I kolejny wpis z serii o Azure AD Connect i MEM.
Tym razem pokażę wam w jaki sposób skonfigurować AAD Connecta, aby nasze urządzenia pojawiły się w Azure AD. Skonfigurujemy także polisy GPO, aby urządzenia były zarządzalne nie tylko przez GPO, ale także przez MEM. I kolejna rzecz – czyli skonfigurujemy SSO, aby urządzenia z on-premowego AD nie wymagały poświadczeń do serwisów Microsoftu. I jako ostatnie – skonfigurujemy auto-enrollent dla urządzeń z Azure AD.
Odpalamy maszynkę na której mamy zainstalowanego agenta z AAD Connect. Uruchamiamy AAD Connect > Configure > Configure device options.
Wpisujemy dane konta GA lub Hybrid Identity Administratora > i zaznaczamy opcję Configure Hybird Azure AD Join
![](https://piesik.me/wp-content/uploads/2022/05/image-4.png)
Zaznaczamy opcję Windows 10 or later domain-joined devices
![](https://piesik.me/wp-content/uploads/2022/05/image-5.png)
Zaznaczamy swoją domenę, wpisujemy dane do konta Enterprise Administrator
![](https://piesik.me/wp-content/uploads/2022/05/image-6.png)
Drugim krokiem jest konfiguracja SSO w AAD Connect.
Odpalamy go ponownie, przechodzimy do Change user sign-in > podajemy konto naszego GA lub Hybrid Identity Administrator. Zaznaczamy opcję Enable single sing-on.
![](https://piesik.me/wp-content/uploads/2022/05/image-7.png)
Przechodzimy do kolejnego kroku i klikamy na Configure.
![](https://piesik.me/wp-content/uploads/2022/05/image-8.png)
Z konfiguracji AAD Connecta to już wszystko.
Teraz musimy zrobić politykę GPO, która będzie wdrozona na nasze komputery. Przypisuję je do OU z komputerami klienckimi.
Wpierw należe dodać adresy WWW do listy Site-To-Zone assignment.
Robimy to poprzez przejście do Computer Configuration > Policies > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel >Security Page > Site to Zone Assigment List i dodajemy dwa wpisy:
![](https://piesik.me/wp-content/uploads/2022/05/image-9-1024x731.png)
Drugim krokiem jest konfiguracja Allow updates to status bar via script w folderze ADMX: Intranet Zone
![](https://piesik.me/wp-content/uploads/2022/05/image-10-1024x627.png)
No i trzecia zmiana – czyli automatyczny enrollment to MDMa – czyli Microsoft Endpoint Manager.
Robimy to w Computer Configuration > Administrative Templates > Windows Components > MDM i konfigurujemy Enable automatic MDM enrollment using default Azure AD Credentials z ustawieniem User Credentials
![](https://piesik.me/wp-content/uploads/2022/05/image-11-1024x799.png)
Ostatnia zmiana to ustawienie którzy użytkownicy mogą rejestrować swoje urządzenia w AAD i dla których będzie działać autoenrollment. Robi się to poprzez portal MEM > Devices > Windows > Windows Enrollment > Automatic Enrollment oraz ustawienie albo wszystkich użytkowników albo grup użytkowników.
![](https://piesik.me/wp-content/uploads/2022/05/image-14.png)
Po dwóch restartach nasza maszyna wpierw pojawi się w Azure AD….
![](https://piesik.me/wp-content/uploads/2022/05/image-12-1024x41.png)
![](https://piesik.me/wp-content/uploads/2022/05/image-13-1024x201.png)