Udostępnij za pośrednictwem


Konfigurowanie dołączania hybrydowego firmy Microsoft Entra

Przenoszenie urządzeń do usługi Microsoft Entra ID pozwala zmaksymalizować produktywność użytkowników za pomocą logowania jednokrotnego w zasobach w chmurze i zasobach lokalnych. Dostęp do zasobów można zabezpieczyć za pomocą dostępu warunkowego w tym samym czasie.

Wymagania wstępne

  • Microsoft Entra Connect w wersji 1.1.819.0 lub nowszej.
    • Nie wykluczaj domyślnych atrybutów urządzenia z konfiguracji programu Microsoft Entra Connect Sync. Aby dowiedzieć się więcej o domyślnych atrybutach urządzenia synchronizowanych z identyfikatorem Entra firmy Microsoft, zobacz Atrybuty synchronizowane przez program Microsoft Entra Connect.
    • Jeśli obiekty komputera urządzeń, które mają być przyłączone hybrydą firmy Microsoft Entra, należą do określonych jednostek organizacyjnych (OU), skonfiguruj poprawne jednostki organizacyjne do synchronizacji w programie Microsoft Entra Connect. Aby dowiedzieć się więcej na temat synchronizowania obiektów komputerów przy użyciu programu Microsoft Entra Connect, zobacz Filtrowanie oparte na jednostkach organizacyjnych.
  • Poświadczenia administratora tożsamości hybrydowej dla dzierżawy firmy Microsoft Entra.
  • Poświadczenia administratora przedsiębiorstwa dla każdego z lasów usług domenowych lokalna usługa Active Directory.
  • (W przypadku domen federacyjnych) Co najmniej system Windows Server 2012 R2 z zainstalowanymi usługami Active Directory Federation Services.
  • Użytkownicy mogą rejestrować swoje urządzenia za pomocą identyfikatora Entra firmy Microsoft. Więcej informacji na temat tego ustawienia można znaleźć w nagłówku Konfigurowanie ustawień urządzenia, w artykule Konfigurowanie ustawień urządzenia.

Wymagania dotyczące łączności sieciowej

Przyłączenie hybrydowe do usługi Microsoft Entra wymaga, aby urządzenia miały dostęp do następujących zasobów firmy Microsoft z wewnątrz sieci organizacji:

  • https://enterpriseregistration.windows.net
  • https://login.microsoftonline.com
  • https://device.login.microsoftonline.com
  • https://autologon.microsoftazuread-sso.com (jeśli korzystasz z bezproblemowego logowania jednokrotnego lub planujesz z niego korzystać)
  • Usługa tokenu zabezpieczającego organizacji (STS) (dla domen federacyjnych)

Ostrzeżenie

Jeśli Organizacja używa serwerów proxy, które przechwytowują ruch SSL w scenariuszach, takich jak zapobieganie utracie danych lub ograniczenia dzierżawy firmy Microsoft Entra, upewnij się, że ruch do https://device.login.microsoftonline.com jest wykluczony z przerwania i inspekcji protokołu TLS. Nie można wykluczyć tego adresu URL może spowodować zakłócenia uwierzytelniania certyfikatu klienta, spowodować problemy z rejestracją urządzenia i dostępem warunkowym opartym na urządzeniach.

Jeśli Twoja organizacja wymaga dostępu do Internetu za pośrednictwem serwera proxy ruchu wychodzącego, możesz użyć funkcji automatycznego odnajdywania serwera proxy sieci Web (WPAD), aby włączyć system Windows 10 lub nowsze komputery na potrzeby rejestracji urządzeń za pomocą identyfikatora Entra firmy Microsoft. Aby rozwiązać problemy z konfigurowaniem funkcji WPAD i zarządzaniem nią, zobacz Rozwiązywanie problemów z wykrywaniem automatycznym.

Jeśli nie używasz WPAD, możesz skonfigurować ustawienia serwera proxy WinHTTP na komputerze przy użyciu obiektu zasad grupy (GPO) począwszy od systemu Windows 10 1709. Aby uzyskać więcej informacji, zobacz Ustawienia serwera proxy WinHTTP wdrożone przez obiekt zasad grupy.

Uwaga

Jeśli skonfigurujesz ustawienia serwera proxy na komputerze przy użyciu ustawień WinHTTP, wszystkie komputery, które nie mogą nawiązać połączenia ze skonfigurowanym serwerem proxy, nie będą mogły nawiązać połączenia z Internetem.

