Pianificare l'implementazione dell'aggiunta ibrida a Microsoft Entra
Se si dispone di un ambiente Active Directory locale Domain Services (AD DS) e si vuole aggiungere i computer aggiunti a un dominio di Active Directory Domain Services a Microsoft Entra ID, è possibile eseguire questa attività eseguendo l'aggiunta ibrida a Microsoft Entra.
Suggerimento
L'accesso Single Sign-On (SSO) alle risorse locali è disponibile anche per i dispositivi aggiunti a Microsoft Entra. Per altre informazioni, vedere Funzionamento dell'accesso SSO alle risorse locali nei dispositivi aggiunti a Microsoft Entra.
Prerequisiti
Questo articolo presuppone che l'utente abbia familiarità con l'introduzione alla gestione delle identità dei dispositivi in Microsoft Entra ID.
Nota
La versione minima richiesta del controller di dominio (DC) per Windows 10 o versione successiva dell'aggiunta ibrida Microsoft Entra è Windows Server 2008 R2.
I dispositivi aggiunti a Microsoft Entra ibrido richiedono periodicamente la linea di rete per i controller di dominio. Senza questa connessione, i dispositivi diventano inutilizzabili.
Gli scenari che interrompono senza vedere i controller di dominio includono:
- Modifica della password del dispositivo
- Modifica della password utente (credenziali memorizzate nella cache)
- Reimpostazione del modulo TPM (Trusted Platform Module)
Pianificare l'implementazione
Per pianificare l'implementazione ibrida di Microsoft Entra, è necessario acquisire familiarità con:
- Esaminare i dispositivi supportati
- Esaminare le informazioni utili
- Esaminare la distribuzione mirata dell'aggiunta ibrida a Microsoft Entra
- Selezionare lo scenario in base all'infrastruttura di gestione delle identità
- Esaminare il supporto dell'entità utente (UPN) di Microsoft Windows Server Active Directory locale per l'aggiunta ibrida a Microsoft Entra
Esaminare i dispositivi supportati
L’aggiunta ibrida a Microsoft Entra supporta un'ampia gamma di dispositivi Windows.
- Windows 11
- Windows 10
- Windows Server 2016
- Nota: i clienti cloud nazionali di Azure richiedono la versione 1803
- Windows Server 2019
Come procedura consigliata, Microsoft consiglia di eseguire l'aggiornamento alla versione più recente di Windows.
Esaminare le informazioni utili
Scenari non supportati
- Microsoft Entra hybrid join non è supportato per Windows Server che esegue il ruolo Controller di dominio (DC).
- Il sistema operativo Server Core non supporta alcun tipo di registrazione del dispositivo.
- Lo Strumento di migrazione stato utente (USMT) non funziona con la registrazione del dispositivo.
Considerazioni sull'immagine del sistema operativo
Se fai affidamento su System Preparation Tool (Sysprep) e se usi un'immagine pre-Windows 10 1809 per l'installazione, assicurati che l'immagine non sia già registrata con Microsoft Entra ID come aggiunto ibrido a Microsoft Entra.
Se ci si basa su uno snapshot di macchina virtuale (VM) per creare più macchine virtuali, assicurarsi che lo snapshot non provena da una macchina virtuale già registrata con Microsoft Entra ID come aggiunto ibrido a Microsoft Entra.
Se si usano filtri di scrittura unificati e tecnologie simili che cancellano le modifiche apportate al disco al riavvio, devono essere applicate dopo che il dispositivo è aggiunto ibrido a Microsoft Entra. L'abilitazione di tali tecnologie prima del completamento dell'aggiunta ibrida a Microsoft Entra comporta l'annullamento della partecipazione del dispositivo a ogni riavvio.
Gestione dei dispositivi con stato registrato di Microsoft Entra
Se i dispositivi Windows 10 o versioni successive aggiunti a un dominio sono registrati in Microsoft Entra nel tenant, potrebbe portare a un doppio stato di microsoft Entra ibrido aggiunto e dispositivo registrato da Microsoft Entra. È consigliabile eseguire l'aggiornamento a Windows 10 1803 (con KB4489894 applicato) o versione successiva per risolvere automaticamente questo scenario. Nelle versioni precedenti alla versione 1803 è necessario rimuovere manualmente lo stato registrato di Microsoft Entra prima di abilitare l'aggiunta ibrida a Microsoft Entra. Nel 1803 e versioni successive sono state apportate le modifiche seguenti per evitare questo doppio stato:
- Qualsiasi stato registrato di Microsoft Entra esistente per un utente verrà automaticamente rimosso dopo che il dispositivo è aggiunto ibrido a Microsoft Entra e lo stesso utente accede. Ad esempio, se l'utente A aveva uno stato registrato di Microsoft Entra nel dispositivo, il doppio stato per l'utente A viene pulito solo quando l'utente A accede al dispositivo. Se nello stesso dispositivo sono presenti più utenti, lo stato doppio viene pulito singolarmente quando tali utenti accedono. Dopo che un amministratore rimuove lo stato registrato di Microsoft Entra, Windows 10 annulla la registrazione del dispositivo da Intune o da altri dispositivi mobili (MDM), se la registrazione è avvenuta come parte della registrazione di Microsoft Entra tramite registrazione automatica.
