Планирование реализации гибридного соединения Microsoft Entra
Если у вас есть среда локальная служба Active Directory доменных служб (AD DS) и вы хотите присоединить компьютеры, присоединенные к домену AD DS, к идентификатору Microsoft Entra, можно выполнить эту задачу, выполнив гибридное соединение Microsoft Entra.
Совет
Доступ к локальным ресурсам также доступен для устройств, присоединенных к Microsoft Entra. Дополнительные сведения см. в статье О том, как единый вход в локальные ресурсы работает на устройствах, присоединенных к Microsoft Entra.
Необходимые компоненты
В этой статье предполагается, что вы знакомы с введением в управление удостоверениями устройств в идентификаторе Microsoft Entra.
Примечание.
Минимальная требуемая версия контроллера домена для гибридного соединения Windows 10 или более поздней версии Microsoft Entra — Windows Server 2008 R2.
Для гибридных устройств, присоединенных к Microsoft Entra, периодически требуются сетевые линии видимости для контроллеров домена. Без такого подключения устройства будут недоступны для использования.
К сценариям, которые прерываются без прямой видимости для контроллеров домена, относятся:
- Изменение пароля устройства
- Изменение пароля пользователя (кэшированные учетные данные)
- Сброс доверенного платформенного модуля
Планирование реализации
Чтобы спланировать гибридную реализацию Microsoft Entra, ознакомьтесь со следующими сведениями:
- Просмотр списка поддерживаемых устройств
- Ознакомление с важными сведениями
- Просмотр целевого развертывания гибридного соединения Microsoft Entra
- Выбор сценария на основе инфраструктуры идентификации
- Проверка поддержки локального имени участника-участника AD для гибридного соединения Microsoft Entra
Просмотр списка поддерживаемых устройств
Гибридное соединение Microsoft Entra поддерживает широкий спектр устройств Windows. Так как для настройки устройств под управлением старых версий Windows требуются другие шаги, поддерживаемые устройства сгруппированы в две категории:
Текущие устройства Windows
- Windows 11
- Windows 10
- Windows Server 2016
- Примечание. клиентам национального облака Azure требуется версия 1803
- Windows Server 2019
Для устройств под управлением операционной системы Windows поддерживаемая версия указана в статье сведений о выпуске Windows 10. Корпорация Майкрософт рекомендует выполнить обновление до последней версии Windows.
Устройства Windows нижнего уровня
- Windows Server 2012 R2
- Windows Server 2012
В качестве первого шага планирования вам следует просмотреть свою среду и определить, нужно ли вам поддерживать устройства Windows нижнего уровня.
Ознакомление с важными сведениями
Неподдерживаемые сценарии
- Гибридное соединение Microsoft Entra не поддерживается для Windows Server с ролью контроллера домена (DC).
- Гибридное присоединение Microsoft Entra не поддерживается на устройствах нижнего уровня Windows при использовании перемещаемых учетных данных или перемещаемых профилей пользователей или обязательного профиля.
- ОС Server Core не поддерживает ни один тип регистрации устройства.
- Средство миграции пользовательской среды (USMT) не работает с регистрацией устройств.
Вопросы работы с образами ОС
Если вы используете средство подготовки системы (Sysprep) и если вы используете образ windows 10 1809 для установки, убедитесь, что образ не находится на устройстве, которое уже зарегистрировано в Microsoft Entra ID в качестве гибридного соединения Microsoft Entra.
Если вы используете моментальный снимок виртуальной машины для создания дополнительных виртуальных машин, убедитесь, что моментальный снимок не находится на виртуальной машине, которая уже зарегистрирована с идентификатором Microsoft Entra в качестве гибридного соединения Microsoft Entra.
Если вы используете единый фильтр записи и аналогичные технологии, которые очищают изменения диска при перезагрузке, они должны применяться после того, как устройство присоединено к гибридному соединению с Microsoft Entra. Включение таких технологий перед завершением гибридного соединения Microsoft Entra приведет к тому, что устройство будет отсоединяться при каждой перезагрузке.
Обработка устройств с зарегистрированным состоянием Microsoft Entra
Если устройства, присоединенные к домену Windows 10 или более поздней версии, зарегистрированы в клиенте, это может привести к двойному состоянию гибридного соединения Microsoft Entra и зарегистрированного устройства Microsoft Entra. Для автоматического устранения этой ситуации мы рекомендуем выполнить обновление до Windows 10 1803 (с применением KB4489894) или более поздней версии. В выпусках до 1803 необходимо вручную удалить зарегистрированное состояние Microsoft Entra перед включением гибридного соединения Microsoft Entra. В 1803 и более поздних версиях были внесены следующие изменения, чтобы избежать такого двойного состояния:
- Любое существующее зарегистрированное состояние Microsoft Entra для пользователя будет автоматически удалено после того, как устройство будет присоединено к гибридному присоединению к Microsoft Entra и тем же пользователям в журнале. Например, если у пользователя A на устройстве зарегистрировано состояние Microsoft Entra, двойное состояние для пользователя A очищается только при входе пользователя A на устройство. Если на одном устройстве несколько пользователей, двойное состояние очищается отдельно, когда пользователи входят в систему. После удаления зарегистрированного состояния Microsoft Entra Windows 10 отменит регистрацию устройства из Intune или другого MDM, если регистрация произошла в рамках регистрации Microsoft Entra с помощью автоматической регистрации.
