培训
认证
Microsoft Certified: Identity and Access Administrator Associate - Certifications
演示 Microsoft Entra ID 的功能,以将标识解决方案现代化、实现混合解决方案和实现标识治理。
如果你有本地 Active Directory 域服务 (AD DS) 环境,并想要将已加入 AD DS 域的计算机加入 Microsoft Entra ID,可以通过执行混合 Microsoft Entra 混合加入来实现此目的。
提示
已联接 Microsoft Entra 的设备也可以使用单一登录 (SSO) 访问本地资源。 有关详细信息,请参阅本地资源的 SSO 在已加入 Microsoft Entra 的设备上如何工作。
本文假设读者已熟悉 Microsoft Entra ID 中的设备标识管理简介。
备注
Windows 10 或更高版本 Microsoft Entra 混合加入所需的最低域控制器 (DC) 版本为 Windows Server 2008 R2。
已加入混合 Microsoft Entra 的设备需要定期通过网络连接到域控制器。 如果没有此连接,设备将变为不可用。
在无法连接到域控制器的情况下中断的方案,包括:
若要规划混合 Microsoft Entra 实现,应熟悉:
Microsoft Entra 混合加入支持多种 Windows 设备。
Microsoft 建议的最佳做法是升级到最新版本的 Windows 版本。
如果依赖于系统准备工具 (Sysprep),并且使用的是 Windows 10 1809 以前版本的映像进行安装,请确保映像不是来自已在 Microsoft Entra ID 中注册为已建立 Microsoft Entra 混合联接的设备。
如果依赖于使用虚拟机 (VM) 快照来创建更多的 VM,请确保快照不是来自已在 Microsoft Entra ID 中注册为 Microsoft Entra 混合加入的 VM。
如果使用统一写入筛选器和类似的技术在重新启动时清除对磁盘的更改,那么必须在设备进行 Microsoft Entra 混合加入后应用它们。 在完成 Microsoft Entra 混合加入之前启用此类技术将导致设备在每次重新启动时断开联接。
如果 Windows 10 或更高版本的已加入域的设备向租户注册了 Microsoft Entra,则可能导致 Microsoft Entra 混合加入和Microsoft Entra 注册设备的双重状态。 建议升级到 Windows 10 1803(应用了 KB4489894)或更高版本来自动处理此方案。 在 1803 之前的版本中,需要手动移除已注册 Microsoft Entra 状态,然后才能启用 Microsoft Entra 混合加入。 为避免此双重状态,1803 及更高版本中进行了以下更改:
备注
尽管 Windows 10 和 Windows 11 会在本地自动删除已注册 Microsoft Entra 状态,但如果 Microsoft Entra ID 中的设备对象由 Intune 管理,则不会立即将其删除。 可以通过运行 dsregcmd /status 来验证是否已删除已注册 Microsoft Entra 状态,并基于这一点将设备视为没有注册到 Microsoft Entra。
要若将设备注册为各自租户的 Microsoft Entra 混合加入,组织需要确保在设备上而不是在 Microsoft Windows Server Active Directory 中完成服务连接点 (SCP) 配置。 有关如何完成此任务的更多详细信息,请参阅 Microsoft Entra 混合加入针对性部署一文。 组织必须知道某些 Microsoft Entra 功能在单个林、多个 Microsoft Entra 租户配置中不起作用。
如果你的环境使用虚拟桌面基础结构 (VDI),请参阅设备标识和桌面虚拟化。
Microsoft Entra 混合加入支持符合美国联邦信息处理标准 (FIPS) 的 TPM 2.0,但不支持 TPM 1.2。 如果设备具有符合 FIPS 的 TPM 1.2,则必须先将其禁用,然后才能继续 Microsoft Entra 混合加入。 Microsoft 不提供任何工具来禁用 TPM 的 FIPS 模式,因为这依赖于 TPM 制造商。 请联系硬件 OEM 获取支持。
从 Windows 10 1903 版本开始,TPM 1.2 不再与 Microsoft Entra 混合加入一起使用,并且具有这些 TPM 的设备将被视为没有 TPM。
