Планирование реализации гибридного присоединения к Azure Active Directory

Если вы хотите присоединить входящие в состав домена AD DS устройства к Azure AD в имеющейся локальной среде AD DS, можно настроить гибридное присоединение к Azure AD.

Совет

Доступ с единым входом к локальным ресурсам также доступен для устройств, присоединенных к Azure AD. Дополнительные сведения см. в статье How SSO to on-premises resources works on Azure AD joined devices (Как единый вход для локальных ресурсов работает на подключенных к Azure AD устройствах).

Предварительные условия

Предполагается, что вы ознакомлены с общими сведениями об управлении удостоверениями устройств в Azure Active Directory.

Примечание

Минимальная требуемая версия контроллера домена для гибридного подключения Azure AD Windows 10 и более поздних версий — Windows Server 2008 R2.

Гибридным устройствам, присоединенным к Azure AD, периодически требуется прямая видимость контроллеров домена в сети. При отсутствии такого соединения устройства становятся непригодными для использования.

Ниже приведены сценарии, которые прерывают доступ к контроллерам домена без прямой видимости.

• Изменение пароля устройства
• Изменение пароля пользователя (кэшированные учетные данные)
• Сброс TPM

Планирование реализации

Чтобы спланировать гибридную реализацию Azure AD, вам нужно ознакомиться со следующими разделами:

• Просмотр списка поддерживаемых устройств
• Ознакомление с важными сведениями
• Целевые развертывания гибридного присоединения к Azure AD
• Выбор сценария на основе инфраструктуры идентификации
• Проверка поддержки локального имени участника-пользователя AD для гибридного подключения к Azure AD

Просмотр списка поддерживаемых устройств

Гибридное присоединение устройств к Azure AD поддерживает широкий спектр устройств Windows. Так как для настройки устройств под управлением старых версий Windows требуются другие шаги, поддерживаемые устройства сгруппированы в две категории:

Текущие устройства Windows

• Windows 11
• Windows 10
• Windows Server 2016
  • Примечание. клиентам национального облака Azure требуется версия 1803
• Windows Server 2019

Для устройств под управлением операционной системы Windows поддерживаемая версия указана в статье сведений о выпуске Windows 10. Корпорация Майкрософт рекомендует выполнить обновление до последней версии Windows.

Устройства Windows нижнего уровня

• Windows 8.1
• Поддержка Windows 7 закончилась 14 января 2020 г. Дополнительные сведения см. в разделе Поддержка Windows 7 завершена.
• Windows Server 2012 R2
• Windows Server 2012
• Сведения о поддержке в Windows Server 2008 и 2008 R2 см. в статье Подготовка к завершению поддержки Windows Server 2008.

В качестве первого шага планирования вам следует просмотреть свою среду и определить, нужно ли вам поддерживать устройства Windows нижнего уровня.

Ознакомление с важными сведениями

Неподдерживаемые сценарии

• Гибридное присоединение к Azure AD не поддерживается для Windows Server, на котором работает роль контроллера домена (DC).
• Гибридное присоединение к Azure AD не поддерживается на устройствах Windows нижнего уровня при использовании роуминга учетных данных или перемещаемого либо обязательного профиля пользователя.
• ОС Server Core не поддерживает ни один тип регистрации устройства.
• Средство миграции пользовательской среды (USMT) не работает с регистрацией устройств.

Вопросы работы с образами ОС

• Если вы используете средство подготовки системы (Sysprep) и если вы используете предварительно установленный образ Windows 10 1809, убедитесь, что образ не относится к устройству, которое уже зарегистрировано в Azure AD с гибридным присоединением к Azure AD.

• Если вы используете моментальный снимок виртуальной машины для создания дополнительных виртуальных машин, убедитесь, что моментальный снимок не относится к виртуальной машине, которая уже зарегистрирована в Azure AD с гибридным присоединением к Azure AD.

• Если вы используете объединенный фильтр записи и аналогичные технологии, которые очищают изменения на диске при перезагрузке, они должны быть применены после устройства с гибридным присоединением к Azure AD. Включение таких технологий до завершения гибридного присоединения к Azure AD приведет к тому, что устройство будет отсоединяться при каждой перезагрузке

Обработка устройств с зарегистрированным состоянием Azure AD

Если присоединенные к домену устройства с Windows 10 и более поздних версий зарегистрированы в Azure AD в вашем клиенте, это может привести к двойному состоянию: гибридное присоединение к Azure AD и регистрация в Azure AD. Для автоматического устранения этой ситуации мы рекомендуем выполнить обновление до Windows 10 1803 (с применением KB4489894) или более поздней версии. В выпусках, предшествующих 1803, необходимо вручную удалить зарегистрированное состояние Azure AD, прежде чем включать гибридное присоединение к Azure AD. В 1803 и более поздних версиях были внесены следующие изменения, чтобы избежать такого двойного состояния:

