Plánování implementace hybridního připojení Microsoft Entra
Pokud máte prostředí místní Active Directory Domain Services (AD DS) a chcete připojit počítače připojené k doméně služby AD DS k Microsoft Entra ID, můžete tuto úlohu provést pomocí hybridního připojení Microsoft Entra.
Tip
Přístup k místním prostředkům pomocí jednotného přihlašování (SSO) je také k dispozici pro zařízení, která jsou připojena k Microsoft Entra. Další informace najdete v tématu Jak funguje jednotné přihlašování k místním prostředkům na zařízeních připojených k Microsoft Entra.
Požadavky
Tento článek předpokládá, že jste obeznámeni se správou identit zařízení v Microsoft Entra ID.
Poznámka:
Minimální požadovaná verze řadiče domény (DC) pro Windows 10 nebo novější hybridní připojení Microsoft Entra je Windows Server 2008 R2.
Hybridní zařízení připojená k Microsoft Entra vyžadují pravidelné sledování síťových řadičů domény. Bez tohoto připojení se zařízení stanou nepoužitelnými.
Mezi scénáře, které se přeruší bez dohledu řadičů domény, patří:
- Změna hesla zařízení
- Změna hesla uživatele (přihlašovací údaje uložené v mezipaměti)
- Resetování čipu TPM (Trusted Platform Module)
Plánování implementace
Pokud chcete naplánovat hybridní implementaci Microsoft Entra, měli byste se seznámit s těmito postupy:
- Kontrola podporovaných zařízení
- Kontrola věcí, které byste měli znát
- Kontrola cíleného nasazení hybridního připojení Microsoft Entra
- Výběr scénáře na základě infrastruktury identit
- Kontrola podpory místního hlavního názvu uživatele (UPN) microsoft Windows Serveru Active Directory pro hybridní připojení Microsoft Entra
Kontrola podporovaných zařízení
Hybridní připojení Microsoft Entra podporuje širokou škálu zařízení s Windows.
- Windows 11
- Windows 10
- Windows Server 2016
- Poznámka: Zákazníci s národním cloudem Azure vyžadují verzi 1803.
- Windows Server 2019
Osvědčeným postupem je, že microsoft doporučuje upgradovat na nejnovější verzi Windows.
Kontrola věcí, které byste měli znát
Nepodporované scénáře
- Hybridní připojení Microsoft Entra není podporováno pro Windows Server s rolí řadiče domény (DC).
- Základní operační systém serveru nepodporuje žádný typ registrace zařízení.
- Nástroj pro migraci stavu uživatele (USMT) nefunguje s registrací zařízení.
Aspekty image operačního systému
Pokud spoléháte na nástroj pro přípravu systému (Sysprep) a pokud k instalaci používáte image před Windows 10 1809 , ujistěte se, že image není ze zařízení, které je již zaregistrované s Microsoft Entra ID jako hybridní připojení Microsoft Entra.
Pokud se spoléháte na snímek virtuálního počítače k vytvoření dalších virtuálních počítačů, ujistěte se, že tento snímek není z virtuálního počítače, který je již zaregistrovaný s ID Microsoft Entra jako hybridní připojení Microsoft Entra.
Pokud používáte sjednocený filtr zápisu a podobné technologie, které vymažou změny disku při restartování, musí se použít po připojení zařízení k hybridnímu připojení Microsoft Entra. Povolení takových technologií před dokončením hybridního připojení Microsoft Entra způsobí, že se zařízení při každém restartování nepřipojí.
Zpracování zařízení s registrovaným stavem Microsoft Entra
Pokud jsou vaše zařízení s Windows 10 nebo novější doménou zaregistrovaná ve vašem tenantovi Microsoft Entra, může to vést ke duálnímu stavu hybridního připojení Microsoft Entra a zaregistrovaného zařízení Microsoft Entra. Doporučujeme upgradovat na Windows 10 1803 (s použitím KB4489894) nebo novější, aby se tento scénář automaticky vyřešil. V předchozích verzích 1803 musíte před povolením hybridního připojení Microsoft Entra ručně odebrat zaregistrovaný stav Microsoft Entra. V 1803 a novějších verzích byly provedeny následující změny, aby se zabránilo tomuto duálnímu stavu:
- Jakýkoli existující zaregistrovaný stav Microsoft Entra pro uživatele by se po připojení zařízení k hybridnímu připojení Microsoft Entra automaticky odebral a stejný uživatel se přihlásí. Pokud byl například v Microsoft Entra zaregistrovaný uživatel zařízení A, smaže se jeho dvojí stav, až když se tento uživatel přihlásí k zařízení. Pokud je na stejném zařízení více uživatelů, je duální stav vyčištěn jednotlivě, když se tito uživatelé přihlásí. Po odebrání registrovaného stavu Microsoft Entra zruší Windows 10 registraci zařízení v Intune nebo jiné správě mobilních zařízení (MDM), pokud se registrace stala součástí registrace Microsoft Entra prostřednictvím automatického zápisu.
