Ingresso híbrido de dispositivos em floresta com múltiplos domínios

Marcelo Reis 19 de outubro de 202319 de outubro de 2023 0 Comments AD Connect, Entra Connect, Hybrid Azure AD Join, Intune, Microsoft Intune, SCP

Neste artigo vou mostrar como configurar o ingresso de dispositivos híbridos em floresta que possui múltiplos domínios que se conectam em locatários diferentes.

No artigo Configurando o ingresso híbrido de dispositivos no Microsoft Entra Connect mostrei como realizar a configuração do ingresso de dispositivos híbridos através do Microsoft Entra Connect. E que essa configuração é realizada a nível de floresta, conectando uma floresta/domínio com um locatário do Microsoft Entra ID. Configuração utilizada para cenários com uma floresta/domínio para um locatário, e para cenários com uma floresta e múltiplos dominós para o mesmo locatário.

Mas e quando temos o cenário onde uma floresta com múltiplos domínios, e cada domínio se conecta a um locatário diferente?

Exemplo:

Floresta/domínio pai cloudmti.com.br -> cloudmti.onmicrosoft.com
Domínio filho 1 sp.cloudmti.com.br -> cloudmti-sp.onmicrosoft.com
Domínio filho 2 rj.cloudmti.com.br -> cloudmti-rj.onmicrosoft.com

Para este tipo de cenário precisamos utilizar a configuração do SCP direcionada a dispositivos.

Essa configuração direcionada a dispositivos do SCP é realizada através de políticas de grupos (GPO).

A configuração direcionada a dispositivos do SCP também pode ser utilizada para realização de um teste piloto no ambiente, antes de habilitar a configuração do Hybrid Azure AD Join no Microsoft Entra Connect.

Limpando o SCP do Active Directory

Se a configuração do ingresso de dispositivos híbrido tiver sido configurada através do Microsoft Entra Connect, será necessário limpar o registro do ponto de conexão de serviço (SCP) do Active Directory.

Se essa configuração ainda não foi realizada pelo Microsoft Entra Connect, essa etapa pode ser pulada.

Em um controlador de domínio através do ADSI Edit, acessar Configuration, Services, Device Registration Configuration.

Nas propriedades do registro 62a0ff2e-97b9-4513-943f-0d221bd30080 editar o atributo Keywords.

Remover os valores azureADId e azureADName.

Configuração da GPO do registro do lado do cliente para o SCP

No console de Gerenciamento de Política de Grupo, selecionar o domínio, acessar Group Policy Objects e clicar em New.

Definir o nome da GPO.

Na GPO criada, clicar com o botão direito do mouse e selecionar Edit.

Em Computer Configuration, Preferences, Windows Settings, clicar com o botão direito do mouse em Registry e selecionar New, Registry Item.

Na guia General, configure as opções a seguir:

Action: Update.
Hive: HKEY_LOCAL_MACHINE.
Key Path: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
Value name: TenantId.
Value type: REG_SZ.
Value data: o ID de locatário do Microsoft Entra.

Em Computer Configuration, Preferences, Windows Settings, clicar com o botão direito do mouse em Registry e selecionar New, Registry Item para criar um novo registro.

Na guia General, configure as opções a seguir:

Action: Update.
Hive: HKEY_LOCAL_MACHINE.
Key Path: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
Value name: TenantName.
Value type: REG_SZ.
Value data: o nome de domínio Microsoft do locatário.

Configuração final.

Selecionar a OU de dispositivos onde a GPO será aplicada, clicar com o botão direito do mouse, e selecionar Link na Existing GPO.

Selecionar a GPO criada.

Configuração final.

Aguardar a GPO ser aplicada aos dispositivos. Após o dispositivo receber a GPO, um reinício no dispositivo será necessário.

Será necessário criar uma GPO para cada domínio, com as configurações TenantID e TenantName referente aos locatários onde eles se conectam.

Dica extra

Vou falar sobre Autopilot em próximos artigos, mas já fica essa dica aqui.

Fiz um projeto de Autopilot Hybrid Azure AD Join em um cenário desse, onde o dispositivo não conseguia pegar a GPO pela VPN para ingressar no modo híbrido no Entra ID, e concluir o processo do Autopilot.

A solução foi entregar essa configuração do registro SCP do lado cliente através do Intune durante o Autopilot através de um script PowerShell.

Utilizei o script do site How To Create Registry Keys Using Intune Remediations (cloudinfra.net) como base.

Alterar apenas as linhas $TenantId e $TenantName com os valores do seu ambiente.
$TenantId = "ID_do_locatario_EntraID" 
$TenantName = "Nome_de_dominio_OnMicrosoft_do_locatario" 
$regPath = "HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD"
$value = Test-Path $regPath
$value
if(!$value){
     try{
        Write-Host "Creating Reg Key"
        New-Item -Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\ -Name CDJ –Force | Out-Null
        New-Item -Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ -Name AAD –Force | Out-Null
        New-ItemProperty -Path $regPath -Name 'TenantId' -Value $TenantId -PropertyType String -Force | Out-Null
        New-ItemProperty -Path $regPath -Name 'TenantName' -Value $TenantName -PropertyType String | Out-Null
        Exit 0
     }
     Catch {
            Write-Host "Error Creating Reg Key"
            Write-error $_
            Exit 1
      }
}
Else{
        Write-host "Reg Key already Exists. No Action Required"
        Exit 0
    
}
Salvar o script com a extensão .ps1

No Centro de administração do Microsoft Intune, acessar Dispositivos, Scripts, Adicionar, Windows 10 e posteriores.

Definir o nome da política.

Carregar o script criado, e marcar a opção Executar script no Host do PowerShell de 64 bits como Sim.

Atribuir a política ao grupo de dispositivos que recebera as configurações.

Finalizar a criação.

Validar no portal do Intune se a politica foi implantada com sucesso, validar no dispositivo se os registros foram criados com sucesso, e validar no portal do Entra ID se o dispositivo ingressou como Microsoft Entra hybrid joined.