• Любое существующее состояние, зарегистрированное в Azure AD для пользователя, будет автоматически удалено после гибридного присоединения устройства к Azure AD и входа того же пользователя. Например, если пользователь A зарегистрировал состояние Azure AD на устройстве, двойное состояние для пользователя A очищается только в том случае, если пользователь а входит в систему на устройстве. Если на одном устройстве несколько пользователей, двойное состояние очищается отдельно, когда пользователи входят в систему. После удаления Azure AD зарегистрированного состояния Windows 10 отменит регистрацию устройства в Intune или другом MDM, если регистрация произошла в рамках регистрации Azure AD с помощью автоматической регистрации.
• Это изменение не влияет на зарегистрированное состояние Azure AD всех локальных учетных записей на устройстве. Оно применимо только к учетным записям домена. Зарегистрированное состояние Azure AD в локальных учетных записях не удаляется автоматически даже после входа пользователя, так как пользователь не является пользователем домена.
• Вы можете предотвратить регистрацию в Azure AD ваших присоединенных к домену устройств с помощью этого раздела реестра: HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001.
• В Windows 10 1803 при наличии настроенного решения Windows Hello для бизнеса пользователю необходимо повторно настроить Windows Hello для бизнеса после очистки двойного состояния. Эта проблема была устранена с помощью KB4512509.

Примечание

Хотя Windows 10 и Windows 11 автоматически удаляет зарегистрированное состояние Azure AD локально, объект устройства в Azure AD не удаляется немедленно, если он управляется Intune. Вы можете проверить Удаление зарегистрированного состояния Azure AD, выполнив команду dsregcmd/status, и считать, что устройство не зарегистрировано в Azure AD на основе этого.

Гибридное присоединение к Azure AD для одного леса, несколько клиентов Azure AD

Чтобы зарегистрировать устройства в качестве гибридного присоединения к Azure AD для соответствующих клиентов, организациям необходимо убедиться, что конфигурация SCP выполняется на устройствах, а не в AD. Дополнительные сведения о выполнении этой задачи можно найти в статье Целевое развертывание с гибридным присоединением к Azure AD. Также важно, чтобы организации понимали, что некоторые возможности Azure AD не будут работать в одном лесу с несколькими конфигурациями арендаторов Azure AD.

• Обратная запись устройств не будет работать. Эта конфигурация влияет на условный доступ на основе устройств для локальных приложений, объединенных с помощью ADFS. Эта конфигурация также влияет на развертывание Windows Hello для бизнеса при использовании модели гибридного доверенного сертификата.
• Обратная запись групп не будет работать. Эта конфигурация влияет на обратную запись групп Office 365 в лес с установленным Exchange.
• Простой единый вход не будет работать. Эта конфигурация затрагивает сценарии единого входа, которые могут быть реализованы в организациях на разных ОС и в разных браузерах, например iOS/Linux с Firefox, Safari или Chrome без расширения Windows 10.
• Гибридное присоединение к Azure AD для устройств нижнего уровня Windows в управляемой среде не будет работать. Например, для гибридного присоединения к Azure AD в Windows Server 2012 R2 в управляемой среде требуется простой единый вход, а поскольку простой единый вход не будет работать, гибридное присоединение к Azure AD для такой конфигурации также не будет работать.
• Защита паролем в локальной службе Azure AD не будет работать. Эта конфигурация влияет на возможность смены и сброса паролей для локальных контроллеров домена Active Directory Domain Services (AD DS), использующих одинаковые глобальные списки паролей и списки заданных запрещенных паролей, которые хранятся в Azure AD.

Другие замечания

• Если в вашей среде используется инфраструктура виртуальных рабочих столов (VDI), см. статью Идентификация устройств и Виртуализация рабочего стола.

• Гибридное присоединение к Azure AD поддерживается для FIPS-совместимого доверенного платформенного модуля 2,0 и не поддерживается для TPM 1.2. Если на устройствах установлен совместимый с FIPS доверенный платформенный модуль 1.2, необходимо отключить их, прежде чем продолжить гибридное присоединение к Azure AD. Корпорация Майкрософт не предоставляет средств для отключения режима FIPS для доверенных платформенных модулей, так как это действие зависит от производителя доверенного платформенного модуля. Обратитесь за поддержкой к изготовителю оборудования.

• Начиная с выпуска Windows 10 1903 доверенные платформенные модули 1.2 не используются с гибридным присоединением к Azure AD, а устройства с этими доверенными платформенными модулями будут рассматриваться как недоверенные.

• Изменения имени субъекта-пользователя поддерживаются только с обновлениями Windows 10 2004. Для устройств, выпущенных до обновления Windows 10 2004, пользователи будут испытывать проблемы с единым входом и условным доступом. Чтобы устранить эту проблему, необходимо отсоединить устройство от Azure AD (выполните команду "dsregcmd/Leave" с повышенными привилегиями) и повторно присоединиться (происходит автоматически). Тем не менее пользователи, которые входят в систему с помощью Windows Hello для бизнеса, не сталкиваются с этой проблемой.

