A Microsoft Entra hibrid csatlakozás implementálásának megtervezve
Ha helyi Active Directory Tartományi szolgáltatások (AD DS) környezettel rendelkezik, és csatlakozni szeretne az AD DS tartományhoz csatlakoztatott számítógépeihez a Microsoft Entra-azonosítóhoz, ezt a feladatot a Microsoft Entra hibrid csatlakoztatásával végezheti el.
Tipp.
A helyszíni erőforrások egyszeri bejelentkezési (SSO)-hozzáférése a Microsoft Entra által csatlakoztatott eszközök számára is elérhető. További információ: Hogyan működik a helyszíni erőforrások egyszeri bejelentkezése a Microsoft Entra által csatlakoztatott eszközökön.
Előfeltételek
Ez a cikk feltételezi, hogy ismeri a Microsoft Entra ID eszközidentitás-kezelésének bevezetési szakaszát.
Feljegyzés
A Windows 10 vagy újabb Microsoft Entra hibrid illesztéshez minimálisan szükséges tartományvezérlő -verzió a Windows Server 2008 R2.
A Microsoft Entra hibrid csatlakoztatott eszközei rendszeres időközönként hálózati látóvonalat igényelnek a tartományvezérlők számára. A kapcsolat nélkül az eszközök használhatatlanná válnak.
A tartományvezérlőkhöz nem igazodó forgatókönyvek a következők:
- Eszköz jelszavának módosítása
- Felhasználói jelszó módosítása (gyorsítótárazott hitelesítő adatok)
- A megbízható platformmodul (TPM) alaphelyzetbe állítása
Az implementáció megtervezése
A hibrid Microsoft Entra-implementáció megtervezéséhez ismerkedjen meg a következőkkel:
- Támogatott eszközök áttekintése
- Érdemes áttekinteni a fontos tudnivalókat
- A Microsoft Entra hibrid csatlakozás célzott üzembe helyezésének áttekintése
- Válassza ki a forgatókönyvet az identitásinfrastruktúra alapján
- A Microsoft Entra hibrid csatlakozás helyszíni Microsoft Windows Server Active Directory felhasználóneve (UPN) támogatásának áttekintése
Támogatott eszközök áttekintése
A Microsoft Entra hibrid csatlakoztatása számos Windows-eszközt támogat.
- Windows 11
- Windows 10
- Windows Server 2016
- Megjegyzés: Az Azure Nemzeti felhő ügyfeleinek az 1803-es verzióra van szükségük
- Windows Server 2019
Ajánlott eljárásként a Microsoft azt javasolja, hogy frissítsen a Windows legújabb verziójára.
Érdemes áttekinteni a fontos tudnivalókat
Nem támogatott forgatókönyvek
- A Microsoft Entra hibrid illesztése nem támogatott a tartományvezérlői szerepkört futtató Windows Server esetében.
- A Server Core operációs rendszer semmilyen eszközregisztrációt nem támogat.
- A User State Migration Tool (USMT) nem működik az eszközregisztrációval.
Operációsrendszer-képalkotó szempontok
Ha a Rendszerelőkészítő eszközre (Sysprep) támaszkodik, és windowsos 10 1809 előtti rendszerképet használ a telepítéshez, győződjön meg arról, hogy a rendszerkép nem olyan eszközről származik, amely már regisztrálva van a Microsoft Entra-azonosítóval a Microsoft Entra hibrid csatlakoztatásaként.
Ha virtuálisgép-pillanatképre támaszkodik további virtuális gépek létrehozásához, győződjön meg arról, hogy a pillanatkép nem olyan virtuális gépről származik, amely már regisztrált a Microsoft Entra-azonosítóval a Microsoft Entra hibrid csatlakoztatásaként.
Ha egyesített írási szűrőt és hasonló technológiákat használ, amelyek újraindításkor törlik a lemez módosításait, azokat az eszköz hibrid csatlakoztatása után kell alkalmazni. Az ilyen technológiák engedélyezése a Microsoft Entra hibrid csatlakoztatásának befejezése előtt azt eredményezi, hogy az eszköz nem csatlakozik minden újraindításhoz.
