設定 Microsoft Entra 混合式聯結

將您的裝置導入 Microsoft Entra ID 中，您將可透過跨雲端和內部部署資源的單一登入 (SSO)，將使用者的生產力最大化。 同時您可以利用條件式存取來保護對資源的存取。

必要條件

• Microsoft Entra Connect 1.1.819.0 版或更新版本。
  • 請勿從您的 Microsoft Entra Connect 同步設定中排除預設裝置屬性。 若要深入了解同步處理至 Microsoft Entra ID 的預設裝置屬性，請參閱 Microsoft Entra Connect 同步處理的屬性。
  • 如果您要已聯結 Microsoft Entra 混合式裝置的電腦物件屬於特定組織單位 (OU)，請在 Microsoft Entra Connect 中設定正確的 OU 以進行同步處理。 若要深入了解如何使用 Microsoft Entra Connect 來同步處理電腦物件，請參閱組織單位型篩選。
• Microsoft Entra 租用戶的混合式身分識別管理員認證。
• 每個內部部署 Active Directory Domain Services 樹系的企業系統管理員認證。
• (針對同盟網域) 至少 Windows Server 2012 R2，並已安裝 Active Directory 同盟服務。
• 使用者可使用 Microsoft Entra ID 註冊裝置。 如需此設定的詳細資訊，請參閱本文中「設定裝置設定」標題底下的設定裝置設定。

網路連線能力需求

要使用 Microsoft Entra 混合式加入，您的裝置必須能夠從組織的網路中存取下列 Microsoft 資源：

• https://enterpriseregistration.windows.net
• https://login.microsoftonline.com
• https://device.login.microsoftonline.com
• https://autologon.microsoftazuread-sso.com (如果您使用或計劃使用無縫 SSO)
• 組織的 Security Token Service (STS) (適用於同盟網域)

警告

如果組織使用的 Proxy 伺服器會在資料外洩防護或 Microsoft Entra 租用戶限制等案例中攔截 SSL 流量，請確認已從 TLS 中斷和檢查中排除 https://device.login.microsoftonline.com 的流量。 無法排除此 URL，可能會干擾用戶端憑證驗證，進而導致裝置註冊和裝置型條件式存取的問題。

如果組織需要透過輸出 Proxy 來存取網際網路，您可以使用 Web Proxy 自動探索 (WPAD)，讓 Windows 10 或更新版本電腦能向 Microsoft Entra ID 進行裝置註冊。 若要解決 WPAD 的設定和管理問題，請參閱針對自動偵測進行疑難排解。

如果您未使用 WPAD，則從 Windows 10 1709 開始，您可以在電腦上使用群組原則物件 (GPO) 設定 WinHTTP Proxy 設定。 如需詳細資訊，請參閱 GPO 所部署的 WinHTTP Proxy 設定。

注意

如果您使用 WinHTTP 設定在電腦上設定 Proxy 設定，則任何無法連線到所設定 Proxy 的電腦將無法連線到網際網路。

如果貴組織需要透過已驗證的輸出 Proxy 存取網際網路，請確定 Windows 10 或更新版本電腦可以成功向輸出 Proxy 進行驗證。 因為 Windows 10 或更新版本電腦會使用電腦內容來執行裝置註冊，所以請使用電腦內容來設定輸出 Proxy 驗證。 請向您的輸出 Proxy 提供者洽詢相關設定需求。

請使用測試裝置註冊連線能力指令碼，來確認裝置是否能夠在系統帳戶下存取必要的 Microsoft 資源。

受控網域

我們認為大多數組織都會部署 Microsoft Entra 混合式聯結與受控網域。 受控網域使用密碼雜湊同步 (PHS) 或 傳遞驗證 (PTA) 搭配無縫單一登入。 受控網域案例不需要設定同盟伺服器。

使用受控網域的 Microsoft Entra Connect 來設定Microsoft Entra 混合式聯結：

1. 開啟 Microsoft Entra Connect，然後選取 [設定]。

2. 在 [其他工作] 中選取 [設定裝置選項]，然後選取 [下一步]。

3. 在 [概觀] 中，選取 [下一步]。

4. 在 [連線到 Microsoft Entra ID] 中，為您的 Microsoft Entra 租用戶輸入混合式身分識別管理員的認證。

5. 在 [裝置選項] 中選取 [設定 Microsoft Entra 混合式聯結]，然後選取 [下一步]。

6. 在 [裝置作業系統] 中，選取 Active Directory 環境中的裝置所使用的作業系統，然後選取 [下一步]。

7. 在 [SCP 設定] 中，針對您希望 Microsoft Entra Connect 設定服務連接點 (SCP) 的每個樹系，完成下列步驟，然後選取 [下一步]。

   1. 選取 [樹系]。
   2. 選取 [驗證服務]。
   3. 選取 [新增]，並輸入企業系統管理員認證。

   

