又过了一天,又出现了混合 Azure AD 加入问题。
设置完混合加入后,它看起来似乎可以正常工作。我通过自动驾驶仪加入的设备是在“本地”AD 中创建的,位于 Azure AD 中,但被列为 Azure 注册设备,而不是混合加入/Azure AD 加入设备。
由于我们的内部部署 AD 域控制器位于托管 DC 中,这意味着我们无法看到它,因此我必须使用本地管理员凭证登录笔记本电脑,连接到 VPN,然后切换用户,然后才允许用户登录设备。
运行 dsregcmd /status 显示该设备已加入本地域,但尚未加入 AzureAdJoined。
它在诊断中列出了 error_missing_device 错误。从任务计划程序 > Microsoft > Windows > Workplace Join 运行 Intune 任务解决了此问题,并在 Azure AD 中创建了混合加入条目。
我觉得这不对,但我想知道部分原因是否是因为在登录设备并加入 VPN 之后才有视线 DC - 此时任务已经运行并“失败”。
有办法解决这个问题吗?还是我必须放弃混合 Azure 加入并转到 Azure AD 加入并处理设备访问我们本地域中的资源/服务器的问题?
谢谢。
答案1
您需要与 DC 保持视线连接才能使用自动驾驶仪混合加入设备。
这是可以做到的。您需要在 Intune 中配置混合加入配置文件,然后您需要能够在用户登录之前连接到 VPN。
Microsoft Learn - Hbyrid 使用 Autopilot 加入设备
我们目前使用 Cisco AnyConnect 及其登录前启动模块。请记住,特别是 Cisco,它们不支持登录前启动和 MFA 身份验证。
我会评估您的环境,以评估混合设备加入与仅 AAD 加入的实际需求。很少有情况需要 AD 设备对象。
我们拥有混合域环境,正在将所有新设备移至仅加入 AAD 的设备。所需的所有域服务(如文件共享、打印等)都是基于用户的,而不是基于设备的。