規劃 Microsoft Entra 混合式聯結實作
如果您有內部部署 Active Directory Domain Services (AD DS) 環境,且您想要將加入網域的 AD DS 電腦加入 Microsoft Entra ID,您可以藉由Microsoft Entra 混合式聯結來完成這項工作。
提示
存取內部部署資源的單一登入 (SSO) 也可用於加入 Microsoft Entra 的裝置。 如需詳細資訊,請參閱內部部署資源的 SSO 如何在加入 Microsoft Entra 的裝置上運作。
必要條件
本文假設您熟悉 Microsoft Entra ID 中的裝置身分識別管理簡介。
注意
Windows 10 或更新版本的 Microsoft Entra 混合式聯結所需的最低網域控制站 (DC) 版本是 Windows Server 2008 R2。
已加入 Microsoft Entra 混合式裝置需要網域控制站定期監視網路連線。 如果沒有此連線,裝置就會無法使用。
您未看到的網域控制站中斷案例包括:
- 裝置密碼變更
- 使用者密碼變更 (快取認證)
- 信賴平台模組 (TPM) 重設
計劃您的實作
若要規劃您的混合式 Microsoft Entra 實作,您應該熟悉:
- 檢閱支援的裝置
- 檢閱您應該知道的事情
- 檢閱 Microsoft Entra 混合式聯結的目標部署
- 根據您的身分識別基礎結構來選取您的案例
- 檢閱內部部署的 Microsoft Windows Server Active Directory 使用者主體名稱 (UPN),其支援 Microsoft Entra 混合式聯結
檢閱支援的裝置
Microsoft Entra 混合式聯結支援各種不同的 Windows 裝置。
- Windows 11
- Windows 10
- Windows Server 2016
- 注意:Azure 國家/地區雲端客戶需要 1803 版
- Windows Server 2019
Microsoft 建議您最好升級到最新版本的 Windows。
檢閱您應該知道的事情
不支援的情節
- 執行網域控制站 (DC) 角色的 Windows Server 不支援 Microsoft Entra 混合式聯結。
- Server Core OS 不支援任何類型的裝置註冊。
- 消費者狀態移轉工具 (USMT) 不適用於裝置註冊。
OS 映像考量
如果您需要使用「系統準備工具」(Sysprep),且如果您要使用 Windows 10 1809 以前的映像檔來進行安裝,請確定映像檔不是來自已向 Microsoft Entra ID 註冊為已加入的 Microsoft Entra 混合式裝置。
如果您需要虛擬機器 (VM) 快照集來建立更多 VM,請確定快照集不是來自已向 Microsoft Entra ID 註冊為已加入 Microsoft Entra 混合式的 VM。
如果您使用統一的寫入篩選器和類似的技術,在重新開機時清除對磁碟的變更,則必須在裝置已加入 Microsoft Entra 混合式之後才能套用。 在 Microsoft Entra 混合式聯結完成之前啟用這類技術,會導致裝置在每次重新開機時遭到退出。
處理已註冊 Microsoft Entra 狀態的裝置
如果您 Windows 10 或更新版本的已加入網域裝置 Microsoft Entra 註冊到您的租用戶,可能會導致已加入 Microsoft Entra 混合式和已註冊 Microsoft Entra 裝置的雙重狀態。 建議您升級至 Windows 10 1803 (並套用 KB4489894) 或更新版本,以自動解決此案例。 在 1803 之前的版本中,務必先手動移除 Microsoft Entra 註冊狀態,再啟用 Microsoft Entra 混合式聯結。 在 1803 及更高版本中,我們已進行下列變更,以避免這種雙重狀態:
- 在裝置加入 Microsoft Entra 混合式且相同使用者登入之後,系統會自動移除使用者的任何現有 Microsoft Entra 已註冊狀態狀態。 例如,如果使用者 A 在裝置上具有 Microsoft Entra 的註冊狀態,則只有當使用者 A 登入裝置時,才會清除使用者 A 的雙重狀態。 如果相同裝置上有多個使用者,則這些使用者登入時,會個別清除雙重狀態。 管理員移除 Microsoft Entra 註冊狀態之後,如果註冊是透過 Microsoft Entra 自動註冊的一部分,則 Windows 10 將會從 Intune 或其他行動裝置管理 (MDM) 取消註冊裝置。
