Postupy: Plánování implementace hybridního připojení k Azure Active Directory
Podobně jako uživatel je zařízení další základní identitou, kterou chcete chránit, a používejte ji k ochraně svých prostředků kdykoli a z libovolného místa. Tento cíl můžete dosáhnout vytvořením a správou identit zařízení ve službě Azure AD pomocí jedné z následujících metod:
- Připojení k Azure AD
- Hybridní připojení k Azure AD
- Registrace v Azure AD
Přenosem zařízení do Azure AD maximalizujete produktivitu uživatelů díky jednotnému přihlašování ke cloudovým i místním prostředkům. V současné době můžete zabezpečený přístup k vašim cloudovým a místním prostředkům zabezpečit pomocí podmíněného přístupu.
Pokud máte místní prostředí Active Directory (AD) a chcete se připojit k počítačům připojeným k doméně AD do služby Azure AD, můžete to provést pomocí hybridního připojení k Azure AD. Tento článek poskytuje související kroky pro implementaci hybridního připojení k Azure AD ve vašem prostředí.
Tip
Přístup k místním prostředkům je dostupný taky pro zařízení, která jsou připojená k Azure AD. Další informace najdete v tématu Jak funguje jednotné přihlašování k místním prostředkům na zařízeních připojených k Azure AD.
Požadavky
V tomto článku se předpokládá, že jste obeznámeni se Seznámkou se správou identit zařízení v Azure Active Directory.
Poznámka
minimální požadovaná verze řadiče domény pro Windows 10 připojení k hybridní službě Azure AD je Windows serveru 2008 R2.
Hybridní zařízení připojená k Azure AD vyžadují pravidelné síťové linky pro řadiče domény. Bez tohoto připojení se zařízení stanou nepoužitými.
Scénáře, které se přeruší bez pohledu na řadiče domény:
- Změna hesla zařízení
- Změna hesla uživatele (přihlašovací údaje uložené v mezipaměti)
- Resetování čipu TPM
Plánování implementace
K naplánování vaší hybridní implementace služby Azure AD byste se měli seznámit s těmito kroky:
- Zkontrolovat podporovaná zařízení
- Projděte si věci, které byste měli znát.
- Kontrola řízeného ověřování pro připojení k hybridní službě Azure AD
- Vyberte svůj scénář na základě vaší infrastruktury identity
- Kontrola místní podpory služby AD hlavního názvu uživatele (UPN) pro připojení k hybridní službě Azure AD
Zkontrolovat podporovaná zařízení
připojení k hybridní službě Azure AD podporuje širokou škálu Windowsch zařízení. vzhledem k tomu, že konfigurace pro zařízení, na kterých běží starší verze Windows, vyžaduje další nebo různé kroky, jsou podporovaná zařízení seskupená do dvou kategorií:
Windows aktuální zařízení
- Windows 10
- Windows 11
- Windows Server 2016
- Poznámka: zákazníci s vnitrostátními cloudy Azure vyžadují verzi 1803.
- Windows Server 2019
v případě zařízení s operačním systémem Windows desktop je podporovaná verze uvedená v tomto článku Windows 10 informace o verzi. Osvědčeným postupem je, že Microsoft doporučuje upgradovat na nejnovější verzi Windows 10.
Windows zařízení nižší úrovně
- Windows 8.1
- podpora Windows 7 skončila 14. ledna 2020. další informace najdete v tématu podpora Windows 7 skončila.
- Windows Server 2012 R2
- Windows Server 2012
- Windows Server 2008 R2. informace o podpoře Windows serveru 2008 a 2008 R2 najdete v článku příprava pro Windows Server 2008 na konci podpory.
jako první krok plánování byste měli zkontrolovat prostředí a určit, jestli potřebujete podporovat Windows zařízení nižší úrovně.
Projděte si věci, které byste měli znát.
Nepodporované scénáře
služba připojení k hybridní službě Azure AD není podporovaná pro Windows Server, na kterém běží role řadič domény (DC).
připojení k hybridní službě Azure AD není podporované při Windows zařízení nižší úrovně při použití roamingu přihlašovacích údajů nebo cestovního profilu uživatele nebo povinného profilu.
Operační systém jádra serveru nepodporuje žádný typ registrace zařízení.
