הגדרת Hybrid Azure AD: מדריך שלב אחרי שלב

מדריכים

אם אתה משתמש בתכונות של Active Directory (AD) בתוך הארגון ותרצה גם להשתמש בתכונות של Azure AD כמו גישה תנאית, התחברות יחידה (SSO) ועוד, מאמר זה מיועד לך. במאמר זה, תלמד כיצד להגדיר מצב שמיקרוסופט קורא לו "התקן משותף ל- Azure AD היברידי".

מהו התקן משותף ל- Azure AD היברידי?

בקצרה, התקן משותף ל- Azure AD היברידי הוא מצב שמאפשר לך לנהל התקנים באמצעות כלי ה-AD המקובלים באופן מסורתי וגם לרשום אותם ב-Azure AD. למידע נוסף, ראה את מסמך Microsoft הקשור להתקנים משותפים ל- Azure AD היברידי.

דרישות מוקדמות

ישנם מספר דרישות ותנאים מוקדמים שעליך לעמוד בפני כדי להתחיל להגדיר התקנים משותפים ל-Azure AD היברידי. לפני שתתחיל בשלבים שמוצגים במאמר זה, הקפד לוודא שעמוד בכל אחת מהתנאים הבאות או שיש לך:

  • התקנים חייבים להיות התקני Windows נוכחיים נתמכים (Windows 10 1809 או גבוהה יותר או Windows Server 2016 ומעלה)
  • התקני Windows 10 המצורפים ל-AD בארגון
  • חיבור אינטרנט בהתקן Windows (enterpriseregistration.windows.net:443, login.microsoftonline.com:443 ו-device.login.microsoftonline.com:443)
  • על מנת ש-AD המקומית (On-prem AD) תתמיד לסנכרן עם Azure AD לדיוק לדיור ב-Tenant של Azure AD בלבד. שני הדומיינים בכל הדוגמאות במאמר זה יקראו adamtheautomator.com. אם ברצונך לסנכרן מספר רב של Tenants ב-Azure AD, השתמש ב-GPO במקום SCP.
  • עליך לדעת את חשבון המנהל הגלובלי שלך ב-Azure AD. הדוגמה במאמר זה תשתמש בשם החשבון adam.
  • עליך לדעת על חשבון המנהל הארגוני ב-AD המקומית. הדוגמה במאמר זה תשתמש בשם החשבון [email protected].
  • יש לך את Azure AD Connect 1.1.819.0 מותקן על שרת חבר וסונכרן עם Azure AD

כל הדוגמאות במאמר זה ישתמשו בדומיין AD מקומי בשם adamtheautomator.com עם Azure AD מסונכרן באותו שם.

לרשימה מלאה של דרישות הקדם, יש לעיין ב-מסמך המימוש של חיבור חצי Azure Active Directory של Microsoft.

הגדרת Azure AD Connect

השלב הראשון להגדרת התקנים המצורפים ל- Azure AD היברידי הוא להגדיר את Azure AD Connect. כאן תגדיר את תהליך הסנכרון של Azure AD כך שיהיה מודע למצב היברידי שבו אתה מתכוון.

כדי להגדיר את הדברים, פתח תחילה את Azure AD Connect ולחץ על הגדר.

Azure AD Connect Welcome box

במסך הבא, לחץ על הגדר אפשרויות התקנים ולחץ על הבא.

Configure device option task

ספק את פרטי הניהול הגלובליים של השוכר שלך ב- Azure AD ולחץ על הבא.

Adding username to connect to Azure AD

לחץ על הגדר הצטרפות Azure AD היברידית ועל הבא.

Configuring hybrid Azure AD join

בדף מערכות ההפעלה של התקנים תבחר באילו סוגי התקנים אתה מתכוון להצטרף. במאמר זה, אנו רק נצטרף להתקנים נוכחיים (Windows 10). בחר התקנים ממוזגים בדומיין Windows 10 או מאוחר יותר ולחץ על הבא.

Checking Windows 10 or later domain-joined devices option

למידע נוסף על איך להגדיר את התקנים של Windows בגרסה הנמוכה יותר (Windows 8.1+ ו- Windows Server 2008 R2+), יש להפנות למסמך המיקרוסופט על התקנה משותפת של Azure Active Directory עבור דומיינים מנוהלים. המארגן של Microsoft.

