Planowanie implementacji hybrydowego łączenia Microsoft Entra
Jeśli masz lokalne środowisko usług Active Directory Domain Services (AD DS) i chcesz dołączyć komputery przyłączone do domeny usług AD DS do firmy Microsoft Entra ID, możesz wykonać to zadanie, wykonując dołączenie hybrydowe firmy Microsoft Entra.
Wskazówka
Dostęp SSO do zasobów lokalnych na miejscu jest również dostępny dla urządzeń połączonych z usługą Microsoft Entra. Aby uzyskać więcej informacji, zobacz Jak działa SSO do zasobów lokalnych na urządzeniach dołączonych do Microsoft Entra.
Warunki wstępne
W tym artykule założono, że znasz Wprowadzenie do zarządzania tożsamościami urządzeń w usłudze Microsoft Entra ID.
Notatka
Minimalna wymagana wersja kontrolera domeny dla systemu Windows 10 lub nowszego przyłączania hybrydowego firmy Microsoft Entra to Windows Server 2008 R2.
Urządzenia hybrydowo dołączone do Microsoft Entra wymagają okresowej widoczności sieciowej do kontrolerów domeny. Bez tego połączenia urządzenia stają się bezużyteczne.
Scenariusze, które nie działają bez bezpośredniego połączenia z kontrolerami domeny, obejmują:
- Zmiana hasła urządzenia
- Zmiana hasła użytkownika (poświadczenia buforowane)
- Resetowanie modułu TPM (Trusted Platform Module)
Planowanie implementacji
Aby zaplanować hybrydową implementację firmy Microsoft Entra, zapoznaj się z:
- Przeglądanie obsługiwanych urządzeń
- Przejrzyj rzeczy, które należy znać
- Zapoznaj się z celowym wdrożeniem hybrydowego dołączenia w Microsoft Entra
- Wybierz scenariusz na podstawie swojej infrastruktury tożsamości
- Przejrzyj obsługę głównej nazwy użytkownika (UPN) w usłudze lokalnej Microsoft Windows Server Active Directory dla dołączenia hybrydowego Microsoft Entra.
Przeglądanie obsługiwanych urządzeń
Dołączanie hybrydowe firmy Microsoft Entra obsługuje szeroką gamę urządzeń z systemem Windows.
- Windows 11
- Windows 10
- Windows Server 2016
- Uwaga: klienci chmury krajowej platformy Azure wymagają wersji 1803
- Windows Server 2019
Microsoft jako najlepszą praktykę zaleca uaktualnienie do najnowszej wersji systemu Windows.
Przejrzyj rzeczy, które należy znać
Nieobsługiwane scenariusze
- Dołączanie hybrydowe firmy Microsoft Entra nie jest obsługiwane w przypadku systemu Windows Server pełniącego rolę kontrolera domeny (DC).
- System operacyjny Server Core nie obsługuje żadnej rejestracji urządzenia.
- Narzędzie do migracji stanu użytkownika (USMT) nie działa z rejestracją urządzenia.
Zagadnienia dotyczące tworzenia obrazów systemu operacyjnego
Jeśli korzystasz z narzędzia do przygotowywania systemu (Sysprep) i używasz przed systemem Windows 10 1809 obrazu do instalacji, upewnij się, że obraz nie pochodzi z urządzenia zarejestrowanego już w usłudze Microsoft Entra ID jako dołączone hybrydowo do firmy Microsoft Entra.
Jeśli korzystasz z migawki maszyny wirtualnej w celu utworzenia większej liczby maszyn wirtualnych, upewnij się, że migawka nie pochodzi z maszyny wirtualnej, która jest już zarejestrowana w Microsoft Entra ID jako przyłączona hybrydowo.
Jeśli używasz Unified Write Filter i podobnych technologii, które usuwają zmiany na dysku przy ponownym uruchomieniu, należy je zastosować po dołączeniu urządzenia do hybrydy Microsoft Entra. Włączenie takich technologii przed ukończeniem hybrydowego dołączenia do Microsoft Entra powoduje, że urządzenie zostanie odłączone przy każdym ponownym uruchomieniu.
