Konfigurace hybridního připojení k Azure AD

Když zařízení Azure AD maximalizujete produktivitu uživatelů prostřednictvím jednotného přihlašování (SSO) napříč cloudovými a místními prostředky. Přístup k prostředkům můžete současně zabezpečit pomocí podmíněného přístupu .

Požadavky

  • Azure AD Connect verze 1.1.819.0 nebo novější.
    • Nevylučujte výchozí atributy zařízení z konfigurace synchronizace Azure AD Connect. Další informace o výchozích atributech zařízení synchronizovaných s Azure AD najdete v tématu Atributy synchronizované službou Azure AD Connect.
    • Pokud počítačové objekty zařízení, ke kterým chcete připojit hybridní Azure AD, patří ke konkrétním organizačním jednotkám, nakonfigurujte správné organizační jednotky pro synchronizaci ve službě Azure AD Connect. Další informace o tom, jak synchronizovat počítačové objekty pomocí nástroje Azure AD Connect, najdete v tématu Filtrování na základě organizačních jednotek.
  • Přihlašovací údaje globálního správce pro vašeho tenanta Azure AD.
  • Přihlašovací údaje podnikového správce pro každou z doménových struktur místní Active Directory Domain Services.
  • (Pro federované domény) Alespoň Windows Server 2012 R2 s nainstalovaným Active Directory Federation Services (AD FS).
  • Uživatelé můžou svoje zařízení zaregistrovat v Azure AD. Další informace o tomto nastavení najdete v části Konfigurace nastavení zařízení v článku Konfigurace nastavení zařízení.

Požadavky na připojení k síti

Připojení službou Hybrid Azure AD Join vyžaduje, aby zařízení měla ze sítě vaší organizace přístup k následujícím prostředkům Microsoftu:

  • https://enterpriseregistration.windows.net
  • https://login.microsoftonline.com
  • https://device.login.microsoftonline.com
  • https://autologon.microsoftazuread-sso.com (pokud používáte nebo se chystáte používat bezproblémové jednotné přihlašování)
  • Služba tokenů zabezpečení (STS) vaší organizace (pro federované domény)

Upozornění

Pokud vaše organizace používá proxy servery, které zachycují provoz SSL pro scénáře, jako je ochrana před únikem informací nebo omezení Azure AD tenanta, ujistěte se, že je provoz do https://device.login.microsoftonline.com vyloučený z protokolu TLS break-and-inspect. Vyloučení této adresy URL může způsobit rušení ověřování klientským certifikátem, problémy s registrací zařízení a podmíněný přístup na základě zařízení.

Pokud vaše organizace vyžaduje přístup k internetu přes odchozí proxy server, můžete pomocí automatického zjišťování webového proxy serveru (WPAD) povolit Windows 10 nebo novější počítače pro registraci zařízení s Azure AD. Informace o řešení problémů s konfigurací a správou WPAD najdete v tématu Řešení potíží s automatickým zjišťováním.

Pokud nepoužíváte WPAD, můžete v počítači nakonfigurovat nastavení proxy serveru WinHTTP pomocí objektu Zásady skupiny (GPO) počínaje Windows 10 1709. Další informace najdete v tématu Nastavení proxy serveru WinHTTP nasazené objektem zásad zabezpečení.

Poznámka

Pokud v počítači nakonfigurujete nastavení proxy serveru pomocí nastavení WinHTTP, nepodaří se připojit k internetu žádné počítače, které se nemůžou připojit k nakonfigurovaným proxy serverům.

Pokud vaše organizace vyžaduje přístup k internetu přes ověřený odchozí proxy server, ujistěte se, že se vaše Windows 10 nebo novější počítače můžou úspěšně ověřit u odchozího proxy serveru. Protože Windows 10 nebo novější počítače spouštějí registraci zařízení pomocí kontextu počítače, nakonfigurujte ověřování odchozího proxy serveru pomocí kontextu počítače. Požadavky na konfiguraci vám sdělí váš poskytovatel odchozího proxy serveru.

Pomocí skriptu Test Device Registration Connectivity ověřte, že zařízení mají přístup k požadovaným Microsoft prostředkům v rámci systémového účtu.

Spravované domény

Myslíme si, že většina organizací nasadí hybridní Azure AD připojí ke spravovaným doménám. Spravované domény používají synchronizaci hodnot hash hesel (PHS) nebo předávací ověřování (PTA) s bezproblémovým jednotným přihlašováním. Scénáře spravovaných domén nevyžadují konfiguraci federačního serveru.

Konfigurace hybridního připojení Azure AD pomocí Azure AD Connect pro spravovanou doménu:

  1. Spusťte Azure AD Connect a pak vyberte Konfigurovat.

  2. V části Další úlohy vyberte Konfigurovat možnosti zařízení a pak vyberte Další.

  3. V části Přehled vyberte Další.

  4. V části Připojit k Azure AD zadejte přihlašovací údaje globálního správce pro vašeho tenanta Azure AD.

  5. V možnostech zařízení vyberte Konfigurovat hybridní Azure AD připojit a pak vyberte Další.

  6. V části Operační systémy zařízení vyberte operační systémy, které zařízení ve vašem prostředí Služby Active Directory používají, a pak vyberte Další.

  7. V konfiguraci spojovacího bodu služby pro každou doménovou strukturu, ve které chcete Azure AD Connect nakonfigurovat spojovací bod služby, proveďte následující kroky a pak vyberte Další.

