Microsoft Entra karma birleştirme hedefli dağıtımı

Tüm kuruluş genelinde etkinleştirmeden önce, hedeflenen bir dağıtımı kullanarak karma Microsoft Entra'nın cihazları birleştirmesi için planlamanızı ve önkoşullarınızı doğrulayabilirsiniz. Bu makalede, Microsoft Entra karma katılımının hedeflenen dağıtımının nasıl gerçekleştirilmesi açıklanmaktadır.

Dikkat

Active Directory'deki değerleri değiştirirken dikkatli olun. Yerleşik bir ortamda değişiklik yapmak istenmeyen sonuçlara neden olabilir.

Microsoft Entra karma katılımının Windows geçerli cihazlarda hedefli dağıtımı

Windows 10 çalıştıran cihazlarda, karma birleştirme için desteklenen en düşük sürüm Windows 10 'dur (sürüm 1607). En iyi uygulama olarak, Windows 10 veya 11'in en son sürümüne yükseltin. Önceki işletim sistemlerini desteklemeniz gerekiyorsa, Alt düzey cihazları destekleme bölümüne bakın.

Windows'un geçerli cihazlarında Microsoft Entra karma katılımının hedefli dağıtımını yapmak için şunları yapmanız gerekir:

  1. Varsa, Windows Server Active Directory'den Service Bağlan ion Point (SCP) girdisini temizleyin.
  2. Grup İlkesi Nesnesi (GPO) kullanarak etki alanına katılmış bilgisayarlarınızda SCP için istemci tarafı kayıt defteri ayarını yapılandırın.
  3. Active Directory Federasyon Hizmetleri (AD FS) (AD FS) kullanıyorsanız, GPO kullanarak AD FS sunucunuzda SCP için istemci tarafı kayıt defteri ayarını da yapılandırmanız gerekir.
  4. Cihaz eşitlemesini etkinleştirmek için Microsoft Entra Bağlan eşitleme seçeneklerini özelleştirmeniz gerekebilir.

İpucu

SCP, belirli durumlarda cihazın kayıt defterinde yerel olarak yapılandırılabilir. Cihaz kayıt defterinde bu yapılandırmayı kullandığı bir değer bulursa, aksi takdirde SCP dizinini sorgular ve karma birleştirmeyi dener.

Microsoft Windows Server Active Directory'den SCP'yi temizleyin

Microsoft Windows Server Active Directory'deki SCP nesnelerini değiştirmek için Active Directory Hizmetleri Arabirimleri Düzenleyicisi'ni (ADSI Düzenleme) kullanın.

  1. ADSI Düzenleme masaüstü uygulamasını ve yönetim iş istasyonundan veya etki alanı denetleyicisini Kurumsal Yönetici istrator olarak başlatın.
  2. BağlanEtki alanınızın Yapılandırma Adlandırma Bağlamı.
  3. CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration konumuna gidin.
  4. CN=62a0ff2e-97b9-4513-943f-0d221bd30080 yaprak nesnesine sağ tıklayın ve Özellikler'i seçin.
    1. Öznitelik Düzenleyicisi penceresinde anahtar sözcükleri seçin ve Düzenle'yi seçin.
    2. azureADId ve azureADName değerlerini (birer birer) seçin ve Kaldır'ı seçin.
  5. ADSI Düzenleme'yi kapatın.

SCP için istemci tarafı kayıt defteri ayarını yapılandırma

Cihazlarınızın kayıt defterinde SCP girişi yapılandıran bir kayıt defteri ayarı dağıtmak üzere bir Grup İlkesi Nesnesi (GPO) oluşturmak için aşağıdaki örneği kullanın.

  1. Bir Grup İlkesi Yönetim konsolu açın ve etki alanınızda yeni bir Grup İlkesi Nesnesi oluşturun.
    1. Yeni oluşturulan GPO’nuza bir ad sağlayın (örneğin, ClientSideSCP).
  2. GPO'yu düzenleyin ve şu yolu bulun: Bilgisayar Yapılandırma>Tercihleri>Windows Ayarlar> Registry.
  3. Kayıt Defteri'ne sağ tıklayın ve Yeni>Kayıt Defteri Öğesi'ni seçin.
    1. Genel sekmesinde aşağıdakileri yapılandırın.
      1. Eylem: Güncelleştir'i seçin.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Anahtar Yolu: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Değer adı: TenantId.
      5. Değer türü: REG_SZ.
      6. Değer verileri: Microsoft Entra kiracınızın genel benzersiz tanımlayıcısı (GUID) veya Kiracı Kimliği. Bu kimlik, Kimlik>Genel Bakış>Özellikleri>Kiracı Kimliği bölümünde bulunabilir.
    2. Tamam'ı seçin.
  4. Kayıt Defteri'ne sağ tıklayın ve Yeni>Kayıt Defteri Öğesi'ni seçin.
    1. Genel sekmesinde aşağıdakileri yapılandırın.
      1. Eylem: Güncelleştir'i seçin.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Anahtar Yolu: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Değer adı: TenantName.
      5. Değer türü: REG_SZ.
      6. Değer verileri: AD FS gibi federasyon ortamı kullanıyorsanız doğrulanmış etki alanı adınız . Doğrulanmış etki alanı adınız veya onmicrosoft.com etki alanı adınız (örneğin contoso.onmicrosoft.com yönetilen ortam kullanıyorsanız).
    2. Tamam’ı seçin.
  5. Yeni oluşturulan GPO için düzenleyiciyi kapatın.
  6. Yeni oluşturulan GPO'sunu, denetimli dağıtım popülasyonunuza ait etki alanına katılmış bilgisayarları içeren doğru kuruluş birimine (OU) bağlayın.