Obsługa urządzeń w stanie zarejestrowanym przez Microsoft Entra
Jeśli urządzenia z systemem Windows 10 lub nowszym przyłączone do domeny są zarejestrowane firmy Microsoft w dzierżawie, może to prowadzić do podwójnego stanu urządzenia hybrydowego firmy Microsoft Entra i zarejestrowanego urządzenia firmy Microsoft Entra. Zalecamy uaktualnienie do systemu Windows 10 1803 (z zastosowanym KB4489894) lub nowszym, aby automatycznie rozwiązać ten scenariusz. W wersjach przed 1803, przed włączeniem hybrydowego dołączenia do Microsoft Entra, należy ręcznie usunąć zarejestrowany stan w usłudze Microsoft Entra. W wersjach 1803 i nowszych wprowadzono następujące zmiany, aby uniknąć tego stanu podwójnego:
- Każdy istniejący status zarejestrowania w usłudze Microsoft Entra dla użytkownika zostanie automatycznie usunięty po zintegrowaniu urządzenia w trybie hybrydowym z Microsoft Entra i gdy ten sam użytkownik się zaloguje. Jeśli na przykład użytkownik A miał stan zarejestrowany w Microsoft Entra na urządzeniu, stan podwójny dla użytkownika A jest czyszczony tylko wtedy, gdy użytkownik A zaloguje się na urządzeniu. Jeśli na tym samym urządzeniu jest wielu użytkowników, stan podwójny jest czyszczony indywidualnie podczas logowania tych użytkowników. Po usunięciu przez administratora stanu zarejestrowanego Microsoft Entra, system Windows 10 wyrejestruje urządzenie z usługi Intune lub innego zarządzania urządzeniami przenośnymi (MDM), jeśli rejestracja nastąpiła w ramach rejestracji Microsoft Entra za pośrednictwem automatycznej rejestracji.
- Ta zmiana nie wpływa na stan rejestracji Microsoft Entra na żadnych kontach lokalnych na urządzeniu. Dotyczy tylko kont domeny. Stan zarejestrowany w usłudze Microsoft Entra na kontach lokalnych nie jest usuwany automatycznie nawet po zalogowaniu użytkownika, ponieważ użytkownik nie jest użytkownikiem domeny.
- Możesz uniemożliwić rejestrację urządzenia przyłączonego do domeny Microsoft Entra, dodając następującą wartość rejestru do HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001.
- W systemie Windows 10 1803, jeśli skonfigurowano usługę Windows Hello dla firm, użytkownik musi ponownie skonfigurować usługę Windows Hello dla firm po oczyszczeniu stanu podwójnego. Ten problem został rozwiązany przy użyciu KB4512509.
Notatka
Mimo że systemy Windows 10 i Windows 11 automatycznie usuwają stan zarejestrowany w usłudze Microsoft Entra lokalnie, obiekt urządzenia w identyfikatorze Entra firmy Microsoft nie jest natychmiast usuwany, jeśli jest zarządzany przez usługę Intune. Możesz zweryfikować usunięcie stanu zarejestrowanego Microsoft Entra, uruchamiając dsregcmd /status.
Hybrydowe dołączenie Microsoft Entra dla pojedynczego lasu, wielu dzierżawców Microsoft Entra
Aby zarejestrować urządzenia jako hybrydowe dołączenie do Microsoft Entra do odpowiednich dzierżawców, organizacje muszą upewnić się, że konfiguracja punktu połączenia z usługą (SCP) jest wykonywana na urządzeniach, a nie w Microsoft Windows Server Active Directory. Więcej szczegółów na temat wykonywania tego zadania można znaleźć w artykule Microsoft Entra Hybrid Join Targeted Deployment. Ważne jest, aby organizacje zrozumiały, że niektóre funkcje Microsoft Entra nie działają w konfiguracji pojedynczego lasu z wieloma dzierżawcami Microsoft Entra.
- Zwrotne zapisywanie danych urządzenia nie działa. Ta konfiguracja ma wpływ na warunkowy dostęp do aplikacji lokalnych oparty na urządzeniach, które są federowane przy użyciu usług AD FS. Ta konfiguracja ma również wpływ na wdrożenie usługi Windows Hello dla firm podczas korzystania z hybrydowego modelu zaufania certyfikatów.
- grupy zapisywania zwrotnego nie działają. Ta konfiguracja ma wpływ na przywracanie Grup Office 365 do lasu z zainstalowanym programem Exchange.
