Samouczek: konfigurowanie dołączania hybrydowego do usługi Azure Active Directory dla domen zarządzanych

Z tego samouczka dowiesz się, jak skonfigurować dołączanie hybrydowe Azure Active Directory (Azure AD) dla urządzeń przyłączonych do domeny usługi Active Directory. Ta metoda obsługuje środowisko zarządzane, które obejmuje zarówno usługę lokalna usługa Active Directory, jak i usługę Azure AD.

Podobnie jak użytkownik w organizacji, urządzenie jest podstawową tożsamością, którą chcesz chronić. Tożsamość urządzenia umożliwia ochronę zasobów w dowolnym momencie i z dowolnej lokalizacji. Ten cel można osiągnąć, zarządzając tożsamościami urządzeń w usłudze Azure AD. Użyj jednej z następujących metod:

  • Dołączenie do usługi Azure AD
  • Dołączenie hybrydowe do usługi Azure AD
  • Rejestracja w usłudze Azure AD

Ten artykuł koncentruje się na hybrydowym dołączania do usługi Azure AD.

Przenosząc urządzenia do usługi Azure AD, maksymalizuj produktywność użytkowników dzięki logom jednokrotnym w zasobach w chmurze i lokalnych. Jednocześnie można zabezpieczyć dostęp do zasobów w chmurze i zasobów lokalnych przy użyciu dostępu warunkowego.

Środowisko zarządzane można wdrożyć przy użyciu synchronizacji skrótów haseł (PHS) lub uwierzytelniania pass-through (PTA) z bezproblemowym logowaniem pojedynczym. Te scenariusze nie wymagają skonfigurowania serwera feder dodatkowego do uwierzytelniania.

Ten samouczek zawiera informacje na temat wykonywania następujących czynności:

  • Konfigurowanie dołączenia hybrydowego do usługi Azure AD
  • Włączanie urządzeń z systemem Windows niższego poziomu
  • Weryfikowanie dołączonych urządzeń
  • Rozwiązywanie problemów

Wymagania wstępne

  • Usługa Azure AD Połączenie (1.1.819.0 lub nowszy)
  • Poświadczenia administratora globalnego dla dzierżawy usługi Azure AD
  • Poświadczenia administratora przedsiębiorstwa dla każdego z lasów

Zapoznaj się z tymi artykułami:

Uwaga

Usługa Azure AD nie obsługuje kart inteligentnych ani certyfikatów w domenach zarządzanych.

Sprawdź, czy usługa Azure AD Połączenie zsynchronizowała obiekty komputerów urządzeń, które mają być przyłączone hybrydową usługą Azure AD do usługi Azure AD. Jeśli obiekty komputerów należą do określonych jednostek organizacyjnych, skonfiguruj jednostki organizacyjne do synchronizacji w usłudze Azure AD Połączenie. Aby dowiedzieć się więcej na temat synchronizowania obiektów komputerów przy użyciu usługi Azure AD Połączenie, zobacz Filtrowanie na podstawie jednostki organizacyjnej.

Uwaga

Aby przyłączenie do synchronizacji rejestracji urządzeń powiodło się, w ramach konfiguracji rejestracji urządzeń nie wykluczaj domyślnych atrybutów urządzenia z konfiguracji synchronizacji urządzeń usługi Azure AD Połączenie usługi Azure AD. Aby dowiedzieć się więcej o domyślnych atrybutach urządzenia synchronizowanych z AAD, zobacz Atrybuty synchronizowaneprzez usługę Azure AD Połączenie .

Począwszy od wersji 1.1.819.0, usługa Azure AD Połączenie zawiera kreatora służącego do konfigurowania dołączania hybrydowego do usługi Azure AD. Kreator znacznie upraszcza proces konfiguracji. Kreator konfiguruje punkty połączenia usługi (SCPs) do rejestracji urządzenia.

Kroki konfiguracji opisane w tym artykule są oparte na użyciu kreatora w usłudze Azure AD Połączenie.