Nástroj pro migraci uživatelských souborů a nastavení (USMT) nefunguje s registrací zařízení.
Požadavky na vytváření bitových kopií operačního systému
pokud se spoléháte na nástroj pro přípravu systému (Sysprep) a pokud pro instalaci používáte předWindows 10ou bitovou kopii 1809, ujistěte se, že image nepochází ze zařízení, které už je zaregistrované ve službě azure ad jako připojení k hybridní službě azure ad.
Pokud při vytváření dalších virtuálních počítačů spoléháte na snímek virtuálního počítače, ujistěte se, že snímek není z virtuálního počítače, který je už zaregistrovaný ve službě Azure AD, jako připojení k hybridní službě Azure AD.
Pokud používáte Sjednocený filtr zápisu a podobné technologie, které při restartování vymažou změny disku, musí se použít po připojení zařízení k hybridní službě Azure AD. Pokud tyto technologie povolíte před dokončením programu připojení k hybridní službě Azure AD, dojde při každém restartování k tomu, že se zařízení nepřipojí.
Zpracování zařízení s registrovaným stavem Azure AD
pokud jsou vaše zařízení připojená k doméně Windows 10 služby azure ad zaregistrovaná ve vašem tenantovi, může to vést k duálnímu stavu připojení k hybridní službě azure ad a k zaregistrovanému zařízení azure ad. pro automatické vyřešení tohoto scénáře doporučujeme upgradovat na Windows 10 1803 (s použitím KB4489894) nebo novějším. Ve verzích starších než 1803 budete muset před povolením hybridního připojení k Azure AD ručně odebrat stav registrovaný pro službu Azure AD. V 1803 a vyšších verzích byly provedeny následující změny, aby nedocházelo k tomuto duálnímu stavu:
- Veškerý stávající stav registrovaný pro uživatele Azure AD by se automaticky odebral poté, co je zařízení připojené k hybridní službě Azure AD a přihlásí se stejný uživatel. Pokud třeba uživatel A měl na zařízení zaregistrován stav služby Azure AD, bude se duální stav pro uživatele A vyčistit jenom v případě, že se uživatel k zařízení přihlásí. Pokud se na jednom zařízení nachází více uživatelů, dvojí stav se vyčistí jednotlivě při přihlášení uživatelů. kromě odebrání stavu registrace azure ad Windows 10 zruší registraci zařízení v intune nebo jiné MDM, pokud k registraci došlo jako součást registrace Azure ad prostřednictvím automatického zápisu.
- Tato změna neovlivní zaregistrovaný stav služby Azure AD na jakýchkoli místních účtech v zařízení. Vztahuje se pouze na doménové účty. Takže stav registrovaných účtů Azure AD na místních účtech se automaticky neodebere ani po přihlášení uživatele, protože uživatel není uživatelem domény.
- zařízení připojenému k doméně můžete zabránit v registraci Azure AD přidáním následující hodnoty registru do nastavením hklm\software\policies\microsoft\ Windows \WorkplaceJoin: "BlockAADWorkplaceJoin" = dword: 00000001.
- pokud máte v Windows 10 1803 nakonfigurovanou Windows Hello pro firmy, uživatel musí po vyčištění duálního stavu znovu nastavit Windows Hello pro firmy. Tento problém se vyřešil pomocí KB4512509.
Poznámka
i když Windows 10 automaticky odebere místně registrovaný stav služby azure ad, objekt zařízení ve službě Azure AD se okamžitě neodstraní, pokud ho spravuje intune. Odebrání stavu registrovaného pro Azure AD můžete ověřit spuštěním dsregcmd/status a zvažte, jestli zařízení není zaregistrované v Azure AD na základě toho.
Připojení k hybridní službě Azure AD pro jednu doménovou strukturu, více tenantů Azure AD
Aby bylo možné zaregistrovat zařízení jako připojení k hybridní službě Azure AD ke svým klientům, organizace musí zajistit, aby byla konfigurace spojovacího bodu služby na zařízeních provedena, a ne ve službě AD. Další podrobnosti o tom, jak to provést, najdete v článku kontrolovaném ověřování hybridního připojení k Azure AD. Je také důležité, aby organizace pochopily, že některé funkce Azure AD nebudou fungovat v jedné doménové struktuře, v několika konfiguracích tenanta Azure AD.
