規劃您的 Microsoft Entra 混合式聯結實作
如果您有 內部部署的 Active Directory Domain Services (AD DS) 環境,而且您想要將已加入 AD DS 網域的電腦加入 Microsoft Entra ID,您可以執行 Microsoft Entra 混合式聯結來完成這項工作。
提示
內部部署資源的單一登錄 (SSO) 存取也可供已加入 Microsoft Entra 的裝置使用。 如需詳細資訊,請參閱 SSO 對內部部署資源的如何運作於已加入 Microsoft Entra 的裝置上。
必要條件
本文假設您已熟悉 Microsoft Entra ID 中的裝置身分識別管理簡介。
注意
Windows 10 或更新版本的 Windows 10 或更新版本的 Microsoft Entra 混合式聯結的最低必要域控制器版本是 Windows Server 2008 R2。
Microsoft Entra 混合式聯結裝置需要定期對域控制器進行網路視線。 如果沒有此連線,裝置就會變成無法使用。
無法看見網域控制器的案例包括:
- 裝置密碼變更
- 使用者密碼變更 (快取認證)
- 信任的平台模組 (TPM) 重設
計劃您的實作
若要規劃混合式 Microsoft Entra 實作,您應該熟悉:
- 檢閱支持的裝置
- 檢閱您應該知道的事項
- 檢閱 Microsoft Entra 混合式聯結的目標部署
- 根據您的身分識別基礎結構選取您的案例
- 檢閱內部部署 Microsoft Windows Server Active Directory 用戶主體名稱 (UPN) 支援 Microsoft Entra 混合式加入
檢閱支持的裝置
Microsoft Entra 混合式聯結支援各種不同的 Windows 裝置。
- Windows 11
- Windows 10
- Windows Server 2016
- 注意: Azure 國家雲端客戶需要 1803 版
- Windows Server 2019
最佳作法是,Microsoft 建議您升級至最新版本的 Windows。
檢閱您應該知道的事項
不支援的情節
- 執行域控制器 (DC) 角色的 Windows Server 不支援 Microsoft Entra 混合式聯結。
- Server Core OS 不支援任何類型的裝置註冊。
- 用戶狀態移轉工具 (USMT) 不適用於裝置註冊。
OS 映像處理考慮
如果您依賴系統準備工具 (Sysprep),而且如果您使用 Windows 10 1809 前映射進行安裝,請確定映像不是來自已向 Microsoft Entra ID 註冊為 Microsoft Entra 混合式聯結的裝置。
如果您依賴虛擬機 (VM) 快照集來建立更多 VM,請確定快照集不是來自已向 Microsoft Entra ID 註冊為已加入 Microsoft Entra 混合式 VM 的 VM。
如果您使用 整合寫入篩選器 和類似技術來清除磁碟重新啟動時的變更,則必須在裝置加入 Microsoft Entra 混合式之後套用這些變更。 在完成 Microsoft Entra 混合式聯結之前啟用這類技術,會導致裝置在每次重新啟動時都取消加入。
處理具有 Microsoft Entra 已註冊狀態的裝置
如果您的 Windows 10 或較新加入網域的裝置已 向租用戶註冊 Microsoft Entra,可能會導致已加入 Microsoft Entra 混合式裝置和 Microsoft Entra 已註冊裝置的雙重狀態。 建議您升級至 Windows 10 1803(已套用KB4489894),或更新版本,以自動解決此案例。 在 1803 版之前,您需要先手動移除 Microsoft Entra 註冊狀態,才能啟用 Microsoft Entra 混合式聯結。 在 1803 和更新版本中,已進行下列變更,以避免這種雙重狀態:
- 在裝置已加入 Microsoft Entra 混合式且相同的使用者登入之後,使用者的任何現有 Microsoft Entra 註冊狀態都會自動移除。 例如,如果使用者 A 在裝置上具有 Microsoft Entra 的註冊狀態,則只有當使用者 A 登入裝置時,才會清除使用者 A 的雙重狀態。 如果相同裝置上有多個使用者,當這些使用者登入時,會個別清除雙重狀態。 在系統管理員移除 Microsoft Entra 註冊狀態之後,如果註冊是透過自動註冊,Windows 10 將會從 Intune 或其他行動裝置管理 (MDM) 取消註冊裝置。