Przyłączenie hybrydowe do usługi Azure AD wymaga, aby urządzenia miały dostęp do następujących zasobów firmy Microsoft z wewnątrz sieci organizacji:

  • https://enterpriseregistration.windows.net
  • https://login.microsoftonline.com
  • https://device.login.microsoftonline.com
  • https://autologon.microsoftazuread-sso.com (Jeśli używasz lub planujesz używać bezproblemowego logowania jednokrotnego)

Ostrzeżenie

Jeśli Twoja organizacja używa serwerów proxy przechwytczących ruch SSL w scenariuszach takich jak zapobieganie utracie danych lub ograniczenia dzierżawy usługi Azure AD, upewnij się, że ruch do tych adresów URL jest wykluczony z awarii i inspekcji protokołu TLS. Nieukluczenie tych adresów URL może spowodować zakłócenia w uwierzytelnianiu certyfikatu klienta, spowodować problemy z rejestracją urządzenia i dostępem warunkowym opartym na urządzeniach.

Jeśli Twoja organizacja wymaga dostępu do Internetu za pośrednictwem serwera proxy ruchu wychodzącego, możesz użyć implementacji funkcji autowykrywania internetowego serwera proxy (WPAD) w celu włączenia usługi Windows 10 rejestracji urządzeń w usłudze Azure AD. Aby rozwiązać problemy z konfigurowaniem tabletu WPAD i zarządzaniem nimi, zobacz Troubleshooting Automatic Detection (Rozwiązywanie problemów z automatycznym wykrywaniem). W Windows 10 przed aktualizacją 1709 r. WPAD jest jedyną dostępną opcją konfigurowania serwera proxy do pracy z hybrydowym dołączanie do usługi Azure AD.

Jeśli nie używasz programu WPAD, możesz skonfigurować ustawienia serwera proxy WinHTTP na komputerze, począwszy od programu Windows 10 1709. Aby uzyskać więcej informacji, zobacz Serwer proxy WinHTTP Ustawienia wdrożony przez obiekt zasad grupy.

Uwaga

Jeśli skonfigurujesz ustawienia serwera proxy na komputerze przy użyciu ustawień winHTTP, wszystkie komputery, które nie będą w stanie nawiązać połączenia ze skonfigurowanym serwerem proxy, nie będą łączyć się z Internetem.

Jeśli Twoja organizacja wymaga dostępu do Internetu za pośrednictwem uwierzytelnionego serwera proxy ruchu wychodzącego, upewnij się, że komputery Windows 10 mogą pomyślnie uwierzytelnić się na serwerze proxy ruchu wychodzącego. Ponieważ Windows 10 uruchamiają rejestrację urządzenia przy użyciu kontekstu maszyny, skonfiguruj uwierzytelnianie serwera proxy ruchu wychodzącego przy użyciu kontekstu komputera. Skontaktuj się z dostawcą serwera proxy ruchu wychodzącego, aby uzyskać informacje na temat wymagań dotyczących konfiguracji.

Sprawdź, czy urządzenie może uzyskać dostęp do powyższych zasobów firmy Microsoft w ramach konta systemowego przy użyciu skryptu Testuj łączność rejestracji urządzeń.

Konfigurowanie dołączenia hybrydowego do usługi Azure AD

Aby skonfigurować dołączenie hybrydowe do usługi Azure AD przy użyciu usługi Azure AD Połączenie:

  1. Uruchom usługę Azure AD Połączenie, a następnie wybierz pozycję Konfiguruj.

  2. W menu Zadania dodatkowe wybierz pozycję Konfiguruj opcje urządzenia, a następnie wybierz pozycję Dalej.

    Dodatkowe zadania

  3. W przeglądzie wybierz pozycję Dalej.

  4. W Połączenie do usługi Azure AD wprowadź poświadczenia administratora globalnego dzierżawy usługi Azure AD.

  5. W witrynie Opcje urządzenia wybierz pozycję Skonfiguruj dołączenie hybrydowe do usługi Azure AD, a następnie wybierz pozycję Dalej.

