เครื่องส่วนตัว หรือ BYOD จะเข้ามา register Entra ID แล้วมี join type เป็น Entra registered เครื่องบริษัทที่ไม่ join AD DS แต่เข้ามา join ที่ Entra ID ตรงๆ จะมี join type เป็น Entra joined ส่วนเครื่องที่ join on-premises AD DS ด้านล่างอยู่แล้ว เราสามารถ enable ให้เครื่องเข้ามา join Entra ID อัตโนมัติ และมี join type เป็น Entra hybrid joined
Automatic-Device-Join task
Windows client ทุกเครื่องจะมี scheduled task ชื่อว่า Automatic-Device-Join รันทุก 1 ชั่วโมง หรือทุกครั้งที่ user sign in เข้าเครื่อง
Task รันด้วย credential ของ computer ดังนั้น Entra Hybrid Join สามารถ completed ได้โดยที่ user ไม่ต้อง sign in เข้าเครื่อง
userCertificate
Client ที่ join on-premises AD DS จะต้องถูก sync ขึ้นไปที่ Entra ID แต่โดย default Entra Connect จะไม่ sync computer object ที่ไม่มีค่า userCertificate ขึ้นไป
ซึ่งโดย default computer object ไม่มีค่า userCertificate อยู่ จึงไม่ถูก sync ขึ้นไปครับ
Service Connection Point (SCP) object
Client จะสร้าง userCerticate แล้วแปะไปที่ computer account ของตัวเองก็ต่อเมื่อเข้าหาข้อมูลเกี่ยว Entra tenant เจอ
ข้อมูลเหล่านี้อยู่ SCP object ที่เราจะต้อง re-run Entra Connect สร้างขึ้นมา
อย่างไรก็ตามหากเราไม่อยากสร้าง SCP ให้ client ทุกเครื่องหาเจอแบบนี้ เราสามารถเลือกเครื่องได้โดยการทำ Targeted ครับ
Start the process
เมื่อมี SCP หรือทำ targeted แล้ว เราจะรอให้ Automatic-device-join task รันเองทุก 1 ชั่วโมงก็ได้ หรือรอให้ user sign เข้าเครื่อง
เมื่อเครื่องหา SCP เจอหรือ ทราบค่าจาก targeted registry เครืองก็จะสร้าง userCertificate ขึ้นมา แล้วแปะไปที่ userCertificate attribute ใน computer object ตัวเองใน AD DS
แต่เราต้องรอรอบ sync ของ Entra Connect ซึ่งรันทุก 30 นาที
ถ้าเราไม่อยากรอก็สามารถ force ให้ Entra Connect sync object ที่มีการ Update ขึ้นไปเลย
ซึ่งตอนนี้ computer object มีค่า userCerticiate แล้ว Entra Connect จึงยอม sync object ขึ้นไปที่ Entra ID ครับ
อย่างไรก็ตาม registered status ใน Entra ID จะยังเป็น pending อยู่
เราต้องรอให้ Automatic-device-join task รันอีกครั้งเพื่อเข้าไป authenticate กับ Entra ID
ถ้าเราไม่อยากรอก็ force task ให้รันได้เลย
แล้ว background process ของ Entra Hybrid Join ก็จะวิ่งรวดเดียวจนจบ
Registered status ใน Entra ID จะเปลี่ยนเป็นวันเวลา
แล้ว client จะได้รับ device certificate ก็เป็นอันเสร็จสิ้นกระบวนการ Entra Hybrid Join โดยสมบูรณ์ครับ
ซึ่งเราสามารถดู status ของ client ได้ด้วย dsregcmd /status
แต่สังเกตว่าเรายังไม่ได้ PRT เพื่อทำ SSO
SSO
ดังนั้น ให้ลอง sign in ใหม่
เมื่อได้ PRT
เราก็จะเข้าใช้งาน app หรือ service ที่ใช้ Entra ID เป็น identity provider ได้แบบ SSO นั่นเองครับ
จาก How Microsoft Entra device registration works — Microsoft Entra ID | Microsoft Learn