Jeśli Twoja organizacja wymaga dostępu do Internetu za pośrednictwem uwierzytelnionego serwera proxy ruchu wychodzącego, upewnij się, że komputery z systemem Windows 10 lub nowszym mogą pomyślnie uwierzytelnić się na serwerze proxy ruchu wychodzącego. Ponieważ system Windows 10 lub nowsze komputery uruchamiają rejestrację urządzeń przy użyciu kontekstu komputera, skonfiguruj uwierzytelnianie wychodzącego serwera proxy przy użyciu kontekstu komputera. Skontaktuj się z dostawcą serwera proxy ruchu wychodzącego, aby uzyskać informacje na temat wymagań dotyczących konfiguracji.

Sprawdź, czy urządzenia mogą uzyskać dostęp do wymaganych zasobów firmy Microsoft na koncie systemowym przy użyciu skryptu Testuj łączność rejestracji urządzeń.

Domeny zarządzane

Uważamy, że większość organizacji wdraża dołączanie hybrydowe firmy Microsoft Entra z domenami zarządzanymi. Domeny zarządzane używają synchronizacji skrótów haseł (PHS) lub uwierzytelniania przekazywanego (PTA) z bezproblemowym logowaniem jednokrotnym. Scenariusze domeny zarządzanej nie wymagają skonfigurowania serwera federacyjnego.

Konfigurowanie dołączania hybrydowego firmy Microsoft Entra przy użyciu programu Microsoft Entra Connect dla domeny zarządzanej:

  1. Otwórz program Microsoft Entra Connect, a następnie wybierz pozycję Konfiguruj.

  2. W obszarze Dodatkowe zadania wybierz pozycję Konfiguruj opcje urządzenia, a następnie wybierz pozycję Dalej.

  3. W obszarze Przegląd wybierz pozycję Dalej.

  4. W obszarze Połącz z identyfikatorem entra firmy Microsoft wprowadź poświadczenia administratora tożsamości hybrydowej dla dzierżawy firmy Microsoft Entra.

  5. W obszarze Opcje urządzenia wybierz pozycję Konfiguruj przyłączenie hybrydowe firmy Microsoft Entra, a następnie wybierz przycisk Dalej.

  6. W obszarze Systemy operacyjne urządzenia wybierz systemy operacyjne używane przez urządzenia w środowisku usługi Active Directory, a następnie wybierz przycisk Dalej.

  7. W konfiguracji punktu połączenia usługi dla każdego lasu, w którym chcesz, aby program Microsoft Entra Connect skonfigurował punkt połączenia z usługą (SCP), wykonaj następujące kroki, a następnie wybierz przycisk Dalej.

    1. Wybierz las.
    2. Wybierz usługę uwierzytelniania.
    3. Wybierz pozycję Dodaj , aby wprowadzić poświadczenia administratora przedsiębiorstwa.

    Zrzut ekranu przedstawiający program Microsoft Entra Connect i opcje konfiguracji punktu połączenia usługi w domenie zarządzanej.

  8. W obszarze Gotowe do skonfigurowania wybierz pozycję Konfiguruj.

  9. W obszarze Konfiguracja zakończ wybierz pozycję Zakończ.

Domeny federacyjne

Środowisko federacyjne powinno mieć dostawcę tożsamości, który obsługuje następujące wymagania. Jeśli masz środowisko federacyjne przy użyciu usług Active Directory Federation Services (AD FS), poniższe wymagania są już obsługiwane.

  • Oświadczenie WIAORMULTIAUTHN: to oświadczenie jest wymagane do wykonania przyłączenia hybrydowego firmy Microsoft Entra dla urządzeń z systemem Windows na poziomie podrzędnym.
  • Protokół WS-Trust: ten protokół jest wymagany do uwierzytelniania urządzeń dołączonych hybrydowo do systemu Windows w bieżącej firmie Microsoft Entra przy użyciu identyfikatora Entra firmy Microsoft. W przypadku korzystania z usług AD FS należy włączyć następujące punkty końcowe WS-Trust:
    • /adfs/services/trust/2005/windowstransport
    • /adfs/services/trust/13/windowstransport
    • /adfs/services/trust/2005/usernamemixed
    • /adfs/services/trust/13/usernamemixed
    • /adfs/services/trust/2005/certificatemixed
    • /adfs/services/trust/13/certificatemixed

Ostrzeżenie

Zarówno adfs/services/trust/2005/windowstransport, adfs/services/trust/13/windowstransport powinny być włączone jako punkty końcowe dostępne tylko w intranecie i nie mogą być uwidocznione jako punkty końcowe połączone z ekstranetem za pośrednictwem serwer proxy aplikacji sieci Web. Aby dowiedzieć się więcej na temat wyłączania punktów końcowych systemu Windows zaufania WS, zobacz Wyłączanie punktów końcowych systemu Windows zaufania WS na serwerze proxy. Możesz zobaczyć, jakie punkty końcowe są włączone, za pomocą konsoli zarządzania usług AD FS w obszarze Usługi>Punkty końcowe.

