Konfigurera Hybrid Azure Active Directory-anslutning

Att ta dina enheter till Azure AD maximerar användarproduktiviteten genom enkel inloggning (SSO) i dina molnresurser och lokala resurser. Du kan skydda åtkomsten till dina resurser med villkorlig åtkomst på samma gång.

Krav

  • Azure AD Anslut version 1.1.819.0 eller senare.
    • Uteslut inte standardenhetsattributen från synkroniseringskonfigurationen för Azure AD Connect. Mer information om enhetsattribut som är synkroniserade med Azure AD finns i Attribut som synkroniseras av Azure AD Connect.
    • Om datorobjekten för de enheter som du vill ska vara hybrid-Azure AD anslutna tillhör specifika organisationsenheter (OU) konfigurerar du rätt organisationsenheter för synkronisering i Azure AD Connect. Mer information om hur du synkroniserar datorobjekt med hjälp av Azure AD Connect finns i Organisationsenhetsbaserad filtrering.
  • Autentiseringsuppgifter för global administratör för din Azure AD klientorganisation.
  • Företagsadministratörsautentiseringsuppgifter för var och en av skogarna i жергілікті Active Directory Domain Services.
  • (För federerade domäner) Minst Windows Server 2012 R2 med Active Directory 联合身份验证服务 installerat.
  • Användare kan registrera sina enheter med Azure AD. Mer information om den här inställningen finns under rubriken Konfigurera enhetsinställningar i artikeln Konfigurera enhetsinställningar.

Krav för nätverksanslutning

Hybrid Azure AD-anslutningen kräver att enheterna har åtkomst till följande Microsoft-resurser i organisationens nätverk:

  • https://enterpriseregistration.windows.net
  • https://login.microsoftonline.com
  • https://device.login.microsoftonline.com
  • https://autologon.microsoftazuread-sso.com (Om du använder eller planerar att använda enkel inloggning)
  • Din organisations säkerhetstokentjänst (STS) (för federerade domäner)

Varning

Om din organisation använder proxyservrar som fångar upp SSL-trafik för scenarier som dataförlustskydd eller Azure AD klientbegränsningar kontrollerar du att trafik till https://device.login.microsoftonline.com undantas från TLS-avbrott och granskning. Om du inte utesluter den här URL:en kan det orsaka störningar i klientcertifikatautentiseringen, orsaka problem med enhetsregistrering och enhetsbaserad villkorsstyrd åtkomst.

Om din organisation kräver åtkomst till Internet via en utgående proxy kan du använda Web Proxy Auto-Discovery (WPAD) för att aktivera Windows 10 eller nyare datorer för enhetsregistrering med Azure AD. Information om hur du löser problem med att konfigurera och hantera WPAD finns i Felsöka automatisk identifiering.

Om du inte använder WPAD kan du konfigurera WinHTTP-proxyinställningar på datorn med ett نهج المجموعة-objekt (GPO) som börjar med Windows 10 1709. Mer information finns i WinHTTP-proxyinställningar som distribuerats av grupprincipobjektet.

Anteckning

Om du konfigurerar proxyinställningar på datorn med hjälp av WinHTTP-inställningarna kommer alla datorer som inte kan ansluta till den konfigurerade proxyn inte att ansluta till Internet.

Om din organisation kräver åtkomst till Internet via en autentiserad utgående proxy kontrollerar du att dina Windows 10 eller nyare datorer kan autentisera till den utgående proxyn. Eftersom Windows 10 eller nyare datorer kör enhetsregistrering med hjälp av datorkontext konfigurerar du utgående proxyautentisering med hjälp av datorkontext. Kontrollera konfigurationskraven med leverantören av den utgående proxyn.

Kontrollera att enheterna har åtkomst till de nödvändiga Microsoft resurser under systemkontot med hjälp av skriptet För enhetsregistreringstestning.

Hanterade domäner

Vi tror att de flesta organisationer kommer att distribuera hybrid Azure AD ansluta till hanterade domäner. Hanterade domäner använder synkronisering av lösenordshash (PHS) eller direktautentisering (PTA) med sömlös enkel inloggning. Scenarier med hanterade domäner kräver inte konfiguration av en federationsserver.

Konfigurera hybrid Azure AD-anslutning med hjälp av Azure AD Connect för en hanterad domän:

  1. Starta Azure AD Anslut och välj sedan Konfigurera.

  2. I Ytterligare uppgifter väljer du Konfigurera enhetsalternativ och sedan Nästa.

  3. I Översikt väljer du Nästa.

  4. I Anslut till Azure AD anger du autentiseringsuppgifterna för en global administratör för din Azure AD klientorganisation.

  5. I Enhetsalternativ väljer du Konfigurera hybridanslutning Azure AD och väljer sedan Nästa.

  6. I Enhetsoperativsystem väljer du de operativsystem som enheter i Active Directory-miljön använder och väljer sedan Nästa.

  7. I SCP-konfiguration, för varje skog där du vill Azure AD Anslut för att konfigurera SCP, slutför du följande steg och väljer sedan Nästa.