- Zpětný zápis zařízení nebude fungovat. To má vliv na podmíněný přístup na základě zařízení pro místní aplikace, které jsou federované pomocí služby AD FS. to platí také pro nasazení Windows Hello pro firmy při použití modelu důvěryhodnosti hybridního certifikátu.
- Zpětný zápis skupin nebude fungovat. to má vliv na zpětný zápis skupin Office 365 do doménové struktury s nainstalovanou Exchange.
- Bezproblémové jednotné přihlašování nebude fungovat. to má vliv na scénáře jednotného přihlašování, které mohou organizace používat na platformách pro různé operační systémy nebo prohlížeče, například iOS/Linux s Firefox, Safari, Chrome bez rozšíření Windows 10.
- připojení k hybridní službě Azure AD pro Windows zařízení nižší úrovně ve spravovaném prostředí nebudou fungovat. například připojení k hybridní službě azure ad v Windows Server 2012 R2 ve spravovaném prostředí vyžaduje bezproblémové jednotné přihlašování a vzhledem k tomu, že bezproblémové jednotné přihlašování nebude fungovat, nebude připojení k hybridní službě azure ad pro takovou instalaci fungovat.
- Místní ochrana heslem Azure AD nebude fungovat. To má vliv na schopnost provádět změny hesel a události resetování hesla na místních Active Directory Domain Services (služba AD DS) řadičích domény pomocí stejných globálních a vlastních seznamů zakázaných hesel, které jsou uložené ve službě Azure AD.
Další aspekty
Pokud vaše prostředí používá infrastrukturu virtuálních klientských počítačů (VDI), přečtěte si téma Identita zařízení a virtualizace plochy.
Připojení k hybridní službě Azure AD se podporuje pro čip TPM kompatibilní se standardem FIPS 2,0 a nepodporuje se pro čip TPM 1,2. Pokud vaše zařízení mají čip TPM kompatibilní se standardem FIPS 1,2, musíte je před tím, než budete pokračovat s hybridním připojením k Azure AD, zakázat. Microsoft neposkytuje žádné nástroje pro zakázání režimu FIPS pro čipy TPM, protože je závislý na výrobci čipu TPM. Požádejte o podporu svého hardwarového výrobce OEM.
od verze Windows 10 1903 se pro připojení k hybridní službě Azure AD nepoužívá čipy tpm 1,2 a zařízení s těmito čipy tpm se budou považovat za neobsahující čip TPM.
změny UPN se podporují jenom na začátku aktualizace Windows 10 2004. pro zařízení starší než Windows 10 2004 aktualizace mají uživatelé na svých zařízeních problémy jednotného přihlašování a podmíněného přístupu. Pokud chcete tento problém vyřešit, musíte zrušit připojení zařízení k Azure AD (spustit příkaz dsregcmd /leave se zvýšenými oprávněními) a znovu se připojit (probíhá automaticky). Uživatelé, kteří se přihlašuje pomocí Windows Hello pro firmy, ale tomuto problému ne čelí.
Kontrola řízeného ověřování hybridního připojení ke službě Azure AD
Po nastavení všech požadavků se zařízení Windows automaticky zaregistrují jako zařízení ve vašem tenantovi Azure AD. Stav těchto identit zařízení v Azure AD se označuje jako hybridní připojení k Azure AD. Další informace o konceptech prokrytých v tomto článku najdete v článku Úvod do správy identitzařízení v Azure Active Directory .
Organizace mohou chtít před povolením připojení k hybridní službě Azure AD provést řízené ověření v celé organizaci najednou. Pokud chcete porozumět tomu, jak to provést, prohlédněte si článek s řízeným ověřováním hybridního připojení ke službě Azure AD.
Výběr scénáře na základě infrastruktury identit
Hybridní připojení ke službě Azure AD funguje se spravovanými i federovaným prostředími v závislosti na tom, jestli je hlavní název uživatele směrovatelný nebo nesměšitelný. V dolní části stránky najdete tabulku podporovaných scénářů.
Spravované prostředí
Spravované prostředí je možné nasadit buď prostřednictvím synchronizace hodnot hash hesel (PHS), nebo předáte ověřování (PTA) s bezproblémovým jednotným přihlašováním.
Tyto scénáře nevyžadují konfiguraci federačního serveru pro ověřování.
