Instruktioner: Planera Azure Active Directory Join-hybridimplementeringen
På ett liknande sätt som en användare är en enhet en annan kärnidentitet som du vill skydda och använda för att skydda dina resurser när som helst och från valfri plats. Du kan uppnå det här målet genom att hämta och hantera enhetsidentiteter i Azure AD med någon av följande metoder:
- Azure Active Directory-anslutning
- Hybrid Azure Active Directory-anslutning
- Azure Active Directory-registrering
När du börjar använda dina enheter med Azure Active Directory maximerar du användarnas produktivitet med enkel inloggning (SSO) mellan dina molnresurser och lokala resurser. Samtidigt kan du skydda åtkomsten till dina molnresurser och lokala resurser med villkorlig åtkomst.
Om du har en lokal Active Directory (AD)-miljö och vill ansluta dina AD-domänanslutningar till Azure AD kan du göra detta genom att göra en Azure AD-hybridkoppling. Den här artikeln innehåller de relaterade stegen för att implementera en Azure AD-hybridkoppling i din miljö.
Tips
Åtkomst med enkel inloggning till lokala resurser är också tillgängligt för enheter som är Azure AD-anslutna. Mer information finns i Så här fungerar enkel inloggning till lokala resurser på Azure AD-anslutna enheter.
Förutsättningar
Den här artikeln förutsätter att du är bekant med Introduktion till hantering av enhetsidentiteter i Azure Active Directory.
Anteckning
Den lägsta version av domänkontrollanten som krävs Windows 10 Azure AD-hybridkoppling är Windows Server 2008 R2.
Hybrid Azure AD-anslutna enheter kräver regelbundet nätverkssyn till domänkontrollanterna. Utan den här anslutningen blir enheterna oanvändbara.
Scenarier som bryts utan syn på domänkontrollanterna:
- Ändring av enhetslösenord
- Ändring av användarlösenord (cachelagrade autentiseringsuppgifter)
- TPM-återställning
Planera implementeringen
Om du vill planera din Azure AD-hybridimplementering bör du bekanta dig med:
- Granska enheter som stöds
- Granska saker som du bör känna till
- Granska kontrollerad validering av Azure AD-hybridkoppling
- Välj ditt scenario baserat på din identitetsinfrastruktur
- Granska lokalt AD UPN-stöd för Azure AD-hybridkoppling
Granska enheter som stöds
Hybrid Azure AD-anslutning stöder en mängd olika Windows enheter. Eftersom konfigurationen för enheter som kör äldre versioner av Windows kräver ytterligare eller olika steg, grupperas de enheter som stöds i två kategorier:
Windows aktuella enheter
- Windows 10
- Windows 11
- Windows Server 2016
- Obs! Azure National Cloud-kunder kräver version 1803
- Windows Server 2019
För enheter som kör Windows operativsystem finns version som stöds i den här artikeln med Windows 10 versionsinformation. Som bästa praxis rekommenderar Microsoft att du uppgraderar till den senaste versionen av Windows 10.
Windows enheter på lägre nivå
- Windows 8,1
- Windows 7 upphörde supporten den 14 januari 2020. Mer information finns i Support för Windows 7 har avslutats.
- Windows Server 2012 R2
- Windows Server 2012
- Windows Server 2008 R2. Supportinformation om Windows Server 2008 och 2008 R2 finns i Förbereda för Windows Server 2008-supportens slut.
Som ett första planeringssteg bör du granska din miljö och avgöra om du behöver stödja Windows enheter på låg nivå.
Granska saker som du bör känna till
Scenarier som inte stöds
Hybrid Azure AD-anslutning stöds inte för Windows Server som kör domänkontrollantrollen (DC).
Hybrid Azure AD-anslutning stöds inte på Windows enheter på låg nivå vid användning av nätverksväxling av autentiseringsuppgifter eller nätverksväxling av användarprofiler eller obligatorisk profil.