Eszközök kezelése a Microsoft Entra regisztrált állapotával
Ha a Windows 10-es vagy újabb tartományhoz csatlakoztatott eszközei a Microsoft Entra regisztrálva vannak a bérlőjéhez, az a Microsoft Entra hibrid csatlakoztatott és a Microsoft Entra által regisztrált eszköz kettős állapotához vezethet. Javasoljuk, hogy frissítsen a Windows 10 1803-ra (KB4489894 alkalmazva) vagy újabb verzióra a forgatókönyv automatikus kezeléséhez. Az 1803 előtti kiadásokban manuálisan kell eltávolítania a Microsoft Entra regisztrált állapotát, mielőtt engedélyezi a Microsoft Entra hibrid csatlakozását. Az 1803-ban és a fenti kiadásokban a következő módosításokat hajtották végre a kettős állapot elkerülése érdekében:
- A rendszer automatikusan eltávolítja egy felhasználó meglévő Microsoft Entra regisztrált állapotát, miután az eszköz hibrid microsoft entra csatlakozik, és ugyanaz a felhasználó bejelentkezik. Ha például A felhasználónak volt egy Microsoft Entra regisztrált állapota az eszközön, akkor az A felhasználó kettős állapota csak akkor törlődik, amikor A felhasználó bejelentkezik az eszközre. Ha ugyanazon az eszközön több felhasználó is található, a kettős állapot külön-külön törlődik, amikor ezek a felhasználók bejelentkeznek. Miután egy rendszergazda eltávolította a Microsoft Entra regisztrált állapotát, a Windows 10 törli az eszköz regisztrációját az Intune-ból vagy más mobileszköz-kezelésből (MDM), ha a regisztráció a Microsoft Entra regisztrációjának részeként történt automatikus regisztrációval.
- Ez a változás nem érinti a Microsoft Entra regisztrált állapotát az eszközön található helyi fiókokon. Csak tartományi fiókokra vonatkozik. A Microsoft Entra regisztrált állapota a helyi fiókokban a felhasználói bejelentkezés után sem törlődik automatikusan, mivel a felhasználó nem tartományi felhasználó.
- Megakadályozhatja, hogy a tartományhoz csatlakoztatott eszköz regisztrálva legyen a Microsoft Entra-ban, ha hozzáadja a következő beállításjegyzék-értéket a HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin fájlhoz: "BlockAADWorkplaceJoin"=dword:00000001.
- Windows 10 1803 rendszerben, ha Vállalati Windows Hello konfigurálva van, a felhasználónak újra kell konfigurálnia Vállalati Windows Hello a kettős állapot törlése után. Ez a probléma KB4512509 foglalkozik.
Feljegyzés
Annak ellenére, hogy a Windows 10 és a Windows 11 automatikusan eltávolítja a Microsoft Entra regisztrált állapotát helyileg, a Microsoft Entra-azonosítóban lévő eszközobjektum nem törlődik azonnal, ha az Intune kezeli. A Microsoft Entra regisztrált állapotának eltávolítását a dsregcmd /status futtatásával ellenőrizheti, és ennek alapján úgy tekintheti, hogy az eszköz nem a Microsoft Entra regisztrálva.
Microsoft Entra hibrid csatlakozás egyetlen erdőhöz, több Microsoft Entra-bérlőhöz
Ahhoz, hogy az eszközöket hibrid Microsoft Entra-csatlakozásként regisztrálhassa a megfelelő bérlőkhöz, a szervezeteknek gondoskodniuk kell arról, hogy a Service Csatlakozás ion Point (SCP) konfigurációja az eszközökön történjen, és ne a Microsoft Windows Server Active Directoryban. A feladat végrehajtásával kapcsolatos további részletekért tekintse meg a Microsoft Entra hibrid csatlakozás célzott üzembe helyezéséről szóló cikket. Fontos, hogy a szervezetek megértsék, hogy bizonyos Microsoft Entra-képességek nem működnek egyetlen erdőben, több Microsoft Entra-bérlő konfigurációjában.
- Az eszközvisszaíró nem működik. Ez a konfiguráció az AD FS használatával összevont helyszíni alkalmazások eszközalapú feltételes hozzáférését érinti. Ez a konfiguráció a hibrid tanúsítványmegbízhatósági modell használatakor Vállalati Windows Hello üzembe helyezést is befolyásolja.
