Konfigurace hybridního připojení k Azure AD

Přenesení zařízení na Azure AD maximalizuje produktivitu uživatelů prostřednictvím jednotného přihlašování (SSO) napříč cloudovými a místními prostředky. Přístup k prostředkům můžete zabezpečit pomocí podmíněného přístupu současně.

Požadavky

  • Azure AD Connect verze 1.1.819.0 nebo novější.
    • Nevylučujte výchozí atributy zařízení z konfigurace synchronizace Azure AD Connect. Další informace o výchozích atributech zařízení synchronizovaných s Azure AD najdete v tématu Atributy synchronizované službou Azure AD Connect.
    • Pokud počítačové objekty zařízení, která chcete připojit k hybridnímu Azure AD, patří ke konkrétním organizačním jednotkám (OU), nakonfigurujte správné organizační jednotky tak, aby se synchronizovaly v Azure AD Connect. Další informace o tom, jak synchronizovat objekty počítače pomocí nástroje Azure AD Connect, najdete v tématu Filtrování založené na organizační jednotce.
  • Přihlašovací údaje globálního správce pro vašeho tenanta Azure AD
  • Přihlašovací údaje podnikového správce pro každou z doménových struktur místní Active Directory Domain Services
  • (Pro federované domény) Alespoň Windows Server 2012 R2 s nainstalovaným Active Directory Federation Services (AD FS).
  • Uživatelé můžou svá zařízení zaregistrovat v Azure AD. Další informace o tomto nastavení najdete v části Konfigurace nastavení zařízení v článku Konfigurace nastavení zařízení.

Požadavky na připojení k síti

Připojení službou Hybrid Azure AD Join vyžaduje, aby zařízení měla ze sítě vaší organizace přístup k následujícím prostředkům Microsoftu:

  • https://enterpriseregistration.windows.net
  • https://login.microsoftonline.com
  • https://device.login.microsoftonline.com
  • https://autologon.microsoftazuread-sso.com (Pokud používáte nebo plánujete bezproblémové jednotné přihlašování)
  • Služba tokenů zabezpečení vaší organizace (STS) (pro federované domény)

Upozornění

Pokud vaše organizace používá proxy servery, které zachycují provoz SSL pro scénáře, jako je ochrana před únikem informací nebo Azure AD omezení tenanta, ujistěte se, že přenosy na tyto adresy URL nejsou vyloučené z přerušení protokolu TLS a kontroly. Při vyloučení těchto adres URL může dojít k rušení ověřování klientských certifikátů, příčinou problémů s registrací zařízení a podmíněným přístupem na základě zařízení.

Pokud vaše organizace vyžaduje přístup k internetu přes odchozí proxy server, můžete pomocí automatického zjišťování webového proxy serveru (WPAD) povolit Windows 10 nebo novější počítače pro registraci zařízení s Azure AD. Pokud chcete vyřešit problémy s konfigurací a správou WPAD, přečtěte si téma Řešení potíží s automatickým zjišťováním.

Pokud WPAD nepoužíváte, můžete na počítači nakonfigurovat nastavení proxy serveru WinHTTP pomocí objektu Zásady skupiny objektu (GPO) počínaje Windows 10 1709. Další informace najdete v tématu Nastavení proxy serveru WinHTTP nasazené podle objektů zásad zásad zabezpečení.

Poznámka

Pokud na počítači nakonfigurujete nastavení proxy serveru pomocí nastavení WinHTTP, všechny počítače, které se nemůžou připojit k nakonfigurovaným proxy serveru, se nebudou moct připojit k internetu.

Pokud vaše organizace vyžaduje přístup k internetu prostřednictvím ověřeného odchozího proxy serveru, ujistěte se, že se vaše Windows 10 nebo novější počítače můžou úspěšně ověřit u odchozího proxy serveru. Vzhledem k tomu, že Windows 10 nebo novější počítače spouštějí registraci zařízení pomocí kontextu počítače, nakonfigurujte ověřování odchozího proxy serveru pomocí kontextu počítače. Požadavky na konfiguraci vám sdělí váš poskytovatel odchozího proxy serveru.

Pomocí skriptu Test Device Registration Connectivity ověřte, že zařízení mají přístup k požadovaným prostředkům Microsoftu v rámci systémového účtu.

Spravované domény

Myslíme si, že většina organizací nasadí hybridní Azure AD připojení se spravovanými doménami. Spravované domény používají synchronizaci hodnot hash hesel (PHS) nebo předávací ověřování (PTA) s bezproblémovým jednotným přihlašováním. Scénáře spravované domény nevyžadují konfiguraci federačního serveru.

Konfigurace připojení k hybridnímu Azure AD pomocí Azure AD Connect pro spravovanou doménu:

  1. Spusťte Azure AD Připojit a pak vyberte Konfigurovat.

  2. V části Další úlohy vyberte Konfigurovat možnosti zařízení a pak vyberte Další.

  3. V části Přehled vyberte Další.

  4. V části Připojit k Azure AD zadejte přihlašovací údaje globálního správce pro vašeho tenanta Azure AD.

  5. V možnostech zařízení vyberte Konfigurovat hybridní Azure AD připojit a pak vyberte Další.

  6. V operačních systémech zařízení vyberte operační systémy, které zařízení ve vašem prostředí služby Active Directory používají, a pak vyberte Další.