- Płynne logowanie jednokrotne nie działa. Ta konfiguracja ma wpływ na scenariusze SSO w organizacjach korzystających z platform przeglądarek, takich jak iOS lub Linux z przeglądarką Firefox, Safari lub Chrome bez rozszerzenia dla Windows 10.
- Ochrona haseł Microsoft Entra lokalnie zainstalowana nie działa. Ta konfiguracja wpływa na możliwość zmiany haseł i resetowania ich w kontrolerach domen lokalnych usług Active Directory Domain Services (AD DS), przy użyciu tych samych globalnych i niestandardowych list zakazanych haseł, które są przechowywane w Microsoft Entra ID.
Inne zagadnienia
Jeśli środowisko korzysta z infrastruktury pulpitu wirtualnego (VDI), zobacz Tożsamość urządzenia i wirtualizacja pulpitu.
Dołączanie hybrydowe Microsoft Entra jest obsługiwane dla modułu TPM 2.0 zgodnego z Federalnym Standardem Przetwarzania Informacji (FIPS) i nie jest obsługiwane dla modułu TPM 1.2. Jeśli twoje urządzenia mają moduł TPM 1.2 zgodny ze standardem FIPS, musisz je wyłączyć przed kontynuowaniem dołączania hybrydowego Microsoft Entra. Firma Microsoft nie udostępnia żadnych narzędzi do wyłączania trybu FIPS dla modułów TPM, ponieważ jest zależna od producenta modułu TPM. Skontaktuj się ze sprzętem OEM, aby uzyskać pomoc techniczną.
Począwszy od wersji systemu Windows 10 1903, moduł TPM w wersji 1.2 nie jest używany z przyłączania hybrydowego firmy Microsoft Entra i urządzenia z tymi modułami TPM są traktowane tak, jakby nie miały modułu TPM.
Zmiany UPN są obsługiwane dopiero począwszy od aktualizacji Windows 10 2004. W przypadku urządzeń przed aktualizacją systemu Windows 10 2004 użytkownicy mogą mieć problemy z logowaniem jednokrotnym i dostępem warunkowym na swoich urządzeniach. Aby rozwiązać ten problem, musisz cofnąć łączenie urządzenia z Microsoft Entra ID (uruchom polecenie "dsregcmd /leave" z podwyższonym poziomem uprawnień) i ponownie dołączyć (co następuje automatycznie). Jednak użytkownicy logujący się za pomocą usługi Windows Hello dla firm nie napotykają tego problemu.
Zapoznaj się z docelowym dołączeniem hybrydowym firmy Microsoft Entra
Organizacje mogą najpierw zdecydować się na ukierunkowane wdrożenie hybrydowego dołączenia Microsoft Entra, zanim wprowadzą je w całej organizacji. Zapoznaj się z artykułem docelowe wdrożenie połączenia hybrydowego Microsoft Entra, aby zrozumieć, jak to osiągnąć.
Ostrzeżenie
Organizacje powinny uwzględniać próbkę użytkowników z różnych profilów i ról w grupie pilotażowej. Stopniowe wdrożenie pomaga zidentyfikować wszelkie problemy, których plan może nie rozwiązać przed uruchomieniem w całej organizacji.
Wybierz scenariusz na podstawie infrastruktury tożsamości
Hybrydowe dołączenie Microsoft Entra współdziała zarówno ze środowiskami zarządzanymi, jak i federacyjnymi, w zależności od tego, czy nazwa UPN jest routowalna, czy nieroutowalna. Zobacz dół strony, aby zapoznać się z tabelą dotyczącą obsługiwanych scenariuszy.
Środowisko zarządzane
Zarządzane środowisko można wdrożyć za pomocą synchronizacji skrótów haseł (PHS) lub uwierzytelniania przekazywanego (PTA) z użyciem bezproblemowego logowania jednokrotnego.
Te scenariusze nie wymagają skonfigurowania serwera federacyjnego na potrzeby uwierzytelniania (AuthN).
Notatka
uwierzytelnianie w chmurze przy użyciu wdrożenia etapowego jest obsługiwane tylko od aktualizacji systemu Windows 10 1903.
