Konfiguruj hybrydowe dołączanie Microsoft Entra

Przenoszenie urządzeń do usługi Microsoft Entra ID pozwala zmaksymalizować produktywność użytkowników za pomocą logowania jednokrotnego w zasobach w chmurze i zasobach lokalnych. Dostęp do zasobów można zabezpieczyć za pomocą dostępu warunkowego w tym samym czasie.

Wymagania wstępne

• Microsoft Entra Connect w wersji 1.1.819.0 lub nowszej.
  • Nie wykluczaj domyślnych atrybutów urządzenia z konfiguracji programu Microsoft Entra Connect Sync. Aby dowiedzieć się więcej o domyślnych atrybutach urządzenia synchronizowanych z identyfikatorem Entra firmy Microsoft, zobacz Atrybuty synchronizowane przez program Microsoft Entra Connect.
  • Jeśli obiekty komputerów urządzeń, które mają być przyłączone w trybie hybrydowym do Microsoft Entra, należą do określonych jednostek organizacyjnych (OU), skonfiguruj odpowiednie jednostki organizacyjne do synchronizacji w Microsoft Entra Connect. Aby dowiedzieć się więcej na temat synchronizowania obiektów komputerów przy użyciu programu Microsoft Entra Connect, zobacz Filtrowanie oparte na jednostkach organizacyjnych.
• Poświadczenia administratora tożsamości hybrydowej dla dzierżawy Microsoft Entra.
• Poświadczenia administratora przedsiębiorstwa dla każdego z lasów usług domenowych Active Directory w środowisku lokalnym.
• (W przypadku domen federacyjnych) Co najmniej system Windows Server 2012 R2 z zainstalowanymi usługami Active Directory Federation Services.
• Użytkownicy mogą rejestrować swoje urządzenia za pomocą identyfikatora Entra firmy Microsoft. Więcej informacji na temat tego ustawienia można znaleźć w nagłówku Konfigurowanie ustawień urządzenia, w artykule Konfigurowanie ustawień urządzenia.

Wymagania dotyczące łączności sieciowej

Przyłączenie hybrydowe do usługi Microsoft Entra wymaga, aby urządzenia miały dostęp do następujących zasobów firmy Microsoft z wewnątrz sieci organizacji:

• https://enterpriseregistration.windows.net
• https://login.microsoftonline.com
• https://device.login.microsoftonline.com
• https://autologon.microsoftazuread-sso.com (jeśli korzystasz z bezproblemowego logowania jednokrotnego lub planujesz z niego korzystać)
• Usługa tokenu zabezpieczającego organizacji (STS) (dla domen federacyjnych)

Ostrzeżenie

Jeśli organizacja używa serwerów proxy, które przechwytują ruch SSL w scenariuszach takich jak zapobieganie utracie danych lub ograniczenia dzierżawy firmy Microsoft Entra, upewnij się, że ruch do https://device.login.microsoftonline.com i https://enterpriseregistration.windows.net jest wykluczony z przerwania i przeglądu protokołu TLS. Nieudane wykluczenie tych adresów URL może spowodować zakłócenia w uwierzytelnianiu certyfikatu klienta, problemy z rejestracją urządzeń oraz z dostępem warunkowym opartym na urządzeniach.

Jeśli Twoja organizacja wymaga dostępu do internetu przez wychodzący serwer proxy, możesz użyć funkcji automatycznego odnajdywania serwera proxy sieci Web (WPAD), aby aktywować komputery z systemem Windows 10 lub nowszym do rejestracji urządzeń za pomocą Microsoft Entra ID. Aby rozwiązać problemy z konfigurowaniem funkcji WPAD i zarządzaniem nią, zobacz Rozwiązywanie problemów z wykrywaniem automatycznym.

Jeśli nie używasz WPAD, możesz skonfigurować ustawienia serwera proxy WinHTTP na komputerze przy użyciu obiektu zasad grupy (GPO) począwszy od systemu Windows 10 1709. Aby uzyskać więcej informacji, zobacz Ustawienia serwera proxy WinHTTP wdrożone przez obiekt zasad grupy.

Uwaga

Jeśli skonfigurujesz ustawienia serwera proxy na komputerze przy użyciu ustawień WinHTTP, wszystkie komputery, które nie mogą nawiązać połączenia ze skonfigurowanym serwerem proxy, nie będą mogły nawiązać połączenia z Internetem.

