Merencanakan implementasi gabungan hibrid Microsoft Entra Anda
Jika Anda memiliki lingkungan Active Directory lokal Domain Services (AD DS) dan ingin bergabung dengan komputer yang bergabung dengan domain AD DS ke MICROSOFT Entra ID, Anda dapat menyelesaikan tugas ini dengan melakukan gabungan hibrid Microsoft Entra.
Tip
Akses menyeluruh (SSO) ke sumber daya lokal juga tersedia untuk perangkat yang bergabung dengan Microsoft Entra. Untuk informasi selengkapnya, lihat Cara kerja SSO ke sumber daya lokal di perangkat yang bergabung dengan Microsoft Entra.
Prasyarat
Artikel ini mengasumsikan bahwa Anda terbiasa dengan Pengenalan manajemen identitas perangkat di ID Microsoft Entra.
Catatan
Versi pengontrol domain (DC) minimum yang diperlukan untuk Windows 10 atau gabungan hibrid Microsoft Entra yang lebih baru adalah Windows Server 2008 R2.
Perangkat gabungan hibrid Microsoft Entra memerlukan garis pandang jaringan ke pengontrol domain Anda secara berkala. Tanpa koneksi ini, perangkat menjadi tidak dapat digunakan.
Skenario yang berhenti tanpa garis pandang ke pengontrol domain Anda meliputi:
- Perubahan kata sandi perangkat
- Perubahan kata sandi pengguna (Kredensial cache)
- Reset Modul Platform Tepercaya (TPM)
Merencanakan implementasi Anda
Untuk merencanakan implementasi Microsoft Entra hibrid, Anda harus membiasakan diri dengan:
- Meninjau perangkat yang didukung
- Meninjau hal-hal yang harus Anda ketahui
- Meninjau penyebaran gabungan hibrid Microsoft Entra yang ditargetkan
- Pilih skenario Anda berdasarkan infrastruktur identitas Anda
- Tinjau dukungan nama prinsipal pengguna (UPN) Microsoft Windows Server Active Directory lokal untuk gabungan hibrid Microsoft Entra
Meninjau perangkat yang didukung
Gabungan hibrid Microsoft Entra mendukung berbagai perangkat Windows.
- Windows 11
- Windows 10
- Windows Server 2016
- Ingat: Pelanggan cloud Azure Nasional memerlukan versi 1803
- Server Windows 2019
Sebagai praktik terbaik, Microsoft menyarankan Anda untuk meningkatkan ke versi terbaru Windows.
Meninjau hal-hal yang harus Anda ketahui
Skenario yang tidak didukung
- Gabungan hibrid Microsoft Entra tidak didukung untuk Windows Server yang menjalankan peran Pengendali Domain (DC).
- OS Server Core tidak mendukung semua jenis pendaftaran perangkat.
- Alat Migrasi Status Pengguna (USMT) tidak berfungsi dengan pendaftaran perangkat.
Pertimbangan pencitraan OS
Jika Anda mengandalkan Alat Persiapan Sistem (Sysprep) dan jika Anda menggunakan gambar pra-Windows 10 1809 untuk penginstalan, pastikan bahwa gambar bukan dari perangkat yang sudah terdaftar dengan ID Microsoft Entra sebagai gabungan hibrid Microsoft Entra.
Jika Anda mengandalkan rekam jepret Komputer Virtual (VM) untuk membuat lebih banyak VM, pastikan bahwa rekam jepret bukan dari VM yang sudah terdaftar di MICROSOFT Entra ID sebagai gabungan hibrid Microsoft Entra.
Jika Anda menggunakan Filter Tulis Terpadu dan teknologi serupa yang menghapus perubahan pada disk saat reboot, mereka harus diterapkan setelah perangkat bergabung dengan hibrid Microsoft Entra. Mengaktifkan teknologi tersebut sebelum penyelesaian gabungan hibrid Microsoft Entra menghasilkan perangkat tidak bergabung pada setiap boot ulang.