- A csoportok visszaírása nem működik. Ez a konfiguráció hatással van az Office 365-csoportok erdőbe történő visszaírására, amelyen telepítve van az Exchange.
- A közvetlen egyszeri bejelentkezés nem működik. Ez a konfiguráció a Windows 10-bővítmény nélküli böngészőplatformokat használó szervezetek SSO-forgatókönyveit érinti, mint például az iOS vagy Linux, a Firefox, a Safari vagy a Chrome.
- A helyszíni Microsoft Entra Password Protection nem működik. Ez a konfiguráció hatással van arra, hogy a Microsoft Entra-azonosítóban tárolt globális és egyéni tiltott jelszólistákat használó helyi Active Directory Tartományi szolgáltatások (AD DS) tartományvezérlőinek jelszómódosítási és jelszó-visszaállítási eseményeit hajthatja végre.
Egyéb szempontok
Ha a környezet virtuális asztali infrastruktúrát (VDI) használ, tekintse meg az eszköz identitását és az asztali virtualizálást.
A Microsoft Entra hibrid illesztés támogatott a Federal Information Processing Standard (FIPS)-kompatibilis TPM 2.0 esetében, és a TPM 1.2-ben nem támogatott. Ha az eszközei fips-kompatibilis TPM 1.2-vel rendelkeznek, le kell tiltania őket a Microsoft Entra hibrid csatlakoztatásának megkezdése előtt. A Microsoft nem biztosít eszközöket a FIPS mód letiltására a TPM-ekhez, mivel az a TPM gyártójától függ. Kérjen támogatást a hardvergyártótól.
A Windows 10 1903-as kiadásától kezdődően a TPM-eket 1.2 nem használja a Microsoft Entra hibrid csatlakoztatása, és az ezekkel a TPM-ekkel rendelkező eszközöket úgy kezelik, mintha nem rendelkeznének TPM-lel.
Az UPN-módosítások csak a Windows 10 2004-frissítéstől kezdve támogatottak. A Windows 10 2004 frissítése előtti eszközök esetében a felhasználók SSO- és feltételes hozzáféréssel kapcsolatos problémákat tapasztalhatnak az eszközeiken. A probléma megoldásához fel kell oldania az eszköz csatlakoztatását a Microsoft Entra-azonosítóból (a "dsregcmd /leave" futtatása emelt szintű jogosultságokkal) és újracsatlakozni (automatikusan megtörténik). A Vállalati Windows Hello bejelentkező felhasználók azonban nem szembesülnek ezzel a problémával.
Célzott Microsoft Entra hibrid csatlakozás áttekintése
Előfordulhat, hogy a szervezetek a Microsoft Entra hibrid csatlakozásának célzott bevezetésére van szükség, mielőtt engedélyezik a teljes szervezet számára. Tekintse át a Microsoft Entra hibrid csatlakozás célzott üzembe helyezéséről szóló cikket, amelyből megtudhatja, hogyan valósítható meg.
Figyelmeztetés
A szervezeteknek mintaként kell tartalmazniuk a különböző szerepkörökből és profilokból származó felhasználókat a próbacsoportjukban. A célzott bevezetés segít azonosítani azokat a problémákat, amelyeket a terv nem oldott meg, mielőtt engedélyezné a teljes szervezet számára.
Válassza ki a forgatókönyvet az identitásinfrastruktúra alapján
A Microsoft Entra hibrid illesztése mind a felügyelt, mind az összevont környezetekkel működik attól függően, hogy az UPN nem módosítható vagy nem módosítható. A támogatott forgatókönyvekről a lap alján talál táblázatot.
Felügyelt környezet
A felügyelt környezetek a jelszókivonat-szinkronizálással (PHS) vagy a közvetlen egyszeri bejelentkezéssel átmenő hitelesítéssel (PTA) telepíthetők.
Ezekhez a forgatókönyvekhez nem szükséges összevonási kiszolgálót konfigurálnia hitelesítéshez (AuthN).