    1. Vyberte doménovou strukturu.
    2. Vyberte ověřovací službu.
    3. Vyberte Přidat a zadejte přihlašovací údaje podnikového správce.

    Spravovaná doména konfigurace spojovacího bodu služby Azure AD Connect

  8. V části Připraveno ke konfiguraci vyberte Konfigurovat.

  9. V části Konfigurace dokončena vyberte Ukončit.

Federované domény

Federované prostředí by mělo mít zprostředkovatele identity, který podporuje následující požadavky. Pokud máte federované prostředí pomocí služby Active Directory Federation Services (AD FS) (AD FS), jsou už podporované následující požadavky.

  • Deklarace identity WIAORMULTIAUTHN: Tato deklarace identity se vyžaduje k hybridnímu Azure AD připojení pro zařízení s Windows nižší úrovně.
  • Protokol WS-Trust: Tento protokol se vyžaduje k ověřování zařízení připojených k hybridním Azure AD Windows s Azure AD. Pokud používáte službu AD FS, musíte povolit následující koncové body WS-Trust:
    • /adfs/services/trust/2005/windowstransport
    • /adfs/services/trust/13/windowstransport
    • /adfs/services/trust/2005/usernamemixed
    • /adfs/services/trust/13/usernamemixed
    • /adfs/services/trust/2005/certificatemixed
    • /adfs/services/trust/13/certificatemixed

Upozornění

Adfs/services/trust/2005/windowstransport a adfs/services/trust/13/windowstransport by měly být povolené pouze jako intranetové koncové body a nesmí být přístupné jako extranetové koncové body prostřednictvím webového proxy aplikací. Další informace o tom, jak zakázat koncové body WS-Trust Windows, najdete v tématu Zakázání koncových bodů WS-Trust Windows na proxy serveru. Jaké koncové body jsou povolené, můžete zjistit prostřednictvím konzoly pro správu služby AD FS v částiKoncové bodyslužby>.

Konfigurace hybridního připojení Azure AD pomocí Azure AD Connect pro federované prostředí:

  1. Spusťte Azure AD Connect a pak vyberte Konfigurovat.

  2. Na stránce Další úlohy vyberte Konfigurovat možnosti zařízení a pak vyberte Další.

  3. Na stránce Přehled vyberte Další.

  4. Na stránce Připojit k Azure AD zadejte přihlašovací údaje globálního správce pro vašeho tenanta Azure AD a pak vyberte Další.

  5. Na stránce Možnosti zařízení vyberte Konfigurovat hybridní Azure AD připojit a pak vyberte Další.

  6. Na stránce spojovacího bodu služby proveďte následující kroky a pak vyberte Další:

    1. Vyberte doménovou strukturu.
    2. Vyberte ověřovací službu. Pokud vaše organizace nemá výhradně Windows 10 nebo novější klienty a nenakonfigurovali jste synchronizaci počítačů a zařízení, nebo pokud vaše organizace nepoužívá bezproblémové jednotné přihlašování, musíte vybrat server služby AD FS.
    3. Vyberte Přidat a zadejte přihlašovací údaje podnikového správce.

    Federovaná doména konfigurace spojovacího bodu služby Azure AD Connect

  7. Na stránce Operační systémy zařízení vyberte operační systémy, které zařízení ve vašem prostředí Active Directory používají, a pak vyberte Další.

  8. Na stránce Konfigurace federace zadejte přihlašovací údaje správce služby AD FS a pak vyberte Další.

  9. Na stránce Ready to configure (Připraveno ke konfiguraci) vyberte Configure (Konfigurovat).

  10. Na stránce Konfigurace dokončena vyberte Ukončit.

Upozornění federace

Pokud v Windows 10 1803 nebo novějších selže okamžité připojení hybridních Azure AD pro federované prostředí pomocí služby AD FS, spoléháme na Azure AD Connect k synchronizaci objektu počítače v Azure AD, který se pak použije k dokončení registrace zařízení pro hybridní Azure AD připojení.

Další scénáře

Organizace můžou před úplným uvedením otestovat hybridní Azure AD připojit se k podmnožině svého prostředí. Postup dokončení cílového nasazení najdete v článku Hybridní Azure AD připojení k cílovému nasazení. Organizace by měly v této pilotní skupině obsahovat vzorek uživatelů z různých rolí a profilů. Cílené zavedení vám pomůže identifikovat všechny problémy, které váš plán neřešil, než ho povolíte pro celou organizaci.

Některé organizace možná nebudou moct ke konfiguraci služby AD FS použít Azure AD Connect. Postup ruční konfigurace deklarací identity najdete v článku Ruční konfigurace hybridního připojení k Azure Active Directory.

Cloud pro státní správu

V organizacích v Azure Government vyžaduje hybridní Azure AD připojení přístup k následujícím Microsoft prostředkům ze sítě vaší organizace:

  • https://enterpriseregistration.microsoftonline.us
  • https://login.microsoftonline.us
  • https://device.login.microsoftonline.us
  • https://autologon.microsoft.us (pokud používáte nebo se chystáte používat bezproblémové jednotné přihlašování)

Řešení potíží s hybridním připojením Azure AD

Pokud máte problémy s dokončením hybridního Azure AD připojení u zařízení s Windows připojených k doméně, přečtěte si:

Další kroky