Dela via


Planera implementeringen av din Microsoft Entra-hybridanslutning

Om du har en lokal Active Directory Domain Services-miljö (AD DS) och vill ansluta dina AD DS-domänanslutna datorer till Microsoft Entra-ID kan du utföra den här uppgiften genom att göra Microsoft Entra-hybridanslutning.

Dricks

Enkel inloggning (SSO) åtkomst till lokala resurser är också tillgänglig för enheter som är Microsoft Entra-anslutna. Mer information finns i Så här fungerar enkel inloggning till lokala resurser på Microsoft Entra-anslutna enheter.

Förutsättningar

Den här artikeln förutsätter att du är bekant med introduktionen till enhetsidentitetshantering i Microsoft Entra-ID.

Kommentar

Den lägsta nödvändiga domänkontrollantversionen (DC) för Windows 10 eller senare Microsoft Entra-hybridanslutning är Windows Server 2008 R2.

Microsoft Entra-hybridanslutna enheter kräver regelbundet nätverksansikte till dina domänkontrollanter. Utan den här anslutningen blir enheterna oanvändbara.

Scenarier som bryts utan synfält för domänkontrollanterna är:

  • Ändring av enhetslösenord
  • Ändring av användarlösenord (cachelagrade autentiseringsuppgifter)
  • Återställning av betrodd plattformsmodul (TPM)

Planera implementeringen

Om du vill planera din Microsoft Entra-hybridimplementering bör du bekanta dig med:

  • Granska enheter som stöds
  • Granska saker du bör känna till
  • Granska riktad distribution av Microsoft Entra-hybridanslutning
  • Välj ditt scenario baserat på din identitetsinfrastruktur
  • Granska lokalt stöd för Microsoft Windows Server Active Directory-användarens huvudnamn (UPN) för Microsoft Entra-hybridanslutning

Granska enheter som stöds

Microsoft Entra-hybridanslutning stöder ett brett utbud av Windows-enheter.

  • Windows 11
  • Windows 10
  • Windows Server 2016
    • Obs! Azure National-molnkunder kräver version 1803
  • Windows Server 2019

Som bästa praxis rekommenderar Microsoft att du uppgraderar till den senaste versionen av Windows.

Granska saker du bör känna till

Scenarier som inte stöds

  • Microsoft Entra-hybridanslutning stöds inte för Windows Server som kör domänkontrollantrollen (DC).
  • Server Core OS stöder inte någon typ av enhetsregistrering.
  • User State Migration Tool (USMT) fungerar inte med enhetsregistrering.

Överväganden för OS-avbildning

  • Om du förlitar dig på systemförberedelseverktyget (Sysprep) och om du använder en avbildning före Windows 10 1809 för installation kontrollerar du att avbildningen inte kommer från en enhet som redan har registrerats med Microsoft Entra-ID som Microsoft Entra-hybridanslutning.

  • Om du förlitar dig på en ögonblicksbild av en virtuell dator (VM) för att skapa fler virtuella datorer kontrollerar du att ögonblicksbilden inte kommer från en virtuell dator som redan är registrerad med Microsoft Entra-ID som Microsoft Entra-hybridansluten.

  • Om du använder enhetligt skrivfilter och liknande tekniker som rensar ändringar av disken vid omstart måste de tillämpas när enheten är Microsoft Entra-hybridanslutning. Om du aktiverar sådana tekniker innan Microsoft Entra-hybridanslutningen slutförs blir enheten oansluten vid varje omstart.

Hantera enheter med Microsoft Entra-registrerat tillstånd

Om dina Windows 10- eller nyare domänanslutna enheter är Microsoft Entra registrerade i din klientorganisation kan det leda till ett dubbelt tillstånd för Microsoft Entra-hybridansluten och Microsoft Entra-registrerad enhet. Vi rekommenderar att du uppgraderar till Windows 10 1803 (med KB4489894 tillämpad) eller senare för att automatiskt åtgärda det här scenariot. I förhandsversioner av 1803 måste du ta bort det Registrerade Microsoft Entra-tillståndet manuellt innan du aktiverar Microsoft Entra-hybridanslutning. I 1803 och senare versioner gjordes följande ändringar för att undvika detta dubbla tillstånd:

  • Alla befintliga Microsoft Entra-registrerade tillstånd för en användare tas bort automatiskt när enheten är Microsoft Entra-hybridansluten och samma användare loggar in. Om användare A till exempel hade ett Microsoft Entra-registrerat tillstånd på enheten rensas det dubbla tillståndet för användare A endast när användare A loggar in på enheten. Om det finns flera användare på samma enhet rensas det dubbla tillståndet individuellt när dessa användare loggar in. När en administratör tar bort Microsoft Entra-registrerat tillstånd avregistrerar Windows 10 enheten från Intune eller annan hantering av mobila enheter (MDM), om registreringen skedde som en del av Microsoft Entra-registreringen via automatisk registrering.
  • Microsoft Entra-registrerat tillstånd på lokala konton på enheten påverkas inte av den här ändringen. Gäller endast för domänkonton. Microsoft Entra-registrerat tillstånd på lokala konton tas inte bort automatiskt även efter att användaren har loggat in, eftersom användaren inte är en domänanvändare.
  • Du kan förhindra att din domänanslutna enhet registreras av Microsoft Entra genom att lägga till följande registervärde i HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001.
  • Om du har konfigurerat Windows Hello för företag i Windows 10 1803 måste användaren konfigurera om Windows Hello för företag efter rensningen av dubbla tillstånd. Det här problemet åtgärdas med KB4512509.

Kommentar

Även om Windows 10 och Windows 11 automatiskt tar bort det Microsoft Entra-registrerade tillståndet lokalt tas enhetsobjektet i Microsoft Entra-ID inte bort omedelbart om det hanteras av Intune. Du kan verifiera borttagningen av Microsoft Entra-registrerat tillstånd genom att köra dsregcmd /status och anser att enheten inte är Microsoft Entra-registrerad baserat på detta.

Microsoft Entra-hybridanslutning för en enskild skog, flera Microsoft Entra-klientorganisationer

För att registrera enheter som Microsoft Entra-hybridanslutning till respektive klientorganisation måste organisationer se till att scp-konfigurationen (Service Anslut ion Point) görs på enheterna och inte i Microsoft Windows Server Active Directory. Mer information om hur du utför den här uppgiften finns i artikeln Microsoft Entra hybrid join targeted deployment (Microsoft Entra hybrid join targeted deployment). Det är viktigt för organisationer att förstå att vissa Microsoft Entra-funktioner inte fungerar i en enda skog, flera Microsoft Entra-klientkonfigurationer.

Övriga beaktanden

  • Om din miljö använder virtuell skrivbordsinfrastruktur (VDI) läser du Enhetsidentitet och skrivbordsvirtualisering.

  • Microsoft Entra-hybridanslutning stöds för FIPS-kompatibel TPM 2.0 (Federal Information Processing Standard) och stöds inte för TPM 1.2. Om dina enheter har FIPS-kompatibel TPM 1.2 måste du inaktivera dem innan du fortsätter med Microsoft Entra-hybridanslutningen. Microsoft tillhandahåller inga verktyg för att inaktivera FIPS-läge för TPM eftersom det är beroende av TPM-tillverkaren. Kontakta maskinvaru-OEM-tillverkaren om du vill ha support.

  • Från och med Windows 10 1903-versionen används inte TPMs 1.2 med Microsoft Entra-hybridanslutning och enheter med dessa TPM behandlas som om de inte har en TPM.

  • UPN-ändringar stöds endast vid start av Windows 10 2004-uppdateringen. För enheter före Windows 10 2004-uppdateringen kan användare ha problem med enkel inloggning och villkorsstyrd åtkomst på sina enheter. För att lösa det här problemet måste du avansluta enheten från Microsoft Entra-ID (kör "dsregcmd /leave" med förhöjd behörighet) och återansluter (sker automatiskt). Användare som loggar in med Windows Hello för företag stöter dock inte på det här problemet.

Granska riktad Microsoft Entra-hybridanslutning

Organisationer kanske vill göra en riktad distribution av Microsoft Entra-hybridanslutning innan de aktiverar den för hela organisationen. Läs artikeln microsoft entra hybridanslutning riktad distribution för att förstå hur du gör det.

Varning

Organisationer bör inkludera ett urval av användare från olika roller och profiler i pilotgruppen. En riktad distribution hjälper dig att identifiera eventuella problem som din plan kanske inte har åtgärdat innan du aktiverar för hela organisationen.