    Opcje urządzenia

  6. W programie Device operating systems(Systemy operacyjne urządzeń) wybierz systemy operacyjne, których używają urządzenia w środowisku usługi Active Directory, a następnie wybierz pozycję Next (Dalej).

    System operacyjny urządzenia

  7. W konfiguracji SCP dla każdego lasu, w którym usługa Azure AD Połączenie skonfigurować punkt połączenia usługi, wykonaj poniższe kroki, a następnie wybierz pozycję Dalej.

    1. Wybierz las.
    2. Wybierz usługę uwierzytelniania.
    3. Wybierz pozycję Dodaj, aby wprowadzić poświadczenia administratora przedsiębiorstwa.

    SCP

  8. Na stronie Wszystko gotowe do skonfigurowania wybierz pozycję Konfiguruj.

  9. Na stronie Konfiguracja ukończona wybierz pozycję Zakończ.

Włączanie urządzeń z systemem Windows niższego poziomu

Jeśli niektóre urządzenia przyłączone do domeny są Windows niżej, musisz:

  • Konfigurowanie ustawień lokalnego intranetu na potrzeby rejestracji urządzeń
  • Konfigurowanie bezproblemowego logowania jednokrotnego
  • Instalowanie programu Microsoft Workplace Join dla Windows na komputerach down-level

Windows są urządzeniami ze starszymi systemami operacyjnymi. Poniżej przedstawiono Windows poziomu urządzeń:

  • Windows 7
  • Windows 8.1
  • Windows Server 2008 z dodatkiem R2
  • Windows Server 2012
  • Windows Server 2012 z dodatkiem R2

Uwaga

Windows 7 zakończyło się 14 stycznia 2020 r. Aby uzyskać więcej informacji, zobacz Windows 7 zakończono obsługę.

Konfigurowanie ustawień lokalnego intranetu na potrzeby rejestracji urządzeń

Aby ukończyć dołączanie hybrydowe do usługi Azure AD urządzeń najwyższego poziomu z systemem Windows i uniknąć monitów o certyfikat podczas uwierzytelniania urządzeń w usłudze Azure AD, możesz wypchnąć zasady do urządzeń przyłączonych do domeny, aby dodać następujące adresy URL do strefy lokalnego intranetu w usłudze Internet Explorer:

  • https://device.login.microsoftonline.com
  • https://autologon.microsoftazuread-sso.com

Należy również włączyć opcję Zezwalaj na aktualizacje paska stanu za pośrednictwem skryptu w lokalnej strefie intranetu użytkownika.

Konfigurowanie bezproblemowego logowania jednokrotnego

Aby ukończyć dołączanie hybrydowe do usługi Azure AD urządzeń pełnego poziomu usługi Windows w domenie zarządzanej, która używa synchronizacji skrótów haseł lub uwierzytelniania pass-through jako metody uwierzytelniania w chmurze usługi Azure AD, należy również skonfigurować bezproblemowe logowanie jednokrotne.

Instalowanie programu Microsoft Workplace Join dla Windows na komputerach down-level

Aby zarejestrować Windows niżej, organizacje muszą zainstalować program Microsoft Workplace Join dla komputerów Windows 10 innych niż . Usługa Microsoft Workplace Join dla komputerów Windows 10 jest dostępna w Centrum pobierania Microsoft.

Pakiet można wdrożyć przy użyciu systemu dystrybucji oprogramowania, takiego jak Microsoft Endpoint Configuration Manager. Pakiet obsługuje standardowe opcje instalacji dyskretnej z quiet parametrem . Bieżąca wersja usługi Menedżer konfiguracji oferuje korzyści w poprzednich wersjach, takie jak możliwość śledzenia ukończonych rejestracji.

Instalator tworzy zaplanowane zadanie w systemie, które jest uruchamiane w kontekście użytkownika. Zadanie jest wyzwalane, gdy użytkownik się Windows. Zadanie w trybie dyskretnym dołącza urządzenie do usługi Azure AD przy użyciu poświadczeń użytkownika po uwierzytelnieniu w usłudze Azure AD.