Poznámka
Cloudové ověřování s využitím staged rolloutu se podporuje Windows 10 aktualizaci 1903.
Federované prostředí
Federované prostředí by mělo mít zprostředkovatele identity, který podporuje následující požadavky. Pokud máte federované prostředí používající Active Directory Federation Services (AD FS) (AD FS), jsou již podporovány následující požadavky.
- Deklarace identity WIAORMULTIAUTHN: Tato deklarace identity se vyžaduje k hybridnímu připojení ke službě Azure AD Windows zařízení nižší úrovně.
- Protokol WS-Trust: Tento protokol je nutný k ověřování Windows zařízení připojených k hybridní službě Azure AD pomocí Azure AD. Pokud používáte následující AD FS, musíte povolit následující koncové WS-Trust koncové body:
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed
Upozornění
Služba adfs/services/trust/2005/windowstransport nebo adfs/services/trust/13/windowstransport by měla být povolená pouze jako intranetové koncové body a nesmí být zveřejněná jako koncové body směřující k extranetu prostřednictvím webového proxy aplikací. Další informace o tom, jak zakázat koncové WS-Trust Windows, najdete v tématu Zakázání WS-Trust Windows koncových bodů na proxy serveru. Koncové body jsou povolené prostřednictvím konzoly pro správu AD FS v části > Koncové body služby.
Poznámka
Azure AD nepodporuje ve spravovaných doménách čipové karty ani certifikáty.
Azure AD Connect od verze 1.1.819.0 nabízí průvodce konfigurací hybridního připojení k Azure AD. Tento průvodce vám umožní výrazně zjednodušit proces konfigurace. Pokud instalace požadované verze služby Azure AD Připojení není pro vás možné, podívejte se, jak ručně nakonfigurovat registraci zařízení.
V závislosti na scénáři, který odpovídá vaší infrastruktuře identit, se podívejte na:
- Konfigurace hybridního připojení Azure Active Directory pro federované prostředí
- Konfigurace hybridního připojení Azure Active Directory pro spravované prostředí
Kontrola podpory upN místních uživatelů AD pro připojení k hybridní službě Azure AD
V některých případech se upN vašich místních uživatelů AD mohou lišit od upN Azure AD. V takových případech Windows 10 připojení k hybridní službě Azure AD poskytuje omezenou podporu pro místní hlavní názvy uživatele (UPN) na základě metody ověřování,typu domény a Windows 10 verze. Existují dva typy místních hlavní domény uživatele (UPN) služby AD, které mohou existovat ve vašem prostředí:
- Směrovatelné hlavní názvy uživatelů: Směrovatelný hlavní název uživatele (UPN) má platnou ověřenou doménu, která je zaregistrovaná u doménového registrátora. Pokud je například contoso.com primární doménou v Azure AD, contoso.org je primární doména v místní službě AD vlastněná společností Contoso a ověřená ve službě Azure AD.
- Nesmyřitelný upn (UPN) uživatelů: Nesměšitelný upnový název uživatele nemá ověřenou doménu. Vztahuje se jenom na privátní síť vaší organizace. Pokud je například contoso.com primární doménou v Azure AD, contoso.local je primární doména v místní službě AD, ale není ověřitelná doména na internetu a používá se pouze v síti společnosti Contoso.
Poznámka
Informace v této části se vztahují pouze na hlavní název uživatele (UPN) místních uživatelů. Nejde použít pro příponu domény místního počítače (například: computer1.contoso.local).
Následující tabulka obsahuje podrobnosti o podpoře těchto místních hlavní název uživatele (UPN) v Windows 10 připojení k hybridní službě Azure AD.
| Typ místního uživatele AD UPN | Typ domény | Windows 10 verze | Description |
|---|---|---|---|
| Směrovatelný | Federovaní | Z verze 1703 | Obecná dostupnost |
| Nesměšitelné | Federovaní | Z verze 1803 | Obecná dostupnost |
| Směrovatelný | Spravované | Z verze 1803 | Obecně dostupné: Azure AD SSPR Windows zamykací obrazovce se nepodporuje. Místní hlavní název uživatele (UPN) musí být synchronizovaný s onPremisesUserPrincipalName atributem ve službě Azure AD. |
| Nesměšitelné | Spravované | Nepodporováno |