Välj ditt scenario baserat på din identitetsinfrastruktur

Microsoft Entra-hybridanslutning fungerar med både hanterade och federerade miljöer beroende på om UPN är dirigerbart eller inte. Se längst ned på sidan för tabell om scenarier som stöds.

Hanterad miljö

En hanterad miljö kan distribueras antingen via synkronisering av lösenordshash (PHS) eller direktautentisering (PTA) med sömlös enkel inloggning.

Dessa scenarier kräver inte att du konfigurerar en federationsserver för autentisering (AuthN).

Kommentar

Molnautentisering med stegvis distribution stöds endast från och med Windows 10 1903-uppdateringen.

Federerad miljö

En federerad miljö bör ha en identitetsprovider som stöder följande krav. Om du har en federerad miljö med hjälp av Active Directory Federation Services (AD FS) (AD FS) stöds redan kraven nedan.

WS-Trust-protokoll: Det här protokollet krävs för att autentisera Windows aktuella Microsoft Entra-hybrid-anslutna enheter med Microsoft Entra-ID. När du använder AD FS måste du aktivera följande WS-Trust-slutpunkter:

/adfs/services/trust/2005/windowstransport /adfs/services/trust/13/windowstransport /adfs/services/trust/2005/usernamemixed /adfs/services/trust/13/usernamemixed /adfs/services/trust/2005/certificatemixed /adfs/services/trust/13/certificatemixed

Varning

Både adfs/services/trust/2005/windowstransport eller adfs/services/trust/13/windowstransport ska endast aktiveras som intranätuppkopplade slutpunkter och får INTE exponeras som extranätsinriktade slutpunkter via webb-Programproxy. Mer information om hur du inaktiverar Windows-slutpunkter för WS-Trust finns i Inaktivera Windows-slutpunkter för WS-Trust på proxyn. Du kan se vilka slutpunkter som är aktiverade via AD FS-hanteringskonsolen under Tjänst>Slutpunkter.

Från och med version 1.1.819.0 tillhandahåller Microsoft Entra Anslut en guide för att konfigurera Microsoft Entra-hybridanslutning. Med guiden kan du förenkla konfigurationsprocessen avsevärt. Om det inte är ett alternativ att installera den nödvändiga versionen av Microsoft Entra Anslut kan du läsa Konfigurera enhetsregistrering manuellt. Om contoso.com är registrerad som en bekräftad anpassad domän kan användarna få en PRT även om deras synkroniserade lokala AD DS UPN-suffix finns i en underdomän som test.contoso.com.

Granska lokal Microsoft Windows Server Active Directory-användares UPN-stöd för Microsoft Entra-hybridanslutning

  • Routningsbara användare UPN: Ett dirigerbart UPN har en giltig verifierad domän som är registrerad hos en domänregistrator. Om contoso.com till exempel är den primära domänen i Microsoft Entra-ID är contoso.org den primära domänen i lokal AD som ägs av Contoso och verifieras i Microsoft Entra-ID.
  • Icke-dirigerbara användare UPN: Ett icke-dirigerbart UPN har ingen verifierad domän och gäller endast i organisationens privata nätverk. Om contoso.com till exempel är den primära domänen i Microsoft Entra ID och contoso.local är den primära domänen i lokal AD men inte är en verifierbar domän på Internet och används endast i Contosos nätverk.

Kommentar

Informationen i det här avsnittet gäller endast för lokala användares UPN. Det gäller inte för ett lokalt suffix för datordomäner (exempel: computer1.contoso.local).

Följande tabell innehåller information om stöd för dessa lokala Microsoft Windows Server Active Directory-UPN:er i Windows 10 Microsoft Entra-hybridanslutning:

Typ av lokalt Microsoft Windows Server Active Directory UPN Domäntyp Windows 10-version beskrivning
Dirigerbara Federerade Från 1703-versionen Allmänt tillgängligt
Ej dirigerbar Federerade Från 1803-versionen Allmänt tillgängligt
Dirigerbara Hanterade Från 1803-versionen Allmänt tillgängligt, Microsoft Entra SSPR på Windows-låsskärmen stöds inte i miljöer där det lokala UPN skiljer sig från Microsoft Entra UPN. Det lokala UPN:t måste synkroniseras med onPremisesUserPrincipalName attributet i Microsoft Entra ID
Ej dirigerbar Hanterade Stöds inte

Gå vidare