- Зарегистрированное состояние Microsoft Entra на всех локальных учетных записях на устройстве не влияет на это изменение. Оно применимо только к учетным записям домена. Зарегистрированное состояние Microsoft Entra в локальных учетных записях не удаляется автоматически даже после входа пользователя, так как пользователь не является пользователем домена.
- Вы можете предотвратить регистрацию устройства, присоединенного к домену, путем добавления следующего значения реестра в HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001.
- В Windows 10 1803 при наличии настроенного решения Windows Hello для бизнеса пользователю необходимо повторно настроить Windows Hello для бизнеса после очистки двойного состояния. Эта проблема была устранена с помощью KB4512509.
Примечание.
Несмотря на то, что Windows 10 и Windows 11 автоматически удаляют зарегистрированное состояние Microsoft Entra локально, объект устройства в идентификаторе Microsoft Entra ID не сразу удаляется, если он управляется Intune. Вы можете проверить удаление зарегистрированного состояния Microsoft Entra, выполнив dsregcmd /status, и рассмотрите, что устройство не зарегистрировано в Microsoft Entra на основе этого.
Гибридное соединение Microsoft Entra для одного леса, несколько клиентов Microsoft Entra
Чтобы зарегистрировать устройства в качестве гибридного соединения Microsoft Entra с соответствующими клиентами, организациям необходимо убедиться, что конфигурация service Подключение ion Points (SCP) выполняется на устройствах, а не в AD. Дополнительные сведения о том, как выполнить эту задачу, см. в статье Microsoft Entra hybrid joined deployment. Важно понимать, что некоторые возможности Microsoft Entra не будут работать в одном лесу, несколько конфигураций клиентов Microsoft Entra.
- Обратная запись устройств не будет работать. Эта конфигурация влияет на условный доступ на основе устройств для локальных приложений, объединенных с помощью ADFS. Эта конфигурация также влияет на развертывание Windows Hello для бизнеса при использовании модели гибридного доверенного сертификата.
- Обратная запись групп не будет работать. Эта конфигурация влияет на обратную запись групп Office 365 в лес с установленным Exchange.
- Простой единый вход не будет работать. Эта конфигурация затрагивает сценарии единого входа, которые могут быть реализованы в организациях на разных ОС и в разных браузерах, например iOS/Linux с Firefox, Safari или Chrome без расширения Windows 10.
- Гибридное присоединение Microsoft Entra для устройств нижнего уровня Windows в управляемой среде не будет работать. Например, гибридное присоединение Microsoft Entra к Windows Server 2012 R2 в управляемой среде требует простого единого входа, так как простой единый вход не будет работать, гибридное соединение Microsoft Entra для такой установки не будет работать.
- Локальная защита паролей Microsoft Entra не будет работать. Эта конфигурация влияет на возможность выполнения изменений паролей и событий сброса пароля для контроллеров домена локальная служба Active Directory доменных служб (AD DS) с использованием одинаковых глобальных и настраиваемых списков запрещенных паролей, которые хранятся в идентификаторе Microsoft Entra.
Дополнительные рекомендации
Если в вашей среде используется инфраструктура виртуальных рабочих столов (VDI), см. статью Идентификация устройств и Виртуализация рабочего стола.
Гибридное соединение Microsoft Entra поддерживается для TPM 2.0, совместимого с FIPS, и не поддерживается для TPM 1.2. Если на устройствах есть TPM 1.2, необходимо отключить их, прежде чем продолжить гибридное присоединение к Microsoft Entra. Корпорация Майкрософт не предоставляет средств для отключения режима FIPS для доверенных платформенных модулей, так как это действие зависит от производителя доверенного платформенного модуля. Обратитесь за поддержкой к изготовителю оборудования.
Начиная с выпуска Windows 10 1903, TPMs 1.2 не используются с гибридным присоединением Microsoft Entra и устройствами с этими TPM будут считаться как если бы они не имели доверенного платформенного модуля.
Изменения имени субъекта-пользователя поддерживаются только с обновлениями Windows 10 2004. Для устройств, выпущенных до обновления Windows 10 2004, пользователи будут испытывать проблемы с единым входом и условным доступом. Чтобы устранить эту проблему, необходимо отсоединить устройство от идентификатора Microsoft Entra (запустить dsregcmd /leave с повышенными привилегиями) и повторно присоединиться (происходит автоматически). Тем не менее пользователи, которые входят в систему с помощью Windows Hello для бизнеса, не сталкиваются с этой проблемой.
Проверка гибридного соединения Microsoft Entra
Организациям может потребоваться выполнить целевое развертывание гибридного соединения Microsoft Entra, прежде чем включить его для всей организации. Ознакомьтесь со статьей Гибридное присоединение Microsoft Entra к целевому развертыванию , чтобы понять, как это сделать.
