Microsoft Entra distribuzione di destinazione dell'aggiunta ibrida
È possibile convalidare la pianificazione e i prerequisiti per l'aggiunta di dispositivi ibridi Microsoft Entra usando una distribuzione di destinazione prima di abilitarla nell'intera organizzazione. Questo articolo illustra come eseguire una distribuzione mirata di Microsoft Entra join ibrido.
Distribuzione mirata di Microsoft Entra join ibrido nei dispositivi windows correnti
Per i dispositivi che eseguono Windows 10, la versione minima supportata è Windows 10 (versione 1607) per eseguire l'aggiunta ibrida. Come procedura consigliata, eseguire l'aggiornamento alla versione più recente di Windows 10 o 11. Se è necessario supportare i sistemi operativi precedenti, vedere la sezione Supporto dei dispositivi di livello inferiore
Per eseguire una distribuzione mirata di Microsoft Entra join ibrido nei dispositivi windows correnti, è necessario:
- Deselezionare la voce Punto di connessione del servizio (SCP) da Active Directory (AD) se esistente.
- Configurare l'impostazione del Registro di sistema lato client per SCP nei computer aggiunti a un dominio usando un oggetto Criteri di gruppo.
- Se si usa Active Directory Federation Services (AD FS), è necessario configurare anche l'impostazione del Registro di sistema lato client per SCP nel server AD FS usando un oggetto Criteri di gruppo.
- Potrebbe anche essere necessario personalizzare le opzioni di sincronizzazione in Microsoft Entra Connetti per abilitare la sincronizzazione dei dispositivi.
Cancellare SCP da AD
Utilizzare l'Editor interfacce di Active Directory Services (modifica ADSI) per modificare gli oggetti SCP in AD.
- Avviare l'applicazione desktop ADSI Edit da e workstation amministrativa o un controller di dominio come amministratore dell'organizzazione.
- Connettersi al contesto di denominazione della configurazione del dominio.
- Passare a CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration.
- Fare clic con il pulsante destro del mouse sull'oggetto foglia CN=62a0ff2e-97b9-4513-943f-0d221bd30080 e scegliere Proprietà.
- Selezionare le parole chiave nella finestra Editor attributi e selezionare Modifica.
- Selezionare i valori di azureADId e azureADName (uno alla volta) e selezionare Rimuovi.
- Chiudere modifica ADSI.
Configurare l'impostazione del Registro di sistema lato client per il punto di connessione del servizio
Usare l'esempio seguente per creare un oggetto Criteri di gruppo Per distribuire un'impostazione del Registro di sistema che configura una voce SCP nel Registro di sistema dei dispositivi.
- Aprire una console Gestione Criteri di gruppo e creare un nuovo oggetto Criteri di gruppo nel dominio.
- Specificare un nome per l'oggetto Criteri di gruppo appena creato, ad esempio ClientSideSCP.
- Modificare l'oggetto Criteri di gruppo e individuare il percorso seguente:Preferenze>di configurazione> computerRegistrodi sistema impostazioni di> Windows.
- Fare clic con il pulsante destro del mouse sul Registro di sistema e scegliere Nuovo>elemento del Registro di sistema.
- Nella scheda Generale configurare quanto segue.
- Azione: aggiornamento.
- Hive: HKEY_LOCAL_MACHINE.
- Percorso chiave: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
- Nome valore: TenantId.
- Tipo valore: REG_SZ.
- Dati sui valori: GUID o ID tenant del tenant Microsoft Entra, disponibile in Identity OverviewProperties>Tenant ID (ID tenant dellapanoramica> delle identità>).
- Selezionare OK.
- Nella scheda Generale configurare quanto segue.
- Fare clic con il pulsante destro del mouse sul Registro di sistema e scegliere Nuovo>elemento del Registro di sistema.
- Nella scheda Generale configurare quanto segue.
- Azione: aggiornamento.
- Hive: HKEY_LOCAL_MACHINE.
- Percorso chiave: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
- Nome valore: TenantName.