从 Windows 10 2004 更新开始,才支持 UPN 更改。 对于 Windows 10 2004 更新之前的设备,用户设备上将出现 SSO 和条件访问问题。 若要解决此问题,需要从 Microsoft Entra ID 中分离设备(使用提升的权限运行“dsregcmd /leave”),然后重新联接(自动执行)。 但是,使用 Windows Hello 企业版登录的用户不会遇到这个问题。
组织在全面启用 Microsoft Entra 混合加入之前,可能需要有针对性地退出此功能。 请查看 Microsoft Entra 混合加入针对性部署一文,了解如何完成此任务。
警告
组织应在其试点组中包含不同角色和配置文件的用户示例。 针对性推出有助于确定在为整个组织启用之前你的计划可能尚未解决的任何问题。
Microsoft Entra 混合加入既适用于托管环境,也适用于联合环境,具体取决于 UPN 是否可路由。 有关受支持场景的表,请查看页面底部。
可使用无缝单一登录通过密码哈希同步 (PHS) 或直通身份验证 (PTA) 来部署托管环境。
这些方案不要求你配置用于身份验证 (AuthN) 的联合服务器。
备注
仅从 Windows 10 1903 更新开始,才支持使用分阶段推出的云身份验证。
联合环境应具有支持以下要求的标识提供者。 如果已有使用 Active Directory 联合身份验证服务 (AD FS) 的联合环境,则已经支持以下要求。
WS-Trust 协议: 使用 Microsoft Entra ID 对当前 Microsoft Entra 混合联接的 Windows 设备进行身份验证时需要此协议。 使用 AD FS 时,需要启用以下 WS-Trust 终结点:
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
警告
adfs/services/trust/2005/windowstransport 或 adfs/services/trust/13/windowstransport 只能作为面向 Intranet 的终结点启用,不能通过 Web 应用程序代理作为面向 Extranet 的终结点公开。 若要详细了解如何禁用 WS-Trust Windows 终结点,请参阅在代理上禁用 WS-Trust Windows 终结点。 可以通过 AD FS 管理控制台中的“服务”“终结点”查看已启用哪些终结点。
自版本 1.1.819.0 起,Microsoft Entra 提供了 Microsoft Entra 混合加入的配置向导。 该向导可让你显著简化配置过程。 如果无法安装所需版本的 Microsoft Entra Connect,请参阅如何手动配置设备注册。 如果 contoso.com 注册为已确认的自定义域,则即使其同步的本地 AD DS UPN 后缀位于 test.contoso.com 等子域中,用户也可以获取 PRT。
备注
本部分中的信息仅适用于本地用户 UPN。 它不适用于本地计算机域后缀(例如:computer1.contoso.local)。
下表提供了 Windows 10 Microsoft Entra 混合加入中对这些本地 Microsoft Windows Server Active Directory UPN 的支持情况的详细信息:
本地 Microsoft Windows Server Active Directory UPN 的类型 | 域类型 | Windows 10 版本 | 说明 |
---|---|---|---|
可路由的 | 联合 | 从 1703 版本开始 | 正式发布 |
非可路由的 | 联合 | 从 1803 版本开始 | 正式发布 |
可路由的 | 托管 | 从 1803 版本开始 | Windows 锁屏界面上的 Microsoft Entra SSPR 已正式发布,在本地 UPN 与 Microsoft Entra UPN 不同的环境中不受支持。 本地 UPN 必须同步到 Microsoft Entra ID 中的 onPremisesUserPrincipalName 属性 |
非可路由的 | 托管 | 不支持 |
培训
认证
Microsoft Certified: Identity and Access Administrator Associate - Certifications
演示 Microsoft Entra ID 的功能,以将标识解决方案现代化、实现混合解决方案和实现标识治理。
文档
配置 Microsoft Entra 混合加入 - Microsoft Entra ID
了解如何配置 Microsoft Entra 混合联接。
Microsoft Entra 混合联接的目标部署 - Microsoft Entra ID
了解如何在整个组织中同时启用 Microsoft Entra 混合联接之前对其进行目标部署。
Microsoft Entra 混合加入的手动配置 - Microsoft Entra ID
了解如何手动配置 Microsoft Entra 混合加入设备。