Mengkonfigurasi Gabungan Azure AD hibrid

  • Artikel
  • 6 menit untuk membaca

Dengan membawa perangkat Anda ke Azure AD memaksimalkan produktivitas pengguna melalui akses menyeluruh (SSO) di seluruh sumber daya cloud dan lokal Anda. Anda dapat mengamankan akses ke berbagai sumber daya Anda dengan Akses Bersyarat secara bersamaan.

Prasyarat

  • Azure AD Connect versi 1.1.819.0 atau lebih baru.
    • Jangan mengecualikan atribut perangkat default dari konfigurasi sinkronisasi Azure AD Connect Anda. Untuk mempelajari selengkapnya tentang atribut perangkat default yang disinkronkan ke Azure Active Directory, lihat Atribut yang disinkronkan oleh Azure Active Directory Connect.
    • Jika objek komputer perangkat yang ingin Anda gabungkan dengan Azure AD hibrida milik unit organisasi tertentu (OU), konfigurasikan OU yang benar untuk disinkronkan di Azure AD Connect. Untuk mempelajari selengkapnya tentang cara menyinkronkan objek komputer dengan menggunakan Azure AD Connect, lihat Pemfilteran berbasis unit organisasi.
  • Kredensial administrator global untuk penyewa Azure AD Anda.
  • Kredensial administrator Enterprise untuk setiap forest Active Directory Domain Services lokal.
  • (Untuk domain gabungan) Setidaknya Windows Server 2012 R2 dengan Active Directory Federation Services sudah terinstal.
  • Pengguna dapat mendaftarkan perangkatnya dengan Azure AD. Informasi selengkapnya tentang pengaturan ini dapat ditemukan di bagian judul Mengonfigurasi pengaturan perangkat, pada artikel, Mengonfigurasi pengaturan perangkat.

Persyaratan konektivitas jaringan

Gabungan Azure Active Directory hibrid mengharuskan perangkat memiliki akses ke sumber daya Microsoft berikut ini dari dalam jaringan organisasi Anda:

  • https://enterpriseregistration.windows.net
  • https://login.microsoftonline.com
  • https://device.login.microsoftonline.com
  • https://autologon.microsoftazuread-sso.com (Jika Anda menggunakan atau berencana untuk menggunakan SSO yang lancar)
  • Layanan Token Keamanan (STS) organisasi Anda (Untuk domain terfederasi)

Peringatan

Jika organisasi Anda menggunakan server proxy yang mencegat lalu lintas SSL untuk skenario seperti pencegahan kehilangan data atau pembatasan penyewa Azure AD, pastikan lalu lintas ke URL ini dikecualikan dari pembobolan dan pemeriksaan TLS. Kegagalan untuk mengecualikan URL ini dapat menyebabkan gangguan pada autentikasi sertifikat klien, menyebabkan masalah dengan pendaftaran perangkat, dan Akses Bersyarat berbasis perangkat.

Jika organisasi Anda memerlukan akses ke internet melalui proksi keluar, Anda dapat menggunakan Web Proxy Auto-Discovery (WPAD) untuk memungkinkan komputer Windows 10 atau yang lebih baru melakukan pendaftaran perangkat dengan Azure AD. Jika Anda mengalami masalah saat mengonfigurasi dan mengelola WPAD, lihatMemecahkan masalah deteksi otomatis.

Jika tidak menggunakan WPAD, Anda dapat mengonfigurasi pengaturan proxy WinHTTP di komputer dengan Objek Kebijakan Grup (GPO) mulai versi Windows 10 1709. Untuk informasi selengkapnya, lihat Pengaturan Proxy WinHTTP yang diterapkan oleh GPO.

Catatan

Jika Anda mengkonfigurasi pengaturan proxy di komputer Anda dengan menggunakan pengaturan WinHTTP, komputer apa pun yang tidak bisa tersambung ke proxy yang dikonfigurasi akan gagal tersambung ke internet.