- Lo stato registrato di Microsoft Entra in qualsiasi account locale nel dispositivo non è interessato da questa modifica. Applicabile solo agli account di dominio. Lo stato registrato di Microsoft Entra negli account locali non viene rimosso automaticamente anche dopo l'accesso dell'utente, perché l'utente non è un utente di dominio.
- È possibile impedire che il dispositivo aggiunto a un dominio venga registrato da Microsoft Entra aggiungendo il seguente valore del Registro di sistema a HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001.
- In Windows 10 1803, se è configurato Windows Hello for Business, l'utente deve riconfigurare Windows Hello for Business dopo la pulizia dello stato doppio. Questo problema viene risolto con KB4512509.
Nota
Anche se Windows 10 e Windows 11 rimuovono automaticamente lo stato registrato di Microsoft Entra in locale, l'oggetto dispositivo in Microsoft Entra ID non viene eliminato immediatamente se è gestito da Intune. È possibile convalidare la rimozione dello stato registrato di Microsoft Entra eseguendo dsregcmd /status e considerare che il dispositivo non sia Registrato da Microsoft Entra in base a tale stato.
Aggiunta ibrida di Microsoft Entra per una singola foresta, più tenant di Microsoft Entra
Per registrare i dispositivi come aggiunta ibrida di Microsoft Entra ai rispettivi tenant, le organizzazioni devono assicurarsi che la configurazione del punto di Connessione servizio (SCP) venga eseguita nei dispositivi e non in Microsoft Windows Server Active Directory. Per altre informazioni su come eseguire questa attività, vedere l'articolo Distribuzione di destinazione dell'aggiunta ibrida a Microsoft Entra. È importante per le organizzazioni comprendere che alcune funzionalità di Microsoft Entra non funzionano in una singola foresta, più configurazioni dei tenant di Microsoft Entra.
- Il writeback del dispositivo non funziona. Questa configurazione influisce sull'accesso condizionale basato su dispositivo per le app locali federate tramite AD FS. Questa configurazione influisce anche sulla distribuzione di Windows Hello for Business quando si usa il modello di attendibilità del certificato ibrido.
- Il writeback dei gruppi non funziona. Questa configurazione influisce sul writeback dei gruppi di Office 365 in una foresta con Exchange installato.
- L'accesso Single Sign-On facile non funziona. Questa configurazione influisce sugli scenari SSO nelle organizzazioni che usano piattaforme browser come iOS o Linux con Firefox, Safari o Chrome senza l'estensione Di Windows 10.
- La protezione password di Microsoft Entra locale non funziona. Questa configurazione influisce sulla possibilità di modificare le password e gli eventi di reimpostazione della password in Active Directory locale controller di dominio di Domain Services (AD DS) usando gli stessi elenchi di password escluse globali e personalizzati archiviati in Microsoft Entra ID.
Altre considerazioni
Se l'ambiente usa l'infrastruttura VDI (Virtual Desktop Infrastructure), vedere Identità del dispositivo e virtualizzazione desktop.
Microsoft Entra hybrid join è supportato per TPM 2.0 conforme a Federal Information Processing Standard (FIPS) e non supportato per TPM 1.2. Se i dispositivi hanno TPM 1.2 conforme a FIPS, è necessario disabilitarli prima di procedere con l'aggiunta ibrida a Microsoft Entra. Microsoft non fornisce strumenti per disabilitare la modalità FIPS per i TPM perché dipende dal produttore del TPM. Contattare l'OEM hardware per assistenza.
A partire dalla versione di Windows 10 1903, i TPM 1.2 non vengono usati con l'aggiunta ibrida a Microsoft Entra e i dispositivi con tali TPM vengono considerati come se non abbiano un TPM.
Le modifiche UPN sono supportate solo a partire dall'aggiornamento di Windows 10 2004. Per i dispositivi prima dell'aggiornamento di Windows 10 2004, gli utenti potrebbero avere problemi di accesso SSO e condizionale nei dispositivi. Per risolvere questo problema, è necessario annullare la connessione del dispositivo dall'ID Microsoft Entra (eseguire "dsregcmd /leave" con privilegi elevati) e ripetere la registrazione (avviene automaticamente). Tuttavia, gli utenti che accedono con Windows Hello for Business non riscontrano questo problema.
