Настройка гибридного присоединения к Azure AD.

Размещение устройств в Azure AD позволяет увеличить эффективность работы пользователей благодаря выполнению единого входа для облачных и локальных ресурсов. В то же время вы можете защитить доступ к ресурсам с помощью условного доступа.

Обязательные условия

• Azure AD Connect версии 1.1.819.0 или более поздней.
  • Не исключайте атрибуты устройств по умолчанию из конфигурации синхронизации Azure AD Connect. Дополнительные сведения об атрибутах устройств по умолчанию, синхронизированных с Azure AD, см. в разделе Windows 10.
  • Если объекты-компьютеры, соответствующие устройствам для гибридного присоединения к Azure AD, принадлежат конкретным подразделениям, не забудьте правильно указать подразделения для синхронизации в Azure AD Connect. Дополнительные сведения о том, как синхронизировать объекты-компьютеры с помощью Azure AD Connect, см. в разделе Фильтрация по подразделениям.
• Учетные данные глобального администратора для клиента Azure AD.
• Учетные данные администратора предприятия для каждого локального леса в доменных службах Active Directory.
• (Для федеративных доменов) Версия не ниже Windows Server 2012 R2 с установленными службами федерации Active Directory (AD FS).
• У пользователей должна быть возможность регистрировать устройства в Azure AD. Дополнительные сведения об этом параметре можно найти в разделе Настройка параметров устройств статьи Управление удостоверениями устройств с помощью портала Azure.

Требования к сетевому подключению.

Для гибридного присоединения к Azure AD требуется, чтобы у устройств был доступ к следующим ресурсам Майкрософт из сети организации:

• https://enterpriseregistration.windows.net
• https://login.microsoftonline.com
• https://device.login.microsoftonline.com
• https://autologon.microsoftazuread-sso.com (если вы используете или планируете использовать простой единый вход).
• Служба токенов безопасности вашей организации (STS) (для федеративных доменов).

Предупреждение

Если в вашей организации используются прокси-серверы, которые перехватывают ТРАФИК SSL для таких сценариев, как защита от потери данных или ограничения Azure AD клиента, убедитесь, что трафик https://device.login.microsoftonline.com в исключается из проверки TLS. Сбой при исключении этого URL-адреса может привести к помехам при проверке подлинности сертификата клиента, проблемам с регистрацией устройства и условным доступом на основе устройств.

Если вашей организации требуется доступ к Интернету через исходящий прокси-сервер, вы можете использовать автоматическое обнаружение веб-прокси (WPAD), чтобы обеспечить регистрацию устройств в Azure AD на компьютерах Windows 10 или более поздней версии. Если возникли проблемы при настройке и управлении WPAD, см. статью об устранении неполадок с автоматическим обнаружением здесь.

Если вы не используете WPAD, параметры прокси-сервера WinHTTP можно настроить на компьютере с помощью объекта групповой политики (GPO), начиная с Windows 10 версии 1709. Дополнительные сведения см. в статье Развертывание параметров прокси-сервера WinHTTP с помощью объекта групповой политики.

Примечание

Если вы настроите параметры прокси-сервера на компьютере с помощью параметров WinHTTP, любые компьютеры, которым не удается подключиться к настроенному прокси-серверу, не смогут подключиться к Интернету.

Если вашей организации требуется доступ в Интернет через исходящий прокси-сервер с аутентификацией, необходимо убедиться, что ваши компьютеры с Windows 10 или более поздней версии могут успешно пройти проверку подлинности на этом прокси-сервере. Так как компьютеры с Windows 10 или более поздней версии выполняют регистрацию устройства с использованием контекста компьютера, необходимо настроить проверку подлинности для исходящего прокси-сервера с использованием контекста компьютера. Обратитесь к поставщику исходящего прокси-сервера, чтобы узнать требования к конфигурации.

Проверьте, есть ли у устройств доступ к указанным выше ресурсам Майкрософт под системной учетной записью с помощью скрипта проверки подключения при регистрации устройств.

Управляемые домены

Мы предполагаем, что большинство организаций будет развертывать гибридное присоединение к Azure AD с управляемыми доменами. Управляемые домены используют синхронизацию хэша паролей (PHS) или сквозную проверку подлинности (PTA) с простым единым входом. В сценариях с управляемыми доменами не требуется настраивать сервер федерации.

Настройте гибридное присоединение к Azure AD, используя Azure AD Connect для управляемого домена:

1. Запустите Azure AD Connect и выберите Настройка.

2. На странице Дополнительные задачи выберите раздел Настройка параметров устройств, а затем нажмите кнопку Далее.

3. В разделе Обзор нажмите кнопку Далее.

4. На странице Подключение к Azure AD укажите учетные данные глобального администратора для клиента Azure AD.

5. На странице Device options (Параметры устройств) установите параметр Настроить гибридное присоединение к Azure AD и нажмите кнопку Далее.

6. На странице Операционные системы устройств выберите операционные системы, используемые устройствами в вашей среде Active Directory, и нажмите кнопку Далее.

7. На странице Конфигурация точки подключения службы выполните приведенные ниже действия с каждым лесом, для которого требуется настроить точку подключения службы с помощью Azure AD Connect, а затем нажмите кнопку Далее.

