Planeie a sua Azure Ative Directory híbrida aderir à implementação

Se tiver um ambiente Ative Directory no local Desemaltado (AD DS) e quiser juntar-se aos seus computadores unidos pelo domínio AD DS para Azure AD, pode realizar esta tarefa fazendo Azure AD híbridos.

Dica

O acesso SSO aos recursos no local também está disponível para dispositivos que Azure AD se juntaram. Para mais informações, consulte como o SSO para os recursos no local funciona em Azure AD dispositivos aderidos.

Pré-requisitos

Este artigo assume que está familiarizado com a Introdução à gestão da identidade do dispositivo em Azure Ative Directory.

Nota

A versão mínima necessária do controlador de domínio para Windows 10 ou Azure AD híbrido mais recente é Windows Server 2008 R2.

Os dispositivos híbridos Azure AD unidos requerem uma linha de visão de rede para os seus controladores de domínio periodicamente. Sem esta ligação, os dispositivos tornam-se inutilizáveis.

Cenários que quebram sem linha de visão para os controladores de domínio:

• Alteração da palavra-passe do dispositivo
• Alteração da palavra-passe do utilizador (credenciais em cache)
• Reset TPM

Planear a implementação

Para planear a sua implementação Azure AD híbrida, deve familiarizar-se com:

• Rever dispositivos suportados
• Reveja as coisas que deve saber
• Rever a implementação direcionada de Azure AD híbridos aderir
• Selecione o seu cenário com base na sua infraestrutura de identidade
• Rever no local suporte da AD UPN para Azure AD híbridos aderir

Rever dispositivos suportados

A Azure AD híbrida junta-se suporta uma ampla gama de dispositivos Windows. Uma vez que a configuração para dispositivos que executam versões mais antigas de Windows requer outras etapas, os dispositivos suportados são agrupados em duas categorias:

Windows dispositivos atuais

• Windows 11
• Windows 10
• Windows Server 2016
  • Nota: Azure National cloud customers require versão 1803
• Windows Server 2019

Para os dispositivos que executam o sistema operativo Windows desktop, as versões suportadas estão listadas neste artigo Windows 10 informações de libertação. Como uma boa prática, a Microsoft recomenda que atualize para a versão mais recente do Windows.

Windows dispositivos de nível inferior

• Windows 8.1
• Windows 7 apoios terminou em 14 de janeiro de 2020. Para mais informações, consulte o Suporte para Windows 7 terminou
• Windows Server 2012 R2
• Windows Server 2012
• Windows Server 2008 R2 para obter informações de suporte no Windows Server 2008 e 2008 R2, ver Preparar para Windows Servidor 2008 fim de suporte

Como primeiro passo de planeamento, deve rever o seu ambiente e determinar se precisa de suportar Windows dispositivos de nível inferior.

Reveja as coisas que deve saber

Cenários não suportados

• A Azure AD híbrida não é suportada para Windows Servidor que executa o papel de Controlador de Domínio (DC).
• A Azure AD híbrida não é suportada em dispositivos de nível Windows baixo quando se utiliza roaming credencial ou roaming de perfil de utilizador ou perfil obrigatório.
• O Server Core OS não suporta qualquer tipo de registo do dispositivo.
• A Ferramenta de Migração do Estado utilizador (USMT) não funciona com o registo do dispositivo.

Considerações de imagem de SO

• Se estiver a contar com a Ferramenta de Preparação do Sistema (Sysprep) e se estiver a utilizar uma imagem pré-Windows 10 1809 para instalação, certifique-se de que a imagem não é de um dispositivo que já está registado com Azure AD como híbrido Azure AD ligado.

• Se está a contar com uma foto de Máquina Virtual (VM) para criar mais VMs, certifique-se de que o instantâneo não é de um VM que já está registado com Azure AD como híbrido Azure AD unidos.

• Se estiver a utilizar o Filtro de Escrita Unificado e tecnologias semelhantes que claras alterações no disco no reboot, devem ser aplicadas depois de o dispositivo ser híbrido Azure AD unidos. Permitir tais tecnologias antes de concluir a junção de Azure AD híbridas resultará em que o dispositivo não seja ligado em cada reboot.

Dispositivos de manuseamento com Azure AD estado registado

Se os seus dispositivos de Windows 10 ou de novos dispositivos de alistamento de domínio forem Azure AD registados no nome do seu inquilino, isso pode levar a um duplo estado de Azure AD híbridos unidos e Azure AD dispositivo registado. Recomendamos o upgrade para Windows 10 1803 (com KB4489894 aplicado) ou mais recente para abordar automaticamente este cenário. Em versões pré-1803, terá de remover manualmente o estado Azure AD registado antes de permitir a junção Azure AD híbrido. Nas versões 1803 e superiores, foram feitas as seguintes alterações para evitar este estado duplo:

• Qualquer estado Azure AD registado existente para um utilizador seria automaticamente removido após o dispositivo ser híbrido Azure AD unidos e os mesmos registos do utilizador. Por exemplo, se o Utilizador A tiver um estado de registo no Azure Active Directory no dispositivo, o estado duplo do Utilizador A só será limpo quando o Utilizador A iniciar sessão no dispositivo. Se houver vários utilizadores no mesmo dispositivo, o estado duplo será limpo individualmente quando estes utilizadores iniciarem sessão. Após a remoção do estado Azure AD registado, Windows 10 irá desinsusar o dispositivo de Intune ou outros MDM, se a inscrição ocorrer como parte do registo Azure AD através da inscrição automática.
• Azure AD estado registado em quaisquer contas locais no dispositivo não é impactado por esta mudança. Apenas aplicável às contas de domínio. Azure AD estado registado nas contas locais não é removido automaticamente mesmo após a s início de sísmia do utilizador, uma vez que o utilizador não é um utilizador de domínio.
• Pode evitar que o seu dispositivo de união de domínio seja Azure AD registado adicionando o seguinte valor de registo à HKLM\SOFTWARE\Policies\Microsoft\Microsoft\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001.
• Em Windows 10 1803, se tiver Windows Hello para Empresas configurado, o utilizador precisa de reconfigurar Windows Hello para Empresas após a limpeza do estado duplo. Este problema foi resolvido com o KB4512509.

Nota

Apesar de Windows 10 e Windows 11 remover automaticamente o estado Azure AD registado localmente, o objeto do dispositivo em Azure AD não é imediatamente eliminado se for gerido por Intune. Pode validar a remoção de Azure AD estado registado executando dsregcmd/status e considerar que o dispositivo não está Azure AD registado com base nisso.

Azure AD híbridos juntam-se para uma única floresta, vários inquilinos Azure AD

Para registar os dispositivos como híbridos Azure AD aderir aos respetivos inquilinos, as organizações precisam de garantir que a configuração SCP é feita nos dispositivos e não em AD. Mais detalhes sobre como realizar esta tarefa podem ser encontrados no artigo Híbrido Azure AD aderir a implementação direcionada. É importante que as organizações compreendam que certas capacidades Azure AD não funcionarão numa única floresta, múltiplas configurações Azure AD inquilinos.

• A reversão do dispositivo não vai funcionar. Esta configuração afeta o Acesso Condicional baseado no Dispositivo para aplicações no local que são federadas usando ADFS. Esta configuração também afeta a implementação Windows Hello para Empresas ao utilizar o modelo Híbrido Cert Trust.
• A reversão dos grupos não vai funcionar. Esta configuração afeta a gravação de grupos de Office 365 para uma floresta com Exchange instalada.
• SSO sem emenda não vai funcionar. Esta configuração afeta cenários SSO que as organizações podem estar a usar nas plataformas de sistema operativo ou browser, por exemplo iOS ou Linux com Firefox, Safari ou Chrome sem a extensão Windows 10.
• Os Azure AD híbridos juntam-se a Windows dispositivos de baixo nível em ambiente gerido não funcionarão. Por exemplo, Azure AD híbridos juntam-se a Windows Server 2012 R2 num ambiente gerido requer SSO sem emenda e como o Seamless SSO não funciona, os Azure AD híbridos juntam-se a tal configuração não funcionarão.
• No local Azure AD a Proteção de Palavras-Passe não funcionará. Esta configuração afeta a capacidade de fazer alterações de palavra-passe e eventos de redefinição de palavras-passe contra controladores de domínio Ative Directory no local Domain Services (AD DS) utilizando as mesmas listas de palavras-passe proibidas global e personalizada que são armazenadas em Azure AD.

Outras considerações

• Se o seu ambiente utilizar infraestruturas de ambientes de trabalho virtuais (VDI), consulte a identidade do dispositivo e a virtualização do ambiente de trabalho.

• A adere Azure AD híbrida é suportada para TPM 2.0 compatível com FIPS e não é suportada para TPM 1.2. Se os seus dispositivos tiverem TPM 1.2 compatível com FIPS, deve desativá-los antes de prosseguir com Azure AD híbridos. A Microsoft não fornece quaisquer ferramentas para desativar o modo FIPS para TPMs, uma vez que depende do fabricante TPM. Contacte o seu hardware OEM para obter suporte.

• A partir de Windows 10 lançamento de 1903, os TPMs 1.2 não são utilizados com Azure AD híbridos e os dispositivos com esses TPMs serão considerados como se não tivessem um TPM.

• As alterações da UPN só são suportadas a partir Windows 10 atualização de 2004. Para dispositivos antes da atualização Windows 10 2004, os utilizadores podem ter problemas de SSO e Acesso Condicional nos seus dispositivos. Para resolver este problema, é necessário desagregar o dispositivo a partir de Azure AD (executar "dsregcmd/leave" com privilégios elevados) e voltar a juntar-se (acontece automaticamente). No entanto, os utilizadores que se inscrevam com Windows Hello para Empresas não enfrentam este problema.