תיצור את נקודת חיבור השירות (SCP) ב-Azure כדי לאפשר להתקנים שלך לקרוא מידע על מנוי צוות Azure AD. בדוק את שם היער תחת Forest, בחר Azure Active Directory כ-שירות אימות ולאחר מכן לחץ על הוסף כדי לספק פרטי הזדהות עבור חשבון האדמין העסקי העצמי שלך. כאשר סיימת, לחץ על הבא.

SCP configuration task

במסך הבא, לחץ על הגדר כדי להתחיל בתהליך. הכל צריך לקחת רק מספר שניות.

Ready to configure menu

כאשר סיימת, יידרש לך להגדיר כמה שלבים נוספים. לחץ על יציאה כאשר סיימת.

Configuration complete indicator

אישור מצב הצטרפות ל-Azure AD

לאחר שהגדרת את Azure AD Connect, עליך לוודא כעת כי פרי העבודה שלך באמת שילמו! למרבית המכשירים של Windows 10 צריך להיות הצטרפות AD היברידית אוטומטית בסופו של דבר, אך למכשיר הראשון, עליך לוודא זאת.

בדיקה בצד הלקוח

כדי לאשר את ההרשמה של מכשיר Windows 10, הפעל אחד מהם מחדש. לאחר שהוא מתאחד מחדש, התחבר אליו באופן רחוק או דרך הקונסול וגש למסוף פקודות. במסוף הפקודות, הקלד dsregcmd /status. אם אתה רואה AzureADJoined: YES תחת מצב המכשיר, אתה במצב טוב.

Successful hybrid Azure AD joined device

אם המכשיר עדיין לא מוצג כהצטרפות ל-Azure AD ייתכן זאת בגלל שאובייקט המחשב עדיין לא סונכרן ל-Azure AD. ניתן לנסות לכפות רישום על ידי הרצת dsregcmd /join ולהסתכל שוב על המצב.

אם עדיין אינך רואה שהמכשיר הצטרף ל-Azure AD, תרצה אולי לבדוק את המדריך לפתרון בעיות הזה. תוכל גם להוריד סקריפט PowerShell זה כדי להריץ על המכשיר לביצוע מספר בדיקות נפוצות.

בדיקת צד Azure

לאחר שאישרת שלקוח Windows 10 מצהיר על הצטרפותו, ודא שאתה בודק גם מצד Azure. לשם כך, נווט אל לוח המכשירים בדייר Azure AD שלך. כאן אתה אמור לראות שסוג ההצטרפות הוא Hybrid Azure AD Joined ורשום עם חותמת זמן עדכנית עבור המכשיר Windows 10.

Successful hybrid Azure AD joined device

אם אתה רואה מכשירים שמופיעים כ'רשומים' ו'מצטרפים ל-Azure AD היברידי', יתכן שתמצא שכללי גישה מותנית של AAD (CA) לא יפעלו כראוי עם ערכי 'רשום'. לתיקון זאת, שדרג את כל המכשירים ל-Windows 10 1903. ייתכן שתצטרך גם להסיר את כל הערכים 'רשומים' באמצעות סקריפט.

לאחר שתאשר שמכונת הניסוי Windows 10 שלך רשומה והצטרפה כחבר Azure AD היברידי, כל המכשירים הנוכחיים האחרים ב-AD אמורים להתחיל להירשם באופן אוטומטי.

אם משתמש מחובר ללקוח המצטרף, הוא יצטרך להתנתק ולהתחבר מחדש כדי לקבל אסימון רענון ראשי.

סיכום

פעם שהתצורה נקבעה, המכשירים המצורפים בדגם של הצטרפות היברידית ל-Azure AD ירשמו את עצמם באופן אוטומטי. לאחר שתבצע את כל השלבים הנדרשים במאמר זה, רוב העבודה הקשה נעשית בשבילך. בנקודה זו, תוכל להתחיל להשתמש בשירותים השונים ש-Azure AD מציעה כדי לנהל את כל המכשירים המחוברים לדומיין שלך.

Source:
https://adamtheautomator.com/hybrid-azure-ad/