Instrukcje: planowanie implementacji dołączania hybrydowego Azure Active DirectoryHow To: Plan your hybrid Azure Active Directory join implementation

Podobnie jak w przypadku użytkownika, urządzenie jest kolejną tożsamością podstawową, która ma być chroniona, i używanie jej do ochrony zasobów w dowolnym momencie i z dowolnej lokalizacji.In a similar way to a user, a device is another core identity you want to protect and use it to protect your resources at any time and from any location. Aby osiągnąć ten cel, można przełączać tożsamości urządzeń i zarządzać nimi w usłudze Azure AD przy użyciu jednej z następujących metod:You can accomplish this goal by bringing and managing device identities in Azure AD using one of the following methods:

  • Dołączenie do usługi Azure ADAzure AD join
  • Dołączenie hybrydowe do usługi Azure ADHybrid Azure AD join
  • Rejestracja w usłudze Azure ADAzure AD registration

Przenosząc urządzenia do usługi Azure AD, można zmaksymalizować wydajność użytkowników dzięki zastosowaniu logowania jednokrotnego (SSO) w zasobach chmury i zasobach lokalnych.By bringing your devices to Azure AD, you maximize your users' productivity through single sign-on (SSO) across your cloud and on-premises resources. W tym samym czasie można zabezpieczyć dostęp do zasobów w chmurze i lokalnych przy użyciu dostępu warunkowego.At the same time, you can secure access to your cloud and on-premises resources with Conditional Access.

Jeśli masz lokalne środowisko Active Directory (AD) i chcesz dołączyć komputery przyłączone do domeny usługi AD do usługi Azure AD, możesz to zrobić, wykonując sprzężenie hybrydowe usługi Azure AD.If you have an on-premises Active Directory (AD) environment and you want to join your AD domain-joined computers to Azure AD, you can accomplish this by doing hybrid Azure AD join. Ten artykuł zawiera powiązane kroki umożliwiające zaimplementowanie hybrydowego sprzężenia usługi Azure AD w środowisku.This article provides you with the related steps to implement a hybrid Azure AD join in your environment.

Wymagania wstępnePrerequisites

W tym artykule założono, że znasz już wprowadzenie do zarządzania tożsamościami urządzeń w Azure Active Directory.This article assumes that you are familiar with the Introduction to device identity management in Azure Active Directory.

Uwaga

Minimalna wymagana wersja kontrolera domeny dla hybrydowego sprzężenia usługi Azure AD systemu Windows 10 to Windows Server 2008 R2.The minimum required domain controller version for Windows 10 hybrid Azure AD join is Windows Server 2008 R2.

Planowanie implementacjiPlan your implementation

Aby zaplanować implementację hybrydowej usługi Azure AD, zapoznaj się z:To plan your hybrid Azure AD implementation, you should familiarize yourself with:

Zaznacz Przejrzyj obsługiwane urządzeniaReview supported devices
Zaznacz Przejrzyj interesujące Cię rzeczyReview things you should know
Zaznacz Przeglądanie kontrolowanej weryfikacji hybrydowego sprzężenia usługi Azure ADReview controlled validation of hybrid Azure AD join
Zaznacz Wybierz swój scenariusz w oparciu o infrastrukturę tożsamościSelect your scenario based on your identity infrastructure
Zaznacz Zapoznaj się z lokalną obsługą UPN usługi AD na potrzeby hybrydowego dołączania do usługi Azure ADReview on-premises AD UPN support for hybrid Azure AD join

Przejrzyj obsługiwane urządzeniaReview supported devices

Sprzężenie hybrydowe usługi Azure AD obsługuje szeroką gamę urządzeń z systemem Windows.Hybrid Azure AD join supports a broad range of Windows devices. Ponieważ konfiguracja urządzeń ze starszymi wersjami systemu Windows wymaga dodatkowych lub różnych kroków, obsługiwane urządzenia są pogrupowane w dwie kategorie:Because the configuration for devices running older versions of Windows requires additional or different steps, the supported devices are grouped into two categories:

Bieżące urządzenia z systemem WindowsWindows current devices

  • Windows 10Windows 10
  • Windows Server 2016Windows Server 2016
  • Windows Server 2019Windows Server 2019

W przypadku urządzeń z systemem operacyjnym Windows dla komputerów stacjonarnych obsługiwana wersja jest wymieniona w tym artykule Informacje o wersji systemu Windows 10.For devices running the Windows desktop operating system, supported version are listed in this article Windows 10 release information. Najlepszym rozwiązaniem, firma Microsoft zaleca uaktualnienie do najnowszej wersji systemu Windows 10.As a best practice, Microsoft recommends you upgrade to the latest version of Windows 10.

