設定混合式 Azure AD Join

  • 發行項

將您的裝置導入 Azure AD 中,您將可透過跨雲端和內部部署資源的單一登入 (SSO),將使用者的生產力最大化。 同時您可以利用條件式存取來保護對資源的存取。

必要條件

  • Azure AD Connect 1.1.819.0 版或更新版本。
    • 請勿從您的 Azure AD Connect 同步設定中排除預設裝置屬性。 若要深入了解同步處理至 Azure AD 的預設裝置屬性,請參閱 Azure AD Connect 同步處理的屬性
    • 如果您要加入混合式 Azure AD 裝置的電腦物件屬於特定組織單位 (OU),請在 Azure AD Connect 中設定正確的 OU 以進行同步處理。 若要深入了解如何使用 Azure AD Connect 來同步處理電腦物件,請參閱組織單位型篩選
  • Azure AD 租用戶的全域管理員認證。
  • 每個內部部署 Active Directory Domain Services 樹系的企業系統管理員認證。
  • (針對同盟網域) 至少 Windows Server 2012 R2,並已安裝 Active Directory 同盟服務。
  • 使用者可以向 Azure AD 註冊其裝置。 如需此設定的詳細資訊,請參閱本文中「設定裝置設定」標題底下的設定裝置設定

網路連線能力需求

要使用混合式 Azure AD Join,您的裝置必須能夠從組織的網路中存取下列 Microsoft 資源:

  • https://enterpriseregistration.windows.net
  • https://login.microsoftonline.com
  • https://device.login.microsoftonline.com
  • https://autologon.microsoftazuread-sso.com (如果您使用或計劃使用無縫 SSO)
  • 組織的 Security Token Service (STS) (適用於同盟網域)

警告

如果組織使用的 Proxy 伺服器會在資料外洩防護或 Azure AD 租用戶限制等案例中攔截 SSL 流量,請確認已從 TLS 中斷和檢查中排除 https://device.login.microsoftonline.com 的流量。 無法排除此 URL,可能會干擾用戶端憑證驗證,進而導致裝置註冊和裝置型條件式存取的問題。

如果組織需要透過輸出 Proxy 來存取網際網路,您可以使用 Web Proxy 自動探索 (WPAD),讓 Windows 10 或更新版本電腦能向 Azure AD 進行裝置註冊。 若要解決 WPAD 的設定和管理問題,請參閱針對自動偵測進行疑難排解

如果您未使用 WPAD,則從 Windows 10 1709 開始,您可以在電腦上使用群組原則物件 (GPO) 設定 WinHTTP Proxy 設定。 如需詳細資訊,請參閱 GPO 所部署的 WinHTTP Proxy 設定

注意

如果您使用 WinHTTP 設定在電腦上設定 Proxy 設定,則任何無法連線到所設定 Proxy 的電腦將無法連線到網際網路。

如果貴組織需要透過已驗證的輸出 Proxy 存取網際網路,請確定 Windows 10 或更新版本電腦可以成功向輸出 Proxy 進行驗證。 因為 Windows 10 或更新版本電腦會使用電腦內容來執行裝置註冊,所以請使用電腦內容來設定輸出 Proxy 驗證。 請向您的輸出 Proxy 提供者洽詢相關設定需求。

請使用測試裝置註冊連線能力指令碼,來確認裝置是否能夠在系統帳戶下存取必要的 Microsoft 資源。

受控網域

我們認為大部分的組織會使用受控網域來部署混合式 Azure AD Join。 受控網域使用密碼雜湊同步 (PHS)傳遞驗證 (PTA) 搭配無縫單一登入。 受控網域案例不需要設定同盟伺服器。

使用受控網域的 Azure AD Connect 來設定混合式 Azure AD Join:

  1. 啟動 Azure AD Connect,然後選取 [設定]。

  2. 在 [其他工作] 中選取 [設定裝置選項],然後選取 [下一步]。

  3. 在 [概觀] 中,選取 [下一步]。

  4. 在 [連線到 Azure AD] 中,輸入 Azure AD 租用戶的全域管理員認證。

  5. 在 [裝置選項] 中選取 [設定混合式 Azure AD Join],然後選取 [下一步]。

  6. 在 [裝置作業系統] 中,選取 Active Directory 環境中的裝置所使用的作業系統,然後選取 [下一步]。

  7. 在 [SCP 設定] 中,針對要以 Azure AD Connect 設定 SCP 的每個樹系完成下列步驟,然後選取 [下一步]。

    1. 選取 [樹系]。
    2. 選取 [驗證服務]。
    3. 選取 [新增],並輸入企業系統管理員認證。

    Azure AD Connect SCP 設定受控網域

  8. 在 [準備好設定] 中,選取 [設定]。

  9. 在 [設定完成] 中,選取 [結束]。

同盟網域

同盟環境應具有支援下列需求的識別提供者。 如果您的同盟環境使用 Active Directory 同盟服務 (AD FS),則已支援下列需求。

  • WIAORMULTIAUTHN 宣告: 必須有此宣告才能對舊版 Windows 裝置進行混合式 Azure AD Join。
  • WS-Trust 通訊協定: 必須有此通訊協定才能向 Azure AD 驗證 Windows 目前的混合式 Azure AD 加入裝置。 當您使用 AD FS 時,您必須啟用下列 WS-Trust 端點:
    • /adfs/services/trust/2005/windowstransport
    • /adfs/services/trust/13/windowstransport
    • /adfs/services/trust/2005/usernamemixed
    • /adfs/services/trust/13/usernamemixed
    • /adfs/services/trust/2005/certificatemixed
    • /adfs/services/trust/13/certificatemixed

警告

adfs/services/trust/2005/windowstransportadfs/services/trust/13/windowstransport 都只能啟用為內部網路對應端點,且不得透過 Web 應用程式 Proxy 公開為內部網路對應端點。 若要深入了解如何停用 WS-Trust Windows 端點,請參閱在 Proxy上停用 WS-Trust Windows 端點。 您可以在 AD FS 管理主控台的 [服務]>[端點] 下方查看已啟用的端點。

使用同盟環境的 Azure AD Connect 來設定混合式 Azure AD Join:

  1. 啟動 Azure AD Connect,然後選取 [設定]。

  2. 在 [其他工作] 頁面上,選取 [設定裝置選項],然後選取 [下一步]。

  3. 在 [概觀] 頁面上,選取 [下一步]。

  4. 在 [連線到 Azure AD] 分頁上,輸入 Azure AD 租用戶的全域管理員認證,然後選取 [下一步]。

  5. 在 [裝置選項] 頁面上,選取 [設定混合式 Azure AD Join],然後選取 [下一步]。

  6. 在 [SCP] 頁面上執行下列步驟,然後選取 [下一步]:

    1. 選取樹系。
    2. 選取驗證服務。 除非貴組織獨有 Windows 10 或更新版本用戶端,而且您已設定電腦/裝置同步或您的組織使用無縫 SSO,否則您必須選取 AD FS 伺服器
    3. 選取 [新增],並輸入企業系統管理員認證。

    Azure AD Connect SCP 設定同盟網域

  7. 在 [裝置作業系統] 頁面上,選取 Active Directory 環境中的裝置所使用的作業系統,然後選取 [下一步]。

  8. 在 [同盟設定] 頁面上,輸入 AD FS 系統管理員的認證,然後選取 [下一步]。

  9. 在 [準備設定] 頁面上,選取 [設定]。

  10. 在 [設定完成] 頁面上,選取 [結束]。

同盟注意事項

在 Windows 10 1803 或更新版本中,如果使用 AD FS 的同盟網域的即時生效混合式 Azure AD Join 失敗,我們將依賴 Azure AD Connect 來同步 Azure AD 中接著要用來為混合式 Azure AD Join 完成裝置註冊的電腦物件。

其他案例

組織可以在完整推出之前,在其環境的子集上測試混合式 Azure AD Join。 您可以在混合式 Azure AD Join 目標式部署一文中找到完成目標部署的步驟。 組織應該在此試驗群組中包含來自不同角色和設定檔的使用者範例。 目標推出將有助於找出在為整個組織啟用之前,您的方案可能未解決的任何問題。

某些組織可能無法使用 Azure AD Connect 來設定 AD FS。 您可以在手動設定混合式 Azure Active Directory Join 一文中找到手動設定宣告的步驟。

包含 GCCHigh 和 DoD) 的美國政府雲端 (

針對 Azure Government 中的組織,混合式 Azure AD Join 要求裝置必須能夠從組織的網路中存取下列 Microsoft 資源:

  • https://enterpriseregistration.windows.nethttps://enterpriseregistration.microsoftonline.us
  • https://login.microsoftonline.us
  • https://device.login.microsoftonline.us
  • https://autologon.microsoft.us (如果您使用或計劃使用無縫 SSO)

針對混合式 Azure AD Join 進行疑難排解

如果您為已加入網域的 Windows 裝置完成混合式 Azure AD Join 時遇到問題,請參閱:

後續步驟