Plánování implementace hybridního Azure Active Directory připojení

Pokud máte prostředí místní Active Directory Domain Services (AD DS) a chcete připojit počítače připojené k doméně služby AD DS k Azure AD, můžete tuto úlohu provést prostřednictvím hybridního připojení Azure AD.

Tip

Přístup k místním prostředkům jednotného přihlašování je také dostupný pro zařízení, která jsou Azure AD připojená. Další informace najdete v tématu Jak jednotné přihlašování k místním prostředkům funguje na Azure AD připojených zařízeních.

Požadavky

Tento článek předpokládá, že znáte úvod do správy identit zařízení v Azure Active Directory.

Poznámka

Minimální požadovaná verze řadiče domény pro Windows 10 nebo novější hybridní připojení Azure AD je Windows Server 2008 R2.

Hybridní zařízení připojená k Azure AD vyžadují pravidelné sledování sítě na řadiče domény. Bez tohoto připojení se zařízení stanou nepoužitelnými.

Scénáře, které se přeruší bez pohledu na řadiče domény:

  • Změna hesla zařízení
  • Změna hesla uživatele (přihlašovací údaje uložené v mezipaměti)
  • Resetování čipu TPM

Plánování implementace

Pokud chcete naplánovat hybridní Azure AD implementaci, měli byste se seznámit s těmito postupy:

  • Kontrola podporovaných zařízení
  • Kontrola věcí, které byste měli znát
  • Kontrola cílového nasazení hybridního připojení Azure AD
  • Vyberte svůj scénář na základě infrastruktury identit.
  • Kontrola místní podpory hlavního názvu uživatele (UPN) pro hybridní Azure AD připojení

Kontrola podporovaných zařízení

Hybridní připojení Azure AD podporuje širokou škálu Windows zařízení. Vzhledem k tomu, že konfigurace pro zařízení se staršími verzemi Windows vyžaduje další kroky, jsou podporovaná zařízení seskupována do dvou kategorií:

Windows aktuálních zařízeních

  • Windows 11
  • Windows 10
  • Windows Server 2016
    • Poznámka: Zákazníci azure National Cloud vyžadují verzi 1803.
  • Windows Server 2019

Pro zařízení s desktopovým operačním systémem Windows jsou podporované verze uvedené v tomto článku Windows 10 informace o vydání. Microsoft doporučuje upgradovat na nejnovější verzi Windows.

Windows zařízení na nižší úrovni

Jako první krok plánování byste měli zkontrolovat prostředí a určit, jestli potřebujete podporovat Windows zařízení na nižší úrovni.

Kontrola věcí, které byste měli znát

Nepodporované scénáře

  • Hybridní připojení Azure AD se nepodporuje pro Windows Server s rolí řadiče domény (DC).
  • Připojení k hybridnímu Azure AD není na Windows zařízeních nižší úrovně při používání roamingu přihlašovacích údajů nebo cestovního profilu uživatele nebo povinného profilu.
  • Operační systém Jádra serveru nepodporuje žádný typ registrace zařízení.
  • Nástroj pro migraci stavu uživatele (USMT) nefunguje s registrací zařízení.

Důležité informace o zobrazování operačního systému

  • Pokud se spoléháte na nástroj pro přípravu systému (Sysprep) a pokud používáte před Windows 10 1809 image pro instalaci, ujistěte se, že image není ze zařízení, které je již zaregistrované v Azure AD jako hybridní Azure AD připojené.

  • Pokud se spoléháte na snímek virtuálního počítače k vytvoření dalších virtuálních počítačů, ujistěte se, že snímek není z virtuálního počítače, který už je zaregistrovaný v Azure AD jako hybridní Azure AD připojený.

  • Pokud používáte sjednocený filtr zápisu a podobné technologie, které vymažou změny disku při restartování, musí být použity po hybridním Azure AD připojeném zařízení. Povolení takových technologií před dokončením hybridního připojení Azure AD způsobí, že se zařízení při každém restartování nepřipojí.

