Kurz: Konfigurace hybridního připojení k Azure Active Directory pro spravované domény

v tomto kurzu se naučíte konfigurovat službu hybrid Azure Active Directory (Azure AD) join pro zařízení připojená k doméně služby Active Directory. Tato metoda podporuje spravované prostředí, které zahrnuje místní službu Active Directory a Azure AD.

Podobně jako uživatel ve vaší organizaci je zařízení základní identitou, kterou chcete chránit. Identitu zařízení můžete použít k ochraně svých prostředků kdykoli a z libovolného místa. Tento cíl můžete dosáhnout správou identit zařízení ve službě Azure AD. Použijte jednu z následujících metod:

  • Připojení k Azure AD
  • Hybridní připojení k Azure AD
  • Registrace v Azure AD

Tento článek se zaměřuje na hybridní připojení ke službě Azure AD.

Uvedení zařízení do Azure AD maximalizuje produktivitu uživatelů prostřednictvím jednotného přihlašování (SSO) napříč vaším cloudem a místními prostředky. Přístup k vašim cloudovým a místním prostředkům můžete zabezpečit současně pomocí podmíněného přístupu .

Spravované prostředí můžete nasadit pomocí synchronizace hodnot hash hesel (kosmetice) nebo předávacího ověřování (PTA) pomocí bezproblémového jednotného přihlašování. Tyto scénáře nevyžadují konfiguraci federačního serveru pro ověřování.

V tomto kurzu se naučíte:

  • Konfigurace hybridního připojení k Azure AD
  • Povolení zařízení s Windows nižší úrovně
  • Ověření připojených zařízení
  • Řešení potíží

Požadavky

  • Azure AD Connect (1.1.819.0 nebo novější)
  • Přihlašovací údaje globálního správce pro vašeho tenanta Azure AD
  • Přihlašovací údaje podnikového správce pro jednotlivé doménové struktury

Seznamte se s těmito články:

Poznámka

Azure AD nepodporuje čipové karty ani certifikáty ve spravovaných doménách.

ověřte, že Azure AD Connect synchronizoval objekty počítačů zařízení, která chcete mít k azure ad připojená k hybridní službě azure ad. pokud objekty počítače patří konkrétním organizačním jednotkám (ou), nakonfigurujte organizační jednotky pro synchronizaci v Azure AD Connect. další informace o tom, jak synchronizovat objekty počítačů pomocí Azure AD Connect, najdete v tématu filtrování na základě organizační jednotky.

Poznámka

abyste mohli úspěšně připojit synchronizaci zařízení, můžete jako součást konfigurace registrace zařízení vyloučit z konfigurace Azure AD Connect synchronizace výchozí atributy zařízení. další informace o výchozích atributech zařízení synchronizovaných s AAD najdete v tématu o atributech synchronizovaných pomocí Azure AD Connect.

počínaje verzí 1.1.819.0 Azure AD Connect obsahuje průvodce pro konfiguraci hybridního připojení k Azure AD. Průvodce významně zjednodušuje proces konfigurace. Průvodce nakonfiguruje spojovací body služby (SCP) pro registraci zařízení.

kroky konfigurace v tomto článku jsou založené na používání průvodce v Azure AD Connect.

Připojení službou Hybrid Azure AD Join vyžaduje, aby zařízení měla ze sítě vaší organizace přístup k následujícím prostředkům Microsoftu:

  • https://enterpriseregistration.windows.net
  • https://login.microsoftonline.com
  • https://device.login.microsoftonline.com
  • https://autologon.microsoftazuread-sso.com (Pokud používáte nebo plánujete používat bezproblémové přihlašování SSO)

Upozornění

Pokud vaše organizace používá proxy servery, které zachycují provoz SSL ve scénářích, jako jsou prevence ztráty dat nebo omezení tenanta Azure AD, zajistěte, aby se přenosy na tyto adresy URL vyloučily při přerušení a kontrole TLS. Neúspěšné vyloučení těchto adres URL může způsobit rušení při ověřování certifikátu klienta, způsobovat problémy s registrací zařízení a podmíněný přístup na základě zařízení.

pokud vaše organizace vyžaduje přístup k internetu prostřednictvím odchozího proxy serveru, můžete pomocí implementace automatického zjišťování webových proxy serverů (WPAD) povolit Windows 10 počítačům pro registraci zařízení v Azure AD. Problémy s konfigurací a správou protokolu WPAD najdete v tématu řešení potíží při automatickém zjišťování. v zařízeních Windows 10 starších než 1709 aktualizace je k dispozici jen možnost WPAD pro konfiguraci proxy serveru pro práci s hybridním připojením k Azure AD.

pokud službu WPAD nepoužíváte, můžete na svém počítači nakonfigurovat nastavení proxy serveru WinHTTP počínaje Windows 10 1709. další informace najdete v tématu Proxy WinHTTP Nastavení nasazené objektem zásad skupiny.