- Tato změna nemá vliv na zaregistrovaný stav Microsoft Entra u všech místních účtů na zařízení. Platí pouze pro účty domény. Zaregistrovaný stav Microsoft Entra v místních účtech se automaticky neodebere ani po přihlášení uživatele, protože uživatel není uživatelem domény.
- Přidáním následující hodnoty registru do HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: BlockAADWorkplaceJoin"=dword:00000001 můžete zabránit registraci zařízení připojeného k doméně.
- Pokud máte ve Windows 10 1803 nakonfigurované Windows Hello pro firmy, musí uživatel po vyčištění duálního stavu překonfigurovat Windows Hello pro firmy. Tento problém řeší KB4512509.
Poznámka:
I když Windows 10 a Windows 11 automaticky odeberou zaregistrovaný stav Microsoft Entra místně, objekt zařízení v Microsoft Entra ID se okamžitě neodstraní, pokud ho spravuje Intune. Odebrání registrovaného stavu Microsoft Entra můžete ověřit spuštěním příkazu dsregcmd /status a zvážit, že zařízení není zaregistrované microsoftem Entra na základě tohoto stavu.
Hybridní připojení Microsoft Entra pro jednu doménovou strukturu, několik tenantů Microsoft Entra
Aby organizace mohli zaregistrovat zařízení jako hybridní připojení Microsoft Entra k příslušným tenantům, musí organizace zajistit, aby se na zařízeních prováděla konfigurace bodu Připojení ionu (SCP), a ne v Microsoft Windows Server Active Directory. Další podrobnosti o tom, jak tuto úlohu provést, najdete v článku o cílovém nasazení hybridního připojení Microsoft Entra. Je důležité, aby organizace pochopili, že některé funkce Microsoft Entra nefungují v jedné doménové struktuře, několika konfiguracích tenantů Microsoft Entra.
- Zpětný zápis zařízení nefunguje. Tato konfigurace má vliv na podmíněný přístup na základě zařízení pro místní aplikace federované pomocí služby AD FS. Tato konfigurace má vliv také na nasazení Windows Hello pro firmy při použití modelu důvěryhodnosti hybridního certifikátu.
- Zpětný zápis skupin nefunguje. Tato konfigurace ovlivňuje zpětný zápis skupin Office 365 do doménové struktury s nainstalovaným Exchangem.
- Bezproblémové jednotné přihlašování nefunguje. Tato konfigurace má vliv na scénáře jednotného přihlašování v organizacích používajících platformy prohlížeče, jako je iOS nebo Linux s Firefoxem, Safari nebo Chrome bez rozšíření Windows 10.
- Místní ochrana heslem Microsoft Entra nefunguje. Tato konfigurace ovlivňuje schopnost provádět změny hesel a události resetování hesel u řadičů domény služby místní Active Directory Domain Services (AD DS) pomocí stejných globálních a vlastních zakázaných seznamů hesel, které jsou uložené v Microsoft Entra ID.
Ostatní úvahy
Pokud vaše prostředí používá infrastrukturu virtuálních klientských počítačů (VDI), přečtěte si téma Identita zařízení a virtualizace plochy.
Hybridní připojení Microsoft Entra je podporováno pro standard FIPS (Federal Information Processing Standard) kompatibilní s čipem TPM 2.0 a nepodporuje se pro TPM 1.2. Pokud vaše zařízení mají čip TPM kompatibilní s standardem FIPS 1.2, musíte je před pokračováním v hybridním připojení Microsoft Entra zakázat. Microsoft neposkytuje žádné nástroje pro zakázání režimu FIPS pro čipy TPM, protože závisí na výrobci čipu TPM. Pokud potřebujete podporu, obraťte se na hardware OEM.
Od verze Windows 10 1903 se čipy TPM 1.2 nepoužívají s hybridním spojením Microsoft Entra a zařízeními s těmito čipy TPM se považují za to, že nemají čip TPM.
Změny hlavního názvu uživatele (UPN) se podporují jenom při spuštění aktualizace Windows 10 2004. U zařízení před aktualizací Windows 10 2004 můžou mít uživatelé na svých zařízeních problémy s jednotným přihlašováním a podmíněným přístupem. Pokud chcete tento problém vyřešit, musíte zrušit spojení zařízení z Microsoft Entra ID (spustit dsregcmd /leave se zvýšenými oprávněními) a znovu se připojit (stane se automaticky). Uživatelům, kteří se ale přihlašuje pomocí Windows Hello pro firmy tento problém neřeší.
Kontrola cíleného hybridního připojení k Microsoft Entra
Organizace můžou chtít před povolením pro celou organizaci provést cílené zavedení hybridního připojení Microsoft Entra. Přečtěte si článek o cílovém nasazení hybridního připojení Microsoft Entra, abyste pochopili, jak toho dosáhnout.
