Konfigurera Hybrid Azure Active Directory-anslutning

Att ta dina enheter till Azure AD maximerar användarproduktiviteten genom enkel inloggning (SSO) i dina molnresurser och lokala resurser. Du kan skydda åtkomsten till dina resurser med villkorlig åtkomst på samma gång.

Förutsättningar

  • Azure AD Connect version 1.1.819.0 eller senare.
    • Uteslut inte standardenhetsattributen från din Azure AD Connect-synkroniseringskonfiguration. Mer information om standardenhetsattribut som synkroniserats till Azure AD finns i Attribut som synkroniseras med Azure AD Connect.
    • Om datorobjekten för de enheter som du vill ska vara hybrid-Azure AD anslutna tillhör specifika organisationsenheter konfigurerar du rätt organisationsenheter för synkronisering i Azure AD Connect. Mer information om hur du synkroniserar datorobjekt med hjälp av Azure AD Anslut finns i Organisationsenhetsbaserad filtrering.
  • Autentiseringsuppgifter för global administratör för din Azure AD klientorganisation.
  • Autentiseringsuppgifter för företagsadministratör för var och en av lokal Active Directory Domain Services-skogar.
  • (För federerade domäner) Minst Windows Server 2012 R2 med Active Directory Federation Services (AD FS) installerat.
  • Användare kan registrera sina enheter med Azure AD. Mer information om den här inställningen finns under rubriken Konfigurera enhetsinställningar i artikeln Konfigurera enhetsinställningar.

Krav för nätverksanslutning

Hybrid Azure AD-anslutningen kräver att enheterna har åtkomst till följande Microsoft-resurser i organisationens nätverk:

  • https://enterpriseregistration.windows.net
  • https://login.microsoftonline.com
  • https://device.login.microsoftonline.com
  • https://autologon.microsoftazuread-sso.com (Om du använder eller planerar att använda sömlös enkel inloggning)
  • Din organisations säkerhetstokentjänst (STS) (för federerade domäner)

Varning

Om din organisation använder proxyservrar som fångar upp SSL-trafik för scenarier som dataförlustskydd eller Azure AD klientbegränsningar kontrollerar du att trafik till dessa URL:er undantas från TLS-avbrott och -inspektion. Om du inte undantar dessa URL:er kan det orsaka störningar i klientcertifikatautentiseringen, orsaka problem med enhetsregistrering och enhetsbaserad villkorlig åtkomst.

Om din organisation kräver åtkomst till Internet via en utgående proxy kan du använda WPAD (Web Proxy Auto-Discovery) för att aktivera Windows 10 eller nyare datorer för enhetsregistrering med Azure AD. Information om hur du löser problem med att konfigurera och hantera WPAD finns i Felsöka automatisk identifiering.

Om du inte använder WPAD kan du konfigurera WinHTTP-proxyinställningar på datorn med ett grupprincip-objekt (GPO) som börjar med Windows 10 1709. Mer information finns i WinHTTP-proxyinställningar som distribuerats av grupprincipobjektet.

Anteckning

Om du konfigurerar proxyinställningar på datorn med WinHTTP-inställningar kommer alla datorer som inte kan ansluta till den konfigurerade proxyn inte att ansluta till Internet.

Om din organisation kräver åtkomst till Internet via en autentiserad utgående proxy kontrollerar du att dina Windows 10 eller nyare datorer kan autentiseras mot den utgående proxyn. Eftersom Windows 10 eller nyare datorer kör enhetsregistrering med hjälp av datorkontext konfigurerar du utgående proxyautentisering med hjälp av datorkontext. Kontrollera konfigurationskraven med leverantören av den utgående proxyn.

Kontrollera att enheter kan komma åt nödvändiga Microsoft-resurser under systemkontot med hjälp av skriptet Testa enhetsregistreringsanslutning .

Hanterade domäner

Vi tror att de flesta organisationer kommer att distribuera hybrid Azure AD ansluta till hanterade domäner. Hanterade domäner använder synkronisering av lösenordshash (PHS) eller direktautentisering (PTA) med sömlös enkel inloggning. Scenarier med hanterade domäner kräver inte att en federationsserver konfigureras.

Konfigurera hybrid Azure AD-anslutning med hjälp av Azure AD Connect för en hanterad domän:

  1. Starta Azure AD Anslut och välj sedan Konfigurera.

  2. I Ytterligare uppgifter väljer du Konfigurera enhetsalternativ och sedan Nästa.

  3. I Översikt väljer du Nästa.

  4. I Anslut till Azure AD anger du autentiseringsuppgifterna för en global administratör för din Azure AD klientorganisation.

  5. I Enhetsalternativ väljer du Konfigurera Hybrid Azure AD-anslutning och väljer sedan Nästa.

  6. I Enhetsoperativsystem väljer du de operativsystem som enheter i Active Directory-miljön använder och väljer sedan Nästa.

  7. I SCP-konfigurationen utför du följande steg för varje skog där du vill Azure AD Anslut för att konfigurera SCP och väljer sedan Nästa.

