設定 Microsoft Entra 混合式聯結

讓您的裝置Microsoft Entra ID 可透過雲端和內部部署資源的單一登錄 （SSO） 將用戶生產力最大化。 您可以使用條件式存取同時保護資源的存取。

必要條件

• Microsoft Entra Connect 1.1.819.0 版或更新版本。
  • 請勿從您的Microsoft Entra Connect 同步設定中排除預設裝置屬性。 若要深入了解同步處理至 Microsoft Entra ID 的預設裝置屬性，請參閱 Microsoft Entra Connect 同步處理的屬性。
  • 如果您要已加入 Microsoft Entra 混合式裝置的電腦物件屬於特定組織單位 (OU)，請在 Microsoft Entra Connect 中設定正確的 OU 以進行同步處理。 若要深入了解如何使用 Microsoft Entra Connect 來同步處理電腦物件，請參閱組織單位型篩選。
• 您Microsoft Entra 租使用者的混合式身分識別系統管理員 認證。
• 每個內部部署 Active Directory Domain Services 樹系的企業系統管理員認證。
• （適用於同盟網域）至少已安裝 Active Directory 同盟服務 的 Windows Server 2012 R2。
• 使用者可使用 Microsoft Entra ID 註冊裝置。 如需此設定的詳細資訊，請參閱本文中「設定裝置設定」標題底下的設定裝置設定。

網路連線需求

要使用 Microsoft Entra 混合式加入，您的裝置必須能夠從組織的網路中存取下列 Microsoft 資源：

• https://enterpriseregistration.windows.net
• https://login.microsoftonline.com
• https://device.login.microsoftonline.com
• https://autologon.microsoftazuread-sso.com （如果您使用 或計劃使用無縫 SSO）
• 組織的 Security Token Service (STS) (適用於同盟網域)

警告

如果您的組織針對數據外洩防護或Microsoft Entra 租使用者限制等案例使用攔截 SSL 流量的 Proxy 伺服器，請確定要排除在 TLS 中斷和檢查中的流量 https://device.login.microsoftonline.com 。 若無法排除此 URL，可能會導致客戶端憑證驗證干擾、導致裝置註冊和裝置型條件式存取的問題。

如果組織需要透過輸出 Proxy 來存取網際網路，您可以使用 Web Proxy 自動探索 (WPAD)，讓 Windows 10 或更新版本電腦能向 Microsoft Entra ID 進行裝置註冊。 若要解決 WPAD 的設定和管理問題，請參閱針對自動偵測進行疑難排解。

如果您未使用 WPAD，您可以使用從 Windows 10 1709 開始的組策略物件（GPO）在電腦上設定 WinHTTP Proxy 設定。 如需詳細資訊，請參閱 由 GPO 部署的 WinHTTP Proxy 設定。

注意

如果您使用 WinHTTP 設定在電腦上設定 Proxy 設定，則任何無法連線到所設定 Proxy 的電腦將無法連線到網際網路。

如果貴組織需要透過已驗證的輸出 Proxy 存取網際網路，請確定 Windows 10 或更新版本電腦可以成功向輸出 Proxy 進行驗證。 因為 Windows 10 或更新版本電腦會使用電腦內容來執行裝置註冊，所以請使用電腦內容來設定輸出 Proxy 驗證。 請向您的輸出 Proxy 提供者洽詢相關設定需求。

請使用測試裝置註冊連線能力指令碼，來確認裝置是否能夠在系統帳戶下存取必要的 Microsoft 資源。

受控網域

我們認為大多數組織都會部署 Microsoft Entra 混合式加入與受控網域。 受控網域會使用 密碼哈希同步處理 （PHS） 或 傳遞驗證 （PTA） 搭配 無縫單一登錄。 受控網域案例不需要設定同盟伺服器。

使用受控網域的 Microsoft Entra Connect 設定Microsoft Entra hybrid join：

1. 開啟 Microsoft Entra Connect，然後選取 [ 設定]。

2. 在 [其他工作] 中，選取 [設定裝置選項]，然後選取 [下一步]。

3. 在 [概觀] 中，選取 [下一步]。

4. 在 [連線到Microsoft Entra 標識符] 中，輸入 您 Microsoft Entra 租使用者的混合式身分識別系統管理員 認證。

5. 在 [裝置選項] 中，選取 [ 設定Microsoft專案混合式聯結]，然後選取 [ 下一步]。

6. 在 [裝置作業系統] 中，選取 Active Directory 環境中裝置所使用的作業系統，然後選取 [ 下一步]。

7. 在 SCP 組態中，針對您想要Microsoft Entra Connect 設定服務連接點 （SCP） 的每個樹系，完成下列步驟，然後選取 [ 下一步]。

   1. 選取 [樹系]。
   2. 選取驗證服務。
   3. 選取 [ 新增 ] 以輸入企業系統管理員認證。

   

