Nasıl Yapılır: Hibrit Azure Active Directory join uygulamanızı planlamaHow To: Plan your hybrid Azure Active Directory join implementation

Benzer şekilde bir kullanıcı, bir cihaz korumak ve dilediğiniz zaman ve herhangi bir konumdan kaynaklarınızı korumak için kullanmak istediğiniz başka bir çekirdek kimliktir.In a similar way to a user, a device is another core identity you want to protect and use it to protect your resources at any time and from any location. Bu hedefe getiren ve aşağıdaki yöntemlerden birini kullanarak Azure AD'de cihaz kimliklerini yönetme görevleri gerçekleştirebilirsiniz:You can accomplish this goal by bringing and managing device identities in Azure AD using one of the following methods:

  • Azure AD'ye katılımAzure AD join
  • Hibrit Azure AD'ye katılımHybrid Azure AD join
  • Azure AD kaydıAzure AD registration

Cihazlarınızı Azure AD'ye taşıyarak, çoklu oturum açma (SSO) özelliği sayesinde bulut ve şirket içi kaynaklarınız genelinde kullanıcılarınızın üretkenliğini en üst düzeye çıkarırsınız.By bringing your devices to Azure AD, you maximize your users' productivity through single sign-on (SSO) across your cloud and on-premises resources. Aynı anda ile Bulut ve şirket kaynaklarına erişim güvenliğini sağlayabilirsiniz koşullu erişim.At the same time, you can secure access to your cloud and on-premises resources with Conditional Access.

Bir şirket içi Active Directory (AD) ortamınız varsa ve, AD etki alanına katılmış bilgisayarları Azure AD'ye istiyorsanız, bunu hibrit Azure AD'ye katılım'ı yaparak gerçekleştirebilirsiniz.If you have an on-premises Active Directory (AD) environment and you want to join your AD domain-joined computers to Azure AD, you can accomplish this by doing hybrid Azure AD join. Bu makalede, ortamınızda katılın, hibrit Azure AD'ye uygulamak için ilgili adımları sağlar.This article provides you with the related steps to implement a hybrid Azure AD join in your environment.

ÖnkoşullarPrerequisites

Bu makalede, aşina olduğunuzu varsayar Azure Active Directory'de cihaz kimlik yönetimine giriş.This article assumes that you are familiar with the Introduction to device identity management in Azure Active Directory.

Not

Windows 10 hibrit Azure AD'ye katılma Windows Server 2008 R2 için gereken en düşük etki alanı işlevsel orman işlev düzeyleri.The minimum required domain functional and forest functional levels for Windows 10 hybrid Azure AD join is Windows Server 2008 R2.

Uygulamanızı planlamaPlan your implementation

Karma Azure AD uygulamanız planlamak için ile kendinizi alıştırın:To plan your hybrid Azure AD implementation, you should familiarize yourself with:

Onay Cihazları gözden geçir desteklenirReview supported devices
Onay Gözden geçirme bilmeniz gerekenlerReview things you should know
Onay Hibrit Azure AD'ye katılma denetimli doğrulama gözden geçirinReview controlled validation of hybrid Azure AD join
Onay Temel kimlik altyapınızı senaryonuzu seçinSelect your scenario based on your identity infrastructure
Onay Şirket içinde AD UPN'sini desteklemek için hibrit Azure AD'ye katılım gözden geçirmeReview on-premises AD UPN support for hybrid Azure AD join

Cihazları gözden geçir desteklenirReview supported devices

Hibrit Azure AD'ye katılım geniş Windows cihazları destekler.Hybrid Azure AD join supports a broad range of Windows devices. Yapılandırmanın daha eski Windows sürümleri çalıştıran cihazlar için ek veya bunlardan farklı adımlar gerektiğinden, desteklenen cihazları iki kategorilere ayrılır:Because the configuration for devices running older versions of Windows requires additional or different steps, the supported devices are grouped into two categories:

Windows cihazlarıWindows current devices

  • Windows 10Windows 10
  • Windows Server 2016Windows Server 2016
  • Windows Server 2019Windows Server 2019

Windows masaüstü işletim sistemini çalıştıran cihazlar için desteklenen bir sürümü bu makalede listelenen Windows 10 sürüm bilgileri.For devices running the Windows desktop operating system, supported version are listed in this article Windows 10 release information. En iyi uygulama, Microsoft, Windows 10 'un en son sürüme yükseltme önerir.As a best practice, Microsoft recommends you upgrade to the latest version of Windows 10.

Windows alt düzey cihazlarıWindows down-level devices

İlk planlama adım, ortamınızı gözden geçirin ve Windows alt düzey cihazları desteklemek gerekli olup olmadığını belirleyin.As a first planning step, you should review your environment and determine whether you need to support Windows down-level devices.

Gözden geçirme bilmeniz gerekenlerReview things you should know

Ortamınızı kimlik verilerini birden fazla Azure AD kiracınıza eşitlemek, tek bir AD ormanında oluşuyorsa hibrit Azure AD'ye katılımı şu anda desteklenmiyor.Hybrid Azure AD join is currently not supported if your environment consists of a single AD forest synchronizing identity data to more than one Azure AD tenant.

