Mengonfigurasi gabungan hibrid Microsoft Entra

Membawa perangkat Anda ke ID Microsoft Entra memaksimalkan produktivitas pengguna melalui akses menyeluruh (SSO) di seluruh sumber daya cloud dan lokal Anda. Anda dapat mengamankan akses ke berbagai sumber daya Anda dengan Akses Bersyarat secara bersamaan.

Prasyarat

• Microsoft Entra Connect versi 1.1.819.0 atau yang lebih baru.
  • Jangan kecualikan atribut perangkat default dari konfigurasi Microsoft Entra Connect Sync Anda. Untuk mempelajari selengkapnya tentang atribut perangkat default yang disinkronkan ke ID Microsoft Entra, lihat Atribut yang disinkronkan oleh Microsoft Entra Connect.
  • Jika objek komputer perangkat yang ingin Anda Microsoft Entra bergabung dengan hibrid milik unit organisasi (OU) tertentu, konfigurasikan OU yang benar untuk disinkronkan di Microsoft Entra Connect. Untuk mempelajari selengkapnya tentang cara menyinkronkan objek komputer dengan menggunakan Microsoft Entra Connect, lihat Pemfilteran berbasis unit organisasi.
• Kredensial Administrator Global untuk penyewa Microsoft Entra Anda.
• Kredensial administrator Enterprise untuk setiap forest Active Directory Domain Services lokal.
• (Untuk domain gabungan) Setidaknya Windows Server 2012 R2 dengan Active Directory Federation Services sudah terinstal.
• Pengguna dapat mendaftarkan perangkat mereka dengan ID Microsoft Entra. Informasi selengkapnya tentang pengaturan ini dapat ditemukan di bagian judul Mengonfigurasi pengaturan perangkat, pada artikel, Mengonfigurasi pengaturan perangkat.

Persyaratan konektivitas jaringan

Microsoft Entra gabungan hibrid mengharuskan perangkat memiliki akses ke sumber daya Microsoft berikut dari dalam jaringan organisasi Anda:

• https://enterpriseregistration.windows.net
• https://login.microsoftonline.com
• https://device.login.microsoftonline.com
• https://autologon.microsoftazuread-sso.com (Jika Anda menggunakan atau berencana untuk menggunakan SSO yang lancar)
• Layanan Token Keamanan (STS) organisasi Anda (Untuk domain terfederasi)

Peringatan

Jika organisasi Anda menggunakan server proksi yang mencegat lalu lintas SSL untuk skenario seperti pencegahan kehilangan data atau pembatasan penyewa Microsoft Entra, pastikan lalu lintas yang https://device.login.microsoftonline.com akan dikecualikan dari pembobolan dan pemeriksaan TLS. Kegagalan untuk mengecualikan URL ini dapat menyebabkan gangguan pada autentikasi sertifikat klien, menyebabkan masalah dengan pendaftaran perangkat, dan Akses Bersyarkat berbasis perangkat.

Jika organisasi Anda memerlukan akses ke internet melalui proksi keluar, Anda dapat menggunakan Penemuan Otomatis Proksi Web (WPAD) untuk mengaktifkan Windows 10 atau komputer yang lebih baru untuk pendaftaran perangkat dengan ID Microsoft Entra. Jika Anda mengalami masalah saat mengonfigurasi dan mengelola WPAD, lihatMemecahkan masalah deteksi otomatis.

Jika tidak menggunakan WPAD, Anda dapat mengonfigurasi pengaturan proxy WinHTTP di komputer dengan Objek Kebijakan Grup (GPO) mulai versi Windows 10 1709. Untuk informasi selengkapnya, lihat Pengaturan Proxy WinHTTP yang diterapkan oleh GPO.

Catatan

Jika Anda mengkonfigurasi pengaturan proxy di komputer Anda dengan menggunakan pengaturan WinHTTP, komputer apa pun yang tidak bisa tersambung ke proxy yang dikonfigurasi akan gagal tersambung ke internet.

Jika organisasi Anda memerlukan akses ke internet melalui proksi keluar yang diautentikasi, Anda harus memastikan bahwa komputer Windows 10 atau yang lebih baru berhasil mengautentikasi proksi keluar. Karena komputer Windows 10 atau yang lebih baru menjalankan pendaftaran perangkat dengan menggunakan konteks komputer, Anda harus mengonfigurasi autentikasi proksi keluar dengan menggunakan konteks komputer. Tindak lanjuti dengan penyedia proxy keluar Anda pada persyaratan konfigurasi.