Poznámka

Pokud nakonfigurujete nastavení proxy serveru na svém počítači pomocí nastavení WinHTTP, nepůjde se připojit k Internetu bez jakýchkoli počítačů, které se nemůžou připojit k nakonfigurovanému proxy serveru.

pokud vaše organizace vyžaduje přístup k internetu prostřednictvím ověřeného odchozího proxy serveru, ujistěte se, že se počítače s Windows 10 můžou úspěšně ověřit u odchozího proxy serveru. vzhledem k tomu, že Windows 10 počítače spouštějí registraci zařízení pomocí kontextu počítače, nakonfigurujte ověřování odchozího proxy pomocí kontextu počítače. Požadavky na konfiguraci vám sdělí váš poskytovatel odchozího proxy serveru.

Ověřte, že zařízení má přístup k výše uvedeným prostředkům společnosti Microsoft pod účtem System pomocí skriptu pro připojení k registraci zařízení .

Konfigurace hybridního připojení k Azure AD

konfigurace hybridního připojení ke službě Azure AD pomocí Azure AD Connect:

  1. spusťte Azure AD Connect a pak vyberte konfigurovat.

  2. V další úlohy vyberte Konfigurovat možnosti zařízení a pak vyberte Další.

    Další úlohy

  3. V přehledu vyberte Další.

  4. v Připojení do Azure ad zadejte přihlašovací údaje globálního správce pro vašeho tenanta Azure ad.

  5. V Možnosti zařízení vyberte Konfigurovat hybridní připojení k Azure AD a pak vyberte Další.

    Možnosti zařízení

  6. V části operační systémy zařízení vyberte operační systémy, které zařízení v prostředí služby Active Directory používají, a pak vyberte Další.

    Operační systém zařízení

  7. v části konfigurace spojovacího bodu služby pro každou doménovou strukturu, ve které chcete Azure AD Connect nakonfigurovat scp, proveďte následující kroky a pak vyberte další.

    1. Vyberte doménovou strukturu.
    2. Vyberte ověřovací službu.
    3. Vyberte Přidat a zadejte přihlašovací údaje podnikového správce.

    Spojovací bod služby

  8. V Nastavení připraveno ke konfiguraci vyberte Konfigurovat.

  9. V nastavení dokončeno vyberte možnost ukončit.

Povolení zařízení s Windows nižší úrovně

pokud jsou některá zařízení připojená k doméně Windows zařízení nižší úrovně, musíte:

  • Konfigurace nastavení místního intranetu pro registraci zařízení
  • Konfigurace bezproblémového jednotného přihlašování
  • nainstalovat Microsoft Workplace Join pro Windows počítače nižší úrovně

zařízení Windows nižší úrovně jsou zařízení se staršími operačními systémy. níže jsou Windows zařízení nižší úrovně:

  • Windows 7
  • Windows 8.1
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

Poznámka

podpora Windows 7 skončila 14. ledna 2020. další informace najdete v tématu podpora Windows 7 skončila.

Konfigurace nastavení místního intranetu pro registraci zařízení

pokud chcete dokončit připojení k hybridní službě Azure ad ze zařízení Windows nižší úrovně a vyhnout se jim výzvy při ověřování zařízení ve službě Azure AD, můžete do zařízení připojených k doméně přidat tyto adresy url do zóny místní intranet v Internet exploreru:

  • https://device.login.microsoftonline.com
  • https://autologon.microsoftazuread-sso.com

Musíte taky povolit možnost Povolit aktualizace stavového řádku prostřednictvím skriptu v zóně místního intranetu uživatele.