- 裝置上任何本機帳戶上的 Microsoft Entra 註冊狀態不會受到這項變更的影響。 僅適用於網域帳戶。 即使使用者登入之後,本機帳戶上的 Microsoft Entra 註冊狀態也不會自動移除,因為使用者不是網域使用者。
- 您可以將下列登錄值新增至 HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin:“BlockAADWorkplaceJoin”=dword:00000001,以防止已加入網域的裝置成為 Microsoft Entra。
- 在 Windows 10 1803 中,如果您已設定 Windows Hello 企業版,用戶必須在雙重狀態清除之後重新設定 Windows Hello 企業版。 此問題的解決KB4512509。
注意
即使 Windows 10 和 Windows 11 會在本機自動移除 Microsoft Entra 註冊狀態,但如果受 Intune 管理,Microsoft Entra 標識符中的裝置物件也不會立即刪除。 您可以執行 dsregcmd /status 來驗證移除 Microsoft Entra 註冊狀態,並考慮裝置不是根據該狀態註冊的 Microsoft Entra。
單一樹系、多個 Microsoft Entra 租使用者的 Microsoft Entra 混合式聯結
若要將裝置註冊為 Microsoft Entra 混合式加入個別租使用者,組織必須確定服務 連線 點 (SCP) 設定是在裝置上完成,而不是在 Microsoft Windows Server Active Directory 中完成。 如需如何完成這項工作的詳細資訊,請參閱 Microsoft Entra 混合式聯結目標部署一文。 組織必須瞭解某些 Microsoft Entra 功能無法在單一樹系、多個 Microsoft Entra 租使用者設定中運作。
- 裝置回 寫無法運作。 此設定會影響 使用AD FS同盟之內部部署應用程式的裝置型條件式存取。 使用混合式憑證信任模型時,此設定也會影響 Windows Hello 企業版 部署。
- 群組回 寫無法運作。 此設定會影響 Office 365 群組回寫至已安裝 Exchange 的樹系。
- 無縫 SSO 無法運作。 此設定會影響使用 iOS 或 Linux 等瀏覽器平臺搭配 Firefox、Safari 或 Chrome,而沒有 Windows 10 擴充功能的組織中的 SSO 案例。
- 內部部署 Microsoft Entra 密碼保護 無法運作。 此設定會影響對 內部部署的 Active Directory Domain Services (AD DS) 域控制器執行密碼變更和密碼重設事件的能力,這些域控制器會使用相同的全域和自定義禁用密碼清單儲存在 Microsoft Entra ID 中。
其他考量
如果您的環境使用虛擬桌面基礎結構 (VDI),請參閱 裝置身分識別和桌面虛擬化。
符合聯邦資訊處理標準 (FIPS) 規範的 TPM 2.0 支援 Microsoft Entra 混合式聯結,且 TPM 1.2 不支援。 如果您的裝置具有符合 FIPS 規範的 TPM 1.2,您必須先停用它們,才能繼續進行 Microsoft Entra 混合式加入。 Microsoft 不會提供任何工具來停用 TPM 的 FIPS 模式,因為它相依於 TPM 製造商。 請連絡硬體 OEM 以取得支援。
從 Windows 10 1903 版開始,TPM 1.2 不會與 Microsoft Entra 混合式聯結搭配使用,且具有這些 TPM 的裝置會被視為沒有 TPM。
僅支持啟動 Windows 10 2004 更新的 UPN 變更。 針對 Windows 10 2004 更新之前的裝置,用戶可以在其裝置上發生 SSO 和條件式存取問題。 若要解決此問題,您必須從 Microsoft Entra ID 取消加入裝置(使用提高的許可權執行 “dsregcmd /leave”),然後重新加入 (自動發生)。 不過,使用 Windows Hello 企業版 登入的使用者不會面臨此問題。
檢閱目標 Microsoft Entra 混合式聯結
組織可能想要在為整個組織啟用 Microsoft Entra 混合式加入之前,先進行目標推出的 Microsoft Entra 混合式加入。 請檢閱 Microsoft Entra 混合式聯結目標部署一文,以瞭解如何完成。