Verifikasi bahwa perangkat dapat mengakses sumber daya Microsoft yang diperlukan pada akun sistem dengan menggunakan skrip Menguji Konektivitas Pendaftaran Perangkat.

Domain yang dikelola

Kami pikir sebagian besar organisasi akan menyebarkan Microsoft Entra gabungan hibrid dengan domain terkelola. Domain terkelola menggunakan sinkronisasi hash kata sandi (PHS) atau autentikasi pass-through (PTA) dengan akses menyeluruh tanpa hambatan. Skenario domain terkelola tidak perlu mengonfigurasi server federasi.

Konfigurasikan gabungan hibrid Microsoft Entra dengan menggunakan Microsoft Entra Connect untuk domain terkelola:

1. Mulai Microsoft Entra Sambungkan, lalu pilih Konfigurasikan.

2. Pada halaman Tugas tambahan, pilih Opsi konfigurasi perangkat, lalu pilih Berikutnya.

3. Di Gambaran Umum, pilih Berikutnya.

4. Di Sambungkan ke ID Microsoft Entra, masukkan kredensial Administrator Global untuk penyewa Microsoft Entra Anda.

5. Di Opsi perangkat, pilih Konfigurasikan Microsoft Entra gabungan hibrid, lalu pilih Berikutnya.

6. Pada halaman Sistem operasi perangkat, pilih sistem operasi yang digunakan perangkat di lingkungan penggunaan Active Directory Anda, lalu pilih Berikutnya.

7. Dalam konfigurasi SCP, untuk setiap forest tempat Anda ingin Microsoft Entra Sambungkan untuk mengonfigurasi SCP, selesaikan langkah-langkah berikut, lalu pilih Berikutnya.

   1. Pilih Forest.
   2. Pilih Layanan Autentikasi.
   3. Pilih Tambahkan untuk memasukkan kredensial administrator perusahaan.

   

8. Pada Siap dikonfigurasi, pilih Konfigurasikan.

9. Pada Konfigurasi selesai, pilih Keluar.

Domain gabungan

Lingkungan gabungan harus memiliki penyedia identitas yang mendukung persyaratan berikut. Jika Anda memiliki lingkungan gabungan menggunakan Layanan Federasi Direktori Aktif (AD FS), maka persyaratan di bawah ini sudah didukung.

• Klaim WIAORMULTIAUTHN: Klaim ini diperlukan untuk melakukan Microsoft Entra gabungan hibrid untuk perangkat tingkat bawah Windows.
• Protokol WS-Trust: Protokol ini diperlukan untuk mengautentikasi perangkat windows saat ini Microsoft Entra gabungan hibrid dengan ID Microsoft Entra. Saat menggunakan AD FS, Anda perlu mengaktifkan titik akhir WS-Trust berikut:
  • /adfs/services/trust/2005/windowstransport
  • /adfs/services/trust/13/windowstransport
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/services/trust/13/usernamemixed
  • /adfs/services/trust/2005/certificatemixed
  • /adfs/services/trust/13/certificatemixed

Peringatan

Baik adfs/services/trust/2005/windowstransport dan adfs/services/trust/13/windowstransport harus diaktifkan sebagai intranet yang menghadapi titik akhir saja dan TIDAK boleh diekspos sebagai ekstranet yang menghadapi titik akhir melalui Web Application Proxy. Untuk mempelajari selengkapnya tentang cara menonaktifkan titik akhir Windows WS-Trust, lihat Menonaktifkan titik akhir Windows WS-Trust pada proksi. Anda dapat melihat titik akhir apa yang diaktifkan melalui konsol manajemen AD FS di bagian Titik AkhirLayanan.

Konfigurasikan gabungan hibrid Microsoft Entra dengan menggunakan Microsoft Entra Connect untuk lingkungan federasi:

1. Mulai Microsoft Entra Sambungkan, lalu pilih Konfigurasikan.

2. Pada halaman Tugas tambahan, pilih Konfigurasi opsi perangkat, lalu pilih Berikutnya.

3. Di halaman Gambaran Umum, pilih Berikutnya.

4. Pada halaman Sambungkan ke ID Microsoft Entra, masukkan kredensial Administrator Global untuk penyewa Microsoft Entra Anda, lalu pilih Berikutnya.