Jeśli Twoja organizacja wymaga dostępu do Internetu za pośrednictwem uwierzytelnionego serwera proxy ruchu wychodzącego, upewnij się, że komputery z systemem Windows 10 lub nowszym mogą pomyślnie uwierzytelnić się na serwerze proxy ruchu wychodzącego. Ponieważ system Windows 10 lub nowsze komputery uruchamiają rejestrację urządzeń przy użyciu kontekstu komputera, skonfiguruj uwierzytelnianie wychodzącego serwera proxy przy użyciu kontekstu komputera. Skontaktuj się z dostawcą serwera proxy ruchu wychodzącego, aby uzyskać informacje na temat wymagań dotyczących konfiguracji.

Sprawdź, czy urządzenia mogą uzyskać dostęp do wymaganych zasobów Microsoft na koncie systemowym przy użyciu skryptu Test Device Registration Connectivity.

Domeny zarządzane

Uważamy, że większość organizacji realizuje łączenie hybrydowe Microsoft Entra z domenami zarządzanymi. Domeny zarządzane używają synchronizacji skrótów haseł (PHS) lub uwierzytelniania przekazywanego (PTA) z bezproblemowym logowaniem jednokrotnym. Scenariusze domeny zarządzanej nie wymagają skonfigurowania serwera federacyjnego.

Skonfiguruj dołączanie hybrydowe Microsoft Entra przy użyciu Microsoft Entra Connect dla zarządzanej domeny:

1. Otwórz program Microsoft Entra Connect, a następnie wybierz pozycję Konfiguruj.

2. W obszarze Dodatkowe zadania wybierz pozycję Konfiguruj opcje urządzenia, a następnie wybierz pozycję Dalej.

3. W obszarze Przegląd wybierz pozycję Dalej.

4. W Połącz z identyfikatorem Microsoft Entra wprowadź poświadczenia Administratora Tożsamości Hybrydowej dla dzierżawy Microsoft Entra.

5. W Opcjach urządzenia wybierz Konfiguruj hybrydowe przyłączenie Microsoft Entra, a następnie wybierz Dalej.

6. W obszarze Systemy operacyjne urządzenia wybierz systemy operacyjne używane przez urządzenia w środowisku usługi Active Directory, a następnie wybierz przycisk Dalej.

7. W konfiguracji SCP, dla każdego lasu, w którym chcesz, aby Microsoft Entra Connect skonfigurował punkt połączenia z usługą (SCP), wykonaj następujące kroki, a następnie wybierz Dalej.

   1. Wybierz Las
   2. Wybierz usługę uwierzytelniania.
   3. Wybierz pozycję Dodaj , aby wprowadzić poświadczenia administratora przedsiębiorstwa.

   

8. W obszarze Gotowe do skonfigurowania wybierz pozycję Konfiguruj.

9. Po zakończeniu konfiguracji wybierz opcję Wyjście.

Domeny federacyjne

Środowisko federacyjne powinno mieć dostawcę tożsamości, który obsługuje następujące wymagania. Jeśli masz środowisko federacyjne przy użyciu usług Active Directory Federation Services (AD FS), poniższe wymagania są już obsługiwane.

• protokół WS-Trust: Ten protokół jest wymagany do uwierzytelniania hybrydowo połączonych urządzeń z Microsoft Entra ID. Korzystając z usługi AD FS, należy włączyć następujące punkty końcowe WS-Trust:
  • /adfs/services/trust/2005/windowstransport
  • /adfs/services/trust/13/windowstransport
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/services/trust/13/usernamemixed
  • /adfs/services/trust/2005/certificatemixed
  • /adfs/services/trust/13/certificatemixed

Ostrzeżenie

Zarówno adfs/services/trust/2005/windowstransport i adfs/services/trust/13/windowstransport powinny być włączone jako punkty końcowe dostępne tylko w intranecie i nie mogą być dostępne w ekstranecie za pośrednictwem Web Application Proxy. Aby dowiedzieć się więcej na temat wyłączania punktów końcowych WS-Trust w systemie Windows, zobacz Wyłączanie punktów końcowych WS-Trust w systemie Windows na serwerze proxy. Możesz zobaczyć, jakie punkty końcowe są włączone, za pomocą konsoli zarządzania usług AD FS w obszarze Usługi>Punkty końcowe.

Konfigurowanie hybrydowego połączenia Microsoft Entra za pomocą Microsoft Entra Connect dla środowiska federacyjnego:

1. Otwórz program Microsoft Entra Connect, a następnie wybierz pozycję Konfiguruj.

2. Na stronie Dodatkowe zadania wybierz pozycję Konfiguruj opcje urządzenia, a następnie wybierz pozycję Dalej.

3. Na stronie Przegląd wybierz pozycję Dalej.

4. Na stronie Połącz z identyfikatorem Microsoft Entra wprowadź poświadczenia Administratora tożsamości hybrydowej dla dzierżawcy Microsoft Entra, a następnie wybierz Dalej.