Hibrit Azure AD'ye katılımı, Sanal Masaüstü Altyapısı (VDI) kullanırken, şu anda desteklenmiyor.Hybrid Azure AD join is currently not supported when using virtual desktop infrastructure (VDI).

Hibrit Azure AD'ye katılım FIPS uyumlu TPM'ler için desteklenmiyor.Hybrid Azure AD join is not supported for FIPS-compliant TPMs. FIPS uyumlu TPM'ler cihazlarınız varsa, bunları hibrit Azure AD'ye katılma devam etmeden önce devre dışı bırakmanız gerekir.If your devices have FIPS-compliant TPMs, you must disable them before proceeding with Hybrid Azure AD join. Microsoft, TPM üreticisine bağımlı olduğu FIPS modundayken TPM'ler için devre dışı bırakmak için herhangi bir aracı sağlamaz.Microsoft does not provide any tools for disabling FIPS mode for TPMs as it is dependent on the TPM manufacturer. Lütfen OEM donanımınız için desteğe başvurun.Please contact your hardware OEM for support.

Hibrit Azure AD'ye katılım etki alanı denetleyicisi (DC) rolünü çalıştıran Windows Server için desteklenmiyor.Hybrid Azure AD join is not supported for Windows Server running the Domain Controller (DC) role.

Hibrit Azure AD'ye katılma dolaşımı veya gezici kullanıcı profili kullanırken Windows alt düzey cihazları üzerinde desteklenmiyor.Hybrid Azure AD join is not supported on Windows down-level devices when using credential roaming or user profile roaming.

Sistem hazırlığı Aracı (Sysprep) FQDN'yi ve kullanıyorsanız bir öncesi 10 1809 görüntü yükleme için o yansıma değil bir CİHAZDAN Azure AD ile hibrit Azure AD'ye katılma olarak zaten kayıtlı olduğundan emin olun.If you are relying on the System Preparation Tool (Sysprep) and if you are using a pre-Windows 10 1809 image for installation, make sure that image is not from a device that is already registered with Azure AD as Hybrid Azure AD join.

Ek sanal makineler oluşturmak için bir sanal makine (VM) üzerinde anlık görüntü FQDN'yi kullanıyorsanız, bu anlık görüntü zaten Azure AD ile hibrit Azure AD'ye katılma olarak kayıtlı bir VM'den olmadığından emin olun.If you are relying on a Virtual Machine (VM) snapshot to create additional VMs, make sure that snapshot is not from a VM that is already registered with Azure AD as Hybrid Azure AD join.

Windows 10 etki alanına katılmış ise zaten cihazlardır kayıtlı Azure AD kiracınız için hibrit Azure AD'ye katılma etkinleştirmeden önce bu duruma kaldırılması önerilir.If your Windows 10 domain joined devices are already Azure AD registered to your tenant, we highly recommend removing that state before enabling Hybrid Azure AD join. Windows 10 1809 yayından çift bu durumu önlemek için aşağıdaki değişiklikler yapılmıştır:From Windows 10 1809 release, the following changes have been made to avoid this dual state:

  • Hibrit Azure AD'ye katılmış cihaz olduktan sonra herhangi bir mevcut Azure AD kayıtlı durumu otomatik olarak kaldırılması.Any existing Azure AD registered state would be automatically removed after the device is Hybrid Azure AD joined.
  • Etki alanına katılmış cihaz Azure AD'ye bu kayıt defteri anahtarı - HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin" ekleyerek kayıtlı olmasını engelleyebilir = DWORD: 00000001.You can prevent your domain joined device from being Azure AD registered by adding this registry key - HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001.
  • Bu değişiklik ile uygulanan KB4489894 için Windows 10, 1803 sürümü kullanıma sunulmuştur.This change is now available for Windows 10 1803 release with KB4489894 applied. Windows iş için Hello yapılandırılmış varsa, ancak kullanıcı re-Windows iş için Hello ikili durum sonra temizleme kurulumu için gereklidir.However, if you have Windows Hello for Business configured, the user is required to re-setup Windows Hello for Business after the dual state clean up.

Hibrit Azure AD'ye katılma denetimli doğrulama gözden geçirinReview controlled validation of hybrid Azure AD join

Tüm önkoşulların yerinde olduğundan, Azure AD kiracınızda cihaz olarak Windows cihazları otomatik olarak kaydeder.When all of the pre-requisites are in place, Windows devices will automatically register as devices in your Azure AD tenant. Bu cihaz kimliklerini Azure AD'de durumunu hibrit Azure AD'ye katılım adlandırılır.The state of these device identities in Azure AD is referred as hybrid Azure AD join. Bu makalede ele alınan kavramları hakkında daha fazla bilgi makalelerde bulunabilir Azure Active Directory'de cihaz kimlik yönetimine giriş ve , hibrit Azure Active Directory katılım'ı planlama Uygulama.More information about the concepts covered in this article can be found in the articles Introduction to device identity management in Azure Active Directory and Plan your hybrid Azure Active Directory join implementation.