8. 在 [準備好設定] 中，選取 [設定]。

9. 在 [ 組態完成] 中，選取 [ 結束]。

同盟網域

同盟環境應具有支援下列需求的識別提供者。 如果您的同盟環境使用 Active Directory 同盟服務 (AD FS)，則已支援下列需求。

• WIAORMULTIAUTHN 宣告： 此宣告必須針對 Windows 下層裝置執行Microsoft Entra 混合式聯結。
• WS-Trust 通訊協定：此通訊協定需要用 Microsoft Entra ID，驗證 Windows 現有的已加入 Microsoft Entra 混合式裝置。 當您使用 AD FS 時，您必須啟用下列 WS-Trust 端點：
  • /adfs/services/trust/2005/windowstransport
  • /adfs/services/trust/13/windowstransport
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/services/trust/13/usernamemixed
  • /adfs/services/trust/2005/certificatemixed
  • /adfs/services/trust/13/certificatemixed

警告

adfs/services/trust/2005/windowstransport 和 adfs/services/trust/13/windowstransport 都只能啟用為內部網路對應端點，且不得透過 Web 應用程式 Proxy 公開為內部網路對應端點。 若要深入了解如何停用 WS-Trust Windows 端點，請參閱在 Proxy上停用 WS-Trust Windows 端點。 您可以在 AD FS 管理主控台的 [服務]>[端點] 下方查看已啟用的端點。

使用同盟環境的 Microsoft Entra Connect 設定Microsoft Entra hybrid join：

1. 開啟 Microsoft Entra Connect，然後選取 [ 設定]。

2. 在 [ 其他工作] 頁面上，選取 [ 設定裝置選項]，然後選取 [ 下一步]。

3. 在 [概 觀] 頁面上，選取 [ 下一步]。

4. 在 [聯機到 Microsoft Entra 標識符] 頁面上，輸入Microsoft Entra 租使用者混合式身分識別系統管理員的認證，然後選取 [下一步]。

5. 在 [ 裝置選項] 頁面上，選取 [ 設定Microsoft專案混合式聯結]，然後選取 [ 下一步]。

6. 在 [SCP ] 頁面上，完成下列步驟，然後選取 [ 下一步]：

   1. 選取樹系。
   2. 選取驗證服務。 除非您的組織擁有獨佔 Windows 10 或更新的用戶端，而且您設定電腦/裝置同步，否則您必須選取 AD FS 伺服器 ，否則您的組織會使用無縫 SSO。
   3. 選取 [ 新增 ] 以輸入企業系統管理員認證。

   

7. 在 [ 裝置操作系統] 頁面上，選取 Active Directory 環境中裝置所使用的作業系統，然後選取 [ 下一步]。

8. 在 [ 同盟設定 ] 頁面上，輸入 AD FS 系統管理員的認證，然後選取 [ 下一步]。

9. 在 [準備設定] 頁面上，選取 [設定]。

10. 在 [設定完成] 頁面上，選取 [結束]。

同盟注意事項

使用 Windows 10 1803 或更新版本時，如果使用 AD FS 的同盟環境立即Microsoft Entra 混合式聯結失敗，我們依賴 Microsoft Entra Connect 同步處理Microsoft Entra ID 中的計算機物件，以完成Microsoft Entra 混合式聯結的裝置註冊。

其他案例

組織可以在完整推出之前，在其環境的子集上測試Microsoft Entra 混合式聯結。 您可以在 Entra 混合式聯結目標部署 Microsoft一文中找到完成目標部署的步驟。 組織應該包含來自此試驗群組中不同角色和配置檔的使用者範例。 目標推出可協助您識別計劃在為整個組織啟用之前可能無法解決的任何問題。

某些組織可能無法使用 Microsoft Entra Connect 來設定 AD FS。 您可以在手動設定 Microsoft Entra 混合式聯結一文中找到手動設定宣告的步驟。

美國政府雲端 （包含 GCCHigh 和 DoD）

對於 Azure Government 中的組織，Microsoft Entra 混合式聯結需要裝置從組織網路記憶體取下列Microsoft資源：

• https://enterpriseregistration.windows.net和 https://enterpriseregistration.microsoftonline.us
• https://login.microsoftonline.us
• https://device.login.microsoftonline.us
• https://autologon.microsoft.us （如果您使用 或計劃使用無縫 SSO）

針對混合式 Microsoft Entra 加入進行疑難排解

如果您在完成已加入網域的 Windows 裝置Microsoft Entra 混合式加入時遇到問題，請參閱：

• 使用 dsregcmd 命令針對裝置進行疑難排解
• 針對 Windows 目前裝置的 Microsoft Entra 混合式聯結進行疑難解答
• 針對 Windows 舊版裝置的 Microsoft Entra 混合式聯結進行疑難解答
• 針對擱置裝置狀態進行疑難排解

相關內容

• Microsoft Entra 混合式聯合驗證
• 使用條件式存取，要求符合規範或已加入的 Microsoft Entra 混合式裝置
• 規劃 Windows Hello 企業版部署