5. Na stronie Opcje urządzenia wybierz Skonfiguruj hybrydowe przyłączanie Microsoft Entra, a następnie wybierz Dalej.

6. Na stronie SCP wykonaj następujące kroki, a następnie wybierz pozycję Dalej:

   1. Wybierz las.
   2. Wybierz usługę uwierzytelniania. Należy wybrać serwer usług AD FS, chyba że twoja organizacja ma wyłącznie klientów z systemem Windows 10 lub nowszych i konfigurujesz synchronizację komputerów/urządzeń lub organizacja korzysta z bezproblemowego logowania jednokrotnego.
   3. Wybierz pozycję Dodaj , aby wprowadzić poświadczenia administratora przedsiębiorstwa.

   

7. Na stronie Systemy operacyjne urządzenia wybierz systemy operacyjne używane przez urządzenia w środowisku usługi Active Directory, a następnie wybierz przycisk Dalej.

8. Na stronie Konfiguracja federacji wprowadź poświadczenia administratora usług AD FS, a następnie wybierz przycisk Dalej.

9. Na stronie Gotowe do skonfigurowania wybierz pozycję Konfiguruj.

10. Na stronie Konfiguracja ukończona wybierz pozycję Zakończ.

Zastrzeżenia federacji

W systemie Windows 10 1803 lub nowszym, jeśli natychmiastowe hybrydowe dołączenie Microsoft Entra dla środowiska federacyjnego przy użyciu usługi federacyjnej kończy się niepowodzeniem, używamy Microsoft Entra Connect, aby zsynchronizować obiekt komputera w usłudze Microsoft Entra ID, aby ukończyć rejestrację urządzenia dla hybrydowego dołączenia Microsoft Entra.

Inne scenariusze

Organizacje mogą testować hybrydowe dołączanie Microsoft Entra na podzbiorze środowiska przed pełnym wdrożeniem. Kroki, które należy wykonać, aby ukończyć wdrożenie docelowe, można znaleźć w artykule Docelowe wdrożenie dołączania hybrydowego Microsoft Entra. Organizacje powinny uwzględniać próbkę użytkowników z różnych profilów i ról w tej grupie pilotażowej. Wdrożenie ukierunkowane pomaga zidentyfikować wszelkie problemy, które plan działania może nie uwzględniać przed jego włączeniem dla całej organizacji.

Niektóre organizacje mogą nie być w stanie skonfigurować usług AD FS za pomocą programu Microsoft Entra Connect. Kroki konfigurowania oświadczeń ręcznie można znaleźć w artykule Konfigurowanie przyłączania hybrydowego Microsoft Entra ręcznie.

Chmura rządowa USA (obejmująca GCCHigh i DoD)

W przypadku organizacji w usłudze Azure Government dołączenie hybrydowe Microsoft Entra wymaga, aby urządzenia miały dostęp z sieci organizacji do następujących zasobów firmy Microsoft:

• https://enterpriseregistration.windows.net ihttps://enterpriseregistration.microsoftonline.us
• https://login.microsoftonline.us
• https://device.login.microsoftonline.us
• https://autologon.microsoft.us (jeśli korzystasz z bezproblemowego logowania jednokrotnego lub planujesz z niego korzystać)

Rozwiązywanie problemów z przyłączem hybrydowym firmy Microsoft Entra

Jeśli wystąpią problemy z ukończeniem hybrydowego dołączenia Microsoft Entra dla urządzeń dołączonych do domeny z systemem Windows, zobacz:

• Rozwiązywanie problemów z urządzeniami przy użyciu polecenia dsregcmd
• Rozwiązywanie problemów z łączeniem hybrydowym Microsoft Entra dla bieżących urządzeń z Windows
• Rozwiązywanie problemów z hybrydowym przyłączeniem Microsoft Entra dla starszych urządzeń z systemem Windows
• Rozwiązywanie problemów ze stanem oczekującego urządzenia

Powiązana zawartość

• Weryfikacja przyłączania hybrydowego firmy Microsoft Entra
• Użyj dostępu warunkowego, aby wymagać zgodnego urządzenia lub urządzenia połączonego hybrydowo z Microsoft Entra
• Planowanie wdrożenia Windows Hello dla firm