Planera implementeringen av din Microsoft Entra-hybridanslutning
Om du har en lokal Active Directory Domain Services-miljö (AD DS) och vill ansluta dina AD DS-domänanslutna datorer till Microsoft Entra ID kan du utföra den här uppgiften genom att göra Microsoft Entra-hybridanslutning.
Tips
Enkel inloggning (SSO) åtkomst till lokala resurser är också tillgänglig för enheter som är Microsoft Entra-anslutna. Mer information finns i Hur enkel inloggning till lokala resurser fungerar på Microsoft Entra-anslutna enheter.
Förutsättningar
Den här artikeln förutsätter att du är bekant med Introduktion till enhetsidentitetshantering i Microsoft Entra ID.
Not
Den lägsta nödvändiga domänkontrollantversionen (DC) för Windows 10 eller senare Microsoft Entra-hybridanslutning är Windows Server 2008 R2.
Microsoft Entra hybridanslutna enheter kräver periodisk nätverkskontakt med dina domänkontrollanter. Utan den här anslutningen blir enheterna oanvändbara.
Scenarier som bryts utan synfält för domänkontrollanterna är:
- Ändring av enhetslösenord
- Ändring av användarlösenord (cachelagrade autentiseringsuppgifter)
- Återställning av betrodd plattformsmodul (TPM)
Planera implementeringen
Planera din Microsoft Entra-hybridimplementering genom att bekanta dig med:
- Granska enheter som stöds
- Granska saker du bör känna till
- Granska riktad distribution av Microsoft Entra-hybridanslutning
- Välj ditt scenario baserat på din identitetsinfrastruktur
- Granska lokalt stöd för Microsoft Windows Server Active Directory-användarens huvudnamn (UPN) för Microsoft Entra-hybridanslutning
Granska enheter som stöds
Microsoft Entra-hybridanslutning stöder ett brett utbud av Windows-enheter.
- Windows 11
- Windows 10
- Windows Server 2016
- Observera: Azure National-molnanvändare kräver version 1803
- Windows Server 2019
Som bästa praxis rekommenderar Microsoft att du uppgraderar till den senaste versionen av Windows.
Granska saker du bör känna till
Scenarier som inte stöds
- Microsoft Entra-hybridanslutning stöds inte för Windows Server som kör rollen som domänkontrollant (DC).
- Server Core OS stöder inte någon typ av enhetsregistrering.
- User State Migration Tool (USMT) fungerar inte med enhetsregistrering.
Överväganden för OS-avbildning
Om du förlitar dig på systemförberedelseverktyget (Sysprep) och använder en förhandsversion av Windows 10 1809 för installation kontrollerar du att avbildningen inte kommer från en enhet som redan har registrerats med Microsoft Entra-ID som Microsoft Entra-hybridanslutning.
Om du förlitar dig på en ögonblicksbild av en virtuell dator (VM) för att skapa fler virtuella datorer kontrollerar du att ögonblicksbilden inte kommer från en virtuell dator som redan är registrerad med Microsoft Entra-ID som Microsoft Entra-hybridansluten.
Om du använder enhetligt skrivfilter och liknande teknologier som rensar ändringar på disken när enheten startar om, måste de tillämpas efter att enheten har gått med i Microsoft Entra-hybrid. Om du aktiverar sådana tekniker innan Microsoft Entra-hybridanslutningen slutförs blir enheten oansluten vid varje omstart.
Hantera enheter med Microsoft Entra-registrerad status
Om dina Windows 10- eller nyare domänanslutna enheter är Microsoft Entra-registrerade till din klientorganisation kan det resultera i att de både är Microsoft Entra-hybridanslutna och Microsoft Entra-registrerade. Vi rekommenderar att du uppgraderar till Windows 10 1803 (med KB4489894 tillämpad) eller senare för att automatiskt åtgärda det här scenariot. I versioner före 1803 måste du manuellt ta bort det Microsoft Entra-registrerade tillståndet innan du aktiverar Microsoft Entra-hybridanslutning. I 1803 och senare versioner gjordes följande ändringar för att undvika detta dubbla tillstånd:
- Alla befintliga Microsoft Entra-registrerade tillstånd för en användare tas bort automatiskt när enheten är Microsoft Entra-hybridansluten och samma användare loggar in. Om användare A till exempel hade ett Microsoft Entra-registrerat tillstånd på enheten rensas det dubbla tillståndet för användare A endast när användare A loggar in på enheten. Om det finns flera användare på samma enhet rensas det dubbla tillståndet individuellt när dessa användare loggar in. När en administratör tar bort Microsoft Entra-registrerat tillstånd avregistrerar Windows 10 enheten från Intune eller annan hantering av mobila enheter (MDM), om registreringen skedde som en del av Microsoft Entra-registreringen via automatisk registrering.