Server Core OS stöder inte någon typ av enhetsregistrering.
User State Migration Tool (USMT) fungerar inte med enhetsregistrering.
Överväganden vid avbildning av operativsystem
Om du förlitar dig på systemförberedelseverktyget (Sysprep) och om du använder en för-Windows 10 1809-avbildning för installation kontrollerar du att avbildningen inte kommer från en enhet som redan har registrerats med Azure AD som Hybrid Azure AD-anslutning.
Om du förlitar dig på en ögonblicksbild av en virtuell dator (VM) för att skapa ytterligare virtuella datorer kontrollerar du att ögonblicksbilden inte kommer från en virtuell dator som redan har registrerats med Azure AD som Hybrid Azure AD-anslutning.
Om du använder enhetligt skrivfilter och liknande tekniker som rensar ändringar på disken vid omstart måste de tillämpas när enheten är Hybrid Azure AD-ansluten. Aktivering av sådan teknik innan Hybrid Azure AD-anslutning har slutförts leder till att enheten blir frånkoppling vid varje omstart
Hantera enheter med Azure AD-registrerat tillstånd
Om dina Windows 10 domänanslutningsenheter är Azure AD-registrerade i din klientorganisation kan det leda till ett dubbelt tillstånd av Hybrid Azure AD-ansluten och Azure AD-registrerad enhet. Vi rekommenderar att du uppgraderar till Windows 10 1803 (med KB4489894 tillämpad) eller högre för att hantera det här scenariot automatiskt. I tidigare versioner än 1803 måste du ta bort det Azure AD-registrerade tillståndet manuellt innan du aktiverar Hybrid Azure AD-anslutning. I versionerna 1803 och högre har följande ändringar gjorts för att undvika detta dubbla tillstånd:
- Alla befintliga Azure AD-registrerade tillstånd för en användare tas bort automatiskt när enheten är Hybrid Azure AD-ansluten och samma användarloggar i. Om användare A till exempel hade ett Azure AD-registrerat tillstånd på enheten rensas det dubbla tillståndet för Användare A endast när Användare A loggar in på enheten. Om det finns flera användare på samma enhet rensas det dubbla tillståndet individuellt när dessa användare loggar in. Förutom att ta bort det Azure AD-registrerade tillståndet avregistrerar Windows 10 även enheten från Intune eller annan MDM, om registreringen sker som en del av Azure AD-registreringen via automatisk registrering.
- Azure AD-registrerat tillstånd på lokala konton på enheten påverkas inte av den här ändringen. Det gäller endast för domänkonton. Därför tas inte Azure AD-registrerat tillstånd för lokala konton bort automatiskt även efter användarinloggning, eftersom användaren inte är en domänanvändare.
- Du kan förhindra att din domänanslutna enhet registreras i Azure AD genom att lägga till följande registervärde i HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001.
- Om Windows 10 1803 har konfigurerat Windows Hello for Business måste användaren konfigurera om Windows Hello for Business efter rensningen av dubbla tillstånd. Det här problemet har åtgärdats med KB4512509
Anteckning
Även Windows 10 tar bort det Azure AD-registrerade tillståndet lokalt tas inte enhetsobjektet i Azure AD bort omedelbart om det hanteras av Intune. Du kan verifiera borttagningen av Azure AD-registrerat tillstånd genom att köra dsregcmd /status och betrakta enheten som att den inte är Azure AD-registrerad utifrån det.
Hybrid Azure AD-anslutning för en enda skog, flera Azure AD-klienter
För att registrera enheter som Azure AD-hybridanslutningar till respektive klientorganisation måste organisationer se till att SCP-konfigurationen görs på enheterna och inte i AD. Mer information om hur du gör detta finns i artikeln kontrollerad validering av Azure AD-hybridkoppling. Det är också viktigt för organisationer att förstå att vissa Azure AD-funktioner inte fungerar i en enda skog, flera konfigurationer av Azure AD-klientorganisationer.
