Планирование реализации гибридного соединения Microsoft Entra
Если у вас есть среда локальная служба Active Directory доменных служб (AD DS) и вы хотите присоединить компьютеры, присоединенные к домену AD DS, к идентификатору Microsoft Entra, можно выполнить эту задачу, выполнив гибридное соединение Microsoft Entra.
Совет
Единый вход (единый вход) к локальным ресурсам также доступен для устройств, присоединенных к Microsoft Entra. Дополнительные сведения см. в статье О том, как единый вход в локальные ресурсы работает на устройствах, присоединенных к Microsoft Entra.
Необходимые компоненты
В этой статье предполагается, что вы знакомы с введением в управление удостоверениями устройств в идентификаторе Microsoft Entra.
Примечание.
Минимальная требуемая версия контроллера домена (DC) для гибридного соединения Windows 10 или более поздней версии Microsoft Entra — Windows Server 2008 R2.
Для гибридных устройств, присоединенных к Microsoft Entra, периодически требуются сетевые линии видимости для контроллеров домена. Без такого подключения устройства будут недоступны для использования.
К сценариям, которые прерываются без прямой видимости для контроллеров домена, относятся:
- Изменение пароля устройства
- Изменение пароля пользователя (кэшированные учетные данные)
- Сброс доверенного платформенного модуля (TPM)
Планирование реализации
Чтобы спланировать гибридную реализацию Microsoft Entra, ознакомьтесь со следующими сведениями:
- Просмотр списка поддерживаемых устройств
- Ознакомление с важными сведениями
- Просмотр целевого развертывания гибридного соединения Microsoft Entra
- Выбор сценария на основе инфраструктуры идентификации
- Проверка поддержки локального имени участника-пользователя Microsoft Windows Server Active Directory (UPN) для гибридного соединения Microsoft Entra
Просмотр списка поддерживаемых устройств
Гибридное соединение Microsoft Entra поддерживает широкий спектр устройств Windows.
- Windows 11
- Windows 10
- Windows Server 2016
- Примечание. клиентам национального облака Azure требуется версия 1803
- Windows Server 2019
Корпорация Майкрософт рекомендует выполнить обновление до последней версии Windows.
Ознакомление с важными сведениями
Неподдерживаемые сценарии
- Гибридное соединение Microsoft Entra не поддерживается для Windows Server с ролью контроллера домена (DC).
- ОС Server Core не поддерживает ни один тип регистрации устройства.
- Средство миграции пользовательской среды (USMT) не работает с регистрацией устройств.
Вопросы работы с образами ОС
Если вы используете средство подготовки системы (Sysprep) и если вы используете образ windows 10 1809 для установки, убедитесь, что образ не находится на устройстве, которое уже зарегистрировано в Microsoft Entra ID в качестве гибридного соединения Microsoft Entra.
Если вы используете моментальный снимок виртуальной машины для создания дополнительных виртуальных машин, убедитесь, что моментальный снимок не находится на виртуальной машине, которая уже зарегистрирована с идентификатором Microsoft Entra в качестве гибридного соединения Microsoft Entra.
Если вы используете единый фильтр записи и аналогичные технологии, которые очищают изменения диска при перезагрузке, они должны применяться после того, как устройство присоединено к гибридному соединению с Microsoft Entra. Включение таких технологий перед завершением гибридного соединения Microsoft Entra приводит к тому, что устройство будет незасоединяться при каждой перезагрузке.
Обработка устройств с зарегистрированным состоянием Microsoft Entra
Если устройства, присоединенные к домену Windows 10 или более поздней версии, зарегистрированы в клиенте, это может привести к двойному состоянию гибридного соединения Microsoft Entra и зарегистрированного устройства Microsoft Entra. Для автоматического устранения этой ситуации мы рекомендуем выполнить обновление до Windows 10 1803 (с применением KB4489894) или более поздней версии. В выпусках до 1803 необходимо вручную удалить зарегистрированное состояние Microsoft Entra перед включением гибридного соединения Microsoft Entra. В выпусках 1803 и выше были внесены следующие изменения, чтобы избежать этого двойного состояния:
- Любое существующее зарегистрированное состояние Microsoft Entra для пользователя будет автоматически удалено после того, как устройство будет присоединено к гибридному присоединению к Microsoft Entra и тем же пользователям в журнале. Например, если пользователь A зарегистрировал состояние Microsoft Entra на устройстве, двойное состояние для пользователя A очищается только в том случае, если пользователь а входит в систему на устройстве. При наличии нескольких пользователей на одном устройстве двойное состояние очищается по отдельности при входе этих пользователей. После удаления зарегистрированного состояния Microsoft Entra Windows 10 отменит регистрацию устройства из Intune или другого управления мобильными устройствами (MDM), если регистрация произошла в рамках регистрации Microsoft Entra с помощью автоматической регистрации.