Urządzenia niskiego poziomu systemu WindowsWindows down-level devices

Jako pierwszy krok planowania należy przejrzeć środowisko i określić, czy należy obsługiwać urządzenia niskiego poziomu systemu Windows.As a first planning step, you should review your environment and determine whether you need to support Windows down-level devices.

Przejrzyj interesujące Cię rzeczyReview things you should know

Sprzężenie hybrydowe usługi Azure AD nie jest obecnie obsługiwane, jeśli środowisko składa się z jednego lasu usługi Active Directory, który synchronizuje dane tożsamości z więcej niż jedną dzierżawą usługi Azure AD.Hybrid Azure AD join is currently not supported if your environment consists of a single AD forest synchronizing identity data to more than one Azure AD tenant.

Jeśli środowisko używa infrastruktury pulpitów wirtualnych (VDI), zobacz tożsamość urządzenia i Wirtualizacja pulpitu.If your environment uses virtual desktop infrastructure (VDI), see Device identity and desktop virtualization.

Hybrydowe dołączanie usługi Azure AD jest obsługiwane w przypadku modułu TPM zgodnego ze standardem FIPS 2,0 i nie jest obsługiwane dla modułu TPM 1,2Hybrid Azure AD join is supported for FIPS-compliant TPM 2.0 and not supported for TPM 1.2. Jeśli urządzenia są zgodne ze standardem FIPS 1,2, należy je wyłączyć przed przejściem do hybrydowego sprzężenia usługi Azure AD.If your devices have FIPS-compliant TPM 1.2, you must disable them before proceeding with Hybrid Azure AD join. Firma Microsoft nie udostępnia żadnych narzędzi do wyłączania trybu FIPS dla moduły TPM, ponieważ jest on zależny od producenta modułu TPM.Microsoft does not provide any tools for disabling FIPS mode for TPMs as it is dependent on the TPM manufacturer. Aby uzyskać pomoc techniczną, skontaktuj się z producentem OEM.Please contact your hardware OEM for support. Począwszy od wersji Windows 10 1903, moduły TPM 1,2 nie są używane na potrzeby hybrydowego przyłączenia do usługi Azure AD, a urządzenia z tymi moduły tpmami będą uznawane za niemające modułu TPM.Starting from Windows 10 1903 release, TPMs 1.2 are not used for hybrid Azure AD join and devices with those TPMs will be considered as if they don't have a TPM.

Hybrydowe dołączanie usługi Azure AD nie jest obsługiwane w przypadku systemu Windows Server z uruchomioną rolą kontrolera domeny (DC).Hybrid Azure AD join is not supported for Windows Server running the Domain Controller (DC) role.

Funkcja hybrydowego przyłączania do usługi Azure AD nie jest obsługiwana na urządzeniach niskiego poziomu systemu Windows podczas korzystania z roamingu poświadczeń lub roamingu profilu użytkownika lub profilu obowiązkowego.Hybrid Azure AD join is not supported on Windows down-level devices when using credential roaming or user profile roaming or mandatory profile.

Jeśli korzystasz z narzędzia przygotowywania systemu (Sysprep) i używasz obrazu sprzed systemu Windows 10 1809 do instalacji, upewnij się, że obraz nie pochodzi z urządzenia, które jest już zarejestrowane w usłudze Azure AD jako sprzężenie hybrydowe usługi Azure AD.If you are relying on the System Preparation Tool (Sysprep) and if you are using a pre-Windows 10 1809 image for installation, make sure that image is not from a device that is already registered with Azure AD as Hybrid Azure AD join.