Zpracování zařízení s registrovaným stavem Azure AD

Pokud jsou vaše Windows 10 nebo novější zařízení připojená k doméně Azure AD zaregistrovaná ve vašem tenantovi, může to vést ke duálnímu stavu hybridního Azure AD připojeného a Azure AD registrovaného zařízení. Doporučujeme upgradovat na Windows 10 1803 (s použitým kb4489894) nebo novějším, aby se tento scénář automaticky vyřešil. V předchozích verzích 1803 budete muset před povolením připojení k hybridnímu Azure AD ručně odebrat Azure AD zaregistrovaný stav. Aby se takovému dvojímu stavu zabránilo, byly ve verzi 1803 a ve vyšších verzích provedeny následující změny:

  • Všechny existující Azure AD zaregistrované stavy pro uživatele se automaticky odeberou po hybridním připojení zařízení Azure AD a stejných přihlášeních uživatelů. Pokud byl například v Azure AD zaregistrovaný uživatel zařízení A, smaže se jeho dvojí stav, až když se tento uživatel přihlásí k zařízení. Pokud je ke stejnému zařízení přihlášeno více uživatelů, smažou se jednotlivé dvojí stavy, jakmile se tito uživatelé přihlásí. Po odebrání Azure AD registrovaného stavu Windows 10 zruší registraci zařízení z Intune nebo jiného MDM, pokud k registraci došlo v rámci registrace Azure AD prostřednictvím automatické registrace.
  • Azure AD zaregistrovaném stavu u všech místních účtů na zařízení tato změna nemá vliv. Platí jenom pro účty domény. Azure AD zaregistrovaný stav místních účtů se automaticky neodebere ani po přihlášení uživatele, protože uživatel není uživatelem domény.
  • Zařízení připojené k doméně můžete zabránit Azure AD v registraci přidáním následující hodnoty registru do HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: BlockAADWorkplaceJoin=dword:00000001.
  • Pokud Windows 10 1803 máte nakonfigurované Windows Hello pro firmy, musí uživatel po vyčištění duálního stavu překonfigurovat Windows Hello pro firmy. Tento problém byl vyřešen v aktualizaci KB4512509.

Poznámka

I když Windows 10 a Windows 11 automaticky odeberou Azure AD zaregistrovaný stav místně, objekt zařízení v Azure AD se okamžitě neodstraní, pokud je spravován Intune. Odebrání Azure AD registrovaného stavu můžete ověřit spuštěním příkazu dsregcmd /status a zvažte, že zařízení nebude Azure AD zaregistrované na základě tohoto stavu.

Hybridní připojení Azure AD pro jednu doménovou strukturu, několik tenantů Azure AD

Pokud chcete zařízení zaregistrovat jako hybridní Azure AD připojit k příslušným tenantům, musí organizace zajistit, aby konfigurace SCP byla provedena na zařízeních a ne v AD. Další podrobnosti o tom, jak tuto úlohu provést, najdete v článku Hybridní Azure AD připojení k cílovému nasazení. Je důležité, aby organizace pochopili, že určité možnosti Azure AD nebudou fungovat v jedné doménové struktuře, několika konfiguracích tenantů Azure AD.

Další důležité informace

  • Pokud vaše prostředí používá infrastrukturu virtuálních klientských počítačů (VDI), přečtěte si téma Identita zařízení a virtualizace plochy.

  • Hybridní připojení Azure AD je podporováno pro čip TPM kompatibilní s rozhraním FIPS 2.0 a nepodporuje se pro ČIP TPM 1.2. Pokud vaše zařízení mají čip TPM kompatibilní s fiPS 1.2, musíte je před pokračováním v hybridním Azure AD připojení zakázat. Microsoft neposkytuje žádné nástroje pro zakázání režimu FIPS pro čipy TPM, protože závisí na výrobci čipu TPM. Požádejte o podporu hardwarového OEM.

  • Od verze Windows 10 1903 se čipy TPM 1.2 nepoužívají s hybridním Azure AD spojením a zařízeními s těmito čipy TPM se považují za to, že nemají čip TPM.

  • Změny hlavního názvu uživatele (UPN) se podporují jenom při spuštění aktualizace Windows 10 2004. U zařízení před aktualizací Windows 10 2004 můžou mít uživatelé problémy s jednotným přihlašováním a podmíněným přístupem na svých zařízeních. Pokud chcete tento problém vyřešit, musíte zařízení zrušit z Azure AD (spustit dsregcmd /leave se zvýšenými oprávněními) a znovu se připojit (stane se automaticky). Uživatelé se ale přihlašující pomocí Windows Hello pro firmy tento problém neřeší.

Kontrola cílených hybridních Azure AD připojení

Organizace mohou chtít provést cílené zavedení hybridních Azure AD se připojit před povolením pro celou organizaci. Projděte si článek Hybridní Azure AD připojení k cílovému nasazení, abyste pochopili, jak ho dosáhnout.

Upozornění

Organizace by měly do pilotní skupiny zahrnout ukázku uživatelů z různých rolí a profilů. Cílené zavedení vám pomůže identifikovat případné problémy, které váš plán nemusí vyřešit, než povolíte pro celou organizaci.

Vyberte svůj scénář na základě infrastruktury identit.

