Konfigurace hybridního připojení k Azure AD

Přenesení zařízení na Azure AD maximalizuje produktivitu uživatelů prostřednictvím jednotného přihlašování (SSO) napříč cloudovými a místními prostředky. Přístup k prostředkům můžete zabezpečit pomocí podmíněného přístupu současně.

Požadavky

  • Azure AD Připojení verze 1.1.819.0 nebo novější.
    • Nevylučujte z konfigurace synchronizace Azure AD Připojení výchozí atributy zařízení. Další informace o výchozích atributech zařízení synchronizovaných s Azure AD najdete v tématu Atributy synchronizované Azure AD Připojení.
    • Pokud počítačové objekty zařízení, která chcete připojit k hybridnímu Azure AD, patří ke konkrétním organizačním jednotkám (OU), nakonfigurujte správné organizační jednotky tak, aby se synchronizovaly v Azure AD Připojení. Další informace o tom, jak synchronizovat objekty počítače pomocí Azure AD Připojení, najdete v tématu Filtrování založené na organizační jednotce.
  • Globální správce přihlašovací údaje pro vašeho tenanta Azure AD.
  • Enterprise přihlašovací údaje správce pro každou z doménových struktur místní Active Directory Domain Services.
  • (Pro federované domény) Alespoň Windows Server 2012 R2 s nainstalovaným Active Directory Federation Services (AD FS).
  • Uživatelé můžou svá zařízení zaregistrovat v Azure AD. Další informace o tomto nastavení najdete v části Konfigurace nastavení zařízení v článku Konfigurace nastavení zařízení.

Požadavky na připojení k síti

Připojení službou Hybrid Azure AD Join vyžaduje, aby zařízení měla ze sítě vaší organizace přístup k následujícím prostředkům Microsoftu:

  • https://enterpriseregistration.windows.net
  • https://login.microsoftonline.com
  • https://device.login.microsoftonline.com
  • https://autologon.microsoftazuread-sso.com (Pokud používáte nebo plánujete bezproblémové jednotné přihlašování)
  • Služba tokenů zabezpečení vaší organizace (STS) (pro federované domény)

Upozornění

Pokud vaše organizace používá proxy servery, které zachycují provoz SSL pro scénáře, jako je ochrana před únikem informací nebo Azure AD omezení tenanta, ujistěte se, že přenosy na tyto adresy URL nejsou vyloučené z přerušení protokolu TLS a kontroly. Při vyloučení těchto adres URL může dojít k rušení ověřování klientských certifikátů, příčinou problémů s registrací zařízení a podmíněným přístupem na základě zařízení.

Pokud vaše organizace vyžaduje přístup k internetu přes odchozí proxy server, můžete pomocí automatického zjišťování webového proxy serveru (WPAD) povolit Windows 10 nebo novější počítače pro registraci zařízení s Azure AD. Pokud chcete vyřešit problémy s konfigurací a správou WPAD, přečtěte si téma Řešení potíží s automatickým zjišťováním.

Pokud WPAD nepoužíváte, můžete na počítači nakonfigurovat nastavení proxy serveru WinHTTP pomocí objektu Zásady skupiny objektu (GPO) počínaje Windows 10 1709. Další informace najdete v tématu Proxy služby WinHTTP Nastavení nasazené podle objektů zásad zásad zabezpečení.

Poznámka

Pokud na počítači nakonfigurujete nastavení proxy serveru pomocí nastavení WinHTTP, všechny počítače, které se nemůžou připojit k nakonfigurovaným proxy serveru, se nebudou moct připojit k internetu.

Pokud vaše organizace vyžaduje přístup k internetu prostřednictvím ověřeného odchozího proxy serveru, ujistěte se, že se vaše Windows 10 nebo novější počítače můžou úspěšně ověřit u odchozího proxy serveru. Vzhledem k tomu, že Windows 10 nebo novější počítače spouštějí registraci zařízení pomocí kontextu počítače, nakonfigurujte ověřování odchozího proxy serveru pomocí kontextu počítače. Požadavky na konfiguraci vám sdělí váš poskytovatel odchozího proxy serveru.

Pomocí skriptu Test Device Registration Connectivity ověřte, že zařízení mají přístup k požadovaným prostředkům Microsoftu v rámci systémového účtu.

Spravované domény

Myslíme si, že většina organizací nasadí hybridní Azure AD připojení se spravovanými doménami. Spravované domény používají synchronizaci hodnot hash hesel (PHS) nebo předávací ověřování (PTA) s bezproblémovým jednotným přihlašováním. Scénáře spravované domény nevyžadují konfiguraci federačního serveru.

Konfigurace připojení hybridního Azure AD pomocí Azure AD Připojení pro spravovanou doménu:

  1. Spusťte Azure AD Připojení a pak vyberte Konfigurovat.

  2. V části Další úlohy vyberte Konfigurovat možnosti zařízení a pak vyberte Další.

  3. V části Přehled vyberte Další.

  4. Do Připojení Azure AD zadejte přihlašovací údaje globálního správce vašeho tenanta Azure AD.

  5. V možnostech zařízení vyberte Konfigurovat hybridní Azure AD připojit a pak vyberte Další.

  6. V operačních systémech zařízení vyberte operační systémy, které zařízení ve vašem prostředí služby Active Directory používají, a pak vyberte Další.