Menangani perangkat dengan status terdaftar Microsoft Entra
Jika perangkat yang bergabung dengan domain Windows 10 atau yang lebih baru adalah Microsoft Entra yang terdaftar ke penyewa Anda, itu dapat menyebabkan status ganda gabungan hibrid Microsoft Entra dan perangkat terdaftar Microsoft Entra. Kami menyarankan untuk meningkatkan ke Windows 10 1803 (dengan KB4489894 diterapkan) atau di atasnya untuk mengatasi skenario ini secara otomatis. Dalam rilis pra-1803, Anda perlu menghapus status terdaftar Microsoft Entra secara manual sebelum mengaktifkan gabungan hibrid Microsoft Entra. Pada rilis tahun 1803 ke atas, perubahan berikut dilakukan untuk menghindari status ganda ini:
- Status terdaftar Microsoft Entra yang ada untuk pengguna akan dihapus secara otomatis setelah perangkat bergabung dengan Microsoft Entra hybrid dan pengguna yang sama masuk. Misalnya, jika Pengguna A memiliki status terdaftar Microsoft Entra di perangkatnya, status ganda untuk Pengguna A hanya dihapus saat Pengguna A masuk ke perangkat tersebut. Jika ada beberapa pengguna pada perangkat yang sama, status ganda dibersihkan satu per satu saat pengguna tersebut masuk. Setelah admin menghapus status terdaftar Microsoft Entra, Windows 10 akan membatalkan pendaftaran perangkat dari Intune atau manajemen perangkat seluler (MDM) lainnya, jika pendaftaran terjadi sebagai bagian dari pendaftaran Microsoft Entra melalui pendaftaran otomatis.
- Status terdaftar Microsoft Entra pada akun lokal apa pun di perangkat tidak terpengaruh oleh perubahan ini. Ini hanya berlaku untuk akun domain. Status terdaftar Microsoft Entra di akun lokal tidak dihapus secara otomatis bahkan setelah pengguna masuk, karena pengguna bukan pengguna domain.
- Anda dapat mencegah perangkat yang bergabung dengan domain Anda menjadi Microsoft Entra terdaftar dengan menambahkan nilai registri berikut ke HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001.
- Di Windows 10 1803, jika Windows Hello untuk Bisnis Anda terkonfigurasi, pengguna perlu mengatur ulang Windows Hello untuk Bisnis setelah pembersihan status ganda. Masalah ini diatasi dengan KB4512509.
Catatan
Meskipun Windows 10 dan Windows 11 secara otomatis menghapus status terdaftar Microsoft Entra secara lokal, objek perangkat di ID Microsoft Entra tidak segera dihapus jika dikelola oleh Intune. Anda dapat memvalidasi penghapusan status terdaftar Microsoft Entra dengan menjalankan dsregcmd /status dan menganggap perangkat tidak terdaftar sebagai Microsoft Entra berdasarkan itu.
Gabungan hibrid Microsoft Entra untuk forest tunggal, beberapa penyewa Microsoft Entra
Untuk mendaftarkan perangkat sebagai gabungan hibrid Microsoft Entra ke penyewa masing-masing, organisasi perlu memastikan bahwa konfigurasi Service Koneksi ion Point (SCP) dilakukan pada perangkat dan bukan di Microsoft Windows Server Active Directory. Detail selengkapnya tentang cara menyelesaikan tugas ini dapat ditemukan dalam artikel Penyebaran yang ditargetkan gabungan hibrid Microsoft Entra. Penting bagi organisasi untuk memahami bahwa kemampuan Microsoft Entra tertentu tidak berfungsi dalam satu forest, beberapa konfigurasi penyewa Microsoft Entra.
- Tulis balik perangkat tidak berfungsi. Konfigurasi ini memengaruhi Akses Bersyarkat berbasis Perangkat untuk aplikasi lokal yang digabungkan menggunakan Layanan Federasi Direktori Aktif. Konfigurasi ini juga memengaruhi Penyebaran Windows Hello untuk Bisnis saat menggunakan model Hybrid Cert Trust.