   1. Щелкните Лес.
   2. Щелкните Служба проверки подлинности.
   3. Выберите Добавить, чтобы ввести учетные данные администратора предприятия.

   

8. На странице Готово к настройке нажмите кнопку Настроить.

9. На странице Конфигурация завершена нажмите кнопку Выйти.

Федеративные домены

В федеративной среде должен быть поставщик удостоверений, поддерживающий следующие требования. Это не относится к федеративной среде, в которой используются службы федерации Active Directory (AD FS).

• Утверждение WIAORMULTIAUTHN: это утверждение требуется для гибридного присоединения к Azure AD устройств Windows нижнего уровня.
• Протокол WS-Trust: этот протокол требуется для аутентификации в Azure AD устройств Windows с текущим гибридным присоединением к Azure AD. При использовании AD FS нужно включить следующие конечные точки WS-Trust:
  • /adfs/services/trust/2005/windowstransport
  • /adfs/services/trust/13/windowstransport
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/services/trust/13/usernamemixed
  • /adfs/services/trust/2005/certificatemixed
  • /adfs/services/trust/13/certificatemixed

Предупреждение

Также нужно включить adfs/services/trust/2005/windowstransport и adfs/services/trust/13/windowstransport, но только в качестве конечных точек с подключением к интрасети. Их НЕЛЬЗЯ предоставлять как конечные точки с подключением к экстрасети через прокси-сервер веб-приложения. Дополнительные сведения см. в статье об отключении конечных точек WS-Trust в Windows на прокси-сервере. В разделе СлужбаКонечные точки вы можете увидеть, какие конечные точки активированы в консоли управления AD FS.

Настройте гибридное присоединение к Azure AD, используя Azure AD Connect для федеративного домена:

1. Запустите Azure AD Connect и выберите Настройка.

2. На странице Дополнительные задачи выберите Настройка параметров устройства, а затем — Далее.

3. На странице Обзор выберите Далее.

4. На странице Подключение к Azure AD укажите учетные данные глобального администратора для клиента Azure AD и нажмите кнопку Далее.

5. На странице Параметры устройств выберите Настроить гибридное присоединение к Azure AD и выберите Далее.

6. На странице SCP выполните приведенные ниже действия, а затем выберите Далее:

   1. Выберите лес.
   2. Выберите службу аутентификации. Необходимо выбрать сервер AD FS, если только ваша организация не использует исключительно клиенты Windows 10 или более поздней версии либо простой единый вход и вы не настроили синхронизацию с компьютером или устройством.
   3. Выберите Добавить, чтобы ввести учетные данные администратора предприятия.

   

7. На странице Операционные системы устройств выберите операционные системы, используемые устройствами в вашей среде Active Directory, и нажмите кнопку Далее.

8. На странице Настройка службы федерации введите учетные данные администратора AD FS и выберите Далее.

9. На странице Готово к настройке выберите Настроить.

10. На странице Конфигурация завершена выберите Выход.

Предостережения, касающиеся федерации

В Windows 10 версии 1803 и более поздних версий, если для федеративной среды происходит сбой мгновенного гибридного присоединения к Azure AD с помощью AD FS, мы применяем Azure AD Connect для синхронизации объекта-компьютера в Azure AD. Затем с его помощью завершается регистрация устройств для такого гибридного присоединения.

Другие сценарии

Организации могут протестировать гибридное присоединение к Azure AD в сегменте своей среды перед полным развертываниям. Пошаговые инструкции по выполнению целевого развертывания см. в статье Целевое развертывание гибридного присоединения к Azure AD. Организации должны включить выборку пользователей из различных ролей и профилей в эту пилотную группу. Целевое развертывание поможет определить проблемы, которые не были учтены в вашем плане, прежде чем включать эту возможность для всей организации.

Некоторые организации не могут использовать Azure AD Connect для настройки AD FS. Пошаговые инструкции по настройке утверждений вручную см. в статье Настройка гибридного присоединения к Azure Active Directory вручную.

Облако для государственных организаций США (включая GCCHigh и DoD)

Если организации используют Azure для государственных организаций, для гибридного присоединения к Azure AD требуется, чтобы у устройств был доступ к следующим ресурсам Майкрософт из сети организации:

• https://enterpriseregistration.windows.netИhttps://enterpriseregistration.microsoftonline.us
• https://login.microsoftonline.us
• https://device.login.microsoftonline.us
• https://autologon.microsoft.us (если вы используете или планируете использовать простой единый вход).

Устранение неполадок с гибридным присоединением к Azure AD

Если возникают проблемы с настройкой гибридного присоединения к Azure AD для устройств Windows, присоединенных к домену, ознакомьтесь со следующими статьями:

• Устранение неполадок с устройствами с помощью команды dsregcmd
• Устранение неполадок на устройствах под управлением Windows 10 и Windows Server 2016 с гибридным присоединением к Azure Active Directory
• Устранение неполадок на устройствах нижнего уровня с гибридным присоединением к Azure Active Directory
• Устранение неполадок, связанных с состоянием устройства "Ожидание"

Дальнейшие действия

• Поддержка устройств с предыдущими версиями Windows
• Проверка гибридного присоединения к Azure AD
• Использование условного доступа для требования соответствия или гибридного присоединения устройств к Azure AD