Jika organisasi Anda memerlukan akses ke internet melalui proksi keluar yang diautentikasi, Anda harus memastikan bahwa komputer Windows 10 atau yang lebih baru berhasil mengautentikasi proksi keluar. Karena komputer Windows 10 atau yang lebih baru menjalankan pendaftaran perangkat dengan menggunakan konteks komputer, Anda harus mengonfigurasi autentikasi proksi keluar dengan menggunakan konteks komputer. Tindak lanjuti dengan penyedia proxy keluar Anda pada persyaratan konfigurasi.

Verifikasi bahwa perangkat dapat mengakses sumber daya Microsoft yang diperlukan pada akun sistem dengan menggunakan skrip Menguji Konektivitas Pendaftaran Perangkat.

Domain yang dikelola

Menurut kami, sebagian besar organisasi akan menyebarkan gabungan Azure AD hibrida dengan domain terkelola. Domain terkelola menggunakan sinkronisasi hash kata sandi (PHS) atau autentikasi pass-through (PTA) dengan akses menyeluruh tanpa hambatan. Skenario domain terkelola tidak perlu mengonfigurasi server federasi.

Konfigurasikan penggabungan Azure AD hibrid menggunakan Azure AD Connect untuk domain terkelola:

  1. Mulai Azure AD Connect, lalu pilih Konfigurasikan.

  2. Pada halaman Tugas tambahan, pilih Opsi konfigurasi perangkat, lalu pilih Berikutnya.

  3. Di Gambaran Umum, pilih Berikutnya.

  4. Di Sambungkan ke Azure AD, masukkan kredensial administrator global untuk penyewa Azure AD Anda.

  5. Pada halaman Opsi perangkat, pilih Konfigurasikan gabungan Azure Active Directory Hibrid, lalu pilih Berikutnya.

  6. Pada halaman Sistem operasi perangkat, pilih sistem operasi yang digunakan perangkat di lingkungan penggunaan Active Directory Anda, lalu pilih Berikutnya.

  7. Dalam konfigurasi SCP, untuk setiap forest tempat Anda ingin Azure AD Connect mengonfigurasi SCP, selesaikan langkah-langkah berikut, lalu pilih Berikutnya.

    1. Pilih Forest.
    2. Pilih Layanan Autentikasi.
    3. Pilih Tambahkan untuk memasukkan kredensial administrator perusahaan.

    Azure AD Connect SCP configuration managed domain

  8. Pada Siap dikonfigurasi, pilih Konfigurasikan.

  9. Pada Konfigurasi selesai, pilih Keluar.

Domain gabungan

Lingkungan gabungan harus memiliki penyedia identitas yang mendukung persyaratan berikut. Jika Anda memiliki lingkungan gabungan menggunakan Layanan Federasi Direktori Aktif (AD FS), maka persyaratan di bawah ini sudah didukung.

  • Klaim WIAORMULTIAUTHN: Klaim ini diperlukan untuk melakukan gabungan Microsoft Azure AD hibrid untuk perangkat tingkat bawah Windows.
  • Protokol WS-Trust: Protokol ini diperlukan untuk mengautentikasi perangkat yang tergabung dengan Microsoft Azure AD hibrid Windows saat ini dengan Microsoft Azure AD. Saat menggunakan AD FS, Anda perlu mengaktifkan titik akhir WS-Trust berikut:
    • /adfs/services/trust/2005/windowstransport
    • /adfs/services/trust/13/windowstransport
    • /adfs/services/trust/2005/usernamemixed
    • /adfs/services/trust/13/usernamemixed
    • /adfs/services/trust/2005/certificatemixed
    • /adfs/services/trust/13/certificatemixed

Peringatan

Baik adfs/services/trust/2005/windowstransport dan adfs/services/trust/13/windowstransport harus diaktifkan sebagai intranet yang menghadapi titik akhir saja dan TIDAK boleh diekspos sebagai ekstranet yang menghadapi titik akhir melalui Web Application Proxy. Untuk mempelajari selengkapnya tentang cara menonaktifkan titik akhir Windows WS-Trust, lihat Menonaktifkan titik akhir Windows WS-Trust pada proksi. Anda dapat melihat titik akhir apa yang diaktifkan melalui konsol manajemen AD FS di bagian Titik Akhir>Layanan.