Jeśli korzystasz z migawki maszyny wirtualnej w celu utworzenia dodatkowych maszyn wirtualnych, upewnij się, że migawka nie pochodzi z maszyny wirtualnej, która jest już zarejestrowana w usłudze Azure AD jako sprzężenie hybrydowe usługi Azure AD.If you are relying on a Virtual Machine (VM) snapshot to create additional VMs, make sure that snapshot is not from a VM that is already registered with Azure AD as Hybrid Azure AD join.

Jeśli urządzenia przyłączone do domeny systemu Windows 10 są zarejestrowane w dzierżawie usługi Azure AD , może to doprowadzić do podwójnego stanu hybrydowego przyłączonego do usługi Azure AD i zarejestrowanego urządzenia usługi Azure AD.If your Windows 10 domain joined devices are Azure AD registered to your tenant, it could lead to a dual state of Hybrid Azure AD joined and Azure AD registered device. Zalecamy uaktualnienie do systemu Windows 10 1803 (z zastosowaniem programu KB4489894) lub nowszego, aby automatycznie rozwiązać ten scenariusz.We recommend upgrading to Windows 10 1803 (with KB4489894 applied) or above to automatically address this scenario. W wersjach wcześniejszych niż 1803 należy ręcznie usunąć zarejestrowany stan usługi Azure AD przed włączeniem hybrydowego sprzężenia usługi Azure AD.In pre-1803 releases, you will need to remove the Azure AD registered state manually before enabling Hybrid Azure AD join. W 1803 i nowszych wersjach wprowadzono następujące zmiany, aby uniknąć tego podwójnego stanu:In 1803 and above releases, the following changes have been made to avoid this dual state:

  • Wszystkie istniejące zarejestrowane Stany usługi Azure AD zostaną automatycznie usunięte po przyłączeniu urządzenia do hybrydowej usługi Azure AD.Any existing Azure AD registered state would be automatically removed after the device is Hybrid Azure AD joined.
  • Aby uniemożliwić urządzeniu przyłączonym do domeny możliwość rejestracji w usłudze Azure AD, Dodaj ten klucz rejestru — HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin" = DWORD: 00000001.You can prevent your domain joined device from being Azure AD registered by adding this registry key - HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001.
  • W systemie Windows 10 1803, jeśli masz skonfigurowaną usługi Windows Hello dla firm, użytkownik musi zmienić konfigurację usługi Windows Hello dla firm po oczyszczeniu podwójnego stanu. Ten problem został rozwiązany z KB4512509In Windows 10 1803, if you have Windows Hello for Business configured, the user needs to re-setup Windows Hello for Business after the dual state clean up.This issue has been addressed with KB4512509

Uwaga

Zarejestrowane urządzenie usługi Azure AD nie zostanie automatycznie usunięte, jeśli jest zarządzane przez usługę Intune.The Azure AD registered device will not be automatically removed if it is managed by Intune.

Przeglądanie kontrolowanej weryfikacji hybrydowego sprzężenia usługi Azure ADReview controlled validation of hybrid Azure AD join

Gdy wszystkie wymagania wstępne są stosowane, urządzenia z systemem Windows będą automatycznie rejestrowane jako urządzenia w dzierżawie usługi Azure AD.When all of the pre-requisites are in place, Windows devices will automatically register as devices in your Azure AD tenant. Stan tych tożsamości urządzeń w usłudze Azure AD jest określany jako sprzężenie hybrydowe usługi Azure AD.The state of these device identities in Azure AD is referred as hybrid Azure AD join. Więcej informacji na temat pojęć uwzględnionych w tym artykule można znaleźć w artykule wprowadzenie do zarządzania tożsamościami urządzeń w Azure Active Directory.More information about the concepts covered in this article can be found in the article Introduction to device identity management in Azure Active Directory.

Organizacje mogą chcieć przeprowadzić kontrolowane sprawdzenie poprawności hybrydowego sprzężenia usługi Azure AD przed włączeniem jej w całej organizacji.Organizations may want to do a controlled validation of hybrid Azure AD join before enabling it across their entire organization all at once. Zapoznaj się z artykułem Sprawdzanie poprawności funkcji dołączania hybrydowego usługi Azure AD , aby zrozumieć, jak to zrobić.Review the article controlled validation of hybrid Azure AD join to understand how to accomplish it.