Предупреждение
Организации должны включить выборку пользователей из различных ролей и профилей в свою пилотную группу. Целевое развертывание поможет определить проблемы, которые не были учтены в вашем плане, прежде чем включать эту возможность для всей организации.
Выбор сценария на основе инфраструктуры идентификации
Гибридное соединение Microsoft Entra работает как с управляемыми, так и федеративными средами в зависимости от того, является ли имя участника-участника-участника маршрутизируемым или не routable. Список поддерживаемых сценариев см. в нижней части страницы.
Управляемая среда
Управляемую среду можно развернуть при помощи синхронизации хэша паролей или сквозной аутентификации с единым входом.
В этих сценариях не требуется настраивать сервер федерации для проверки подлинности.
Примечание.
Облачная аутентификация с использованием промежуточного развертывания поддерживается только при запуске обновления Windows 10 1903.
Федеративная среда
В федеративной среде должен быть поставщик удостоверений, поддерживающий следующие требования. Это не относится к федеративной среде, в которой используются службы федерации Active Directory (AD FS).
- Утверждение WIAORMULTIAUTHN: это утверждение необходимо для гибридного соединения Microsoft Entra для устройств нижнего уровня Windows.
- Протокол WS-Trust: этот протокол необходим для проверки подлинности текущих гибридных устройств Microsoft Entra, присоединенных к Windows, с идентификатором Microsoft Entra.
При использовании AD FS нужно включить следующие конечные точки WS-Trust:
/adfs/services/trust/2005/windowstransport/adfs/services/trust/13/windowstransport/adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed
Предупреждение
Также нужно включить adfs/services/trust/2005/windowstransport или adfs/services/trust/13/windowstransport, но только в качестве конечных точек с подключением к интрасети. Их НЕЛЬЗЯ предоставлять как конечные точки с подключением к экстрасети через прокси-сервер веб-приложения. Дополнительные сведения см. в статье об отключении конечных точек WS-Trust в Windows на прокси-сервере. В разделе Служба>Конечные точки вы можете увидеть, какие конечные точки активированы в консоли управления AD FS.
Начиная с версии 1.1.819.0, Microsoft Entra Подключение предоставляет мастер настройки гибридного соединения Microsoft Entra. Этот мастер позволяет значительно упростить настройку. Если установка требуемой версии Microsoft Entra Подключение не является вариантом для вас, см. инструкции по настройке регистрации устройств вручную. Если contoso.com зарегистрирован в качестве подтвержденного личного домена, пользователи могут получить PRT, даже если их синхронизированный локальный суффикс имени участника-пользователя AD DS находится в поддомене, например test.contoso.com.
Проверка поддержки локального имени участника-пользователя AD для гибридного соединения Microsoft Entra
Иногда локальные пользователи AD отличаются от имени участника-пользователя Microsoft Entra UPN. В таких случаях гибридное соединение с Windows 10 или более новой версией Microsoft Entra обеспечивает ограниченную поддержку локальных доменных имен AD UPN на основе метода проверки подлинности, типа домена и версии Windows. Существуют два типа имен участников-пользователей локальной службы AD, которые могут существовать в вашей среде.
- Routable users UPN: Routable UPN имеет действительный проверенный домен, зарегистрированный в регистраторе доменов. Например, если contoso.com является основным доменом в идентификаторе Microsoft Entra ID, contoso.org является основным доменом в локальной службе AD, принадлежащей Contoso и проверенной в идентификаторе Microsoft Entra.
- Имена участников-пользователей без поддержки маршрутизации: имя участника-пользователя, не поддерживающее маршрутизацию, не имеет проверенного домена и применимо только в частной сети вашей организации. Например, если contoso.com является основным доменом в идентификаторе Microsoft Entra ID и contoso.local является основным доменом в локальной службе AD, но не является проверяемым доменом в Интернете и используется только в сети Contoso.
Примечание.
Сведения в этом разделе относятся только к имени участника-пользователя для локального пользователя. Он неприменим к доменному суффиксу локального компьютера (например, computer1.contoso.local).
В следующей таблице приведены сведения о поддержке этих локальных доменных имен участника-пользователя в гибридном присоединении к Windows 10 Microsoft Entra
| Тип имени участника-пользователя локальной службы AD | Тип домена | Версия Windows 10 | Description |
|---|---|---|---|
| Маршрутизируемый | Федеративные | Начиная с выпуска 1703 | Общедоступная версия |
| Немаршрутизируемый | Федеративные | Начиная с выпуска 1803 | Общедоступная версия |
| Маршрутизируемый | Управляемый | Начиная с выпуска 1803 | Общедоступная версия Microsoft Entra SSPR на экране блокировки Windows не поддерживается в средах, где локальное имя участника-пользователя отличается от имени участника-пользователя Microsoft Entra UPN. Локальная имя участника-пользователя должна быть синхронизирована с атрибутом onPremisesUserPrincipalName в идентификаторе Microsoft Entra |
| Немаршрутизируемый | Управляемый | Не поддерживается |