- Microsoft Entra-registrerat tillstånd på några lokala konton på enheten kommer inte att påverkas av denna ändring. Gäller endast för domänkonton. Microsoft Entra-registrerat tillstånd på lokala konton tas inte bort automatiskt även efter att användaren har loggat in, eftersom användaren inte är en domänanvändare.
- Du kan förhindra att din domänanslutna enhet registreras av Microsoft Entra genom att lägga till följande registervärde i HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001.
- Om du har konfigurerat Windows Hello för företag i Windows 10 1803 måste användaren konfigurera om Windows Hello för företag efter rensningen av dubbla tillstånd. Det här problemet åtgärdas med KB4512509.
Not
Även om Windows 10 och Windows 11 automatiskt tar bort det Microsoft Entra-registrerade tillståndet lokalt tas enhetsobjektet i Microsoft Entra-ID inte bort omedelbart om det hanteras av Intune. Du kan verifiera borttagningen av Microsoft Entra-registreringsstatus genom att köra dsregcmd /status
.
Microsoft Entra-hybridanslutning för en enskild skog, flera Microsoft Entra-klientorganisationer
För att registrera enheter med Microsoft Entra hybridanslutning för respektive hyresgäster måste organisationer se till att konfigurationen av tjänstanslutningspunkten (SCP) utförs på enheterna och inte i Microsoft Windows Server Active Directory. Mer information om hur du utför den här uppgiften finns i artikeln Microsoft Entra hybridkoppling riktad implementering. Det är viktigt för organisationer att förstå att vissa Microsoft Entra-funktioner inte fungerar i en enda skog, flera Microsoft Entra-klientkonfigurationer.
- Tillbakaskrivning av enhet fungerar inte. Den här konfigurationen påverkar enhetsbaserad villkorlig åtkomst för lokala appar som är federerade med AD FS-. Den här konfigurationen påverkar även Windows Hello för företag-distribution när du använder Hybrid Cert Trust-modellen.
- Grupptillbakaskrivning fungerar inte. Den här konfigurationen påverkar tillbakaskrivning av Office 365-grupper till en skog med Exchange installerat.
- Seamless SSO fungerar inte. Den här konfigurationen påverkar SSO-scenarier i organisationer som använder webbläsarplattformar som iOS eller Linux med Firefox, Safari eller Chrome utan Windows 10-tillägget.
- Lokalt Microsoft Entra-lösenordsskydd fungerar inte. Den här konfigurationen påverkar möjligheten att göra lösenordsändringar och händelser för lösenordsåterställning mot lokala Active Directory Domain Services-domänkontrollanter (AD DS) med samma globala och anpassade listor över förbjudna lösenord som lagras i Microsoft Entra-ID.
Andra överväganden
Om din miljö använder VDI (Virtual Desktop Infrastructure) kan du läsa Enhetsidentitet och skrivbordsvirtualisering.
Microsoft Entra-hybridanslutning stöds för FIPS-kompatibel TPM 2.0 (Federal Information Processing Standard) och stöds inte för TPM 1.2. Om dina enheter har FIPS-kompatibel TPM 1.2 måste du inaktivera dem innan du fortsätter med Microsoft Entra-hybridanslutningen. Microsoft tillhandahåller inga verktyg för att inaktivera FIPS-läge för TPM eftersom det är beroende av TPM-tillverkaren. Kontakta maskinvaru-OEM-tillverkaren om du vill ha support.
Från och med Windows 10 1903-versionen används inte TPM version 1.2 med Microsoft Entra-hybridanslutning och enheter med dessa TPM behandlas som om de inte har en TPM.
UPN-ändringar stöds endast vid start av Windows 10 2004-uppdateringen. För enheter före Windows 10 2004-uppdateringen kan användare ha problem med enkel inloggning och villkorsstyrd åtkomst på sina enheter. För att lösa det här problemet måste du avansluta enheten från Microsoft Entra-ID (kör "dsregcmd /leave" med förhöjd behörighet) och återansluter (sker automatiskt). Användare som loggar in med Windows Hello för företag stöter dock inte på det här problemet.