- Зарегистрированное состояние Microsoft Entra на любых локальных учетных записях на устройстве не влияет на это изменение. Оно применимо только к учетным записям домена. Зарегистрированное состояние Microsoft Entra в локальных учетных записях не удаляется автоматически даже после входа пользователя, так как пользователь не является пользователем домена.
- Вы можете предотвратить регистрацию устройства, присоединенного к домену, путем добавления следующего значения реестра в HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001.
- В Windows 10 1803 при наличии настроенного решения Windows Hello для бизнеса пользователю необходимо повторно настроить Windows Hello для бизнеса после очистки двойного состояния. Эта проблема устранена с помощью КБ 4512509.
Примечание.
Несмотря на то, что Windows 10 и Windows 11 автоматически удаляют зарегистрированное состояние Microsoft Entra локально, объект устройства в идентификаторе Microsoft Entra ID не сразу удаляется, если он управляется Intune. Вы можете проверить удаление зарегистрированного состояния Microsoft Entra, выполнив dsregcmd /status, и рассмотрите, что устройство не зарегистрировано в Microsoft Entra на основе этого.
Гибридное соединение Microsoft Entra для одного леса, несколько клиентов Microsoft Entra
Чтобы зарегистрировать устройства в качестве гибридного соединения Microsoft Entra с соответствующими клиентами, организациям необходимо убедиться, что конфигурация службы Подключение point (SCP) выполняется на устройствах, а не в Microsoft Windows Server Active Directory. Дополнительные сведения о том, как выполнить эту задачу, см. в статье Microsoft Entra hybrid joined deployment. Важно понимать, что некоторые возможности Microsoft Entra не работают в одном лесу, несколько конфигураций клиентов Microsoft Entra.
- Обратная запись устройства не работает. Эта конфигурация влияет на условный доступ на основе устройств для локальных приложений, федеративных с помощью AD FS. Эта конфигурация также влияет на развертывание Windows Hello для бизнеса при использовании модели гибридного доверенного сертификата.
- Обратная запись групп не работает. Эта конфигурация влияет на обратную запись групп Office 365 в лес с установленным Exchange.
- Простой единый вход не работает. Эта конфигурация влияет на сценарии единого входа в организациях, использующих браузерные платформы, такие как iOS или Linux с Firefox, Safari или Chrome без расширения Windows 10.
- Локальная защита паролей Microsoft Entra не работает. Эта конфигурация влияет на возможность выполнения изменений паролей и событий сброса пароля для контроллеров домена локальная служба Active Directory доменных служб (AD DS) с использованием одинаковых глобальных и настраиваемых списков запрещенных паролей, которые хранятся в идентификаторе Microsoft Entra.
Другие вопросы
Если в вашей среде используется инфраструктура виртуальных рабочих столов (VDI), см. статью Идентификация устройств и Виртуализация рабочего стола.
Гибридное соединение Microsoft Entra поддерживается для федерального стандарта обработки информации (FIPS), совместимого с TPM 2.0, и не поддерживается для TPM 1.2. Если на устройствах есть TPM 1.2, необходимо отключить их, прежде чем продолжить гибридное присоединение к Microsoft Entra. Корпорация Майкрософт не предоставляет средств для отключения режима FIPS для доверенных платформенных модулей, так как это действие зависит от производителя доверенного платформенного модуля. Обратитесь за поддержкой к изготовителю оборудования.
Начиная с выпуска Windows 10 1903, TPMs 1.2 не используются с гибридным соединением Microsoft Entra и устройствами с этими TPM обрабатываются так, как если бы они не имели доверенного платформенного модуля.
Изменения имени субъекта-пользователя поддерживаются только с обновлениями Windows 10 2004. Для устройств, выпущенных до обновления Windows 10 2004, пользователи будут испытывать проблемы с единым входом и условным доступом. Чтобы устранить эту проблему, необходимо отсоединить устройство от идентификатора Microsoft Entra (запустить dsregcmd /leave с повышенными привилегиями) и повторно присоединиться (происходит автоматически). Тем не менее пользователи, которые входят в систему с помощью Windows Hello для бизнеса, не сталкиваются с этой проблемой.
Проверка гибридного соединения Microsoft Entra
Организациям может потребоваться выполнить целевое развертывание гибридного соединения Microsoft Entra, прежде чем включить его для всей организации. Ознакомьтесь со статьей Гибридное присоединение Microsoft Entra к целевому развертыванию , чтобы понять, как это сделать.
Предупреждение
Организации должны включить выборку пользователей из различных ролей и профилей в свою пилотную группу. Целевое развертывание поможет определить все проблемы, которые могут не решить ваш план, прежде чем включить для всей организации.