Wybierz swój scenariusz w oparciu o infrastrukturę tożsamościSelect your scenario based on your identity infrastructure

Sprzężenie hybrydowe usługi Azure AD współdziała z systemami, zarządzanymi i federacyjnymi, w zależności od tego, czy nazwa UPN jest w trakcie routingu czy bez obsługi routingu.Hybrid Azure AD join works with both, managed and federated environments depending on whether the UPN is routable or non-routable. W dolnej części strony tabeli zapoznaj się z obsługiwanymi scenariuszami.See bottom of the page for table on supported scenarios.

Środowisko zarządzaneManaged environment

Środowisko zarządzane można wdrożyć przy użyciu opcji Synchronizacja skrótów haseł (PHS) lub uwierzytelnianie przekazywane (PTA) z bezproblemowym logowaniem jednokrotnym.A managed environment can be deployed either through Password Hash Sync (PHS) or Pass Through Authentication (PTA) with Seamless Single Sign On.

Te scenariusze nie wymagają konfigurowania serwera federacyjnego na potrzeby uwierzytelniania.These scenarios don't require you to configure a federation server for authentication.

Środowisko federacyjneFederated environment

Środowisko federacyjne powinno mieć dostawcę tożsamości, który obsługuje poniższe wymagania.A federated environment should have an identity provider that supports the following requirements. Jeśli masz środowisko federacyjne wykorzystujące Active Directory Federation Services (AD FS), poniższe wymagania są już obsługiwane.If you have a federated environment using Active Directory Federation Services (AD FS), then the below requirements are already supported.

  • WIAORMULTIAUTHN: To żądanie jest wymagane do hybrydowego przyłączenia do usługi Azure AD dla urządzeń niższego poziomu systemu Windows.WIAORMULTIAUTHN claim: This claim is required to do hybrid Azure AD join for Windows down-level devices.
  • Protokół WS-Trust: Ten protokół jest wymagany do uwierzytelniania bieżących urządzeń przyłączonych hybrydowo usługi Azure AD za pomocą usługi Azure AD.WS-Trust protocol: This protocol is required to authenticate Windows current hybrid Azure AD joined devices with Azure AD. W przypadku korzystania z AD FS należy włączyć następujące punkty końcowe protokołu WS-Trust: /adfs/services/trust/2005/windowstransportWhen you're using AD FS, you need to enable the following WS-Trust endpoints: /adfs/services/trust/2005/windowstransport
    /adfs/services/trust/13/windowstransport
    /adfs/services/trust/2005/usernamemixed /adfs/services/trust/13/usernamemixed /adfs/services/trust/2005/certificatemixed /adfs/services/trust/13/certificatemixed

Ostrzeżenie

Usługi ADFS/Services/Trust/2005/windowstransport lub ADFS/Services/Trust/13/windowstransport powinny być włączone tylko jako punkty końcowe dostępne dla intranetu i nie mogą być udostępniane jako punkty końcowe dla ekstranetu za pośrednictwem serwera proxy aplikacji sieci Web.Both adfs/services/trust/2005/windowstransport or adfs/services/trust/13/windowstransport should be enabled as intranet facing endpoints only and must NOT be exposed as extranet facing endpoints through the Web Application Proxy. Aby dowiedzieć się więcej na temat wyłączania punktów końcowych usługi WS-Trust systemu Windows, zobacz temat wyłączanie punktów końcowych systemu Windows WS-Trust na serwerze proxy.To learn more on how to disable WS-Trust Windows endpoints, see Disable WS-Trust Windows endpoints on the proxy. Możesz zobaczyć, jakie punkty końcowe są włączone, za pomocą konsoli zarządzania usług AD FS w obszarze Usługi > Punkty końcowe.You can see what endpoints are enabled through the AD FS management console under Service > Endpoints.

Uwaga

Usługa Azure AD nie obsługuje kart inteligentnych ani certyfikatów w domenach zarządzanych.Azure AD does not support smartcards or certificates in managed domains.