- Penulisan balik grup tidak berfungsi. Konfigurasi ini memengaruhi tulis balik Grup Office 365 ke siratan dengan Exchange terinstal.
- SSO Tanpa Hambatan tidak berfungsi. Konfigurasi ini memengaruhi skenario SSO di organisasi yang menggunakan platform browser seperti iOS atau Linux dengan Firefox, Safari, atau Chrome tanpa ekstensi Windows 10.
- Perlindungan Kata Sandi Microsoft Entra lokal tidak berfungsi. Konfigurasi ini memengaruhi kemampuan untuk melakukan perubahan kata sandi dan peristiwa reset kata sandi terhadap pengendali domain Active Directory lokal Domain Services (AD DS) menggunakan daftar kata sandi terlarang global dan kustom yang sama yang disimpan di ID Microsoft Entra.
Pertimbangan lain
Jika lingkungan Anda menggunakan infrastruktur desktop virtual (VDI), lihat Identitas perangkat dan virtualisasi desktop.
Gabungan hibrid Microsoft Entra didukung untuk TPM 2.0 yang mematuhi Standar Pemrosesan Informasi Federal (FIPS) dan tidak didukung untuk TPM 1.2. Jika perangkat Anda memiliki TPM 1.2 yang mematuhi FIPS, Anda harus menonaktifkannya sebelum melanjutkan dengan gabungan hibrid Microsoft Entra. Microsoft tidak menyediakan alat apa pun guna menonaktifkan mode FIPS untuk TPM karena mode tersebut bergantung pada produsen TPM. Hubungi OEM perangkat keras Anda untuk dukungan.
Mulai dari rilis Windows 10 1903, TPM 1.2 tidak digunakan dengan gabungan hibrid Microsoft Entra dan perangkat dengan TPM tersebut diperlakukan seolah-olah mereka tidak memiliki TPM.
Perubahan UPN hanya didukung mulai pembaruan Windows 10 2004. Untuk perangkat sebelum pembaruan Windows 10 2004, pengguna akan mengalami masalah SSO dan Akses Bersyarat di perangkatnya. Untuk mengatasi masalah ini, Anda perlu membatalkan bergabung dengan perangkat dari ID Microsoft Entra (jalankan "dsregcmd /leave" dengan hak istimewa yang ditinggikan) dan bergabung kembali (terjadi secara otomatis). Namun, pengguna yang masuk dengan Windows Hello untuk Bisnis tidak mengalami masalah ini.
Meninjau gabungan hibrid Microsoft Entra yang ditargetkan
Organisasi mungkin ingin melakukan peluncuran gabungan hibrid Microsoft Entra yang ditargetkan sebelum mengaktifkannya untuk seluruh organisasi mereka. Tinjau artikel Penyebaran yang ditargetkan gabungan hibrid Microsoft Entra untuk memahami cara menyelesaikannya.
Peringatan
Organisasi harus menyertakan sampel pengguna dari berbagai peran dan profil dalam kelompok pilot mereka. Peluncuran yang ditargetkan akan membantu mengidentifikasi masalah apa pun yang mungkin belum ditangani paket Anda sebelum Anda mengaktifkan untuk seluruh organisasi.
Pilih skenario Anda berdasarkan infrastruktur identitas Anda
Gabungan hibrid Microsoft Entra berfungsi dengan lingkungan terkelola dan terfederasi tergantung pada apakah UPN dapat dirutekan atau tidak dapat dirutekan. Lihat bagian bawah halaman untuk tabel tentang skenario yang didukung.
Lingkungan terkelola
Lingkungan terkelola dapat disebarkan baik melalui Sinkronisasi Hash Kata Sandi (PHS) atau Autentikasi Pass Through (PTA) dengan akses menyeluruh Tanpa Hambatan.
Skenario ini tidak mengharuskan Anda mengonfigurasi server federasi untuk autentikasi (AuthN).
Catatan
Autentikasi cloud menggunakan peluncuran Bertahap hanya didukung mulai pembaruan Windows 10 1903.
