Co się dzieje z maszyną w trakcie hybrydowego dołączenia (hybrid entra join)? Deep dive Hybrid Entra Join.
Proces wdrożenia hybrydowego maszyn jest procesem złożonym i skomplikowanym przez co bardzo często mogą pojawić się błędy na etapie dodawania.
W tym wpisie chciałem zagłębić się w cały proces przez który przechodzi maszyna od etapu w którym została dołączona do lokalnej domeny aż po moment kiedy pojawi się w Entra ID jako urządzenie hybrydowe.
Na samym początku opowiedzmy sobie:
Po co ten proces jest wykonywany?
Najczęstszą konfiguracją hybrydową w środowisku jest hybryda tożsamości. Pozwala ona nam na to żeby konta użytkowników które mamy w naszym lokalnym AD pojawiły się w cloud. Tacy użytkownicy będą mieli jedno konto za pomocą którego będą mogli korzystać z funkcjonalności chmurowych takich jak dostęp do aplikacji Microsoft 365 ale również dostęp do wszystkich aplikacji i zasobów w lokalnym środowisku.
W sytuacji kiedy chcemy wykorzystać zarządzanie urządzeniami mobilnymi w postaci Intune musimy dodać również do takiej hybrydy urządzenia. Sprawi to że wpis o urządzeniu pojawi się w Entra ID dzięki czemu będzie możliwa następnie rejestracja w Intune i zarządzanie urządzeniem.
Kiedy już wiemy po co możemy chcieć mieć hybrydowe maszyny przejdźmy do wymagań.
Co jest potrzebne do hybrydowych urządzeń?
Przede wszystkim potrzebujemy Entra ID Connect (AzureAD Connect) on będzie odpowiadał za całą synchronizacje zarówno tożsamości jak i urządzeń hybrydowych.
W domyślnej konfiguracji wszystkie jednostki organizacyjne (OU) są synchronizowane, jeżeli jednak w konfiguracji zostały dokonane filtrowanie należy rozszerzyć zakres w taki sposób by obejmował maszyny które mają być synchronizowane.
Drugim wymogiem jest wskazanie maszynom gdzie mają się rejestrować w Azure.
Informacje które są niezbędne do rejestracji znajdują się w kontrolerze domeny po konfiguracji Service Connection Pont (SCP) w Entra ID Connect. Można je zobaczyć w ADSI Edit i łącząc się za pomocą Configuration Naming context pod ścieżką Services > Device Registration Configuration.

Nie zawsze jednak chcemy żeby ten SCP był na kontrolerze domeny i przekazywał wszystkim komputerom informacje gdzie powinny się rejestrować (np. serwery). W takim wypadku można utworzyć „targeted SCP” i bezpośrednio na maszynach wskazywać te informacje za pomocą rejestru.
Mając już wiedze o potrzebnych elementach przejdźmy to samego procesu komunikacji maszyny z poszczególnymi elementami w trakcie wdrożenia.
Rejestracja urządzenia z local AD do Hybrid AD Join.
Rejestracja odbywa się w kilku krokach i poniższa grafika pozwala łatwo zobrazować sobie Cały proces.

Każde urządzenie które jest dodane do domeny posiada uruchomione zadanie w tle które wykonuje się przy każdym logowaniu oraz co godzinę. Można je podejrzeć w harmonogramie zadań systemu Windows pod ścieżką Microsoft > Windows > Workplace Join

Certyfikat jest możliwy do zobaczenia z poziomu kontrolera domeny po wybraniu właściwości obiektu komputera

Usługa Azure DRS weryfikuje token identyfikatora, tworzy identyfikator urządzenia i tworzy certyfikat na podstawie dołączonego żądania certyfikatu.
Jak widać banalny do uruchomienia proces wykonuje w tle wiele operacji żeby zapewnić najwyższe bezpieczeństwo w trakcie rejestracji bez konieczności angażowania użytkownika w cały proces.
Zobacz także:
Workspace ONE co to jest
Co to Workspace ONE? Workspace ONE to cyfrowa platforma firmy Omnissa (wcześniej VMware), która dostarcza i zarządza dowolną aplikacją na dowolnym urządzeniu poprzez integrację kontroli dostępu, zarządzania aplikacjami i ujednoliconego zarządzania punktami końcowymi....
Legacy Catalog
Wkrótce Legacy Catalog przestanie być dostępny! Co to jest Legacy Catalog? Legacy Catalog jest częścią Workspace ONE UEM firmy Omnissa (wcześniej VMware). Za pomocą Catalog’u użytkownicy mogą ręcznie wymusić instalację aplikacji zaakceptowanych oraz skonfigurowanych...
Kiedy warto wybrać pakiet Microsoft 365 Apps for business?
Czym jest Microsoft 365? Microsoft 365 to wszechstronna platforma produktywności, która łączy w sobie znane aplikacje biurowe takie jak Word, Excel czy PowerPoint z zaawansowanymi narzędziami do współpracy i usługami opartymi na chmurze. Jest to rozwiązanie...