    1. Välj skogen.
    2. Välj en autentiseringstjänst.
    3. Välj Lägg till för att ange autentiseringsuppgifterna för företagsadministratören.

    Azure AD Anslut scp-konfigurationshanterad domän

  8. I Redo att konfigurera väljer du Konfigurera.

  9. I Konfigurationen har slutförts väljer du Avsluta.

Federerade domäner

En federerad miljö bör ha en identitetsprovider som stöder följande krav. Om du har en federerad miljö med Active Directory Federation Services (AD FS) (AD FS) stöds kraven nedan redan.

  • WIAORMULTIAUTHN-anspråk: Det här anspråket krävs för att göra hybrid-Azure AD-anslutning för Windows-enheter på nednivå.
  • WS-Trust-protokoll: Det här protokollet krävs för att autentisera windows aktuella hybrid Azure AD anslutna enheter med Azure AD. När du använder AD FS måste du aktivera följande WS-Trust slutpunkter:
    • /adfs/services/trust/2005/windowstransport
    • /adfs/services/trust/13/windowstransport
    • /adfs/services/trust/2005/usernamemixed
    • /adfs/services/trust/13/usernamemixed
    • /adfs/services/trust/2005/certificatemixed
    • /adfs/services/trust/13/certificatemixed

Varning

Både adfs/services/trust/2005/windowstransport och adfs/services/trust/13/windowstransport bör vara aktiverade som intranät mot slutpunkter och får INTE exponeras som extranätsriktade slutpunkter via Programproxy. Mer information om hur du inaktiverar WS-Trust Windows-slutpunkter finns i Inaktivera WS-Trust Windows-slutpunkter på proxyn. Du kan se vilka slutpunkter som är aktiverade via AD FS-hanteringskonsolen underTjänstslutpunkter>.

Konfigurera hybrid-Azure AD-anslutning med hjälp av Azure AD Connect för en federerad miljö:

  1. Starta Azure AD Anslut och välj sedan Konfigurera.

  2. På sidan Ytterligare uppgifter väljer du Konfigurera enhetsalternativ och sedan Nästa.

  3. På sidan Översikt väljer du Nästa.

  4. På sidan Anslut till Azure AD anger du autentiseringsuppgifterna för en global administratör för din Azure AD klientorganisation och väljer sedan Nästa.

  5. På sidan Enhetsalternativ väljer du Konfigurera Hybrid Azure AD koppling och väljer sedan Nästa.

  6. SCP-sidan slutför du följande steg och väljer sedan Nästa:

    1. Välj skogen.
    2. Välj autentiseringstjänst. Du måste välja AD FS-server om inte din organisation har exklusivt Windows 10 eller nyare klienter och du har konfigurerat dator-/enhetssynkronisering, eller om din organisation använder sömlös enkel inloggning.
    3. Välj Lägg till för att ange autentiseringsuppgifterna för företagsadministratören.

    Azure AD Connect SCP-konfigurations federerad domän

  7. På sidan Enhetsoperativsystem väljer du de operativsystem som enheterna i Active Directory-miljön använder och väljer sedan Nästa.

  8. På sidan Federationskonfiguration anger du autentiseringsuppgifterna för AD FS-administratören och väljer sedan Nästa.

  9. På sidan Redo att konfigurera väljer du Konfigurera.

  10. På sidan Konfiguration slutförd väljer du Avsluta.

Federationsa caveats

Med Windows 10 1803 eller senare förlitar vi oss på Azure AD Anslut för att synkronisera datorobjektet i Azure AD som sedan används för att slutföra enhetsregistreringen för hybrid-Azure AD-anslutning om en omedelbar hybrid-Azure AD-anslutning för en federerad miljö med AD FS misslyckas.

Andra scenarier

Organisationer kan testa hybrid Azure AD ansluta i en delmängd av sin miljö före en fullständig distribution. Stegen för att slutföra en riktad distribution finns i artikeln Hybrid Azure AD ansluta riktad distribution. Organisationer bör innehålla ett urval av användare från olika roller och profiler i den här pilotgruppen. En riktad distribution hjälper dig att identifiera eventuella problem som din plan kanske inte har åtgärdat innan du aktiverar för hela organisationen.

Vissa organisationer kanske inte kan använda Azure AD Connect för att konfigurera AD FS. Stegen för att konfigurera anspråken manuellt finns i artikeln Konfigurera Azure Active Directory-hybridanslutning manuellt.

Myndighetsmoln

För organisationer i Azure Government kräver hybrid Azure AD-anslutning att enheter har åtkomst till följande Microsoft-resurser inifrån organisationens nätverk:

  • https://enterpriseregistration.microsoftonline.us
  • https://login.microsoftonline.us
  • https://device.login.microsoftonline.us
  • https://autologon.microsoft.us (Om du använder eller planerar att använda sömlös enkel inloggning)

Felsöka hybrid Azure AD-anslutning

Om du har problem med att slutföra hybrid Azure AD ansluta för domänanslutna Windows-enheter läser du:

Nästa steg