Feljegyzés
A szakaszos bevezetést használó felhőalapú hitelesítés csak a Windows 10 1903 frissítéstől kezdve támogatott.
Összevont környezet
Az összevont környezetnek rendelkeznie kell egy identitásszolgáltatóval, amely támogatja az alábbi követelményeket. Ha összevont környezettel rendelkezik Active Directory összevonási szolgáltatások (AD FS) (AD FS) használatával, akkor az alábbi követelmények már támogatottak.
WS-Trust protokoll: Ez a protokoll szükséges a Windows aktuális Microsoft Entra hibrid csatlakoztatott eszközeinek Microsoft Entra-azonosítóval való hitelesítéséhez. Az AD FS használatakor engedélyeznie kell a következő WS-Trust végpontokat:
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
Figyelmeztetés
Mind az adfs/services/trust/2005/windowstransport, mind az adfs/services/trust/13/windowstransport csak intranetes elérésű végpontként engedélyezhető, és NEM szabad a webes alkalmazásproxy keresztül külső végpontként kitéve. A WS-Trust Windows-végpontok letiltásáról további információt a WS-Trust Windows-végpontok letiltása a proxyn című témakörben talál. A Szolgáltatásvégpontok>területen az AD FS felügyeleti konzolon láthatja, hogy mely végpontok engedélyezettek.
Az 1.1.819.0-s verziótól kezdve a Microsoft Entra Csatlakozás egy varázslóval konfigurálja a Microsoft Entra hibrid csatlakozását. Ez a varázsló jelentősen leegyszerűsíti a konfigurálási folyamatot. Ha a Microsoft Entra Csatlakozás szükséges verziójának telepítése nem lehetséges, tekintse meg az eszközregisztráció manuális konfigurálását ismertető témakört. Ha contoso.com igazolt egyéni tartományként van regisztrálva, a felhasználók akkor is lekérhetnek egy PRT-t, ha a szinkronizált helyszíni AD DS UPN-utótag egy olyan altartományban található, mint a test.contoso.com.
Tekintse át a Microsoft Windows Server Active Directory helyszíni felhasználóinak upN-támogatását a Microsoft Entra hibrid csatlakozáshoz
- Routable users UPN: A routable UPN érvényes ellenőrzött tartománnyal rendelkezik, amely regisztrálva van egy tartományregisztrálónál. Ha például contoso.com a Microsoft Entra ID elsődleges tartománya, contoso.org a Contoso tulajdonában lévő és a Microsoft Entra-azonosítóban ellenőrzött helyszíni AD elsődleges tartománya.
- Nem routable felhasználók UPN: A nem routable UPN nem rendelkezik ellenőrzött tartománnyal, és csak a szervezet magánhálózatán belül alkalmazható. Ha például contoso.com a Microsoft Entra ID elsődleges tartománya, és a contoso.local a helyszíni AD elsődleges tartománya, de nem ellenőrizhető tartomány az interneten, és csak a Contoso hálózatán belül használatos.
Feljegyzés
Az ebben a szakaszban szereplő információk csak a helyszíni felhasználók UPN-jeire vonatkoznak. Nem alkalmazható helyszíni számítógép-tartomány utótagjára (például: computer1.contoso.local).
Az alábbi táblázat részletesen ismerteti a Windows 10 Microsoft Entra hibrid csatlakoztatásának helyszíni Microsoft Windows Server Active Directory UPN-jeinek támogatását:
| A helyszíni Microsoft Windows Server Active Directory UPN típusa | Alkalmazási tartomány típusa | Windows 10-es verzió | Leírás |
|---|---|---|---|
| Routable | Összevont | 1703-ból származó kiadás | Általánosan elérhető |
| Nem irányítható | Összevont | 1803-ból származó kiadás | Általánosan elérhető |
| Routable | Felügyelt | 1803-ból származó kiadás | Általánosan elérhető, a Microsoft Entra SSPR windowsos zárolási képernyőn nem támogatott olyan környezetekben, ahol a helyszíni UPN eltér a Microsoft Entra UPN-től. A helyszíni UPN-et szinkronizálni kell a onPremisesUserPrincipalName Microsoft Entra ID attribútumával |
| Nem irányítható | Felügyelt | Nem támogatott |