Выбор сценария на основе инфраструктуры идентификации
Гибридное соединение Microsoft Entra работает как с управляемыми, так и федеративными средами в зависимости от того, является ли имя участника-участника-участника маршрутизируемым или не routable. Список поддерживаемых сценариев см. в нижней части страницы.
Управляемая среда
Управляемая среда может быть развернута с помощью синхронизации хэша паролей (PHS) или сквозной проверки подлинности (PTA) с помощью простого единого входа.
Эти сценарии не требуют настройки сервера федерации для проверки подлинности (AuthN).
Примечание.
Облачная аутентификация с использованием промежуточного развертывания поддерживается только при запуске обновления Windows 10 1903.
Федеративная среда
В федеративной среде должен быть поставщик удостоверений, поддерживающий следующие требования. Это не относится к федеративной среде, в которой используются службы федерации Active Directory (AD FS).
Протокол WS-Trust: этот протокол необходим для проверки подлинности текущих гибридных устройств Microsoft Entra, присоединенных к Windows, с идентификатором Microsoft Entra. При использовании AD FS необходимо включить следующие конечные точки WS-Trust:
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
Предупреждение
Также нужно включить adfs/services/trust/2005/windowstransport или adfs/services/trust/13/windowstransport, но только в качестве конечных точек с подключением к интрасети. Их НЕЛЬЗЯ предоставлять как конечные точки с подключением к экстрасети через прокси-сервер веб-приложения. Дополнительные сведения см. в статье об отключении конечных точек WS-Trust в Windows на прокси-сервере. В разделе Служба>Конечные точки вы можете увидеть, какие конечные точки активированы в консоли управления AD FS.
Начиная с версии 1.1.819.0, Microsoft Entra Подключение предоставляет мастер настройки гибридного соединения Microsoft Entra. Этот мастер позволяет значительно упростить настройку. Если установка требуемой версии Microsoft Entra Подключение не является вариантом для вас, см. инструкции по настройке регистрации устройств вручную. Если contoso.com зарегистрирован в качестве подтвержденного личного домена, пользователи могут получить PRT, даже если их синхронизированный локальный суффикс имени участника-пользователя AD DS находится в поддомене, например test.contoso.com.
Проверка поддержки имени участника-пользователя microsoft Windows Server Active Directory для гибридного соединения Microsoft Entra
Иногда локальные учетные записи пользователей Microsoft Windows Server Active Directory отличаются от имен участника-пользователя Microsoft Entra. В таких случаях гибридное соединение Windows 10 или более поздней версии Microsoft Entra обеспечивает ограниченную поддержку локальных имен участника-пользователя Microsoft Windows Server Active Directory на основе метода проверки подлинности, типа домена и версии Windows. Существует два типа локальных имен участника-пользователя Microsoft Windows Server Active Directory, которые могут существовать в вашей среде:
- Routable users UPN: Routable UPN имеет действительный проверенный домен, зарегистрированный в регистраторе доменов. Например, если contoso.com является основным доменом в идентификаторе Microsoft Entra, contoso.org — это основной домен в локальной среде Microsoft Windows Server Active Directory, принадлежащий Contoso и проверенный в идентификаторе Microsoft Entra.
- Имена участников-пользователей без поддержки маршрутизации: имя участника-пользователя, не поддерживающее маршрутизацию, не имеет проверенного домена и применимо только в частной сети вашей организации. Например, если contoso.com является основным доменом в идентификаторе Microsoft Entra ID и contoso.local является основным доменом в локальной среде Microsoft Windows Server Active Directory, но не является проверяемым доменом в Интернете и используется только в сети Contoso.
Примечание.
Сведения в этом разделе относятся только к имени участника-пользователя для локального пользователя. Он неприменим к доменному суффиксу локального компьютера (например, computer1.contoso.local).
В следующей таблице приведены сведения о поддержке этих локальных доменов участника-пользователя Microsoft Windows Server Active Directory в гибридном соединении с Windows 10 Microsoft Entra:
| Тип локального имени участника-пользователя Microsoft Windows Server Active Directory | Тип домена | Версия Windows 10 | Description |
|---|---|---|---|
| Маршрутизируемый | Федеративные | Начиная с выпуска 1703 | Общедоступно |
| Немаршрутизируемый | Федеративные | Начиная с выпуска 1803 | Общедоступно |
| Маршрутизируемый | Управляется | Начиная с выпуска 1803 | Общедоступная версия Microsoft Entra SSPR на экране блокировки Windows не поддерживается в средах, где локальное имя участника-пользователя отличается от имени участника-пользователя Microsoft Entra UPN. Локальная имя участника-пользователя должна быть синхронизирована с атрибутом onPremisesUserPrincipalName в идентификаторе Microsoft Entra |
| Немаршрутизируемый | Управляется | Не поддерживается |