Konfigurace bezproblémového jednotného přihlašování

pokud chcete dokončit hybridní připojení ke službě azure ad na Windows zařízeních nižší úrovně ve spravované doméně, která jako metodu ověřování Azure AD používá synchronizaci hodnot hash hesel nebo předávací ověřování , musíte taky nakonfigurovat bezproblémové přihlašování.

nainstalovat Microsoft Workplace Join pro Windows počítače nižší úrovně

aby bylo možné zaregistrovat Windows zařízení nižší úrovně, musí organizace nainstalovat Microsoft Workplace Join pro počítače, které nejsou Windows 10. microsoft Workplace Join pro počítače, které nejsou Windows 10, je k dispozici na webu Microsoft Download Center.

balíček můžete nasadit pomocí systému distribuce softwaru, jako je Microsoft Endpoint Configuration Manager. Balíček podporuje standardní možnosti bezobslužné instalace s quiet parametrem. Aktuální verze Configuration Manager nabízí výhody oproti starším verzím, jako je schopnost sledovat dokončené registrace.

Instalační program vytvoří v systému naplánovanou úlohu, která běží v uživatelském kontextu. Úkol se aktivuje, když se uživatel přihlásí k Windows. Úloha se tiše připojí k zařízení pomocí Azure AD s použitím přihlašovacích údajů uživatele po ověření pomocí Azure AD.

Ověření registrace

Tady jsou tři způsoby, jak vyhledat a ověřit stav zařízení:

Místně na zařízení

  1. Otevřete Windows PowerShell.
  2. Zadejte dsregcmd /status.
  3. Ověřte, že jsou AzureAdJoined i DomainJoined nastavené na Ano.
  4. Můžete použít DeviceID a porovnat stav služby pomocí Azure Portal nebo PowerShellu.

Použití webu Azure Portal

  1. V případě, že přejdete na stránku zařízení, použijte přímý odkaz.
  2. Informace o tom, jak najít zařízení, najdete v tématu Správa identit zařízení pomocí Azure Portal.
  3. Pokud zaregistrovaný sloupec čeká na vyřízení, připojení k hybridní službě Azure AD se nedokončilo.
  4. Pokud zaregistrovaný sloupec obsahuje Datum a čas, připojení k hybridní službě Azure AD se dokončilo.

Použití PowerShellu

Ověřte stav registrace zařízení v tenantovi Azure pomocí Get-MsolDevice. tato rutina je v modulu Azure Active Directory powershellu.

Při kontrole podrobností služby použijte rutinu Get-MSolDevice :

  • musí existovat objekt s id zařízení , které odpovídá id v klientovi Windows.
  • Hodnota pro DeviceTrustType je připojená k doméně. Toto nastavení se rovná stavu připojenému k hybridní službě Azure AD na stránce zařízení na portálu Azure AD.
  • U zařízení, která se používají v podmíněném přístupu, je povolená hodnota true a DeviceTrustLevel je spravovaná.
  1. Spusťte Windows PowerShell jako správce.
  2. Zadejte Connect-MsolService , abyste se připojili k vašemu Tenantovi Azure.

Spočítat všechna hybridní zařízení připojená k Azure AD (s výjimkou stavu čekání )

(Get-MsolDevice -All -IncludeSystemManagedDevices | where {($_.DeviceTrustType -eq 'Domain Joined') -and (([string]($_.AlternativeSecurityIds)).StartsWith("X509:"))}).count

Spočítat všechna zařízení připojená k hybridní službě Azure AD ve stavu čekání

(Get-MsolDevice -All -IncludeSystemManagedDevices | where {($_.DeviceTrustType -eq 'Domain Joined') -and (-not([string]($_.AlternativeSecurityIds)).StartsWith("X509:"))}).count

Zobrazit všechna zařízení připojená k hybridní službě Azure AD

Get-MsolDevice -All -IncludeSystemManagedDevices | where {($_.DeviceTrustType -eq 'Domain Joined') -and (([string]($_.AlternativeSecurityIds)).StartsWith("X509:"))}

Vypsat všechna zařízení připojená k hybridní službě Azure AD s probíhajícím stavem

Get-MsolDevice -All -IncludeSystemManagedDevices | where {($_.DeviceTrustType -eq 'Domain Joined') -and (-not([string]($_.AlternativeSecurityIds)).StartsWith("X509:"))}

Seznam podrobností o jednom zařízení:

  1. Zadejte get-msoldevice -deviceId <deviceId> (Jedná se o DeviceID získanou místně na zařízení).
  2. Ověřte, že je hodnota Enabled (Povoleno) nastavená na True (Pravda).

Řešení potíží s implementací

pokud dochází k problémům s dokončováním hybridního připojení služby Azure AD pro zařízení Windows připojené k doméně, přečtěte si téma:

Další kroky

Přejděte k dalšímu článku a Naučte se spravovat identity zařízení pomocí Azure Portal.