A Microsoft Entra hibrid csatlakozásának konfigurálása

Az eszközök Microsoft Entra-azonosítóhoz való hozzáadása maximalizálja a felhasználói hatékonyságot az egyszeri bejelentkezés (SSO) révén a felhőben és a helyszíni erőforrásokban. Az erőforrásokhoz való hozzáférést egyidejűleg feltételes hozzáféréssel is biztonságossá teheti.

Előfeltételek

• A Microsoft Entra Connect 1.1.819.0-s vagy újabb verziója.
  • Ne zárja ki az alapértelmezett eszközattribútumokat a Microsoft Entra Connect Sync-konfigurációból. A Microsoft Entra ID-val szinkronizált alapértelmezett eszközattribútumokról további információt a Microsoft Entra Connect által szinkronizált attribútumok című témakörben talál.
  • Ha a Hibrid Microsoft Entra-hez csatlakoztatni kívánt eszközök számítógép-objektumai adott szervezeti egységekhez (OU-khoz) tartoznak, konfigurálja a megfelelő szervezeti egységeket a Microsoft Entra Connectben való szinkronizáláshoz. A számítógép-objektumok Microsoft Entra Connect használatával történő szinkronizálásáról további információt a Szervezeti egységen alapuló szűrés című témakörben talál.
• Hibrid identitás-rendszergazdai hitelesítő adatok a Microsoft Entra-bérlőhöz.
• Vállalati rendszergazdai hitelesítő adatok az egyes helyi Active Directory Domain Services-erdőkhöz.
• (Összevont tartományok esetén) Legalább Windows Server 2012 R2 Active Directory összevonási szolgáltatások (AD FS) telepítve.
• A felhasználók regisztrálhatják eszközeiket a Microsoft Entra-azonosítóval. Erről a beállításról az Eszközbeállítások konfigurálása című cikk Eszközbeállítások konfigurálása című szakaszában talál további információt.

Hálózati kapcsolati követelmények

A Microsoft Entra hibrid csatlakoztatásához szükséges, hogy az eszközök hozzáférjenek a következő Microsoft-erőforrásokhoz a szervezeti hálózaton:

• https://enterpriseregistration.windows.net
• https://login.microsoftonline.com
• https://device.login.microsoftonline.com
• https://autologon.microsoftazuread-sso.com (Ha közvetlen egyszeri bejelentkezést használ vagy készül használni)
• A szervezet biztonsági jogkivonat-szolgáltatása (STS) (összevont tartományokhoz)

Figyelmeztetés

Ha a szervezet olyan proxykiszolgálókat használ, amelyek ssl-forgalmat észlelnek olyan helyzetekben, mint az adatveszteség-megelőzés vagy a Microsoft Entra bérlői korlátozásai, győződjön meg arról, hogy a TLS-törés- és vizsgálat kizárja a forgalomból https://device.login.microsoftonline.com . Az URL-cím kizárásának elmulasztása zavarhatja az ügyféltanúsítvány-hitelesítést, problémákat okozhat az eszközregisztrációval és az eszközalapú feltételes hozzáféréssel kapcsolatban.

Ha a szervezetnek kimenő proxyn keresztül kell hozzáférnie az internethez, a Webes proxy automatikus felderítése (WPAD) használatával engedélyezheti a Windows 10 vagy újabb számítógépeket a Microsoft Entra ID-val való eszközregisztrációhoz. A WPAD konfigurálásával és kezelésével kapcsolatos problémák megoldásához tekintse meg az automatikus észlelés hibaelhárítását.

Ha nem használja a WPAD-et, a Windows 10 1709-től kezdődő csoportházirend-objektummal (GPO) konfigurálhatja a számítógépen a WinHTTP-proxybeállításokat. További információ: A csoportházirend-objektum által üzembe helyezett WinHTTP proxybeállítások.

Feljegyzés

Ha a winHTTP-beállítások használatával konfigurálja a proxybeállításokat a számítógépen, a konfigurált proxyhoz nem csatlakozni képes számítógépek nem fognak csatlakozni az internethez.

Ha a szervezetnek hitelesített kimenő proxyn keresztül kell hozzáférnie az internethez, győződjön meg arról, hogy a Windows 10 vagy újabb számítógépek sikeresen hitelesíthetik magukat a kimenő proxyn. Mivel a Windows 10 vagy újabb számítógépek gépi környezettel futtatják az eszközregisztrációt, a kimenő proxyhitelesítést gépi környezet használatával konfigurálja. A konfiguráció követelményeivel kapcsolatban forduljon a kimenő proxy szolgáltatójához.

