Entra 混合式聯結的目標部署,您需要:
- 清除 Windows Server Active Directory 中的服務連接點(SCP)條目(如果存在)。
- 使用組策略物件 (GPO)在已加入網域的計算機上設定 SCP 的用戶端登錄設定。
- 如果您使用 Active Directory 同盟服務 (AD FS),您也必須 使用 GPO在 AD FS 伺服器上設定 SCP 的用戶端登入設定。
- 您可能需要 在 Microsoft Entra Connect 中 自定義同步處理選項,才能啟用裝置同步處理。
提示
在某些情況下,SCP 可能會在裝置註冊表中本機設定。 如果裝置在登錄中找到一個值,它便會使用該組態。否則,裝置會查詢 SCP 的目錄並嘗試進行混合式加入。
從 Microsoft Windows Server Active Directory 清除 SCP
使用 Active Directory Services 介面編輯器 (ADSI Edit) 修改 Microsoft Windows Server Active Directory 中的 SCP 物件。
- 從系統管理工作站或域控制器以企業系統管理員身分啟動 ADSI 編輯 桌面應用程式。
- 連接到您的網域的 組態命名內容。
- 流覽至 CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration。
- 以滑鼠右鍵按兩下分葉物件 CN=62a0ff2e-97b9-4513-943f-0d221bd30080,然後選取 [屬性]。
- 從 [屬性編輯器] 視窗中選取 [關鍵詞],然後選取 [編輯] 。
- 選取 azureADId 的值和 azureADName 的值(每次選取一個),然後選取 [移除]。
- 關閉 ADSI 編輯。
設定 SCP 的用戶端登錄設定
使用下列範例來建立組策略物件 (GPO) 來部署在裝置登錄中設定 SCP 專案的登錄設定。
- 開啟組策略管理主控台,並在網域中建立新的組策略物件。
- 提供您新建立的 GPO 名稱(例如 ClientSideSCP)。
- 編輯 GPO 並找出下列路徑:[電腦設定]>[喜好設定]>Windows 設定>登錄。
- 以滑鼠右鍵按兩下 [登錄],然後選取 [新增>登錄專案]。
- 在 [[一般] 索引卷標上,設定下列專案。
- 動作:更新。
- Hive:HKEY_LOCAL_MACHINE。
- 索引鍵路徑:SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD。
- 數值名稱:TenantId。
- 實值類型:REG_SZ。
- 值數據:Microsoft Entra 租用戶的全域唯一識別碼(GUID)或 租用戶 ID,可以在 [身分識別概觀]>>[屬性]>[租用戶 ID]中找到。
- 選取 [確定]。
- 在 [[一般] 索引卷標上,設定下列專案。
- 以滑鼠右鍵按兩下 [登錄],然後選取 [新增>登錄專案]。
- 在 一般 分頁上,配置以下設定。
- 動作:更新。
- Hive:HKEY_LOCAL_MACHINE。
- 主鍵路徑:SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD。
- 值名稱:TenantName。
- 實值類型:REG_SZ。
- 數值資料:如果您使用像 AD FS 這樣的同盟環境,則需驗證您的 網域名稱。 已驗證的 網域名稱 或您的 onmicrosoft.com 網域名稱,例如
contoso.onmicrosoft.com
,如果您使用受控環境。
- 選取 [確定] 。
- 在 一般 分頁上,配置以下設定。
- 關閉新建立 GPO 的編輯器。
- 將新建立的 GPO 連結到正確的組織單位(OU),其中包含屬於您受控制推出的群組之已加入網域的計算機。
設定 AD FS 參數
如果您的Microsoft Entra ID 與 AD FS 同盟,您必須先使用先前所述的指示,將 GPO 連結到 AD FS 伺服器,以設定用戶端 SCP。 SCP 物件會定義裝置對象的授權來源。 它可以是內部部署或Microsoft Entra ID。 針對AD FS 設定用戶端SCP時,裝置物件的來源會建立為 Microsoft Entra ID。
注意
如果您無法在 AD FS 伺服器上設定用戶端 SCP,裝置身分識別的來源會被視為內部部署。 AD FS 接著會在AD FS裝置註冊屬性 「MaximumInactiveDays」 中定義的規定期間之後,開始從內部部署目錄刪除裝置物件。 您可以使用 Get-AdfsDeviceRegistration Cmdlet找到 AD FS 裝置註冊物件。
裝置可能處於擱置狀態的原因
當您在內部部署裝置的 Microsoft Entra Connect Sync 中設定 Microsoft Entra 混合式聯結 工作時,工作會將裝置物件同步至Microsoft Entra ID,並在裝置完成裝置註冊之前,暫時將裝置的已註冊狀態設定為「擱置」。 此擱置狀態是因為裝置必須先新增至 Microsoft Entra 目錄,才能註冊。 如需裝置註冊程式的詳細資訊,請參閱 運作方式:裝置註冊。
驗證後
確認一切如預期般運作之後,您可以使用 Microsoft Entra ID 自動註冊其餘的 Windows 裝置。 使用 Microsoft Entra Connect設定 SCP,自動化 Microsoft Entra 混合併加入。