5. Pada halaman Opsi perangkat, pilih Konfigurasikan Microsoft Entra gabungan hibrid, lalu pilih Berikutnya.

6. Pada halaman SCP, selesaikan langkah-langkah berikut, lalu pilih Berikutnya:

   1. Pilih hutan.
   2. Pilih layanan autentikasi. Anda harus memilih server AD FS kecuali organisasi Anda memiliki klien Windows 10 atau yang lebih baru secara eksklusif dan Anda telah mengonfigurasi sinkronisasi komputer/perangkat, atau organisasi Anda menggunakan SSO yang mulus.
   3. Pilih Tambahkan untuk memasukkan kredensial administrator perusahaan.

   

7. Pada halaman Sistem operasi perangkat, pilih sistem operasi yang digunakan perangkat di lingkungan penggunaan Active Directory Anda, lalu pilih Berikutnya.

8. Pada halaman Konfigurasi federasi, masukkan informasi masuk administrator AD FS Anda, lalu pilih Berikutnya.

9. Pada halaman Siap mengonfigurasi, pilih Konfigurasikan.

10. Pada halaman Konfigurasi selesai, pilih Keluar.

Peringatan penggabungan

Dengan Windows 10 1803 atau yang lebih baru, jika gabungan hibrid Microsoft Entra seketika untuk lingkungan federasi yang menggunakan Layanan Federasi Direktori Aktif gagal, kami mengandalkan Microsoft Entra Connect untuk menyinkronkan objek komputer di Microsoft Entra yang kemudian digunakan untuk menyelesaikan pendaftaran perangkat Microsoft Entra gabungan hibrid.

Skenario lain

Organisasi dapat menguji Microsoft Entra gabungan hibrid pada subset lingkungan mereka sebelum peluncuran penuh. Langkah-langkah untuk menyelesaikan penyebaran yang ditargetkan dapat ditemukan dalam artikel Microsoft Entra penyebaran yang ditargetkan gabungan hibrid. Organisasi harus menyertakan sampel pengguna dari berbagai peran dan profil di kelompok pilot ini. Peluncuran yang ditargetkan membantu mengidentifikasi masalah apa pun yang mungkin belum ditangani paket Anda sebelum Anda mengaktifkan untuk seluruh organisasi.

Beberapa organisasi mungkin tidak dapat menggunakan Microsoft Entra Connect untuk mengonfigurasi Layanan Federasi Direktori Aktif. Langkah-langkah untuk mengonfigurasi klaim secara manual dapat ditemukan dalam artikel Mengonfigurasi Microsoft Entra gabungan hibrid secara manual.

Cloud Pemerintah AS (termasuk GCCHigh dan DoD)

Untuk organisasi di Azure Government, gabungan hibrid Microsoft Entra mengharuskan perangkat memiliki akses ke sumber daya Microsoft berikut dari dalam jaringan organisasi Anda:

• https://enterpriseregistration.windows.netDanhttps://enterpriseregistration.microsoftonline.us
• https://login.microsoftonline.us
• https://device.login.microsoftonline.us
• https://autologon.microsoft.us (Jika Anda menggunakan atau berencana untuk menggunakan SSO yang lancar)

Memecahkan masalah gabungan hibrid Microsoft Entra

Jika Anda mengalami masalah dalam menyelesaikan Microsoft Entra gabungan hibrid untuk perangkat Windows yang bergabung dengan domain, lihat:

• Perangkat pemecahan masalah menggunakan perintah dsregcmd
• Memecahkan masalah gabungan hibrid Microsoft Entra untuk perangkat Windows saat ini
• Memecahkan masalah gabungan hibrid Microsoft Entra untuk perangkat tingkat bawah Windows
• Memecahkan masalah status perangkat yang tertunda

Langkah berikutnya

• Pengaktifan perangkat downlevel
• Microsoft Entra verifikasi gabungan hibrid
• Gunakan Akses Bersyarat untuk mewajibkan perangkat yang mematuhi atau Microsoft Entra gabungan hibrid
• Merencanakan Penyebaran Windows Hello untuk Bisnis