Rever a Azure AD híbrida direcionada para a revisão

As organizações podem querer fazer um lançamento direcionado de Azure AD híbridos aderirem antes de o permitirem para toda a sua organização. Reveja o artigo Hybrid Azure AD juntar-se à implementação direcionada para entender como fazê-lo.

Aviso

As organizações devem incluir uma amostra de utilizadores de diferentes funções e perfis no seu grupo piloto. Um lançamento direcionado ajudará a identificar quaisquer problemas que o seu plano possa não ter abordado antes de ativar para toda a organização.

Selecione o seu cenário com base na sua infraestrutura de identidade

Os Azure AD híbridos juntam-se a obras com ambientes geridos e federados, dependendo se a UPN é elegível ou não. Consulte a parte inferior da página para a tabela em cenários suportados.

Ambiente gerido

Um ambiente gerido pode ser implementado através do Password Hash Sync (PHS) ou do Passe Através da Autenticação (PTA) com sinal único sem costura.

Estes cenários não requerem que configures um servidor da federação para autenticação.

Nota

A autenticação em nuvem utilizando o lançamento encenado só é suportada a partir da atualização Windows 10 1903.

Ambiente federado

Um ambiente federado deve ter um fornecedor de identidade que apoie os seguintes requisitos. Se tiver um ambiente federado utilizando Serviços de Federação do Ative Directory (AD FS) (AD FS), então os requisitos abaixo já estão suportados.

• WIAORMULTIAUTHN reivindicação: Esta alegação é necessária para fazer Azure AD híbridos se juntarem a Windows dispositivos de nível inferior.
• Protocolo WS-Trust: Este protocolo é necessário para autenticar Windows dispositivos híbridos Azure AD atuais com Azure AD. Quando estiver a utilizar O FS AD, tem de ativar os seguintes pontos finais WS-Trust: /adfs/services/trust/2005/windowstransport/adfs/services/trust/13/windowstransport/adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed

Aviso

Tanto adfs/serviços/trust/2005/windowstransport ou adfs/services/trust/13/windowstransport devem ser ativados apenas como pontos finais virados para a intranet e NÃO devem ser expostos como pontos finais virados para a rede através do Proxy de Aplicações Web. Para saber mais sobre como desativar WS-Trust Windows pontos finais, consulte desativar WS-Trust Windows pontos finais no representante. Pode ver quais os pontos finais que estão ativados através da consola de gestão AD FS em Service>Endpoints.

A partir da versão 1.1.819.0, o Azure AD Connect fornece um assistente para configurar a associação do Azure AD híbrido. O assistente permite-lhe simplificar significativamente o processo de configuração. Se instalar a versão necessária do Azure AD Ligação não é uma opção para si, consulte como configurar manualmente o registo do dispositivo.

Rever suporte da UPN dos utilizadores de AD no local para a Azure AD híbridas aderir

Por vezes, os utilizadores de AD no local são diferentes dos seus Azure AD UPNs. Nestes casos, Windows 10 ou Azure AD híbridos mais recentes aderem fornece suporte limitado para UPNs AD no local com base no método de autenticação, tipo de domínio e versão Windows. Existem dois tipos de UPNs AD no local que podem existir no seu ambiente:

• Utilizadores encaminháveis UPN: Uma UPN encaminhável tem um domínio verificado válido, que está registado com um registo de domínio. Por exemplo, se contoso.com é o domínio principal em Azure AD, contoso.org é o domínio primário em AD no local pertencente a Contoso e verificado em Azure AD.
• Utilizadores não encaminháveis UPN: Uma UPN não-encaminhável não tem um domínio verificado e é aplicável apenas dentro da rede privada da sua organização. Por exemplo, se contoso.com é o domínio principal em Azure AD e contoso.local é o domínio principal em AD no local, mas não é um domínio verificável na internet e apenas usado dentro da rede de Contoso.

Nota

As informações desta secção aplicam-se apenas a um utilizadores no local UPN. Não é aplicável a um sufixo de domínio de computador no local (exemplo: computer1.contoso.local).

A tabela seguinte fornece detalhes sobre o suporte a estes UPNs AD no local em Windows 10 Azure AD híbridos aderir

Tipo de UPN no local	Tipo de domínio	versão Windows 10	Descrição
Roteável	Federados	A partir de 1703 lançamento	Disponível em Geral
Não rotejável	Federados	A partir de 1803 lançamento	Disponível em Geral
Roteável	Seja gerido	A partir de 1803 lançamento	Geralmente disponível, Azure AD SSPR no Windows ecrã de bloqueio não é suportado em ambientes onde a UPN no local é diferente da Azure AD UPN. A UPN no local deve ser sincronizada com o onPremisesUserPrincipalName atributo em Azure AD
Não rotejável	Seja gerido	Não suportado

Passos seguintes

• Configurar a associação ao Azure AD híbrido