- 這項變更不會影響裝置上任何本機帳戶的 Microsoft Entra 已註冊狀態。 只適用於網域帳戶。 即使在使用者登入之後,也不會自動移除本機帳戶上的 Microsoft Entra 已註冊狀態,因為使用者不是網域使用者。
- 您可以將下列登錄值新增至 HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin:"BlockAADWorkplaceJoin"=dword:00000001,以防止加入網域的裝置註冊 Microsoft Entra。
- 在 Windows 10 1803 中,如果您已設定 Windows Hello 企業版,使用者需要在雙重狀態清除之後重新設定商務 Windows Hello。 已在 KB4512509 中解決此問題。
注意
雖然 Windows 10 和 Windows 11 會在本機自動移除 Microsoft Entra 已註冊狀態,但 Microsoft Entra ID 中的裝置物件如果是由 Intune 管理,則不會立即刪除。 您可以執行 dsregcmd /status 來驗證移除 Microsoft Entra 已註冊狀態,並考慮不要根據該狀態來將裝置註冊 Microsoft Entra。
單一樹系的 Microsoft Entra 混合式聯結,有多個Microsoft Entra 租用戶
若要將裝置註冊為 Microsoft Entra 混合式聯結個別租用戶,組織必須確定服務連接點 (SCP) 設定是在裝置上完成的,而不是在 Microsoft Windows Server Active Directory 中完成。 如需如何完成這項工作的詳細資訊,請參閱 Microsoft Entra 混合式聯結目標部署一文。 組織必須了解部分 Microsoft Entra 功能無法在單一樹系、多個 Microsoft Entra 租用戶設定中運作。
- 裝置回寫無法運作。 此設定會影響適用於使用 AD FS 同盟的內部部署應用程式裝置型條件式存取。 此設定也會影響使用混合式憑證信任模型時的 Windows Hello 企業版部署。
- 群組回寫無法運作。 這項設定會影響 Office 365 群組回寫至已安裝 Exchange 的樹系。
- 隨選即用 SSO 無法運作。 此設定會影響組織使用瀏覽器平台 (如 iOS 或 Linux,含 Firefox、Safari 或 Chrome,但不含 Windows 10 擴充功能) 的 SSO 案例。
- 內部部署 Microsoft Entra 密碼保護無法運作。 這項設定會影響使用儲存在 Microsoft Entra ID 中的相同全域和自訂禁用密碼清單對內部部署 Active Directory Domain Services (AD DS) 網域控制站進行密碼變更和密碼重設事件的能力。
其他考量
如果您的環境使用虛擬桌面基礎結構 (VDI),請參閱裝置身分識別和桌面虛擬化。
Microsoft Entra 混合式聯結支援符合聯邦資訊處理標準 (FIPS) 規範的 TPM 2.0,但不支援 TPM 1.2。 如果您的裝置具有符合 FIPS 規範的 TPM 1.2,則必須先加以停用,然後再繼續進行 Microsoft Entra 混合式聯結。 Microsoft 不會提供任何工具來針對 TPM 停用 FIPS 模式,因為其取決於 TPM 製造商。 請連絡您的硬體 OEM 以尋求支援。
從 Windows 10 1903 版開始,TPM 1.2 不會與 Microsoft Entra 混合式聯結搭配使用,且具有這些 TPM 的裝置會視為沒有 TPM。
Windows 10 2004 更新開始才支援 UPN 變更。 針對 Windows 10 2004 更新之前的裝置,使用者會在其裝置上有 SSO 和條件式存取問題。 若要解決此問題,您必須先讓裝置從 Microsoft Entra ID 退出 (使用較高的權限執行 "dsregcmd /leave"),然後再重新加入 (會自動發生)。 不過,使用 Windows Hello 企業版來登入的使用者不會遇到這個問題。
檢閱目標 Microsoft Entra 混合式聯結
組織可能會想要在為其整個組織啟用 Microsoft Entra 混合式聯結之前,先對其進行目標式推出。 請檢閱 Microsoft Entra 混合式聯結目標部署一文,以了解如何完成。
警告