Ellenőrizze, hogy az eszközök hozzáférhetnek-e a szükséges Microsoft-erőforrásokhoz a rendszerfiókban az eszközregisztrációs kapcsolat tesztelése szkript használatával.

Felügyelt tartományok

Úgy gondoljuk, hogy a legtöbb szervezet a Microsoft Entra hibrid csatlakozását felügyelt tartományokkal telepíti. A felügyelt tartományok jelszókivonat-szinkronizálást (PHS) vagy átmenő hitelesítést (PTA) használnak zökkenőmentes egyszeri bejelentkezéssel. A felügyelt tartományok esetében nincs szükség összevonási kiszolgáló konfigurálására.

Konfigurálja a Microsoft Entra hibrid csatlakozást a Microsoft Entra Connect használatával felügyelt tartományhoz:

1. Nyissa meg a Microsoft Entra Connectet, majd válassza a Konfigurálás lehetőséget.

2. A További feladatok területen válassza az Eszközbeállítások konfigurálása, majd a Tovább gombot.

3. Az Áttekintés területen válassza a Tovább lehetőséget.

4. A Microsoft Entra-azonosítóhoz való csatlakozáskor adja meg a Microsoft Entra-bérlő hibrid identitásadminisztrátorának hitelesítő adatait.

5. Az Eszközbeállítások területen válassza a Microsoft Entra hibrid csatlakoztatásának konfigurálása, majd a Tovább gombot.

6. Az Eszköz operációs rendszerekben válassza ki azOkat az operációs rendszereket, amelyeket az Active Directory-környezetben az eszközök használnak, majd válassza a Tovább lehetőséget.

7. Az SCP-konfigurációban minden olyan erdő esetében, ahol a Microsoft Entra Connect szolgáltatáskapcsolati pontot (SCP) szeretne konfigurálni, hajtsa végre az alábbi lépéseket, majd válassza a Tovább gombot.

   1. Válassza ki az erdőt.
   2. Válasszon ki egy hitelesítési szolgáltatást.
   3. Válassza a Hozzáadás lehetőséget a vállalati rendszergazdai hitelesítő adatok megadásához.

   

8. A Konfigurálásra kész területen válassza a Konfigurálás lehetőséget.

9. A Konfiguráció befejeződött elemében válassza a Kilépés lehetőséget.

Összevont tartományok

Az összevont környezetnek rendelkeznie kell egy identitásszolgáltatóval, amely támogatja az alábbi követelményeket. Ha összevont környezettel rendelkezik Active Directory összevonási szolgáltatások (AD FS) (AD FS) használatával, akkor az alábbi követelmények már támogatottak.

• WIAORMULTIAUTHN-jogcím: Ez a jogcím szükséges a Microsoft Entra hibrid csatlakoztatásához a Windows alacsonyabb szintű eszközökön.
• WS-Trust protokoll: Ez a protokoll szükséges a Windows aktuális Microsoft Entra hibrid csatlakoztatott eszközeinek Microsoft Entra-azonosítóval való hitelesítéséhez. Az AD FS használatakor engedélyeznie kell a következő WS-Trust végpontokat:
  • /adfs/services/trust/2005/windowstransport
  • /adfs/services/trust/13/windowstransport
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/services/trust/13/usernamemixed
  • /adfs/services/trust/2005/certificatemixed
  • /adfs/services/trust/13/certificatemixed

Figyelmeztetés

Az adfs/services/trust/2005/windowstransport és az adfs/services/trust/13/windowstransport csak intranetes elérésű végpontként engedélyezhető, és NEM szabad a webes alkalmazásproxy keresztül külső végpontként elérhetővé tenni. A WS-Trust Windows-végpontok letiltásáról további információt a WS-Trust Windows-végpontok letiltása a proxyn című témakörben talál. A Szolgáltatásvégpontok>területen az AD FS felügyeleti konzolon láthatja, hogy mely végpontok engedélyezettek.

Konfigurálja a Microsoft Entra hibrid csatlakozást a Microsoft Entra Connect használatával összevont környezethez:

1. Nyissa meg a Microsoft Entra Connectet, majd válassza a Konfigurálás lehetőséget.

2. A További feladatok lapon válassza az Eszközbeállítások konfigurálása, majd a Tovább gombot.

3. Az Áttekintés lapon válassza a Tovább gombot.

4. A Csatlakozás a Microsoft Entra-azonosítóhoz lapon adja meg a Microsoft Entra-bérlő hibrid identitásadminisztrátorának hitelesítő adatait, majd válassza a Tovább gombot.