8. 在 [準備好設定] 中，選取 [設定]。

9. 在 [設定完成] 中，選取 [結束]。

同盟網域

同盟環境應具有支援下列需求的識別提供者。 如果您的同盟環境使用 Active Directory 同盟服務 (AD FS)，則已支援下列需求。

• WIAORMULTIAUTHN 宣告：此宣告必須針對 Windows 下層裝置執行 Microsoft Entra 混合式聯結。
• WS-Trust 通訊協定：此通訊協定必須向 Microsoft Entra ID 驗證 Windows 現有 Microsoft Entra 混合式聯結裝置。 當您使用 AD FS 時，您必須啟用下列 WS-Trust 端點：
  • /adfs/services/trust/2005/windowstransport
  • /adfs/services/trust/13/windowstransport
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/services/trust/13/usernamemixed
  • /adfs/services/trust/2005/certificatemixed
  • /adfs/services/trust/13/certificatemixed

警告

adfs/services/trust/2005/windowstransport 和 adfs/services/trust/13/windowstransport 都只能啟用為內部網路對應端點，且不得透過 Web 應用程式 Proxy 公開為內部網路對應端點。 若要深入了解如何停用 WS-Trust Windows 端點，請參閱在 Proxy上停用 WS-Trust Windows 端點。 您可以在 AD FS 管理主控台的 [服務]>[端點] 下方查看已啟用的端點。

使用同盟環境的 Microsoft Entra Connect 來設定Microsoft Entra 混合式聯結：

1. 開啟 Microsoft Entra Connect，然後選取 [設定]。

2. 在 [其他工作] 頁面上選取 [設定裝置選項]，然後選取 [下一步]。

3. 在 [概觀] 頁面上，選取 [下一步]。

4. 在 [連線到 Microsoft Entra ID] 頁面上，為您的 Microsoft Entra 租用戶輸入混合式身分識別管理員的認證，然後選取 [下一步]。

5. 在 [裝置選項] 頁面上，選取 [設定 Microsoft Entra 混合式聯結]，然後選取 [下一步]。

6. 在 [SCP] 頁面上執行下列步驟，然後選取 [下一步]：

   1. 選取樹系。
   2. 選取驗證服務。 除非貴組織獨有 Windows 10 或更新版本用戶端，而且您已設定電腦/裝置同步或您的組織使用無縫 SSO，否則您必須選取 AD FS 伺服器。
   3. 選取 [新增]，並輸入企業系統管理員認證。

   

7. 在 [裝置作業系統] 頁面上，選取 Active Directory 環境中的裝置所使用的作業系統，然後選取 [下一步]。

8. 在 [同盟組態] 頁面上輸入 AD FS 系統管理員的認證，然後選取 [下一步]。

9. 在 [準備設定] 頁面上，選取 [設定]。

10. 在 [設定完成] 頁面上，選取 [結束]。

同盟注意事項

使用 Windows 10 1803 或更新版本時，如果使用 AD FS 進行同盟環境的立即 Microsoft Entra 混合式聯結失敗，我們依賴 Microsoft Entra Connect 來同步處理 Microsoft Entra ID 中的電腦物件，完成 Microsoft Entra 混合式聯結的裝置註冊。

其他案例

組織可以在完整推出之前，在其環境的子集上測試 Microsoft Entra 混合式聯結。 您可以在 Microsoft Entra 混合式聯結目標式部署一文中找到完成目標部署的步驟。 組織應該在此試驗群組中包含來自不同角色和設定檔的使用者範例。 推出目標有助於找出您為整個組織啟用之前，無法用方案解決的任何問題。

某些組織可能無法使用 Microsoft Entra Connect 來設定 AD FS。 您可以在手動設定 Microsoft Entra 混合式聯結一文中找到手動設定宣告的步驟。

美國政府雲端 (包含 GCCHigh 和 DoD)

針對 Azure Government 中的組織，Microsoft Entra 混合式聯結要求裝置必須能夠從組織的網路中存取下列 Microsoft 資源：

• https://enterpriseregistration.windows.net和 https://enterpriseregistration.microsoftonline.us
• https://login.microsoftonline.us
• https://device.login.microsoftonline.us
• https://autologon.microsoft.us (如果您使用或計劃使用無縫 SSO)

針對混合式 Microsoft Entra 聯結進行疑難排解

如果您為已加入網域的 Windows 裝置完成 Microsoft Entra 混合式聯結時遇到問題，請參閱：

• 使用 dsregcmd 命令針對裝置進行疑難排解
• 針對 Windows 現有裝置的 Microsoft Entra 混合式聯結進行疑難排解
• 針對 Windows 下層裝置的 Microsoft Entra 混合式聯結進行疑難排解
• 針對擱置裝置狀態進行疑難排解

相關內容

• Microsoft Entra 混合式聯合驗證
• 使用條件式存取，要求符合規範或 Microsoft Entra 混合式聯結裝置
• 規劃 Windows Hello 企業版部署