閱讀英文

共用方式為

Microsoft Entra 混合联接目标部署

  • 發行項
  • 2024/12/27

可使用目标部署验证混合 Microsoft Entra 联接设备的规划和先决条件,然后再在整个组织中启用它。 本文介绍如何完成 Microsoft Entra 混合联接的目标部署。

警告

修改 Active Directory 中的值时请小心。 在已建立的环境中进行更改可能会产生意想不到的后果。

在 Windows 设备上对 Microsoft Entra 混合联接进行目标部署

对于运行 Windows 10 的设备,支持的可以进行混合联接的最低版本为 Windows 10(版本 1607)。 最佳做法是升级到最新版本的 Windows 10 或 11。

若要在 Windows 设备上对 Microsoft Entra 混合联接进行目标部署,需要执行以下操作:

  1. 清除 Windows Server Active Directory 中的服务连接点 (SCP) 条目(如果存在)
  2. 使用组策略对象 (GPO) 在加入域的计算机上为 SCP 配置客户端注册表设置。
  3. 如果使用 Active Directory 联合身份验证服务 (AD FS),则还必须使用 GPO 在 AD FS 服务器上为 SCP 配置客户端注册表设置
  4. 可能还需要在 Microsoft Entra Connect 中自定义同步选项来启用设备同步。

提示

在某些情况下,可以在设备的注册表中本地配置 SCP。 如果设备在注册表中找到了某个值,则它会使用该配置,否则它会查询 SCP 的目录,并尝试混合联接。

清除 Microsoft Windows Server Active Directory 中的 SCP

使用 Active Directory 服务接口编辑器 (ADSI Edit) 来修改 Microsoft Windows Server Active Directory 中的 SCP 对象。

  1. 作为企业管理员从管理工作站或域控制器启动 ADSI Edit 桌面应用程序。
  2. 连接到域的配置命名上下文。
  3. 浏览至 CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration。
  4. 右键单击叶对象“CN=62a0ff2e-97b9-4513-943f-0d221bd30080”并选择“属性”。
    1. 从“属性编辑器”窗口中选择“关键字”,然后选择“编辑”。
    2. 选择 azureADId 和 azureADName 的值(一次一个),然后选择“删除”。
  5. 关闭“ADSI Edit”。

为 SCP 配置客户端注册表设置

使用以下示例创建组策略对象 (GPO) 以部署注册表设置,在设备的注册表中配置 SCP 项。

  1. 打开组策略管理控制台并在域中新建组策略对象。
    1. 为新创建的 GPO 提供一个名称(例如 ClientSideSCP)。
  2. 编辑 GPO 并定位到以下路径:“计算机配置”>“首选项”>“Windows 设置”>“注册表”。
  3. 右键单击“注册表”,然后选择“新建”>“注册表项”。
    1. 在“常规”选项卡上配置以下内容。
      1. 操作:更新。
      2. 配置单元:HKEY_LOCAL_MACHINE。
      3. 密钥路径:SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD。
      4. 值名称:TenantId。
      5. 值类型:REG_SZ。
      6. 值数据:Microsoft Entra 租户的全局唯一标识符 (GUID) 或租户 ID,可在“标识”>“概述”>“属性”>“租户 ID”中找到
    2. 选择“确定”
  4. 右键单击“注册表”,然后选择“新建”>“注册表项”。
    1. 在“常规”选项卡上配置以下内容。
      1. 操作:更新。
      2. 配置单元:HKEY_LOCAL_MACHINE。
      3. 密钥路径:SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD。
      4. 值名称:TenantName。
      5. 值类型:REG_SZ。
      6. 值数据:如果使用联合环境(如 AD FS),则为验证的域名。 如果使用托管环境,则为已验证的域名或 partner.onmschina.cn 域名,例如 contoso.partner.onmschina.cn
    2. 选择“确定” 。
  5. 关闭新建 GPO 的编辑器。
  6. 将新创建的 GPO 与正确的组织单位 (OU) 关联,这些 OU 包含受控推出机群中已加入域的计算机。

配置 AD FS 设置

如果 Microsoft Entra ID 与 AD FS 联合,首先需要按照上述说明将 GPO 链接到 AD FS 服务器来配置客户端 SCP。 SCP 对象定义设备对象的授权源。 它可以是本地的,也可以是 Microsoft Entra ID。 为 AD FS 配置客户端 SCP 时,设备对象的源将建立为 Microsoft Entra ID。

注意

如果未能在 AD FS 服务器上配置客户端 SCP,则设备标识的源将被视为本地。 然后,AD FS 将在 AD FS 设备注册的属性“MaximumInactiveDays”中定义的规定期限后,从本地目录开始删除设备对象。 可以使用 Get-AdfsDeviceRegistration cmdlet 找到 AD FS 设备注册对象。

为什么设备可能处于挂起状态

在 Microsoft Entra Connect Sync 中为本地设备配置“Microsoft Entra 混合联接”任务时,该任务会将设备对象同步到 Microsoft Entra ID,并在设备完成设备注册之前将设备注册状态暂时设置为“挂起”。 这所以出现这种挂起状态,是因为设备必须先添加到 Microsoft Entra 目录中,然后才能注册。 有关设备注册过程的详细信息,请参阅工作流程:设备注册

验证后

验证一切均按预期工作后,可以将剩下的 Windows 设备自动注册到 Microsoft Entra ID。 使用 Microsoft Entra Connect 配置 SCP来自动执行 Microsoft Entra 混合联接。

相关内容