  7. V konfiguraci SCP proveďte pro každou doménovou strukturu, ve které chcete Azure AD Připojit nakonfigurovat SCP, proveďte následující kroky a pak vyberte Další.

    1. Vyberte doménovou strukturu.
    2. Vyberte ověřovací službu.
    3. Výběrem možnosti Přidat zadejte přihlašovací údaje podnikového správce.

    Azure AD Připojení spravované domény konfigurace SCP

  8. V možnosti Připraveno ke konfiguraci vyberte Konfigurovat.

  9. V konfiguraci dokončete výběr možnosti Ukončit.

Federované domény

Federované prostředí by mělo mít zprostředkovatele identity, který podporuje následující požadavky. Pokud máte federované prostředí používající Active Directory Federation Services (AD FS) (AD FS), jsou už podporované následující požadavky.

  • Deklarace identity WIAORMULTIAUTHN: Tato deklarace identity se vyžaduje k hybridnímu připojení Azure AD pro zařízení s Windows nižší úrovně.
  • Protokol WS-Trust: Tento protokol se vyžaduje k ověření aktuálního hybridního Azure AD připojených zařízení s Windows pomocí Azure AD. Pokud používáte službu AD FS, musíte povolit následující koncové body WS-Trust:
    • /adfs/services/trust/2005/windowstransport
    • /adfs/services/trust/13/windowstransport
    • /adfs/services/trust/2005/usernamemixed
    • /adfs/services/trust/13/usernamemixed
    • /adfs/services/trust/2005/certificatemixed
    • /adfs/services/trust/13/certificatemixed

Upozornění

Služba adfs/services/trust/2005/windowstransport i adfs/services/trust/13/windowstransport by měly být povoleny pouze jako intranetové koncové body a nesmí být vystaveny jako koncové body přístupné z extranetu prostřednictvím webového proxy aplikací. Další informace o zákazu WS-Trust koncových bodů Windows najdete v tématu Zakázání WS-Trust koncových bodů Windows na proxy serveru. V části Koncové body služby> můžete zjistit, jaké koncové body jsou povolené prostřednictvímkonzoly pro správu služby AD FS.

Konfigurace hybridního připojení Azure AD pomocí Azure AD Connect pro federované prostředí:

  1. Spusťte Azure AD Připojit a pak vyberte Konfigurovat.

  2. Na stránce Další úlohy vyberte Konfigurovat možnosti zařízení a pak vyberte Další.

  3. Na stránce Přehled vyberte Další.

  4. Na stránce Připojit k Azure AD zadejte přihlašovací údaje globálního správce vašeho tenanta Azure AD a pak vyberte Další.

  5. Na stránce Možnosti zařízení vyberte Konfigurovat hybridní Azure AD připojit a pak vyberte Další.

  6. Na stránce SCP proveďte následující kroky a pak vyberte Další:

    1. Vyberte doménovou strukturu.
    2. Vyberte ověřovací službu. Server služby AD FS musíte vybrat, pokud vaše organizace nemá výhradně Windows 10 nebo novější klienty a máte nakonfigurovanou synchronizaci počítačů nebo zařízení nebo vaše organizace používá bezproblémové jednotné přihlašování.
    3. Výběrem možnosti Přidat zadejte přihlašovací údaje podnikového správce.

    Azure AD Připojení federované domény konfigurace SCP

  7. Na stránce Operační systémy zařízení vyberte operační systémy, které zařízení ve vašem prostředí služby Active Directory používají, a pak vyberte Další.

  8. Na stránce konfigurace federace zadejte přihlašovací údaje správce služby AD FS a pak vyberte Další.

  9. Na stránce Připraveno ke konfiguraci vyberte Konfigurovat.

  10. Na stránce Konfigurace dokončení vyberte Ukončit.

Upozornění federace

Pokud Windows 10 1803 nebo novější, pokud okamžité hybridní Azure AD připojení pro federované prostředí pomocí služby AD FS selže, spoléháme na Azure AD Connect k synchronizaci objektu počítače v Azure AD, který se pak používá k dokončení registrace zařízení pro hybridní připojení Azure AD.

Další scénáře

Organizace můžou otestovat hybridní Azure AD připojit se k podmnožině svého prostředí před úplným uvedením. Postup dokončení cílového nasazení najdete v článku Hybridní Azure AD připojení k cílovému nasazení. Organizace by měly zahrnovat ukázku uživatelů z různých rolí a profilů v této pilotní skupině. Cílové zavedení vám pomůže identifikovat všechny problémy, které váš plán nemusí vyřešit, než povolíte pro celou organizaci.

Některé organizace nemusí ke konfiguraci služby AD FS používat Azure AD Connect. Postup ruční konfigurace deklarací identity najdete v článku Konfigurace hybridního připojení k Azure Active Directory ručně.

Cloud pro státní správu

Pro organizace v Azure Government vyžaduje hybridní připojení Azure AD přístup k následujícím prostředkům Microsoftu ze sítě vaší organizace:

  • https://enterpriseregistration.microsoftonline.us
  • https://login.microsoftonline.us
  • https://device.login.microsoftonline.us
  • https://autologon.microsoft.us (Pokud používáte nebo plánujete bezproblémové jednotné přihlašování)

Řešení potíží s připojením k hybridnímu Azure AD

Pokud dochází k problémům s dokončením hybridního Azure AD připojení pro zařízení s Windows připojenými k doméně, přečtěte si téma:

Další kroky