Konfigurasikan penggabungan Azure AD hibrid menggunakan Azure AD Connect untuk lingkungan gabungan:

  1. Mulai Azure AD Connect, lalu pilih Konfigurasikan.

  2. Pada halaman Tugas tambahan, pilih Konfigurasi opsi perangkat, lalu pilih Berikutnya.

  3. Di halaman Gambaran Umum, pilih Berikutnya.

  4. Pada halaman Sambungkan ke Azure Active Directory, masukkan info masuk administrator global untuk penyewa Azure Anda, lalu pilih Berikutnya.

  5. Pada halaman Opsi perangkat, pilih Konfigurasikan gabungan Azure Active Directory Hibrid, lalu pilih Berikutnya.

  6. Pada halaman SCP, selesaikan langkah-langkah berikut, lalu pilih Berikutnya:

    1. Pilih hutan.
    2. Pilih layanan autentikasi. Anda harus memilih server AD FS kecuali organisasi Anda memiliki klien Windows 10 atau yang lebih baru secara eksklusif dan Anda telah mengonfigurasi sinkronisasi komputer/perangkat, atau organisasi Anda menggunakan SSO yang mulus.
    3. Pilih Tambahkan untuk memasukkan kredensial administrator perusahaan.

    Azure AD Connect SCP configuration federated domain

  7. Pada halaman Sistem operasi perangkat, pilih sistem operasi yang digunakan perangkat di lingkungan penggunaan Active Directory Anda, lalu pilih Berikutnya.

  8. Pada halaman Konfigurasi federasi, masukkan informasi masuk administrator AD FS Anda, lalu pilih Berikutnya.

  9. Pada halaman Siap mengonfigurasi, pilih Konfigurasikan.

  10. Pada halaman Konfigurasi selesai, pilih Keluar.

Peringatan penggabungan

Dengan Windows 10 1803atau yang lebih baru, jika penggabungan Azure AD hibrid seketika untuk lingkungan federasi menggunakan AD FS gagal, kami mengandalkan Azure AD Connect untuk menyinkronkan objek komputer di Azure AD yang kemudian digunakan untuk menyelesaikan pendaftaran perangkat untuk penggabungan Azure AD hibrid.

Skenario lain

Organisasi dapat menguji penggabungan Azure AD hibrid pada subset lingkungan mereka sebelum peluncuran penuh. Langkah-langkah untuk menyelesaikan penyebaran yang ditargetkan dapat ditemukan di artikel Penyebaran yang ditargetkan penggabungan Azure AD hibrid. Organisasi harus menyertakan sampel pengguna dari berbagai peran dan profil di kelompok pilot ini. Peluncuran yang ditargetkan akan membantu mengidentifikasi masalah apa pun yang mungkin belum ditangani oleh rencana Anda sebelum mengaktifkannya untuk seluruh organisasi.

Beberapa organisasi mungkin tidak dapat menggunakan Azure AD Connect untuk mengonfigurasi AD FS. Langkah-langkah untuk mengonfigurasi klaim secara manual dapat ditemukan di artikel Mengonfigurasi penggabungan Azure Active Directory hibrid secara manual.

Cloud pemerintah

Untuk organisasi di Azure Government, penggabungan Azure AD hibrid mewajibkan perangkat memiliki akses ke sumber daya Microsoft berikut dari dalam jaringan organisasi Anda:

  • https://enterpriseregistration.microsoftonline.us
  • https://login.microsoftonline.us
  • https://device.login.microsoftonline.us
  • https://autologon.microsoft.us (Jika Anda menggunakan atau berencana untuk menggunakan SSO yang lancar)

Memecahkan masalah penggabungan Azure AD hibrid

Jika Anda mengalami masalah dalam menyelesaikan gabungan Azure Active Directory hibrid untuk perangkat Windows yang bergabung dengan domain, lihat:

Langkah berikutnya