- Tillbakaskrivning av enhet fungerar inte. Detta påverkar enhetsbaserad villkorlig åtkomst för lokala appar som federeras med hjälp av ADFS. Detta påverkar även Windows Hello for Business-distribution när du använder Hybrid Cert Trust-modellen.
- Tillbakaskrivning av grupper fungerar inte. Detta påverkar tillbakaskrivning av Office 365 grupper till en skog med Exchange installerat.
- Sömlös enkel inloggning fungerar inte. Detta påverkar scenarier med enkel inloggning som organisationer kan använda på operativsystem-/webbläsarplattformar, till exempel iOS/Linux med Firefox, Safari, Chrome utan Windows 10 tillägg.
- Hybrid Azure AD-anslutning Windows enheter på lägre nivå i en hanterad miljö fungerar inte. Till exempel kräver Azure AD-hybridanslutningar på Windows Server 2012 R2 i en hanterad miljö sömlös enkel inloggning och eftersom sömlös enkel inloggning inte fungerar fungerar inte Hybrid Azure AD-anslutning för en sådan konfiguration.
- Lokalt Azure AD-lösenordsskydd fungerar inte. Detta påverkar möjligheten att utföra lösenordsändringar och lösenordsåterställningshändelser mot AD DS-domänkontrollanter (lokal Active Directory Domain Services) som använder samma globala och anpassade listor över förbjudna lösenord som lagras i Azure AD.
Annat som är bra att tänka på
Om din miljö använder VDI (Virtual Desktop Infrastructure) kan du se Enhetsidentitet och skrivbordsvirtualisering.
Hybrid Azure AD-anslutning stöds för FIPS-kompatibel TPM 2.0 och stöds inte för TPM 1.2. Om dina enheter har FIPS-kompatibel TPM 1.2 måste du inaktivera dem innan du fortsätter med Hybrid Azure AD-anslutning. Microsoft tillhandahåller inga verktyg för att inaktivera FIPS-läge för TPM eftersom det är beroende av TPM-tillverkaren. Kontakta maskinvaru-OEM för support.
Från och med Windows 10 version 1903 används inte TPM 1.2 med Azure AD-hybridanslutningar och enheter med dessa TPM:er kommer att betraktas som om de inte har en TPM.
UPN-ändringar stöds endast från och Windows 10 2004-uppdateringen. För enheter före Windows 10 2004-uppdateringen skulle användarna ha problem med enkel inloggning och villkorsstyrd åtkomst på sina enheter. För att lösa det här problemet måste du ta bort enheten från Azure AD (kör "dsregcmd /leave" med utökade privilegier) och återansluta (sker automatiskt). Användare som loggar in med Windows Hello för företag har dock inte det här problemet.
Granska kontrollerad validering av Azure AD-hybridkoppling
När alla förutsättningar är på plats registreras Windows automatiskt som enheter i din Azure AD-klientorganisation. Tillståndet för dessa enhetsidentiteter i Azure AD kallas Hybrid Azure AD-anslutning. Mer information om de begrepp som beskrivs i den här artikeln finns i artikeln Introduktion till hantering av enhetsidentiteter i Azure Active Directory.
Organisationer kanske vill göra en kontrollerad validering av Azure AD-hybridanslutningar innan de aktiverar den i hela organisationen på samma gång. Läs artikeln kontrollerad validering av Azure AD-hybridkoppling för att förstå hur du utför den.
Välj ditt scenario baserat på din identitetsinfrastruktur
Hybrid Azure AD-anslutning fungerar med både hanterade och federerade miljöer beroende på om UPN är dirigerbart eller icke-dirigerbart. Längst ned på sidan finns en tabell över scenarier som stöds.
Hanterad miljö
En hanterad miljö kan distribueras antingen via synkronisering av lösenordshashar (PHS) eller direktautentisering (PTA) med sömlös enkel inloggning.
De här scenarierna kräver inte att du konfigurerar en federationsserver för autentisering.