Weryfikacja rejestracji

Oto 3 sposoby lokalizowania i weryfikowania stanu urządzenia:

Lokalnie na urządzeniu

  1. Otwórz program Windows PowerShell.
  2. Wprowadź dsregcmd /status.
  3. Sprawdź, czy zarówno azureAdJoined, jak i DomainJoined są ustawione na wartość YES (Tak).
  4. Możesz użyć wartości DeviceId i porównać stan usługi przy użyciu interfejsu Azure Portal lub programu PowerShell.

Korzystanie z witryny Azure Portal

  1. Przejdź do strony urządzeń za pomocą linku bezpośredniego.
  2. Informacje na temat lokalizowania urządzenia można znaleźć w te tematu Jakzarządzać tożsamościami urządzeń przy użyciu Azure Portal .
  3. Jeśli w kolumnie Registered (Zarejestrowane) znajduje się stan Pending (Oczekujące), dołączenie do hybrydowej usługi Azure AD nie zostało ukończone.
  4. Jeśli kolumna Zarejestrowano zawiera datę/godzinę, dołączenie hybrydowe do usługi Azure AD zostało ukończone.

Korzystanie z programu PowerShell

Sprawdź stan rejestracji urządzenia w dzierżawie platformy Azure przy użyciu narzędzia Get-MsolDevice. To polecenie cmdlet znajduje się w Azure Active Directory powershell.

W przypadku użycia polecenia cmdlet Get-MSolDevice do sprawdzenia szczegółów usługi:

  • Musi istnieć obiekt o identyfikatorze urządzenia, który jest Windows klienta.
  • Wartość właściwości DeviceTrustType to Przyłączone do domeny. To ustawienie jest odpowiednikiem stanu przyłączone do hybrydowej usługi Azure AD na stronie Urządzenia w portalu usługi Azure AD.
  • W przypadku urządzeń używanych w dostępie warunkowym wartość w pozycji Włączone to True, a wartość DeviceTrustLevel to Zarządzane.
  1. Uruchom program Windows PowerShell jako administrator.
  2. Wprowadź , Connect-MsolService aby nawiązać połączenie z dzierżawą platformy Azure.

Zlicz wszystkie urządzenia przyłączone do hybrydowej usługi Azure AD (z wyłączeniem stanu Oczekiwanie)

(Get-MsolDevice -All -IncludeSystemManagedDevices | where {($_.DeviceTrustType -eq 'Domain Joined') -and (([string]($_.AlternativeSecurityIds)).StartsWith("X509:"))}).count

Liczba wszystkich urządzeń przyłączonych hybrydową do usługi Azure AD ze stanem Oczekiwanie

(Get-MsolDevice -All -IncludeSystemManagedDevices | where {($_.DeviceTrustType -eq 'Domain Joined') -and (-not([string]($_.AlternativeSecurityIds)).StartsWith("X509:"))}).count

Lista wszystkich urządzeń przyłączonych do hybrydowej usługi Azure AD

Get-MsolDevice -All -IncludeSystemManagedDevices | where {($_.DeviceTrustType -eq 'Domain Joined') -and (([string]($_.AlternativeSecurityIds)).StartsWith("X509:"))}

Lista wszystkich urządzeń przyłączonych hybrydową do usługi Azure AD ze stanem Oczekiwanie

Get-MsolDevice -All -IncludeSystemManagedDevices | where {($_.DeviceTrustType -eq 'Domain Joined') -and (-not([string]($_.AlternativeSecurityIds)).StartsWith("X509:"))}

Lista szczegółów pojedynczego urządzenia:

  1. Wprowadź get-msoldevice -deviceId <deviceId> wartość (jest to wartość DeviceId uzyskana lokalnie na urządzeniu).
  2. Upewnij się, że opcja Włączone ma wartość Prawda.

Rozwiązywanie problemów z implementacją

Jeśli wystąpią problemy z ukończeniem dołączania hybrydowego do usługi Azure AD dla urządzeń Windows domenie, zobacz:

Następne kroki

W następnym artykule dowiesz się, jak zarządzać tożsamościami urządzeń przy użyciu Azure Portal.