警告
組織應該在其試驗群組中包含不同角色和配置檔的用戶範例。 目標推出可協助您識別計劃可能尚未解決的任何問題,再為整個組織啟用。
根據您的身分識別基礎結構選取您的案例
Microsoft Entra 混合式聯結可搭配受控和同盟環境使用,視 UPN 是否可路由或不可路由而定。 如需支援案例的數據表,請參閱頁面底部。
受管理的環境
受控環境可以透過密碼哈希同步處理 (PHS) 或具有無縫單一登錄的傳遞驗證 (PTA) 進行部署。
這些案例不需要您設定同盟伺服器進行驗證(AuthN)。
注意
同盟環境
同盟環境應該有支援下列需求的識別提供者。 如果您有使用 Active Directory 同盟服務 的同盟環境(AD FS),則已經支援下列需求。
WS-Trust 通訊協定: 需要此通訊協定,才能使用 Microsoft Entra 標識符驗證 Windows 目前的 Microsoft Entra 混合式聯結裝置。 當您使用 AD FS 時,必須啟用下列 WS-Trust 端點:
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
警告
adfs/services/trust/2005/windowstransport 或 adfs/services/trust/13/windowstransport 應僅啟用為內部網路對向端點,且不得透過 Web 應用程式 Proxy 公開為外部網路對向端點。 若要深入瞭解如何停用 WS-Trust Windows 端點,請參閱 停用 Proxy 上的 WS-Trust Windows 端點。 您可以在 [服務>端點] 底下,透過AD FS管理控制台來查看哪些端點已啟用。
從 1.1.819.0 版開始,Microsoft Entra 連線 提供精靈來設定 Microsoft Entra 混合式聯結。 精靈可讓您大幅簡化設定程式。 如果安裝必要的 Microsoft Entra 連線 版本不是選項,請參閱如何手動設定裝置註冊。 如果 contoso.com 註冊為已確認的自定義網域,即使其同步處理的內部部署 AD DS UPN 後綴位於 test.contoso.com 之類的子域,使用者仍可取得 PRT。
檢閱內部部署 Microsoft Windows Server Active Directory 使用者 UPN 對 Microsoft Entra 混合式加入的支援
- 可路由使用者 UPN:可路由 UPN 具有向網域註冊機構註冊的有效已驗證網域。 例如,如果 contoso.com 是 Microsoft Entra ID 中的主要網域,contoso.org 是 Contoso 擁有的內部部署 AD 中的主要網域,並在 Microsoft Entra ID 中驗證。
- 無法路由傳送的使用者UPN:無法路由的UPN沒有已驗證的網域,而且僅適用於您組織的專用網。 例如,如果 contoso.com 是 Microsoft Entra ID 中的主要網域,而 contoso.local 是內部部署 AD 中的主要網域,但不是因特網中可驗證的網域,而且只會在 Contoso 的網路中使用。
注意
本節中的資訊僅適用於內部部署使用者 UPN。 它不適用於內部部署計算機網域後綴(例如:computer1.contoso.local)。
下表提供這些內部部署 Microsoft Windows Server Active Directory UPN 在 Windows 10 Microsoft Entra 混合式聯結中支持的詳細數據:
| 內部部署 Microsoft Windows Server Active Directory UPN 的類型 | 網域類型 | Windows 10 版本 | 描述 |
|---|---|---|---|
| 可路由傳送 | 同盟 | 從 1703 版 | 正式推出 |
| 不可路由傳送 | 同盟 | 從1803版 | 正式推出 |
| 可路由傳送 | 受管理的 | 從1803版 | 在內部部署UPN與 Microsoft Entra UPN 不同的環境中,不支援 Windows 鎖定畫面上的 Microsoft Entra SSPR。 內部部署UPN必須同步處理至 onPremisesUserPrincipalName Microsoft Entra ID 中的屬性 |
| 不可路由傳送 | 受管理的 | 不支援 |