Anteckning
Molnautentisering med hjälp av mellanlagring stöds endast från och Windows 10 1903-uppdateringen
Federerad miljö
En federerad miljö bör ha en identitetsprovider som stöder följande krav. Om du har en federerad miljö med Active Directory Federation Services (AD FS) (AD FS) stöds kraven nedan redan.
- WIAORMULTIAUTHN-anspråk: Det här anspråket krävs för att göra Azure AD-hybridanslutningar Windows enheter på lägre nivå.
- WS-Trust-protokoll: Det här protokollet krävs för att Windows aktuella Azure AD-anslutna hybridenheter med Azure AD. När du använder AD FS måste du aktivera följande WS-Trust slutpunkter:
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed
Varning
Både adfs/services/trust/2005/windowstransport eller adfs/services/trust/13/windowstransport ska aktiveras som endast intranätriktade slutpunkter och får INTE exponeras som extranätsriktade slutpunkter via Programproxy. Mer information om hur du inaktiverar WS-Trust Windows finns i Inaktivera WS-Trust Windows slutpunkter på proxyservern. Du kan se vilka slutpunkter som är aktiverade via AD FS-hanteringskonsolen under > Tjänstslutpunkter.
Anteckning
Azure AD stöder inte smartkort eller certifikat i hanterade domäner.
Från och med version 1.1.819.0 tillhandahåller Azure AD Connect en guide för konfiguration av Hybrid Azure AD-anslutning. Med guiden kan du förenkla konfigurationsprocessen avsevärt. Om installation av den version av Azure AD Anslut inte är ett alternativ för dig kan du se hur du konfigurerar enhetsregistrering manuellt.
Baserat på det scenario som matchar din identitetsinfrastruktur kan du se:
- Konfigurera hybrid Azure Active Directory-anslutning för federerad miljö
- Konfigurera hybrid Azure Active Directory för hanterad miljö
Granska lokala AD-användares UPN-stöd för Hybrid Azure AD-anslutning
Ibland kan dina lokala AD-användares UPN:er vara annorlunda än dina Azure AD UPN:er. I sådana fall ger Windows 10 Hybrid Azure AD-anslutning begränsat stöd för lokala AD UPN:er baserat på autentiseringsmetoden ,domäntyp och Windows 10-version. Det finns två typer av lokala AD UPN:er som kan finnas i din miljö:
- Routbara användare UPN: Ett dirigerbart UPN har en giltig verifierad domän som är registrerad hos en domänregistrator. Om till exempel contoso.com är den primära domänen i Azure AD är contoso.org den primära domänen i lokal AD som ägs av Contoso och verifieras i Azure AD
- Icke-dirigerbara användare UPN: Ett icke-dirigerbart UPN har ingen verifierad domän. Det gäller endast inom organisationens privata nätverk. Om contoso.com till exempel är den primära domänen i Azure AD är contoso.local den primära domänen i lokala AD men inte en verifierbar domän på Internet och används endast i Contosos nätverk.
Anteckning
Informationen i det här avsnittet gäller endast för lokala användares UPN. Det gäller inte för ett lokalt datordomänsuffix (exempel: computer1.contoso.local).
Tabellen nedan innehåller information om stöd för dessa lokala AD UPN:er i Windows 10 Hybrid Azure AD-anslutning
| Typ av lokalt AD UPN | Domäntyp | Windows 10 version | Description |
|---|---|---|---|
| Dirigerbara | Federerade | Från version 1703 | Allmänt tillgänglig |
| Icke-dirigerbar | Federerade | Från version 1803 | Allmänt tillgänglig |
| Dirigerbara | Hanterad | Från version 1803 | Allmänt tillgängligt stöds inte Azure AD SSPR Windows på låsskärmen. Det lokala UPN:et måste synkroniseras med onPremisesUserPrincipalName attributet i Azure AD |
| Icke-dirigerbar | Hanterad | Stöds inte |