組織應該在其試驗群組中包含來自不同角色和設定檔的使用者範例。 推出目標有助於找出您為整個組織啟用之前,無法用方案解決的任何問題。
根據您的身分識別基礎結構來選取您的案例
Microsoft Entra 混合式聯結適用於受控和同盟環境,取決於 UPN 是否為可路由傳送。 請參閱頁面底部的表格,以了解支援的案例。
受控環境
受控環境可使用隨選即用單一登入,透過密碼雜湊同步 (PHS) 或傳遞驗證 (PTA) 進行部署。
在這些案例中,您不需要設定同盟伺服器以進行驗證 (AuthN)。
注意
從 Windows 10 1903 更新開始才支援使用分段推出的雲端驗證。
同盟環境
同盟環境應具有支援下列需求的識別提供者。 如果您的同盟環境使用 Active Directory 同盟服務 (AD FS),則已支援下列需求。
WS-Trust 通訊協定:此通訊協定需要用 Microsoft Entra ID,驗證 Windows 現有的已加入 Microsoft Entra 混合式裝置。 您使用 AD FS 時,必須啟用下列 WS-Trust 端點:
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
警告
adfs/services/trust/2005/windowstransport 或 adfs/services/trust/13/windowstransport 都只能啟用為內部網路對應端點,且不得透過 Web 應用程式 Proxy 公開為內部網路對應端點。 若要深入了解如何停用 WS-Trust Windows 端點,請參閱在 Proxy上停用 WS-Trust Windows 端點。 您可以在 AD FS 管理主控台的 [服務]>[端點] 下方查看已啟用的端點。
使用 1.1.819.0 版本進行時,Microsoft Entra Connect 會提供精靈來設定下列專案的 Microsoft Entra 混合式聯結。 此精靈可讓您大幅簡化設定程序。 如果不想安裝必要的 Microsoft Entra Connect 版本,請參閱如何手動設定裝置註冊。 如果 contoso.com 已註冊為已確認的自訂網域,即使同步處理的內部部署 AD DS UPN 後綴位於 test.contoso.com 之類的子域,使用者仍可取得 PRT。
檢閱內部部署的 Microsoft Windows Server Active Directory 使用者 UPN,其支援 Microsoft Entra 混合式加入
- 可路由的使用者 UPN:可路由的 UPN 具有有效的已驗證網域,且已向網域註冊機構註冊該網域。 例如,如果 Microsoft Entra ID 中的主要網域為 contoso.com,則 contoso.org 在 Contoso 所擁有且已在 Microsoft Entra ID 中驗證的內部部署 AD 中是主要網域。
- 無法路由的使用者 UPN:無法路由的 UPN 沒有已驗證的網域,且僅可在貴組織的私人網路內使用。 例如,如果 Microsoft Entra 的主要網域為 contoso.com,且 contoso.local 是內部部署 AD 中的主要網域,但不是網際網路中可驗證的網域,而且只能在 Contoso 的網路內使用。
注意
本節中的資訊僅適用於內部部署使用者 UPN。 其不適用於內部部署電腦網域尾碼 (範例:computer1.contoso.local)。
下表是這些內部部署 Microsoft Windows Server Active Directory UPN 在 Windows 10 Microsoft Entra 混合式聯結中支援的詳細資料:
內部部署 Microsoft Windows Server Active Directory UPN 的類型 | 網域類型 | Windows 10 版本 | 描述 |
---|---|---|---|
路由式 | 同盟 | 自 1703 版起 | 正式推出 |
非可路由傳送 | 同盟 | 自 1803 版起 | 正式推出 |
路由式 | 受管理的 | 自 1803 版起 | 正式推出,在內部部署 UPN 與 Microsoft Entra UPN 不同的環境中,不支援 Windows 鎖定畫面上的 Microsoft Entra SSPR。 內部部署 UPN 必須同步至 Microsoft Entra ID 中的 onPremisesUserPrincipalName 屬性 |
非可路由傳送 | 受管理的 | 不支援 |