Począwszy od wersji 1.1.819.0, program Azure AD Connect zapewnia kreator umożliwiający konfigurowanie dołączania hybrydowego do usługi Azure AD.Beginning with version 1.1.819.0, Azure AD Connect provides you with a wizard to configure hybrid Azure AD join. Kreator pozwala znacznie uprościć proces konfiguracji.The wizard enables you to significantly simplify the configuration process. Jeśli instalacja wymaganej wersji Azure AD Connect nie jest opcją dla Ciebie, zobacz Ręczne konfigurowanie rejestracji urządzeń.If installing the required version of Azure AD Connect is not an option for you, see how to manually configure device registration.

W zależności od scenariusza, który jest zgodny z infrastrukturą tożsamości, zobacz:Based on the scenario that matches your identity infrastructure, see:

Zapoznaj się z lokalną obsługą UPN usługi AD na potrzeby hybrydowego dołączania do usługi Azure ADReview on-premises AD UPN support for Hybrid Azure AD join

Czasami lokalne UPN usługi AD mogą różnić się od nazw UPN usługi Azure AD.Sometimes, your on-premises AD UPNs could be different from your Azure AD UPNs. W takich przypadkach hybrydowe dołączenie usługi Azure AD systemu Windows 10 zapewnia ograniczoną obsługę lokalnych nazw UPN usługi AD na podstawie metody uwierzytelniania, typu domeny i wersji systemu Windows 10.In such cases, Windows 10 Hybrid Azure AD join provides limited support for on-premises AD UPNs based on the authentication method, domain type and Windows 10 version. Istnieją dwa typy lokalnych nazw UPN usługi AD, które mogą istnieć w Twoim środowisku:There are two types of on-premises AD UPNs that can exist in your environment:

  • Nazwa UPN z obsługą routingu: nazwa UPN z obsługą routingu ma poprawną zweryfikowaną domenę, która jest zarejestrowana w rejestratorze domeny.Routable UPN: A routable UPN has a valid verified domain, that is registered with a domain registrar. Na przykład jeśli contoso.com jest domeną podstawową w usłudze Azure AD, contoso.org jest domeną podstawową w lokalnej usłudze AD należącej do firmy Contoso i zweryfikowaną w usłudze Azure ADFor example, if contoso.com is the primary domain in Azure AD, contoso.org is the primary domain in on-premises AD owned by Contoso and verified in Azure AD
  • Nazwa UPN bez obsługi routingu: nazwa UPN bez obsługi routingu nie ma zweryfikowanej domeny.Non-routable UPN: A non-routable UPN does not have a verified domain. Ma to zastosowanie tylko w sieci prywatnej organizacji.It is applicable only within your organization's private network. Na przykład jeśli contoso.com jest domeną podstawową w usłudze Azure AD, contoso. local jest domeną podstawową w lokalnej usłudze AD, ale nie jest domeną zweryfikowaną w Internecie i używaną tylko w sieci firmy Contoso.For example, if contoso.com is the primary domain in Azure AD, contoso.local is the primary domain in on-premises AD but is not a verifiable domain in the internet and only used within Contoso's network.

Poniższa tabela zawiera szczegółowe informacje na temat pomocy technicznej dotyczącej lokalnych nazw UPN w systemie Windows 10 hybrydowego sprzężenia usługi Azure ADThe table below provides details on support for these on-premises AD UPNs in Windows 10 Hybrid Azure AD join

Typ lokalnej nazwy UPN usługi ADType of on-premises AD UPN Typ domenyDomain type Wersja systemu Windows 10Windows 10 version OpisDescription
WzajemnRoutable FederacyjniFederated Od wersji 1703From 1703 release Ogólnie dostępnaGenerally available
Bez obsługi routinguNon-routable FederacyjniFederated Od wersji 1803From 1803 release Ogólnie dostępnaGenerally available
WzajemnRoutable ZarządzaneManaged Od wersji 1803From 1803 release Ogólnie dostępna usługa Azure AD SSPR w systemie Windows ekranu blokady nie jest obsługiwanaGenerally available, Azure AD SSPR on Windows lockscreen is not supported
Bez obsługi routinguNon-routable ZarządzaneManaged Brak obsługiNot supported

Następne krokiNext steps