Planowanie implementacji dołączania hybrydowego firmy Microsoft Entra
Jeśli masz środowisko usług lokalna usługa Active Directory Domain Services (AD DS) i chcesz dołączyć komputery przyłączone do domeny usług AD DS do firmy Microsoft Entra ID, możesz wykonać to zadanie, wykonując sprzężenie hybrydowe firmy Microsoft Entra.
Napiwek
Dostęp logowania jednokrotnego (SSO) do zasobów lokalnych jest również dostępny dla urządzeń, które są przyłączone do firmy Microsoft. Aby uzyskać więcej informacji, zobacz Jak działa logowanie jednokrotne do zasobów lokalnych na urządzeniach dołączonych do firmy Microsoft.
Wymagania wstępne
W tym artykule założono, że znasz wprowadzenie do zarządzania tożsamościami urządzeń w usłudze Microsoft Entra ID.
Uwaga
Minimalna wymagana wersja kontrolera domeny dla systemu Windows 10 lub nowszego przyłączania hybrydowego firmy Microsoft Entra to Windows Server 2008 R2.
Urządzenia dołączone hybrydowo do firmy Microsoft Entra wymagają okresowo dostępu sieciowego do kontrolerów domeny. Bez tego połączenia urządzenia stają się bezużyteczne.
Scenariusze, które przerywają bez widoku do kontrolerów domeny, obejmują:
- Zmiana hasła urządzenia
- Zmiana hasła użytkownika (poświadczenia buforowane)
- Resetowanie modułu TPM (Trusted Platform Module)
Planowanie implementacji
Aby zaplanować hybrydową implementację firmy Microsoft Entra, zapoznaj się z:
- Przeglądanie obsługiwanych urządzeń
- Przejrzyj rzeczy, które należy znać
- Zapoznaj się z docelowym wdrożeniem dołączania hybrydowego firmy Microsoft Entra
- Wybieranie scenariusza na podstawie infrastruktury tożsamości
- Zapoznaj się z lokalną obsługą głównej nazwy użytkownika usługi Microsoft Windows Server Active Directory (UPN) dla dołączania hybrydowego firmy Microsoft Entra
Przeglądanie obsługiwanych urządzeń
Dołączanie hybrydowe firmy Microsoft Entra obsługuje szeroką gamę urządzeń z systemem Windows.
- Windows 11
- Windows 10
- Windows Server 2016
- Uwaga: klienci chmury krajowej platformy Azure wymagają wersji 1803
- Windows Server 2019
Najlepszym rozwiązaniem jest, aby firma Microsoft zaleca uaktualnienie do najnowszej wersji systemu Windows.
Przejrzyj rzeczy, które należy znać
Nieobsługiwane scenariusze
- Dołączanie hybrydowe firmy Microsoft Entra nie jest obsługiwane w przypadku systemu Windows Server z uruchomioną rolą kontrolera domeny (DC).
- System operacyjny Server Core nie obsługuje żadnej rejestracji urządzenia.
- Narzędzie do migracji stanu użytkownika (USMT) nie działa z rejestracją urządzenia.
Zagadnienia dotyczące tworzenia obrazów systemu operacyjnego
Jeśli używasz obrazu przed systemem Windows 10 1809 do instalacji, upewnij się, że obraz nie pochodzi z urządzenia, które zostało już zarejestrowane w usłudze Microsoft Entra ID jako dołączone hybrydowo do systemu Microsoft Entra.
Jeśli korzystasz z migawki maszyny wirtualnej w celu utworzenia większej liczby maszyn wirtualnych, upewnij się, że migawka nie pochodzi z maszyny wirtualnej, która jest już zarejestrowana w usłudze Microsoft Entra ID jako przyłączona hybrydowa firma Microsoft Entra.
Jeśli używasz ujednoliconego filtru zapisu i podobnych technologii, które usuwają zmiany dysku podczas ponownego uruchamiania, należy je zastosować po dołączeniu urządzenia hybrydowego firmy Microsoft Entra. Włączenie takich technologii przed ukończeniem przyłączania hybrydowego firmy Microsoft Entra powoduje, że urządzenie zostanie odłączone od każdego ponownego uruchomienia.
Obsługa urządzeń przy użyciu stanu zarejestrowanego przez firmę Microsoft
Jeśli urządzenia z systemem Windows 10 lub nowszym przyłączonym do domeny są zarejestrowane w dzierżawie przez firmę Microsoft Entra, może to prowadzić do podwójnego stanu urządzenia hybrydowego firmy Microsoft Entra i zarejestrowanego urządzenia firmy Microsoft Entra. Zalecamy uaktualnienie do systemu Windows 10 1803 (z zastosowanym KB4489894) lub nowszym, aby automatycznie rozwiązać ten scenariusz. W wersjach przed 1803 należy ręcznie usunąć stan zarejestrowany w usłudze Microsoft Entra przed włączeniem dołączania hybrydowego firmy Microsoft Entra. W wersjach 1803 i nowszych wprowadzono następujące zmiany, aby uniknąć tego stanu podwójnego:
- Każdy istniejący stan zarejestrowany w usłudze Microsoft Entra dla użytkownika zostanie automatycznie usunięty po dołączeniu urządzenia hybrydowego firmy Microsoft Entra i zalogowaniu się tego samego użytkownika. Jeśli na przykład użytkownik A ma na urządzeniu stan Zarejestrowane w usłudze Microsoft Entra, stan Podwójne dla użytkownika A zostanie wyczyszczony dopiero wtedy, gdy użytkownik A zaloguje się do urządzenia. Jeśli na tym samym urządzeniu jest wielu użytkowników, stan podwójny jest czyszczony indywidualnie podczas logowania tych użytkowników. Po usunięciu przez administratora stanu zarejestrowanego przez firmę Microsoft system Windows 10 wyrejestruje urządzenie z usługi Intune lub innego zarządzania urządzeniami przenośnymi (MDM), jeśli rejestracja miała miejsce w ramach rejestracji firmy Microsoft za pośrednictwem rejestracji automatycznej.
- Ta zmiana nie ma wpływu na stan Zarejestrowane przez firmę Microsoft na żadnych kontach lokalnych na urządzeniu. Dotyczy tylko kont domeny. Stan zarejestrowany w usłudze Microsoft Entra na kontach lokalnych nie jest usuwany automatycznie nawet po zalogowaniu użytkownika, ponieważ użytkownik nie jest użytkownikiem domeny.
- Możesz uniemożliwić zarejestrowanie urządzenia przyłączonego do domeny przez dodanie następującej wartości rejestru do HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001.
- W systemie Windows 10 1803, jeśli skonfigurowano Windows Hello dla firm, użytkownik musi ponownie skonfigurować Windows Hello dla firm po oczyszczeniu stanu podwójnego. Ten problem został rozwiązany przy użyciu KB4512509.
Uwaga
Mimo że systemy Windows 10 i Windows 11 automatycznie usuwają stan zarejestrowany w usłudze Microsoft Entra lokalnie, obiekt urządzenia w identyfikatorze Entra firmy Microsoft nie zostanie natychmiast usunięty, jeśli jest zarządzany przez usługę Intune. Możesz zweryfikować usunięcie stanu zarejestrowanego w usłudze Microsoft Entra, uruchamiając polecenie dsregcmd /status i rozważając, że urządzenie nie jest zarejestrowane w usłudze Microsoft Entra w oparciu o to.
Dołączanie hybrydowe firmy Microsoft Entra dla pojedynczego lasu, wielu dzierżaw firmy Microsoft Entra
Aby zarejestrować urządzenia jako przyłączanie hybrydowe firmy Microsoft do odpowiednich dzierżaw, organizacje muszą upewnić się, że konfiguracja punktu Połączenie ion usługi (SCP) jest wykonywana na urządzeniach, a nie w usłudze Microsoft Windows Server Active Directory. Więcej informacji na temat wykonywania tego zadania można znaleźć w artykule Microsoft Entra hybrid join targeted deployment (Wdrożenie docelowe dołączania hybrydowego firmy Microsoft Entra). Ważne jest, aby organizacje zrozumiały, że niektóre możliwości firmy Microsoft Entra nie działają w jednym lesie— wiele konfiguracji dzierżaw firmy Microsoft Entra.
- Zapisywanie zwrotne urządzeń nie działa. Ta konfiguracja ma wpływ na dostęp warunkowy oparty na urządzeniach dla aplikacji lokalnych, które są federacyjne przy użyciu usług AD FS. Ta konfiguracja ma również wpływ na wdrożenie Windows Hello dla firm w przypadku korzystania z modelu hybrydowego zaufania certyfikatu.
- Zapisywanie zwrotne grup nie działa. Ta konfiguracja ma wpływ na zapisywanie zwrotne grup usługi Office 365 w lesie z zainstalowanym programem Exchange.
- Bezproblemowe logowanie jednokrotne nie działa. Ta konfiguracja ma wpływ na scenariusze logowania jednokrotnego w organizacjach korzystających z platform przeglądarki, takich jak iOS lub Linux z przeglądarką Firefox, Safari lub Chrome bez rozszerzenia systemu Windows 10.
- Lokalna ochrona haseł firmy Microsoft entra nie działa. Ta konfiguracja ma wpływ na możliwość wprowadzania zmian haseł i zdarzeń resetowania haseł względem kontrolerów domeny usług lokalna usługa Active Directory Domain Services (AD DS) przy użyciu tych samych globalnych i niestandardowych list haseł, które są przechowywane w identyfikatorze Entra firmy Microsoft.
Inne uwagi
Jeśli środowisko korzysta z infrastruktury pulpitu wirtualnego (VDI), zobacz Tożsamość urządzenia i wirtualizacja pulpitu.
Dołączanie hybrydowe firmy Microsoft Entra jest obsługiwane w przypadku zgodnego ze standardem FIPS (Federal Information Processing Standard) modułu TPM 2.0 i nie jest obsługiwany w przypadku modułu TPM 1.2. Jeśli urządzenia mają zgodny ze standardem FIPS moduł TPM 1.2, należy je wyłączyć przed kontynuowaniem dołączania hybrydowego firmy Microsoft Entra. Firma Microsoft nie udostępnia żadnych narzędzi do wyłączania trybu FIPS dla modułów TPM, ponieważ jest zależna od producenta modułu TPM. Skontaktuj się ze sprzętem OEM, aby uzyskać pomoc techniczną.
Począwszy od wersji systemu Windows 10 1903, moduły TPM 1.2 nie są używane z przyłączania hybrydowego firmy Microsoft Entra i urządzenia z tymi modułami TPM są traktowane tak, jakby nie miały modułu TPM.
Zmiany nazwy UPN są obsługiwane tylko w przypadku aktualizacji systemu Windows 10 2004. W przypadku urządzeń przed aktualizacją systemu Windows 10 2004 użytkownicy mogą mieć problemy z logowaniem jednokrotnym i dostępem warunkowym na swoich urządzeniach. Aby rozwiązać ten problem, musisz cofnąć łączenie urządzenia z identyfikatora Entra firmy Microsoft (uruchom polecenie "dsregcmd /leave" z podwyższonym poziomem uprawnień) i ponownie dołącz (odbywa się automatycznie). Jednak użytkownicy logujący się przy użyciu Windows Hello dla firm nie napotykają tego problemu.
Zapoznaj się z docelowym dołączeniem hybrydowym firmy Microsoft Entra
Organizacje mogą chcieć wykonać ukierunkowane wdrożenie dołączania hybrydowego firmy Microsoft Entra przed włączeniem go dla całej organizacji. Zapoznaj się z artykułem Wdrożenie docelowe dołączania hybrydowego firmy Microsoft Entra, aby dowiedzieć się, jak to zrobić.
Ostrzeżenie
Organizacje powinny zawierać przykład użytkowników z różnych ról i profilów w grupie pilotażowej. Wdrożenie docelowe pomoże zidentyfikować wszelkie problemy, które plan mógł nie rozwiązać przed włączeniem dla całej organizacji.
Wybieranie scenariusza na podstawie infrastruktury tożsamości
Dołączenie hybrydowe firmy Microsoft Entra współdziała zarówno z środowiskami zarządzanymi, jak i federacyjnymi w zależności od tego, czy nazwa UPN jest routingowa, czy nie jest routingowa. Zobacz dół strony, aby zapoznać się z tabelą w obsługiwanych scenariuszach.
Środowisko zarządzane
Środowisko zarządzane można wdrożyć za pomocą funkcji synchronizacji skrótów haseł (PHS) lub uwierzytelniania przekazywanego (PTA) z bezproblemowym logowaniem jednokrotnym.
Te scenariusze nie wymagają skonfigurowania serwera federacyjnego na potrzeby uwierzytelniania (AuthN).
Uwaga
Uwierzytelnianie w chmurze przy użyciu wdrożenia etapowego jest obsługiwane tylko w przypadku aktualizacji systemu Windows 10 1903.