  7. V konfiguraci SCP proveďte pro každou doménovou strukturu, ve které chcete Azure AD Připojení nakonfigurovat SCP, proveďte následující kroky a pak vyberte Další.

    1. Vyberte doménovou strukturu.
    2. Vyberte ověřovací službu.
    3. Výběrem možnosti Přidat zadejte přihlašovací údaje podnikového správce.

    Azure AD Connect SCP configuration managed domain

  8. V možnosti Připraveno ke konfiguraci vyberte Konfigurovat.

  9. V konfiguraci dokončete výběr možnosti Ukončit.

Federované domény

Federované prostředí by mělo mít zprostředkovatele identity, který podporuje následující požadavky. Pokud máte federované prostředí používající Active Directory Federation Services (AD FS) (AD FS), jsou už podporované následující požadavky.

  • Deklarace identity WIAORMULTIAUTHN: Tato deklarace identity se vyžaduje k hybridnímu připojení Azure AD pro Windows zařízení nižší úrovně.
  • Protokol WS-Trust: Tento protokol se vyžaduje k ověření Windows aktuálních zařízení připojených k hybridnímu Azure AD pomocí Azure AD. Pokud používáte službu AD FS, musíte povolit následující koncové body WS-Trust:
    • /adfs/services/trust/2005/windowstransport
    • /adfs/services/trust/13/windowstransport
    • /adfs/services/trust/2005/usernamemixed
    • /adfs/services/trust/13/usernamemixed
    • /adfs/services/trust/2005/certificatemixed
    • /adfs/services/trust/13/certificatemixed

Upozornění

Služba adfs/services/trust/2005/windowstransport i adfs/services/trust/13/windowstransport by měly být povoleny pouze jako intranetové koncové body a nesmí být vystaveny jako koncové body přístupné z extranetu prostřednictvím webového proxy aplikací. Další informace o zákazu WS-Trust Windows koncových bodů najdete v tématu Zakázání WS-Trust Windows koncových bodů na proxy serveru. V části Koncové body služby> můžete zjistit, jaké koncové body jsou povolené prostřednictvímkonzoly pro správu služby AD FS.

Konfigurace hybridního připojení Azure AD pomocí Azure AD Připojení pro federované prostředí:

  1. Spusťte Azure AD Připojení a pak vyberte Konfigurovat.

  2. Na stránce Další úlohy vyberte Konfigurovat možnosti zařízení a pak vyberte Další.

  3. Na stránce Přehled vyberte Další.

  4. Na Připojení na stránce Azure AD zadejte přihlašovací údaje globálního správce vašeho tenanta Azure AD a pak vyberte Další.

  5. Na stránce Možnosti zařízení vyberte Konfigurovat hybridní Azure AD připojit a pak vyberte Další.

  6. Na stránce SCP proveďte následující kroky a pak vyberte Další:

    1. Vyberte doménovou strukturu.
    2. Vyberte ověřovací službu. Server služby AD FS musíte vybrat, pokud vaše organizace nemá výhradně Windows 10 nebo novější klienty a máte nakonfigurovanou synchronizaci počítačů nebo zařízení nebo vaše organizace používá bezproblémové jednotné přihlašování.
    3. Výběrem možnosti Přidat zadejte přihlašovací údaje podnikového správce.

    Azure AD Connect SCP configuration federated domain

  7. Na stránce Operační systémy zařízení vyberte operační systémy, které zařízení ve vašem prostředí služby Active Directory používají, a pak vyberte Další.

  8. Na stránce konfigurace federace zadejte přihlašovací údaje správce služby AD FS a pak vyberte Další.

  9. Na stránce Připraveno ke konfiguraci vyberte Konfigurovat.

  10. Na stránce Konfigurace dokončení vyberte Ukončit.

Upozornění federace

Pokud Windows 10 1803 nebo novější, pokud okamžité hybridní Azure AD připojení k federovaným prostředí pomocí služby AD FS selže, spoléháme Azure AD Připojení k synchronizaci objektu počítače v Azure AD, který se pak používá k dokončení registrace zařízení pro hybridní připojení Azure AD.

Další scénáře

Organizace můžou otestovat hybridní Azure AD připojit se k podmnožině svého prostředí před úplným uvedením. Postup dokončení cílového nasazení najdete v článku Hybridní Azure AD připojení k cílovému nasazení. Organizace by měly zahrnovat ukázku uživatelů z různých rolí a profilů v této pilotní skupině. Cílové zavedení vám pomůže identifikovat všechny problémy, které váš plán nemusí vyřešit, než povolíte pro celou organizaci.

Některé organizace nemusí ke konfiguraci služby AD FS používat Azure AD Připojení. Postup ruční konfigurace deklarací identity najdete v článku Konfigurace hybridního Azure Active Directory připojení ručně.

Cloud pro státní správu

Pro organizace v Azure Government vyžaduje hybridní připojení Azure AD přístup k následujícím prostředkům Microsoftu ze sítě vaší organizace:

  • https://enterpriseregistration.microsoftonline.us
  • https://login.microsoftonline.us
  • https://device.login.microsoftonline.us
  • https://autologon.microsoft.us (Pokud používáte nebo plánujete bezproblémové jednotné přihlašování)

Řešení potíží s připojením k hybridnímu Azure AD

Pokud dochází k problémům s dokončením hybridního připojení Azure AD pro zařízení připojená k doméně Windows, přečtěte si téma:

Další kroky