Konfigurowanie dołączania hybrydowego firmy Microsoft Entra przy użyciu programu Microsoft Entra Connect dla środowiska federacyjnego:

  1. Otwórz program Microsoft Entra Connect, a następnie wybierz pozycję Konfiguruj.

  2. Na stronie Dodatkowe zadania wybierz pozycję Konfiguruj opcje urządzenia, a następnie wybierz pozycję Dalej.

  3. Na stronie Przegląd wybierz pozycję Dalej.

  4. Na stronie Łączenie z identyfikatorem entra firmy Microsoft wprowadź poświadczenia administratora tożsamości hybrydowej dla dzierżawy firmy Microsoft Entra, a następnie wybierz przycisk Dalej.

  5. Na stronie Opcje urządzenia wybierz pozycję Konfiguruj przyłączenie hybrydowe firmy Microsoft Entra, a następnie wybierz przycisk Dalej.

  6. Na stronie SCP wykonaj następujące kroki, a następnie wybierz pozycję Dalej:

    1. Wybierz las.
    2. Wybierz usługę uwierzytelniania. Należy wybrać serwer usług AD FS, chyba że twoja organizacja ma wyłącznie klientów z systemem Windows 10 lub nowszych i konfigurujesz synchronizację komputerów/urządzeń lub organizacja korzysta z bezproblemowego logowania jednokrotnego.
    3. Wybierz pozycję Dodaj , aby wprowadzić poświadczenia administratora przedsiębiorstwa.

    Zrzut ekranu przedstawiający program Microsoft Entra Connect i opcje konfiguracji punktu połączenia usługi w domenie federacyjnej.

  7. Na stronie Systemy operacyjne urządzenia wybierz systemy operacyjne używane przez urządzenia w środowisku usługi Active Directory, a następnie wybierz przycisk Dalej.

  8. Na stronie Konfiguracja federacji wprowadź poświadczenia administratora usług AD FS, a następnie wybierz przycisk Dalej.

  9. Na stronie Gotowe do skonfigurowania wybierz pozycję Konfiguruj.

  10. Na stronie Konfiguracja ukończona wybierz pozycję Zakończ.

Zastrzeżenia federacji

W systemie Windows 10 1803 lub nowszym, jeśli natychmiastowe przyłączenie hybrydowe Microsoft Entra dla środowiska federacyjnego przy użyciu usług AD FS kończy się niepowodzeniem, polegamy na firmie Microsoft Entra Connect, aby zsynchronizować obiekt komputera w usłudze Microsoft Entra ID, aby ukończyć rejestrację urządzenia dla przyłączenia hybrydowego firmy Microsoft Entra.

Inne scenariusze

Organizacje mogą testować dołączanie hybrydowe firmy Microsoft Entra do podzbioru środowiska przed pełnym wdrożeniem. Kroki ukończenia wdrożenia docelowego można znaleźć w artykule Microsoft Entra hybrid join targeted deployment (Wdrożenie docelowe dołączania hybrydowego firmy Microsoft Entra). Organizacje powinny zawierać przykład użytkowników z różnych ról i profilów w tej grupie pilotażowej. Wdrożenie ukierunkowane pomaga zidentyfikować wszelkie problemy, które plan może nie rozwiązać przed włączeniem dla całej organizacji.

Niektóre organizacje mogą nie być w stanie skonfigurować usług AD FS za pomocą programu Microsoft Entra Connect. Kroki ręcznego konfigurowania oświadczeń można znaleźć w artykule Konfigurowanie przyłączania hybrydowego firmy Microsoft Entra ręcznie.

Chmura dla instytucji rządowych USA (w tym GCCHigh i DoD)

W przypadku organizacji w usłudze Azure Government dołączenie hybrydowe firmy Microsoft Entra wymaga, aby urządzenia miały dostęp do następujących zasobów firmy Microsoft z sieci organizacji:

  • https://enterpriseregistration.windows.neti https://enterpriseregistration.microsoftonline.us
  • https://login.microsoftonline.us
  • https://device.login.microsoftonline.us
  • https://autologon.microsoft.us (jeśli korzystasz z bezproblemowego logowania jednokrotnego lub planujesz z niego korzystać)

Rozwiązywanie problemów z przyłączem hybrydowym firmy Microsoft Entra

Jeśli wystąpią problemy z ukończeniem dołączania hybrydowego firmy Microsoft Entra dla urządzeń z systemem Windows przyłączonych do domeny, zobacz: