Configurar a associação ao Azure AD híbrido

Trazer os seus dispositivos para Azure AD maximiza a produtividade do utilizador através de um único sign-on (SSO) através da sua nuvem e recursos no local. Pode garantir o acesso aos seus recursos com acesso condicional ao mesmo tempo.

Pré-requisitos

  • Azure AD Ligue a versão 1.1.819.0 ou mais tarde.
    • Não exclua os atributos predefinidos do dispositivo da configuração de sincronização Azure AD Connect. Para saber mais sobre os atributos padrão do dispositivo sincronizados Azure AD, consulte Atributos sincronizados por Azure AD Connect.
    • Se os objetos informáticos dos dispositivos que pretende ser híbridos Azure AD unidos pertencerem a unidades organizacionais específicas (OUs), configure as OUs corretas para sincronizar em Azure AD Connect. Para saber mais sobre como sincronizar objetos de computador utilizando Azure AD Connect, consulte a filtragem baseada em unidades organizacionais.
  • Credenciais de administrador global para o seu inquilino Azure AD.
  • Credenciais de administrador empresarial para cada uma das florestas de serviços de domínio Ative Directory no local.
  • (Para domínios federados) Pelo menos Windows Server 2012 R2 com Serviços de Federação do Ative Directory (AD FS) instalada.
  • Os utilizadores podem registar os seus dispositivos com Azure AD. Mais informações sobre esta definição podem ser encontradas nas definições do dispositivo configuração da posição Configure, no artigo, configurações do dispositivo Configure.

Requisitos de conectividade da rede

A associação híbrida do AAD requer que os dispositivos tenham acesso aos seguintes recursos da Microsoft a partir da rede da sua organização:

  • https://enterpriseregistration.windows.net
  • https://login.microsoftonline.com
  • https://device.login.microsoftonline.com
  • https://autologon.microsoftazuread-sso.com (Se utilizar ou pretender utilizar SSO sem costura)
  • Serviço de Token de Segurança (STS) da sua organização (Para domínios federados)

Aviso

Se a sua organização utilizar servidores proxy que intercetam tráfego SSL para cenários como prevenção de perda de dados ou restrições de Azure AD inquilino, certifique-se de que o tráfego para estes URLs são excluídos do break-and-inspect TLS. A não exclusão destes URLs pode causar interferência na autenticação do certificado do cliente, causar problemas com o registo do dispositivo e acesso condicional baseado no dispositivo.

Se a sua organização necessitar de acesso à internet através de um representante de saída, pode utilizar o Web Proxy Auto-Discovery (WPAD) para permitir Windows 10 ou computadores mais recentes para o registo de dispositivos com Azure AD. Para resolver problemas que configuram e gerem o WPAD, consulte a Deteção Automática de Resolução de Problemas.

Se não utilizar o WPAD, pode configurar as definições de procuração winHTTP no seu computador com um Política de Grupo Object (GPO) a começar por Windows 10 1709. Para obter mais informações, consulte as Definições de Procuração winHTTP implementadas pela GPO.

Nota

Se configurar as definições de procuração no seu computador utilizando as definições winHTTP, quaisquer computadores que não possam ligar-se ao proxy configurado não conseguirão ligar-se à internet.

Se a sua organização necessitar de acesso à internet através de um representante de saída autenticado, certifique-se de que os seus Windows 10 ou computadores mais recentes podem autenticar com sucesso para o representante de saída. Uma vez que Windows 10 ou computadores mais recentes executam o registo do dispositivo utilizando o contexto da máquina, configurar a autenticação por procuração de saída utilizando o contexto da máquina. Consulte o seu fornecedor de proxy de saída sobre os requisitos de configuração.

Verifique se os dispositivos podem aceder aos recursos necessários da Microsoft na conta do sistema, utilizando o script de conectividade de registo do dispositivo de teste .

Domínios geridos

Pensamos que a maioria das organizações implementará Azure AD híbridos se juntarão a domínios geridos. Os domínios geridos utilizam a sincronização do hash de palavras-passe (PHS) ou a autenticação pass-through (PTA) com início de sessão único totalmente integrado. Cenários de domínio geridos não requerem configurar um servidor da federação.

Configure os Azure AD híbridos que se unam utilizando Azure AD Connect para um domínio gerido:

  1. Inicie Azure AD Conecte e, em seguida, selecione Configurar.

  2. Em tarefas adicionais, selecione opções do dispositivo configurar e, em seguida, selecione Seguinte.

  3. Em Visão Geral, selecione Seguinte.

  4. Em Connect to Azure AD, insira as credenciais de um Administrador Global para o seu inquilino Azure AD.

  5. Nas opções do Dispositivo, selecione Configure Hybrid Azure AD aderir e, em seguida, selecione Seguinte.

  6. Nos sistemas operativos do Dispositivo, selecione os sistemas operativos que os dispositivos no ambiente do seu Diretório Ativo utilizam e, em seguida, selecione Seguinte.

  7. Na configuração SCP, para cada floresta onde pretende Azure AD Conecte-se para configurar o SCP, complete os seguintes passos e, em seguida, selecione Seguinte.

    1. Selecione a Floresta.
    2. Selecione um Serviço de Autenticação.
    3. Selecione Adicionar para introduzir as credenciais de administrador da empresa.

    Azure AD Connect SCP domínio gerido

  8. Em Pronto para configurar, selecione Configurar.

  9. Na configuração completa, selecione Exit.

Domínios Federados

Um ambiente federado deve ter um fornecedor de identidade que apoie os seguintes requisitos. Se tiver um ambiente federado utilizando Serviços de Federação do Ative Directory (AD FS) (AD FS), então os requisitos abaixo já estão suportados.

  • WIAORMULTIAUTHN reivindicação: Esta alegação é necessária para fazer Azure AD híbridos para dispositivos de nível inferior do Windows.
  • Protocolo WS-Trust: Este protocolo é necessário para autenticar os atuais dispositivos híbridos Azure AD híbridos do Windows com Azure AD. Quando estiver a utilizar O FS AD, tem de ativar os seguintes pontos finais WS-Trust:
    • /adfs/services/trust/2005/windowstransport
    • /adfs/services/trust/13/windowstransport
    • /adfs/services/trust/2005/usernamemixed
    • /adfs/services/trust/13/usernamemixed
    • /adfs/services/trust/2005/certificatemixed
    • /adfs/services/trust/13/certificatemixed

Aviso

Tanto adfs/serviços/trust/2005/windowstransport e adfs/services/trust/13/windowstransport devem ser ativados apenas como pontos finais virados para a intranet e NÃO devem ser expostos como pontos finais virados para a rede através do web Proxy de Aplicações. Para saber mais sobre como desativar WS-Trust pontos finais do Windows, consulte desativar WS-Trust pontos finais do Windows no proxy. Pode ver quais os pontos finais que estão ativados através da consola de gestão AD FS em Service>Endpoints.

Configure os Azure AD híbridos que se unam utilizando Azure AD Connect para um ambiente federado:

  1. Inicie Azure AD Conecte e, em seguida, selecione Configurar.

  2. Na página de tarefas adicionais , selecione opções do dispositivo configurar e, em seguida, selecione Seguinte.

  3. Na página 'Visão Geral ', selecione Seguinte.

  4. Na página 'Ligar a Azure AD, insira as credenciais de um Administrador Global para o seu Azure AD inquilino e, em seguida, selecione Seguinte.

  5. Na página de opções do Dispositivo, selecione Configure Híbrido Azure AD se juntem e, em seguida, selecione Seguinte.

  6. Na página SCP , complete os seguintes passos e, em seguida, selecione Seguinte:

    1. Selecione a floresta.
    2. Selecione o serviço de autenticação. Tem de selecionar o servidor AD FS, a menos que a sua organização tenha Windows 10 exclusivo ou clientes mais recentes e tenha uma sincronização de computador/dispositivo configurada, ou a sua organização utiliza SSO sem costura.
    3. Selecione Adicionar para introduzir as credenciais de administrador da empresa.

    Azure AD Conecte o domínio federado da configuração SCP

  7. Na página de sistemas operativos do Dispositivo , selecione os sistemas operativos que os dispositivos do ambiente ative directory utilizam e, em seguida, selecione Seguinte.

  8. Na página de configuração da Federação , insira as credenciais do administrador do FS AD e, em seguida, selecione Seguinte.

  9. Na página Pronto para configurar , selecione Configurar.

  10. Na página completa da Configuração , selecione Sair.

Ressalvas da Federação

Com Windows 10 1803 ou mais recente, se Azure AD híbrido instantâneo se juntar a um ambiente federado usando AD FS falha, confiamos em Azure AD Connect para sincronizar o objeto do computador em Azure AD que é então usado para completar o registo do dispositivo para híbrido Azure AD aderir.

Outros cenários

As organizações podem testar Azure AD híbridos se juntam a um subconjunto do seu ambiente antes de um lançamento completo. As etapas para completar uma implementação direcionada podem ser encontradas no artigo Híbrido Azure AD aderir à implementação direcionada. As organizações devem incluir uma amostra de utilizadores de diferentes funções e perfis neste grupo piloto. Um lançamento direcionado ajudará a identificar quaisquer problemas que o seu plano possa não ter abordado antes de ativar para toda a organização.

Algumas organizações podem não ser capazes de usar Azure AD Connect para configurar AD FS. Os passos para configurar as reclamações manualmente podem ser encontrados no artigo Configure híbrido Azure Ative Directory se juntam manualmente.

Nuvem do governo

Para as organizações em Azure Government, a adesão de Azure AD híbridas requer que os dispositivos tenham acesso aos seguintes recursos da Microsoft a partir da rede da sua organização:

  • https://enterpriseregistration.microsoftonline.us
  • https://login.microsoftonline.us
  • https://device.login.microsoftonline.us
  • https://autologon.microsoft.us (Se utilizar ou pretender utilizar SSO sem costura)

Os Azure AD híbridos de resolução de problemas juntam-se

Se sentir problemas com a conclusão de Azure AD híbridos, consulte:

Passos seguintes