Hybridní připojení Azure AD funguje s spravovanými i federovanými prostředími v závislosti na tom, jestli je hlavní název uživatele (UPN) směrovatelný nebo nesměrovatelný. Podívejte se na konec stránky tabulky v podporovaných scénářích.

Spravované prostředí

Spravované prostředí je možné nasadit prostřednictvím synchronizace hodnot hash hesel (PHS) nebo předávacího ověřování (PTA) s bezproblémovým jednotným přihlašováním.

Tyto scénáře nevyžadují konfiguraci federačního serveru pro ověřování.

Poznámka

Cloudové ověřování s využitím postupného zavedení se podporuje jenom od aktualizace Windows 10 1903.

Federované prostředí

Federované prostředí by mělo mít zprostředkovatele identity, který podporuje následující požadavky. Pokud máte federované prostředí pomocí Active Directory Federation Services (AD FS) (AD FS), jsou už podporované následující požadavky.

  • Deklarace identity WIAORMULTIAUTHN: Tato deklarace identity se vyžaduje k hybridnímu připojení Azure AD pro zařízení Windows nižší úrovně.
  • Protokol WS-Trust: Tento protokol se vyžaduje k ověření Windows aktuálních zařízení připojených k hybridním Azure AD pomocí Azure AD. Při používání služby AD FS je potřeba povolit následující koncové body WS-Trust: /adfs/services/trust/2005/windowstransport/adfs/services/trust/13/windowstransport/adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed

Upozornění

Jako pouze intranetové koncové body by měly být povolené adfs/services/services/trust/2005/windowstransport nebo adfs/services/trust/13/windowstransport pouze jako intranetové koncové body a nesmí být zpřístupněny jako koncové body přístupné z extranetu prostřednictvím webového proxy aplikací. Další informace o tom, jak zakázat koncové body WS-Trust Windows, najdete v tématu Zakázání WS-Trust Windows koncových bodů na proxy serveru. Pomocí konzoly pro správu služby AD FS v částiKoncové bodyslužby> můžete zjistit, jaké koncové body jsou povolené.

Azure AD Connect od verze 1.1.819.0 nabízí průvodce konfigurací hybridního připojení k Azure AD. Tento průvodce vám umožní výrazně zjednodušit proces konfigurace. Pokud instalace požadované verze Azure AD Připojení není pro vás možnost, podívejte se, jak ručně nakonfigurovat registraci zařízení.

Kontrola podpory hlavního názvu uživatele (UPN) místní služby AD pro hybridní Azure AD připojení

Místní upN uživatele AD se někdy liší od hlavních názvů upn Azure AD. V těchto případech Windows 10 nebo novější hybridní připojení Azure AD poskytuje omezenou podporu místních sítí AD UPN na základě metody ověřování, typu domény a verze Windows. Existují dva typy místních hlavních názvů služby AD UPN, které můžou existovat ve vašem prostředí:

  • Hlavní název uživatele (UPN) směrovatelného uživatele (UPN): Směrovatelný hlavní název uživatele (UPN) má platnou ověřenou doménu, která je zaregistrovaná u doménového registrátora. Pokud je například contoso.com primární doménou v Azure AD, contoso.org je primární doména v místní službě AD vlastněná společností Contoso a ověřená v Azure AD.
  • Hlavní název uživatele bez směrovatelného názvu uživatele (UPN): Hlavní název uživatele bez směrovatelného názvu uživatele (UPN) nemá ověřenou doménu a je použitelný jenom v rámci privátní sítě vaší organizace. Pokud je například contoso.com primární doménou v Azure AD a contoso.local je primární doména v místní službě AD, ale není ověřitelnou doménou v internetu a používá se jenom v síti společnosti Contoso.

Poznámka

Informace v této části se vztahují pouze na hlavní název uživatele (UPN) místního uživatele. Nevztahuje se na místní příponu domény počítače (příklad: computer1.contoso.local).

Následující tabulka obsahuje podrobnosti o podpoře těchto místních hlavních názvů služby AD v Windows 10 hybridním připojení Azure AD

Typ místního hlavního názvu uživatele služby AD Typ domény verze Windows 10 Description
Směrovatelný Federovaní Z verze 1703 Obecná dostupnost
Nesměrovatelné Federovaní Verze z verze 1803 Obecná dostupnost
Směrovatelný Spravované Verze z verze 1803 Obecně dostupné Azure AD SSPR na zamykací obrazovce Windows se nepodporuje v prostředích, kde se místní hlavní název uživatele (UPN) liší od hlavního názvu uživatele (UPN) Azure AD. Místní hlavní název uživatele (UPN) se musí synchronizovat s atributem onPremisesUserPrincipalName v Azure AD
Nesměrovatelné Spravované Nepodporováno

Další kroky