Granska riktad Microsoft Entra-hybridanslutning
Organisationer kanske vill göra en riktad distribution av Microsoft Entra-hybridanslutning innan de aktiverar den för hela organisationen. Läs artikeln Microsoft Entra hybridanslutning riktad distribution för att förstå hur det görs.
Varning
Organisationer bör inkludera ett urval av användare från olika roller och profiler i pilotgruppen. En riktad distribution hjälper dig att identifiera eventuella problem som din plan kanske inte åtgärdar innan du aktiverar för hela organisationen.
Välj ditt scenario baserat på din identitetsinfrastruktur
Microsoft Entra-hybridanslutning fungerar med både hanterade och federerade miljöer beroende på om UPN är dirigerbart eller inte. Se längst ned på sidan för tabell om scenarier som stöds.
Hanterad miljö
En hanterad miljö kan distribueras antingen via Synkronisering av lösenordshash (PHS) eller Passeringsautentisering (PTA) med Sömlös enkel inloggning.
Dessa scenarier kräver inte att du konfigurerar en federationsserver för autentisering (AuthN).
Obs
Molnautentisering med stegvis distribution stöds endast från och med Windows 10 1903-uppdateringen.
Federerad miljö
En federerad miljö bör ha en identitetsprovider som stöder följande krav. Om du har en federerad miljö med Active Directory Federation Services (AD FS) stöds redan kraven nedan.
WS-Trust protokoll: Det här protokollet krävs för att autentisera Microsoft Entra Hybrid-anslutna Windows-enheter med Microsoft Entra-ID. När du använder AD FS måste du aktivera följande WS-Trust slutpunkter:
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
Varning
Både adfs/services/trust/2005/windowstransport eller adfs/services/trust/13/windowstransport endast ska aktiveras som intranätuppkopplade slutpunkter och får INTE exponeras som extranätsinriktade slutpunkter via webbprogramproxyn. Mer information om hur du inaktiverar WS-Trust Windows-slutpunkter finns i Inaktivera WS-Trust Windows-slutpunkter på proxy-. Du kan se vilka slutpunkter som är aktiverade via AD FS-hanteringskonsolen under Service>Slutpunkter.
Från och med version 1.1.819.0 tillhandahåller Microsoft Entra Connect en guide för att konfigurera Microsoft Entra-hybridanslutning. Med guiden kan du förenkla konfigurationsprocessen avsevärt. Om du inte kan installera den nödvändiga versionen av Microsoft Entra Connect kan du läsa Så här konfigurerar du enhetsregistrering manuellt. Om contoso.com är registrerad som en bekräftad anpassad domän kan användarna få en PRT även om deras synkroniserade lokala AD DS UPN-suffix finns i en underdomän som test.contoso.com.
Granska lokal Microsoft Windows Server Active Directory-användares UPN-stöd för Microsoft Entra-hybridanslutning
- Routningsbara användare UPN: Ett dirigerbart UPN har en giltig verifierad domän som är registrerad hos en domänregistrator. Om contoso.com till exempel är den primära domänen i Microsoft Entra-ID är contoso.org den primära domänen i lokal AD som ägs av Contoso och verifieras i Microsoft Entra-ID.
- UpN för icke-utfällbara användare: Ett icke-utfällbart UPN har ingen verifierad domän och är endast tillämpligt i organisationens privata nätverk. Om contoso.com till exempel är den primära domänen i Microsoft Entra ID och contoso.local är den primära domänen i lokal AD men inte är en verifierbar domän på Internet och används endast i Contosos nätverk.
Anteckning
Informationen i det här avsnittet gäller endast för lokala användares UPN. Det gäller inte för ett lokalt suffix för datordomäner (exempel: computer1.contoso.local).
Följande tabell innehåller information om stöd för dessa lokala Microsoft Windows Server Active Directory-UPN:er i Windows 10 Microsoft Entra-hybridanslutning:
Typ av lokalt Microsoft Windows Server Active Directory UPN | Domäntyp | Windows 10-version | Beskrivning |
---|---|---|---|
Dirigerbar | Federerad | Från 1703 års version | Allmänt tillgänglig |
Ej routbar | Federerad | Från 1803-versionen | Allmänt tillgänglig |
Dirigerbar | Hanterad | Från 1803-versionen | Allmänt tillgängligt, Microsoft Entra SSPR på Windows-låsskärmen stöds inte i miljöer där det lokala UPN skiljer sig från Microsoft Entra UPN. Det lokala UPN:t måste synkroniseras med attributet onPremisesUserPrincipalName i Microsoft Entra ID |
Icke-routbar | Hanterade | Stöds inte |