- Tipo valore: REG_SZ.
- Dati valore: nome di dominio verificato se si usa un ambiente federato, ad esempio AD FS. Il nome di dominio verificato o il nome di dominio onmicrosoft.com, ad esempio
contoso.onmicrosoft.com
se si usa l'ambiente gestito.
- Selezionare OK.
- Nella scheda Generale configurare quanto segue.
- Chiudere l'editor per l'oggetto Criteri di gruppo appena creato.
- Collegare l'oggetto Criteri di gruppo appena creato all'unità organizzativa corretta contenente computer aggiunti a un dominio appartenenti al popolamento controllato dell'implementazione.
Configurare le impostazioni di AD FS
Se l'ID Microsoft Entra è federato con AD FS, è prima necessario configurare SCP sul lato client usando le istruzioni indicate in precedenza collegando l'oggetto Criteri di gruppo ai server AD FS. L'oggetto SCP definisce l'origine dell'autorità per gli oggetti dispositivo. Può essere locale o Microsoft Entra ID. Quando SCP lato client è configurato per AD FS, l'origine per gli oggetti dispositivo viene stabilita come ID Microsoft Entra.
Nota
Se non è stato possibile configurare SCP sul lato client nei server AD FS, l'origine per le identità dei dispositivi verrà considerata locale. AD FS avvierà quindi l'eliminazione di oggetti dispositivo dalla directory locale dopo il periodo stabilito definito nell'attributo "MaximumInactiveDays" di REGISTRAZIONE dispositivo di AD FS. Gli oggetti Registrazione dispositivi di AD FS sono disponibili usando il cmdlet Get-AdfsDeviceRegistration.
Supporto di dispositivi di livello inferiore
Per registrare i dispositivi Windows di livello inferiore, le organizzazioni devono installare Microsoft Workplace Join per computer non Windows 10, disponibile nell'Area download Microsoft.
È possibile distribuire il pacchetto usando un sistema di distribuzione software come Microsoft Configuration Manager. Il pacchetto supporta le opzioni standard di installazione invisibile all'utente con il parametro quiet. Configuration Manager Current Branch offre vantaggi aggiuntivi rispetto alle versioni precedenti, come la possibilità di tenere traccia delle registrazioni completate.
Il programma di installazione crea nel sistema un'attività pianificata che viene eseguita nel contesto utente. e attivata nel momento in cui l'utente accede a Windows. L'attività aggiunge automaticamente il dispositivo con Microsoft Entra ID con le credenziali utente dopo l'autenticazione con Microsoft Entra ID.
Per controllare la registrazione del dispositivo, è necessario distribuire il pacchetto Windows Installer nel gruppo selezionato di dispositivi Windows di livello inferiore.
Nota
Se un SCP non è configurato in Active Directory, è necessario seguire lo stesso approccio descritto in Configurare l'impostazione del Registro di sistema lato client per SCP) nei computer aggiunti a un dominio usando un oggetto Criteri di gruppo .
Perché un dispositivo potrebbe trovarsi in uno stato in sospeso
Quando si configura un'attività di aggiunta ibrida Microsoft Entra nel Microsoft Entra Connect Sync per i dispositivi locali, l'attività sincronizza gli oggetti dispositivo con Microsoft Entra ID e imposta temporaneamente lo stato registrato dei dispositivi su "in sospeso" prima che il dispositivo completi la registrazione del dispositivo. Questo stato in sospeso è dovuto al fatto che il dispositivo deve essere aggiunto alla directory Microsoft Entra prima di poter essere registrato. Per altre informazioni sul processo di registrazione del dispositivo, vedere Funzionamento: Registrazione del dispositivo.
Dopo la convalida
Dopo aver verificato che tutto funzioni come previsto, è possibile registrare automaticamente il resto dei dispositivi Windows correnti e di livello inferiore con Microsoft Entra ID. Automatizzare Microsoft Entra join ibrido configurando SCP usando Microsoft Entra Connect.