Целевое гибридное присоединение к Azure AD

Организациям может потребоваться выполнить целевое развертывание гибридного присоединения к Azure AD, прежде чем включать его для всей организации. Сведения о том, как сделать это, см. в статье Целевое развертывание с гибридным присоединением к Azure AD.

Предупреждение

Организации должны включить выборку пользователей из различных ролей и профилей в свою пилотную группу. Целевое развертывание поможет определить проблемы, которые не были учтены в вашем плане, прежде чем включать эту возможность для всей организации.

Выбор сценария на основе инфраструктуры идентификации

Гибридное присоединение к Azure AD работает как с управляемыми, так и с федеративными средами в зависимости от того, поддерживает ли UPN возможность маршрутизации или без маршрутизации. Список поддерживаемых сценариев см. в нижней части страницы.

Управляемая среда

Управляемую среду можно развернуть при помощи синхронизации хэша паролей или сквозной аутентификации с единым входом.

В этих сценариях не требуется настраивать сервер федерации для проверки подлинности.

Примечание

Облачная аутентификация с использованием промежуточного развертывания поддерживается только при запуске обновления Windows 10 1903.

Федеративная среда

В федеративной среде должен быть поставщик удостоверений, поддерживающий следующие требования. Это не относится к федеративной среде, в которой используются службы федерации Active Directory (AD FS).

• Утверждение WIAORMULTIAUTHN: это утверждение требуется для гибридного присоединения к Azure AD устройств Windows нижнего уровня.
• Протокол WS-Trust: этот протокол требуется для аутентификации в Azure AD устройств Windows с текущим гибридным присоединением к Azure AD. При использовании AD FS нужно включить следующие конечные точки WS-Trust: /adfs/services/trust/2005/windowstransport/adfs/services/trust/13/windowstransport/adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed

Предупреждение

Также нужно включить adfs/services/trust/2005/windowstransport или adfs/services/trust/13/windowstransport, но только в качестве конечных точек с подключением к интрасети. Их НЕЛЬЗЯ предоставлять как конечные точки с подключением к экстрасети через прокси-сервер веб-приложения. Дополнительные сведения см. в статье об отключении конечных точек WS-Trust в Windows на прокси-сервере. В разделе СлужбаКонечные точки вы можете увидеть, какие конечные точки активированы в консоли управления AD FS.

Начиная с версии 1.1.819.0, Azure AD Connect содержит мастер для гибридного присоединения к Azure AD. Этот мастер позволяет значительно упростить настройку. Если установка нужной версии Azure AD Connect для вас не подходит, перейдите к руководству по настройке регистрации устройства вручную.

Поддержка имен участников-пользователей для пользователей локальной службы AD в гибридном присоединении к Azure AD

В некоторых случаях имена участников-пользователей локальной службы AD могут отличаться от ваших имен участников-пользователей Azure AD. В таких случаях гибридное присоединение к Azure AD в Windows 10 и более поздних версий обеспечивает ограниченную поддержку имен участников-пользователей локальной службы AD, которая определяется методом аутентификации, типом домена и версией Windows. Существуют два типа имен участников-пользователей локальной службы AD, которые могут существовать в вашей среде.

• Имя участника-пользователя маршрутизируемых пользователей. Маршрутизируемое имя участника-пользователя имеет действительный проверенный домен, зарегистрированный у регистратора доменных имен. Например, если основным доменом является contoso.com в Azure Active Directory, то contoso.org является основным доменом в локальной службе AD, принадлежащим компании Contoso и проверенным в Azure AD.
• Имена участников-пользователей без поддержки маршрутизации: имя участника-пользователя, не поддерживающее маршрутизацию, не имеет проверенного домена и применимо только в частной сети вашей организации. Например, если основным доменом в Azure Active Directory является contoso.com, то contoso.local является основным доменом в локальной службе AD, но не является проверяемым доменом в Интернете и используется только в сети компании Contoso.

Примечание

Сведения в этом разделе относятся только к имени участника-пользователя для локального пользователя. Он неприменим к доменному суффиксу локального компьютера (например, computer1.contoso.local).

В приведенной ниже таблице приведены сведения о поддержке имен участников-пользователей локальной службы AD для гибридного присоединения к Azure AD в Windows 10.

Тип имени участника-пользователя локальной службы AD	Тип домена	Версия Windows 10	Описание
Маршрутизируемый	Федеративные	Начиная с выпуска 1703	Общедоступная версия
Немаршрутизируемый	Федеративные	Начиная с выпуска 1803	Общедоступная версия
Маршрутизируемый	управляемость.	Начиная с выпуска 1803	Общедоступный самостоятельный сброс пароля Azure AD на экране блокировки Windows не поддерживается в средах, в которых локальное имя участника-пользователя отличается от имени участника-пользователя Azure AD. Локальное имя участника-пользователя должно быть синхронизировано с атрибутом onPremisesUserPrincipalName в Azure AD
Немаршрутизируемый	управляемость.	Не поддерживается

Дальнейшие действия

• Настройка гибридного присоединения к Azure AD