Esaminare l'aggiunta ibrida di Microsoft Entra di destinazione
Le organizzazioni potrebbero voler eseguire un'implementazione mirata di Microsoft Entra hybrid join prima di abilitarla per l'intera organizzazione. Vedere l'articolo Distribuzione di destinazione dell'aggiunta ibrida a Microsoft Entra per comprendere come eseguire questa operazione.
Avviso
Le organizzazioni devono includere un esempio di utenti di ruoli e profili diversi nel gruppo pilota. Un'implementazione mirata consentirà di identificare eventuali problemi che il piano potrebbe non essere stato risolto prima di abilitare per l'intera organizzazione.
Selezionare lo scenario in base all'infrastruttura di gestione delle identità
Il join ibrido di Microsoft Entra funziona con ambienti gestiti e federati a seconda che l'UPN sia instradabile o non instradabile. Vedere la parte inferiore della pagina per la tabella negli scenari supportati.
Ambiente gestito
Un ambiente gestito può essere distribuito tramite Sincronizzazione hash delle password (PHS) o Pass Through Authentication (PTA) con Accesso Single Sign-On facile.
Questi scenari non richiedono la configurazione di un server federativo per l'autenticazione (AuthN).
Nota
L'autenticazione cloud con l'implementazione a fasi è supportata solo a partire dall'aggiornamento di Windows 10 1903.
Ambiente federato
Un ambiente federato deve includere un provider di identità che supporta i requisiti riportati di seguito. Se l'ambiente federato usa Active Directory Federation Services (AD FS), i requisiti seguenti sono già supportati.
Protocollo WS-Trust: questo protocollo è necessario per autenticare i dispositivi aggiunti ibridi Microsoft Entra correnti di Windows con Microsoft Entra ID. Quando si usa AD FS, è necessario abilitare gli endpoint WS-Trust seguenti:
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
Avviso
Sia adfs/services/trust/2005/windowstransport che adfs/services/trust/13/windowstransport devono essere abilitati solo come endpoint per Intranet e NON devono essere esposti come endpoint per Extranet tramite Proxy applicazione Web. Per altre informazioni su come disabilitare gli endpoint Windows WS-Trust, vedere Disabilitare gli endpoint Windows WS-Trust sul proxy. È possibile verificare gli endpoint abilitati nella console di gestione di AD FS, in Servizio>Endpoint.
A partire dalla versione 1.1.819.0, Microsoft Entra Connessione offre una procedura guidata per configurare l'aggiunta ibrida a Microsoft Entra. che semplifica in modo significativo il processo di configurazione. Se l'installazione della versione richiesta di Microsoft Entra Connessione non è un'opzione appropriata, vedere Come configurare manualmente la registrazione del dispositivo. Se contoso.com viene registrato come dominio personalizzato confermato, gli utenti possono ottenere un token di aggiornamento primario anche se il suffisso UPN di Active Directory Domain Services locale sincronizzato si trova in un sottodominio come test.contoso.com.
Esaminare il supporto UPN degli utenti di Microsoft Windows Server Active Directory locale per l'aggiunta ibrida a Microsoft Entra
- UPN utenti instradabili: un UPN instradabile ha un dominio verificato valido registrato con un registrar. Ad esempio, se contoso.com è il dominio primario in Microsoft Entra ID, contoso.org è il dominio primario in AD locale di proprietà di Contoso e verificato in Microsoft Entra ID.
- UPN utenti non instradabili: un UPN non instradabile non ha un dominio verificato ed è applicabile solo all'interno della rete privata dell'organizzazione. Ad esempio, se contoso.com è il dominio primario in Microsoft Entra ID e contoso.local è il dominio primario in AD locale, ma non è un dominio verificabile in Internet e usato solo all'interno della rete di Contoso.
Nota
Le informazioni contenute in questa sezione si applicano solo a un UPN utenti locali. Non è applicabile a un suffisso di dominio del computer locale (ad esempio: computer1.contoso.local).
La tabella seguente fornisce informazioni dettagliate sul supporto per questi UPN di Microsoft Windows Server Active Directory locali in Windows 10 Microsoft Entra hybrid join:
| Tipo di UPN di Microsoft Windows Server Active Directory locale | Tipo di dominio | Versione di Windows 10 | Descrizione |
|---|---|---|---|
| Instradabile | Federati | Dalla versione 1703 | Disponibile a livello generale |
| Non instradabile | Federati | Dalla versione 1803 | Disponibile a livello generale |
| Instradabile | Gestito | Dalla versione 1803 | Disponibile a livello generale, La reimpostazione della password self-service di Microsoft Entra nella schermata di blocco di Windows non è supportata negli ambienti in cui l'UPN locale è diverso da Microsoft Entra UPN. L'UPN locale deve essere sincronizzato con l'attributo onPremisesUserPrincipalName in Microsoft Entra ID |
| Non instradabile | Gestito | Non supportato |