Środowisko federacyjne
Środowisko federacyjne powinno mieć dostawcę tożsamości, który obsługuje następujące wymagania. Jeśli masz środowisko federacyjne przy użyciu usług Active Directory Federation Services (AD FS), poniższe wymagania są już obsługiwane.
Protokół WS-Trust: ten protokół jest wymagany do uwierzytelniania urządzeń dołączonych hybrydowo do systemu Windows w bieżącej firmie Microsoft Entra przy użyciu identyfikatora Entra firmy Microsoft. W przypadku korzystania z usług AD FS należy włączyć następujące punkty końcowe WS-Trust:
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
Ostrzeżenie
Zarówno adfs/services/trust/2005/windowstransport lub adfs/services/trust/13/windowstransport należy włączyć jako punkty końcowe dostępne tylko w intranecie i nie mogą być uwidocznione jako punkty końcowe połączone z ekstranetem za pośrednictwem serwer proxy aplikacji sieci Web. Aby dowiedzieć się więcej na temat wyłączania punktów końcowych systemu Windows zaufania WS, zobacz Wyłączanie punktów końcowych systemu Windows zaufania WS na serwerze proxy. Możesz zobaczyć, jakie punkty końcowe są włączone, za pomocą konsoli zarządzania usług AD FS w obszarze Usługi>Punkty końcowe.
Począwszy od wersji 1.1.819.0, firma Microsoft Entra Połączenie udostępnia kreatora do konfigurowania dołączania hybrydowego firmy Microsoft Entra. Kreator pozwala znacznie uprościć proces konfiguracji. Jeśli instalacja wymaganej wersji programu Microsoft Entra Połączenie nie jest opcją, zobacz Jak ręcznie skonfigurować rejestrację urządzenia. Jeśli contoso.com jest zarejestrowana jako potwierdzona domena niestandardowa, użytkownicy mogą uzyskać żądanie ściągnięcia, nawet jeśli ich zsynchronizowany lokalny sufiks NAZWY UPN usług AD DS znajduje się w poddomenie, takiej jak test.contoso.com.
Przejrzyj lokalną obsługę nazwy UPN użytkowników lokalnej usługi Microsoft Windows Server Active Directory dla dołączania hybrydowego firmy Microsoft Entra
- Nazwa UPN użytkowników routable: routable UPN ma prawidłową zweryfikowaną domenę zarejestrowaną u rejestratora domen. Jeśli na przykład contoso.com jest domeną podstawową w usłudze Microsoft Entra ID, contoso.org jest domeną podstawową w lokalnej usłudze AD należącej do firmy Contoso i zweryfikowaną w identyfikatorze Entra firmy Microsoft.
- Nazwa UPN użytkowników bez routingu: nieobsługiwana nazwa UPN nie ma zweryfikowanej domeny i ma zastosowanie tylko w sieci prywatnej organizacji. Jeśli na przykład contoso.com jest domeną podstawową w usłudze Microsoft Entra ID, a contoso.local jest domeną podstawową w lokalnej usłudze AD, ale nie jest domeną weryfikowalną w Internecie i używaną tylko w sieci firmy Contoso.
Uwaga
Informacje w tej sekcji dotyczą tylko nazwy UPN użytkowników lokalnych. Nie ma zastosowania do sufiksu domeny komputera lokalnego (na przykład: computer1.contoso.local).
Poniższa tabela zawiera szczegółowe informacje na temat obsługi tych lokalnych nazw UPN usługi Microsoft Windows Server Active Directory w systemie Windows 10 Przyłączanie hybrydowe firmy Microsoft Entra:
Typ lokalnej nazwy UPN usługi Active Directory systemu Microsoft Windows Server | Typ domeny | Windows 10 w wersji | opis |
---|---|---|---|
Routingu | Federacyjni | Od wersji 1703 | Ogólnie dostępne |
Bez routingu | Federacyjni | Z wersji 1803 | Ogólnie dostępne |
Routingu | Zarządzana | Z wersji 1803 | Ogólnie dostępna funkcja microsoft Entra SSPR na ekranie blokady systemu Windows nie jest obsługiwana w środowiskach, w których lokalna nazwa UPN różni się od nazwy UPN firmy Microsoft Entra. Lokalna nazwa UPN musi być zsynchronizowana z atrybutem w identyfikatorze onPremisesUserPrincipalName Entra firmy Microsoft |
Bez routingu | Zarządzana | Nieobsługiwane |