Upozorňující
Organizace by měly ve své pilotní skupině obsahovat ukázku uživatelů z různých rolí a profilů. Cílené zavedení vám pomůže identifikovat všechny problémy, které váš plán nemusí řešit, než povolíte pro celou organizaci.
Výběr scénáře na základě infrastruktury identit
Hybridní spojení Microsoft Entra funguje s prostředími spravovanými i federovanými v závislosti na tom, jestli je hlavní název uživatele směrovatelný nebo nesměrovatelný. V dolní části stránky najdete tabulku podporovaných scénářů.
Spravované prostředí
Spravované prostředí je možné nasadit prostřednictvím synchronizace hodnot hash hesel (PHS) nebo průchozího ověřování (PTA) s bezproblémovým jednotným přihlašováním.
Tyto scénáře nevyžadují, abyste nakonfigurovali federační server pro ověřování (AuthN).
Poznámka:
Cloudové ověřování s využitím postupného zavedení se podporuje jenom od aktualizace Windows 10 1903.
Federované prostředí
Federované prostředí by mělo mít zprostředkovatele identity, který podporuje následující požadavky. Pokud máte federované prostředí používající Active Directory Federation Services (AD FS) (AD FS), jsou už podporované následující požadavky.
Protokol WS-Trust: Tento protokol je nutný k ověření aktuálních zařízení s hybridním připojeným systémem Microsoft Entra s Microsoft Entra ID. Pokud používáte službu AD FS, musíte povolit následující koncové body WS-Trust:
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
Upozorňující
Jako pouze intranetové koncové body by měly být povolené ad fs,services/trust/trust/2005/windowstransport nebo adfs/services/trust/13/windowstransport a nesmí být přístupné jako extranetové koncové body prostřednictvím webového proxy aplikací. Další informace o zakázání koncových bodů WINDOWS WS-Trust najdete v tématu Zakázání koncových bodů Windows ws-Trust na proxy serveru. Pomocí konzoly pro správu SLUŽBY AD FS v části Koncové body služby>můžete zjistit, jaké koncové body jsou povolené.
Od verze 1.1.819.0 vám Microsoft Entra Připojení poskytuje průvodce ke konfiguraci hybridního připojení Microsoft Entra. Tento průvodce vám umožní výrazně zjednodušit proces konfigurace. Pokud instalace požadované verze microsoft Entra Připojení není možnost, přečtěte si, jak ručně nakonfigurovat registraci zařízení. Pokud je contoso.com zaregistrovaná jako potvrzená vlastní doména, můžou uživatelé získat PRT i v případě, že jejich synchronizovaná místní přípona hlavního názvu uživatele (UPN) služby AD DS je v subdoméně, jako je test.contoso.com.
Kontrola podpory místních uživatelů služby Microsoft Windows Server Active Directory pro hybridní připojení Microsoft Entra
- Hlavní název uživatele směrovatelných uživatelů: Směrovatelný hlavní název uživatele (UPN) má platnou ověřenou doménu zaregistrovanou u doménového registrátora. Pokud je například contoso.com primární doménou v Microsoft Entra ID, contoso.org je primární doména v místní službě AD vlastněná společností Contoso a ověřená v Microsoft Entra ID.
- Hlavní název uživatele bez směrovatelného názvu uživatele( UPN): Nesměrovatelný hlavní název uživatele (UPN) nemá ověřenou doménu a je použitelná jenom v rámci privátní sítě vaší organizace. Pokud je například contoso.com primární doménou v Microsoft Entra ID a contoso.local je primární doména v místní službě AD, ale nejedná se o ověřitelnou doménu na internetu a používá se jenom v síti společnosti Contoso.
Poznámka:
Informace v této části platí jenom pro hlavní název uživatele (UPN) místních uživatelů. Nevztahuje se na příponu místní domény počítače (příklad: computer1.contoso.local).
Následující tabulka obsahuje podrobnosti o podpoře těchto místních hlavních názvů služby Microsoft Windows Server Active Directory ve Windows 10 Microsoft Entra hybrid join:
| Typ místního hlavního názvu uživatele služby Microsoft Windows Server Active Directory | Typ domény | Verze Windows 10 | Popis |
|---|---|---|---|
| Směrovatelný | Federovaní | Z verze 1703 | Obecně dostupné |
| Nesměrovatelné | Federovaní | Z verze 1803 | Obecně dostupné |
| Směrovatelný | Spravované | Z verze 1803 | Obecně dostupné, Microsoft Entra SSPR na zamykací obrazovce Windows není podporován v prostředích, kde se místní hlavní název uživatele (UPN) liší od hlavního názvu uživatele (UPN) Microsoft Entra. Místní hlavní název uživatele (UPN) musí být synchronizovaný s atributem onPremisesUserPrincipalName v Microsoft Entra ID. |
| Nesměrovatelné | Spravované | Nepodporováno |