Microsoft Entra 混合联接目标部署

  • 项目

可使用目标部署验证混合 Microsoft Entra 联接设备的规划和先决条件,然后再在整个组织中启用它。 本文介绍如何完成 Microsoft Entra 混合联接的目标部署。

注意

修改 Active Directory 中的值时请小心。 在已建立的环境中进行更改可能会产生意想不到的后果。

在 Windows 当前设备上对 Microsoft Entra 混合联接进行目标部署

对于运行 Windows 10 的设备,支持的可以进行混合联接的最低版本为 Windows 10(版本 1607)。 最佳做法是升级到最新版本的 Windows 10 或 11。 如果需要支持以前的操作系统,请参阅支持下层设备部分。

若要在 Windows 当前设备上对 Microsoft Entra 混合联接进行目标部署,需要执行以下操作:

  1. 将服务连接点 (SCP) 项从 Active Directory (AD) 中清除(如果存在)。
  2. 使用组策略对象 (GPO) 在加入域的计算机上为 SCP 配置客户端注册表设置。
  3. 如果使用 Active Directory 联合身份验证服务 (AD FS),则还必须使用 GPO 在 AD FS 服务器上为 SCP 配置客户端注册表设置
  4. 可能还需要在 Microsoft Entra Connect 中自定义同步选项来启用设备同步。

提示

在某些情况下,可以在设备的注册表中本地配置 SCP。 如果设备在注册表中找到了某个值,则它会使用该配置,否则它会查询 SCP 的目录,并尝试混合联接。

清除 AD 中的 SCP

使用 Active Directory 服务接口编辑器 (ADSI Edit) 来修改 AD 中的 SCP 对象。

  1. 作为企业管理员从管理工作站或域控制器启动 ADSI Edit 桌面应用程序。
  2. 连接到域的配置命名上下文。
  3. 浏览至 CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration。
  4. 右键单击叶对象“CN=62a0ff2e-97b9-4513-943f-0d221bd30080”并选择“属性”。
    1. 从“属性编辑器”窗口中选择“关键字”,然后选择“编辑”。
    2. 选择 azureADId 和 azureADName 的值(一次一个),然后选择“删除”。
  5. 关闭“ADSI Edit”。

为 SCP 配置客户端注册表设置

使用以下示例创建组策略对象 (GPO) 以部署注册表设置,在设备的注册表中配置 SCP 项。

  1. 打开组策略管理控制台并在域中新建组策略对象。
    1. 为新创建的 GPO 提供一个名称(例如 ClientSideSCP)。
  2. 编辑 GPO 并定位到以下路径:“计算机配置”>“首选项”>“Windows 设置”>“注册表”。
  3. 右键单击“注册表”,然后选择“新建”>“注册表项”。
    1. 在“常规”选项卡上配置以下内容。
      1. 操作:更新。
      2. 配置单元:HKEY_LOCAL_MACHINE。
      3. 密钥路径:SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD。
      4. 值名称:TenantId。
      5. 值类型:REG_SZ。
      6. 值数据:您的 Microsoft Entra 租户的 GUID 或租户 ID,可以在“标识”>“概述”>“属性”>“租户 ID”中找到它。
    2. 选择“确定”
  4. 右键单击“注册表”,然后选择“新建”>“注册表项”。
    1. 在“常规”选项卡上配置以下内容。
      1. 操作:更新。
      2. 配置单元:HKEY_LOCAL_MACHINE。
      3. 密钥路径:SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD。
      4. 值名称:TenantName。
      5. 值类型:REG_SZ。
      6. 值数据:如果使用联合环境(如 AD FS),则为验证的域名。 如果使用托管环境,则为已验证的域名或 partner.onmschina.cn 域名,例如 contoso.partner.onmschina.cn
    2. 选择“确定” 。
  5. 关闭新建 GPO 的编辑器。
  6. 将新创建的 GPO 链接到正确 OU,其中包含属于受控推出群体的已加入域的计算机。

配置 AD FS 设置

如果 Microsoft Entra ID 与 AD FS 联合,首先需要按照上述说明将 GPO 链接到 AD FS 服务器来配置客户端 SCP。 SCP 对象定义设备对象的授权源。 它可以是本地的,也可以是 Microsoft Entra ID。 为 AD FS 配置客户端 SCP 时,设备对象的源将建立为 Microsoft Entra ID。

注意

如果未能在 AD FS 服务器上配置客户端 SCP,则设备标识的源将被视为本地。 然后,AD FS 将在 AD FS 设备注册的属性“MaximumInactiveDays”中定义的规定期限后,从本地目录开始删除设备对象。 可以使用 Get-AdfsDeviceRegistration cmdlet 找到 AD FS 设备注册对象。

支持下层设备

若要注册 Windows 下层设备,组织必须安装 Microsoft 下载中心提供的适用于 Windows 10 计算机的 Microsoft 工作区加入

可以使用 Microsoft Configuration Manager 等软件分发系统部署该包。 此包支持使用标准无提示安装选项(包含 quiet 参数)。 Configuration Manager 的 Current Branch 提供优于早期版本的优势,例如可以跟踪已完成的注册。

安装程序会在系统上创建一项计划任务,该任务会在用户的上下文中运行。 当用户登录到 Windows 时触发该任务。 使用 Microsoft Entra ID 进行身份验证后,任务以无提示的方式将具有 Microsoft Entra ID 的设备与用户凭据进行联接。

若要控制设备注册,应对所选的 Windows 下层设备组部署 Windows Installer 包。

注意

如果 AD 中未配置 SCP,则应在已加入域的计算机上使用组策略对象 (GPO),并遵循为 SCP 配置客户端注册表设置所述的相同方法。

为什么设备可能处于挂起状态

在 Microsoft Entra Connect Sync 中为本地设备配置“Microsoft Entra 混合联接”任务时,该任务会将设备对象同步到 Microsoft Entra ID,并在设备完成设备注册之前将设备注册状态暂时设置为“挂起”。 这所以出现这种挂起状态,是因为设备必须先添加到 Microsoft Entra 目录中,然后才能注册。 有关设备注册过程的详细信息,请参阅工作流程:设备注册

验证后

验证一切均按预期工作后,可以将剩下的 Windows 当前设备和下级设备自动注册到 Microsoft Entra ID。 使用 Microsoft Entra Connect 配置 SCP来自动执行 Microsoft Entra 混合联接。

相关内容