Środowisko federacyjne
Środowisko federacyjne powinno mieć dostawcę tożsamości, który obsługuje następujące wymagania. Jeśli masz środowisko federacyjne przy użyciu usług Active Directory Federation Services (AD FS), poniższe wymagania są już obsługiwane.
protokół WS-Trust: Ten protokół jest wymagany do uwierzytelniania urządzeń z systemem Windows przyłączonych hybrydowo do Entra firmy Microsoft za pomocą Microsoft Entra ID. W przypadku korzystania z AD FS należy włączyć następujące punkty końcowe oznaczone jako WS-Trust:
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
Ostrzeżenie
Zarówno adfs/services/trust/2005/windowstransport, jak i adfs/services/trust/13/windowstransport powinny być włączone jako punkty końcowe dostępne tylko w intranecie i nie mogą być widoczne jako punkty końcowe dostępne dla ekstranetu za pośrednictwem serwera proxy aplikacji internetowej. Aby dowiedzieć się więcej na temat wyłączania punktów końcowych Windows WS-Trust, zobacz Wyłącz punkty końcowe Windows WS-Trust na serwerze proxy. Możesz zobaczyć, które punkty końcowe są włączone za pośrednictwem konsoli zarządzania usługami AD FS w Service>Endpoints.
Począwszy od wersji 1.1.819.0, program Microsoft Entra Connect udostępnia kreatora do konfigurowania dołączania hybrydowego firmy Microsoft Entra. Kreator umożliwia znaczne uproszczenie procesu konfiguracji. Jeśli instalacja wymaganej wersji programu Microsoft Entra Connect nie jest opcją, zobacz Jak ręcznie skonfigurować rejestrację urządzeń. Jeśli contoso.com jest zarejestrowany jako potwierdzona domena niestandardowa, użytkownicy mogą uzyskać żeton PRT, nawet jeśli ich zsynchronizowany lokalny sufiks UPN usług AD DS znajduje się w subdomenie, na przykład test.contoso.com.
Przejrzyj obsługę lokalnych UPN użytkowników usługi Microsoft Windows Server Active Directory dla dołączenia hybrydowego w Microsoft Entra
- UPN użytkowników przekazywalny: Przekazywalny UPN ma prawidłową, zweryfikowaną domenę zarejestrowaną u rejestratora domen. Jeśli na przykład contoso.com jest domeną podstawową w usłudze Microsoft Entra ID, contoso.org jest domeną podstawową w lokalnej usłudze AD należącej do firmy Contoso i zweryfikowaną w usłudze Microsoft Entra ID.
- UPN użytkowników bez routingu: nieroutowalna nazwa UPN nie ma zweryfikowanej domeny i jest stosowana tylko w prywatnej sieci organizacji. Jeśli na przykład contoso.com jest domeną podstawową w usłudze Microsoft Entra ID, a contoso.local jest domeną podstawową w lokalnej usłudze AD, ale nie jest domeną weryfikowalną w Internecie i używaną tylko w sieci firmy Contoso.
Notatka
Informacje w tej sekcji dotyczą wyłącznie UPN użytkowników pracujących w środowisku lokalnym. Nie ma zastosowania do sufiksu domeny komputera lokalnego (na przykład: computer1.contoso.local).
Poniższa tabela zawiera szczegółowe informacje na temat obsługi lokalnych UPN-ów usługi Microsoft Windows Server Active Directory w systemie Windows 10 w kontekście hybrydowego dołączania Microsoft Entra.
| Typ lokalnej nazwy UPN usługi Active Directory systemu Microsoft Windows Server | Typ domeny | wersja Windows 10 | Opis |
|---|---|---|---|
| Routable | Federacja | Od wersji 1703 | Ogólnie dostępne |
| Niezwiązane z routingu | Sfederowany | Z wersji 1803 | Ogólnie dostępne |
| Routable | Zarządzane | Z wersji 1803 | Ogólnie dostępna funkcja Microsoft Entra SSPR na ekranie blokady Windows nie jest obsługiwana w środowiskach, w których lokalny UPN różni się od UPN Microsoft Entra. Lokalny UPN musi być zsynchronizowany z atrybutem onPremisesUserPrincipalName w Microsoft Entra ID. |
| Niezwiązane z routingu | Zarządzane | Niewspierane |