Lingkungan terfederasi
Lingkungan gabungan harus memiliki penyedia identitas yang mendukung persyaratan berikut. Jika Anda memiliki lingkungan gabungan menggunakan Layanan Federasi Direktori Aktif (AD FS), maka persyaratan di bawah ini sudah didukung.
Protokol WS-Trust: Protokol ini diperlukan untuk mengautentikasi perangkat gabungan hibrid Microsoft Entra windows saat ini dengan ID Microsoft Entra. Saat Menggunakan Layanan Federasi Direktori Aktif, Anda perlu mengaktifkan titik akhir WS-Trust berikut:
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
Peringatan
Baik adfs/services/trust/2005/windowstransport dan adfs/services/trust/13/windowstransport harus diaktifkan sebagai intranet yang menghadapi titik akhir saja dan harus TIDAK diekspos sebagai ekstranet yang menghadapi titik akhir melalui Proksi Aplikasi Web. Untuk mempelajari selengkapnya tentang cara menonaktifkan titik akhir Windows WS-Trust, lihat Menonaktifkan titik akhir Windows WS-Trust pada proksi. Anda dapat melihat titik akhir apa yang diaktifkan melalui konsol manajemen AD FS di bagian Titik Akhir>Layanan.
Dimulai dengan versi 1.1.819.0, Microsoft Entra Koneksi memberi Anda wizard untuk mengonfigurasi gabungan hibrid Microsoft Entra. Wizard memungkinkan Anda untuk menyederhanakan proses konfigurasi secara signifikan. Jika menginstal versi Microsoft Entra Koneksi yang diperlukan bukan opsi untuk Anda, lihat Cara mengonfigurasi pendaftaran perangkat secara manual. Jika contoso.com terdaftar sebagai domain kustom yang dikonfirmasi, pengguna bisa mendapatkan PRT bahkan jika akhiran UPN AD DS lokal yang disinkronkan berada dalam subdomain seperti test.contoso.com.
Tinjau dukungan UPN pengguna Microsoft Windows Server Active Directory lokal untuk gabungan hibrid Microsoft Entra
- UPN pengguna yang dapat dirutekan: UPN yang dapat dirutekan memiliki domain terverifikasi yang valid yang terdaftar di pencatat domain. Misalnya, jika contoso.com adalah domain utama di ID Microsoft Entra, contoso.org adalah domain utama di AD lokal yang dimiliki oleh Contoso dan diverifikasi di ID Microsoft Entra.
- UPN pengguna yang tidak dapat dirutekan: UPN yang tidak dapat dirutekan tidak memiliki domain terverifikasi dan hanya berlaku dalam jaringan pribadi organisasi Anda. Misalnya, jika contoso.com adalah domain utama di MICROSOFT Entra ID dan contoso.local adalah domain utama di AD lokal tetapi bukan domain yang dapat diverifikasi di internet dan hanya digunakan dalam jaringan Contoso.
Catatan
Informasi di bagian ini hanya berlaku untuk UPN pengguna lokal. Ini tidak berlaku untuk akhiran domain komputer lokal (contohnya: computer1.contoso.local).
Tabel berikut ini menyediakan detail tentang dukungan untuk UPN Microsoft Windows Server Active Directory lokal ini di gabungan hibrid Microsoft Entra Windows 10:
Jenis UPN Microsoft Windows Server Active Directory lokal | Jenis domain | Versi Windows 10 | Deskripsi |
---|---|---|---|
Dapat dirutekan | Gabungan | Dari rilis 1703 | Tersedia secara umum |
Tidak dapat dirutekan | Gabungan | Dari rilis 1803 | Tersedia secara umum |
Dapat dirutekan | Terkelola | Dari rilis 1803 | Umumnya tersedia, Microsoft Entra SSPR pada layar kunci Windows tidak didukung di lingkungan di mana UPN lokal berbeda dari UPN Microsoft Entra. UPN lokal harus disinkronkan ke onPremisesUserPrincipalName atribut di ID Microsoft Entra |
Tidak dapat dirutekan | Terkelola | Tidak didukung |