    1. Välj Skogen.
    2. Välj en autentiseringstjänst.
    3. Välj Lägg till för att ange autentiseringsuppgifterna för företagsadministratören.

    Azure AD Anslut scp-konfigurationshanterad domän

  8. I Redo att konfigurera väljer du Konfigurera.

  9. I Konfigurationen har slutförts väljer du Avsluta.

Federerade domäner

En federerad miljö bör ha en identitetsprovider som stöder följande krav. Om du har en federerad miljö med hjälp av Active Directory 联合身份验证服务 (AD FS) stöds kraven nedan redan.

  • WIAORMULTIAUTHN-anspråk: Det här anspråket krävs för att utföra hybrid-Azure AD-anslutning för äldre Windows-enheter.
  • WS-Trust-protokoll: Det här protokollet krävs för att autentisera windows aktuella hybrid Azure AD anslutna enheter med Azure AD. När du använder AD FS måste du aktivera följande WS-Trust slutpunkter:
    • /adfs/services/trust/2005/windowstransport
    • /adfs/services/trust/13/windowstransport
    • /adfs/services/trust/2005/usernamemixed
    • /adfs/services/trust/13/usernamemixed
    • /adfs/services/trust/2005/certificatemixed
    • /adfs/services/trust/13/certificatemixed

Varning

Både adfs/services/trust/2005/windowstransport och adfs/services/trust/13/windowstransport bör endast aktiveras som intranätuppkopplade slutpunkter och får INTE exponeras som extranätsinriktade slutpunkter via serwer proxy aplikacji. Mer information om hur du inaktiverar WS-Trust Windows-slutpunkter finns i Inaktivera WS-Trust Windows-slutpunkter på proxyn. Du kan se vilka slutpunkter som är aktiverade via AD FS-hanteringskonsolen underTjänstslutpunkter>.

Konfigurera hybridanslutning för Azure AD med hjälp av Azure AD Connect för en federerad miljö:

  1. Starta Azure AD Anslut och välj sedan Konfigurera.

  2. På sidan Ytterligare uppgifter väljer du Konfigurera enhetsalternativ och sedan Nästa.

  3. På sidan Översikt väljer du Nästa.

  4. På sidan Anslut till Azure AD anger du autentiseringsuppgifterna för en global administratör för din Azure AD klientorganisation och väljer sedan Nästa.

  5. På sidan Enhetsalternativ väljer du Konfigurera hybridanslutning Azure AD och väljer sedan Nästa.

  6. Slutför följande steg på SCP-sidan och välj sedan Nästa:

    1. Välj skogen.
    2. Välj autentiseringstjänst. Du måste välja AD FS-server om inte din organisation uteslutande har Windows 10 eller nyare klienter och du har konfigurerat dator-/enhetssynkronisering, eller om din organisation använder sömlös enkel inloggning.
    3. Välj Lägg till för att ange autentiseringsuppgifterna för företagsadministratören.

    Azure AD Anslut federerad SCP-konfigurationsdomän

  7. På sidan Enhetsoperativsystem väljer du de operativsystem som enheterna i Active Directory-miljön använder och väljer sedan Nästa.

  8. På sidan Federationskonfiguration anger du autentiseringsuppgifterna för AD FS-administratören och väljer sedan Nästa.

  9. På sidan Redo att konfigurera väljer du Konfigurera.

  10. På sidan Konfigurationen är klar väljer du Avsluta.

Federationsagrottor

Med Windows 10 1803 eller senare förlitar vi oss på Azure AD Connect för att synkronisera datorobjektet i Azure AD som sedan används för att slutföra enhetsregistreringen för hybrid Azure AD-anslutning om omedelbar hybrid Azure AD-anslutning för en federerad miljö med AD FS misslyckas.

Andra scenarier

Organisationer kan testa hybrid Azure AD ansluta till en delmängd av sin miljö före en fullständig distribution. Stegen för att slutföra en riktad distribution finns i artikeln Hybrid Azure AD ansluta till riktad distribution. Organisationer bör inkludera ett urval av användare från olika roller och profiler i den här pilotgruppen. En riktad distribution hjälper dig att identifiera eventuella problem som din plan kanske inte har åtgärdat innan du aktiverar för hela organisationen.

Vissa organisationer kanske inte kan använda Azure AD Connect för att konfigurera AD FS. Stegen för att konfigurera anspråken manuellt finns i artikeln Konfigurera Azure Active Directory-hybridanslutning manuellt.

Myndighetsmoln

För organisationer i Azure Government kräver hybrid Azure AD-anslutning att enheter har åtkomst till följande Microsoft resurser inifrån organisationens nätverk:

  • https://enterpriseregistration.microsoftonline.us
  • https://login.microsoftonline.us
  • https://device.login.microsoftonline.us
  • https://autologon.microsoft.us (Om du använder eller planerar att använda enkel inloggning)

Felsöka hybrid Azure AD-anslutning

Om du får problem med att slutföra hybrid-Azure AD-anslutning för domänanslutna Windows-enheter läser du:

Nästa steg