5. Az Eszközbeállítások lapon válassza a Microsoft Entra hibrid csatlakoztatásának konfigurálása, majd a Tovább gombot.

6. Az SCP lapon hajtsa végre a következő lépéseket, majd válassza a Tovább elemet:

   1. Válassza ki az erdőt.
   2. Válassza ki a hitelesítési szolgáltatást. Az AD FS-kiszolgálót kell választania, kivéve, ha a szervezet kizárólag Windows 10 vagy újabb ügyfelekkel rendelkezik, és konfigurálja a számítógép-/eszközszinkronizálást, vagy ha a szervezet zökkenőmentes egyszeri bejelentkezést használ.
   3. Válassza a Hozzáadás lehetőséget a vállalati rendszergazdai hitelesítő adatok megadásához.

   

7. Az Eszköz operációs rendszerek lapon válassza ki azOkat az operációs rendszereket, amelyeket az Active Directory-környezet eszközei használnak, majd válassza a Tovább lehetőséget.

8. Az Összevonás konfigurációs lapján adja meg az AD FS-rendszergazda hitelesítő adatait, majd válassza a Tovább gombot.

9. A Konfigurálásra kész lapon válassza a Konfigurálás lehetőséget.

10. A Konfiguráció befejezése lapon válassza a Kilépés lehetőséget.

Összevonási kikötések

Windows 10 1803 vagy újabb rendszeren, ha az AD FS-t használó összevont környezethez való azonnali Microsoft Entra hibrid illesztés meghiúsul, a Microsoft Entra Connectre támaszkodva szinkronizáljuk a számítógép-objektumot a Microsoft Entra ID-ban a Microsoft Entra hibrid illesztés eszközregisztrációjának befejezéséhez.

Egyéb forgatókönyvek

A szervezetek a teljes bevezetés előtt tesztelhetik a Microsoft Entra hibrid csatlakozást a környezetük egy részhalmazán. A célzott üzembe helyezés végrehajtásának lépéseit a Microsoft Entra hibrid csatlakozás célzott üzembe helyezéséről szóló cikkben találja. A szervezeteknek a próbacsoport különböző szerepköreiből és profiljaiból származó felhasználók mintáját kell tartalmazniuk. A célzott bevezetés segít azonosítani azokat a problémákat, amelyekkel a terv nem foglalkozik, mielőtt engedélyezné a teljes szervezet számára.

Előfordulhat, hogy egyes szervezetek nem tudják használni a Microsoft Entra Connectet az AD FS konfigurálásához. A jogcímek manuális konfigurálásához szükséges lépéseket a Microsoft Entra hibrid csatlakoztatás manuális konfigurálása című cikkben találja.

US Government cloud (beleértve a GCCHigh és a DoD)

Az Azure Governmentben lévő szervezetek esetében a Microsoft Entra hibrid csatlakoztatásához az eszközöknek a szervezet hálózatán belül az alábbi Microsoft-erőforrásokhoz kell hozzáférniük:

• https://enterpriseregistration.windows.netés https://enterpriseregistration.microsoftonline.us
• https://login.microsoftonline.us
• https://device.login.microsoftonline.us
• https://autologon.microsoft.us (Ha közvetlen egyszeri bejelentkezést használ vagy készül használni)

A Microsoft Entra hibrid csatlakoztatásának hibaelhárítása

Ha problémákat tapasztal a Microsoft Entra hibrid csatlakozásának a tartományhoz csatlakoztatott Windows-eszközökhöz való elvégzésével kapcsolatban, tekintse meg a következőt:

• Eszközök hibaelhárítása a dsregcmd paranccsal
• A Microsoft Entra hibrid csatlakoztatásának hibaelhárítása a Windows aktuális eszközeihez
• A Microsoft Entra hibrid csatlakoztatásának hibaelhárítása windowsos alsó szintű eszközökhöz
• Függőben lévő eszközállapot hibaelhárítása

Kapcsolódó tartalom

• Microsoft Entra hibrid illesztés ellenőrzése
• A feltételes hozzáférés használata a megfelelő vagy a Microsoft Entra hibrid csatlakoztatott eszköz megköveteléséhez
• Vállalati Windows Hello üzembe helyezés megtervezése