AD FS ayarlarını yapılandırma

Microsoft Entra Kimliğiniz AD FS ile birleştirilmişse, önce GPO'nuzu AD FS sunucularınıza bağlayarak daha önce bahsedilen yönergeleri kullanarak istemci tarafı SCP'yi yapılandırmanız gerekir. SCP nesnesi, cihaz nesneleri için yetki kaynağını tanımlar. Şirket içi veya Microsoft Entra Id olabilir. İstemci tarafı SCP AD FS için yapılandırıldığında, cihaz nesnelerinin kaynağı Microsoft Entra Id olarak oluşturulur.

Not

AD FS sunucularınızda istemci tarafı SCP'yi yapılandıramadıysanız cihaz kimliklerinin kaynağı şirket içi olarak kabul edilir. AD FS daha sonra AD FS Cihaz Kaydı'nın "MaximumInactiveDays" özniteliğinde tanımlanan süre dolduktan sonra şirket içi dizinden cihaz nesnelerini silmeye başlar. AD FS Cihaz Kaydı nesneleri Get-AdfsDeviceRegistration cmdlet'i kullanılarak bulunabilir.

Alt düzey cihazları destekleme

Windows alt düzey cihazlarını kaydetmek için kuruluşların Microsoft İndirme Merkezi'nden edinilebilen Windows 10 dışı bilgisayarlar için Microsoft Workplace Join yüklemesi gerekir.

Paketi, Microsoft Configuration Manager gibi bir yazılım dağıtım sistemi kullanarak dağıtabilirsiniz. Paket, sessiz parametresiyle standart sessiz yükleme seçeneklerini destekler. Configuration Manager'ın geçerli dalı, tamamlanmış kayıtları izleme gibi önceki sürümlere göre avantajlar sunar.

Yükleyici, sistemde kullanıcı bağlamında çalışan zamanlanmış bir görev oluşturur. Kullanıcı Windows'ta oturum açtığında görev tetikleniyor. Görev, Microsoft Entra Id ile kimlik doğrulamasından sonra cihazı microsoft Entra ID ile kullanıcı kimlik bilgileriyle sessizce birleştirir.

Cihaz kaydını denetlemek için Windows Installer paketini seçtiğiniz Windows alt düzey cihaz grubuna dağıtmanız gerekir.

Not

Microsoft Windows Server Active Directory'de bir SCP yapılandırılmamışsa, Grup İlkesi Nesnesi (GPO) kullanarak etki alanına katılmış bilgisayarlarınızda SCP için istemci tarafı kayıt defteri ayarını yapılandırma konusunda açıklandığı gibi aynı yaklaşımı izlemeniz gerekir.

Bir cihaz neden bekleme durumunda olabilir?

Şirket içi cihazlarınız için Microsoft Entra Bağlan Eşitleme'de bir Microsoft Entra karma katılma görevi yapılandırdığınızda, görev cihaz nesnelerini Microsoft Entra Id ile eşitler ve cihaz kaydı tamamlanmadan önce cihazların kayıtlı durumunu geçici olarak "beklemede" olarak ayarlar. Bu bekleme durumunun nedeni, cihazın kaydedilebilmesi için önce Microsoft Entra dizinine eklenmesi gerekir. Cihaz kayıt işlemi hakkında daha fazla bilgi için bkz . Nasıl çalışır: Cihaz kaydı.

Doğrulama sonrası

Her şeyin beklendiği gibi çalıştığını doğruladıktan sonra, Windows geçerli ve alt düzey cihazlarınızın geri kalanını Microsoft Entra Id ile otomatik olarak kaydedebilirsiniz. Microsoft Entra Bağlan kullanarak SCP'yi yapılandırarak Microsoft Entra karma katılımını otomatikleştirin.