Kuruluşlar, tek seferde tüm kuruluşlarındaki etkinleştirmeden önce hibrit Azure AD'ye katılım denetimli bir doğrulama yapmak isteyebilirsiniz.Organizations may want to do a controlled validation of hybrid Azure AD join before enabling it across their entire organization all at once. Makalesini gözden geçirin denetlenen hibrit Azure AD'ye katılma doğrulaması bunu yerine getirmeyi anlamak için.Review the article controlled validation of hybrid Azure AD join to understand how to accomplish it.

Temel kimlik altyapınızı senaryonuzu seçinSelect your scenario based on your identity infrastructure

Hibrit Azure AD'ye katılma hem yönetilen hem de Federasyon ortamlar ile çalışır.Hybrid Azure AD join works with both, managed and federated environments.

Yönetilen ortamManaged environment

Yönetilen bir ortam olabilir aracılığıyla dağıtılan parola karması eşitleme (PHS) veya geçirmek aracılığıyla kimlik doğrulaması (PTA) ile sorunsuz çoklu oturum açma.A managed environment can be deployed either through Password Hash Sync (PHS) or Pass Through Authentication (PTA) with Seamless Single Sign On.

Bu senaryolar, bir federasyon sunucusu kimlik doğrulaması için yapılandırmak gerekli değildir.These scenarios don't require you to configure a federation server for authentication.

Federasyon ortamıFederated environment

Bir Federasyon ortam aşağıdaki gereksinimleri destekleyen bir kimlik sağlayıcısına sahip olmalıdır:A federated environment should have an identity provider that supports the following requirements:

  • WS-Trust protokolü: Bu Windows kimlik doğrulaması için gerekli bir protokoldür geçerli hibrit Azure AD'ye katılmış cihazların Azure AD ile.WS-Trust protocol: This protocol is required to authenticate Windows current hybrid Azure AD joined devices with Azure AD.
  • WIAORMULTIAUTHN talep: Bu talep, hibrit Azure AD'ye katılımı için Windows alt düzey cihazları yapmak için gereklidir.WIAORMULTIAUTHN claim: This claim is required to do hybrid Azure AD join for Windows down-level devices.

Active Directory Federasyon Hizmetleri (AD FS) kullanarak bir Federasyon ortamı varsa, yukarıdaki gereksinimleri zaten desteklenir.If you have a federated environment using Active Directory Federation Services (AD FS), then the above requirements are already supported.

Not

Azure AD, yönetilen etki alanlarında akıllı kartlar veya sertifikaları desteklemez.Azure AD does not support smartcards or certificates in managed domains.

1.1.819.0 sürümünden itibaren Azure AD Connect hibrit Azure AD'ye katılımı yapılandırmak için bir sihirbaz sağlar.Beginning with version 1.1.819.0, Azure AD Connect provides you with a wizard to configure hybrid Azure AD join. Sihirbaz, yapılandırma işlemini önemli ölçüde basitleştirebilmenizi sağlar.The wizard enables you to significantly simplify the configuration process. Azure AD Connect gerekli sürümünü yüklemek sizin için bir seçenek değilse, bkz. el ile cihaz kaydını yapılandırmak nasıl.If installing the required version of Azure AD Connect is not an option for you, see how to manually configure device registration.

Eşleşen kimlik altyapınızı senaryo temel alınarak, bakın:Based on the scenario that matches your identity infrastructure, see:

Gözden geçirme şirket içi hibrit Azure AD'ye katılma AD UPN'sini desteğiReview on-premises AD UPN support for Hybrid Azure AD join

Bazı durumlarda, şirket içi AD UPN, Azure AD UPN farklı olabilir.Sometimes, your on-premises AD UPNs could be different from your Azure AD UPNs. Bu gibi durumlarda, Windows 10 hibrit Azure AD'ye katılma sınırlı destek için şirket içi AD UPN göre sağlar kimlik doğrulama yöntemi, etki alanı türü ve Windows 10 sürümü.In such cases, Windows 10 Hybrid Azure AD join provides limited support for on-premises AD UPNs based on the authentication method, domain type and Windows 10 version. Ortamınızda bulunabilir AD UPN şirket içi iki tür vardır:There are two types of on-premises AD UPNs that can exist in your environment:

  • UPN yönlendirilebilir: UPN yönlendirilebilir bir etki alanı kayıt şirketi ile kayıtlı bir geçerli doğrulanmış etki sahiptir.Routable UPN: A routable UPN has a valid verified domain, that is registered with a domain registrar. Örneğin, Azure AD'de birincil etki alanı contoso.com ise şirket içi birincil etki alanı contoso.org olan Contoso tarafından sahip olunan bir AD ve Azure AD'de doğrulanmışFor example, if contoso.com is the primary domain in Azure AD, contoso.org is the primary domain in on-premises AD owned by Contoso and verified in Azure AD
  • Yönlendirilemeyen UPN: Yönlendirilemeyen bir UPN doğrulanmış bir etki alanı yok.Non-routable UPN: A non-routable UPN does not have a verified domain. Yalnızca kuruluşunuzun özel ağına içinde geçerlidir.It is applicable only within your organization's private network. Azure AD'de birincil etki alanı contoso.com ise, örneğin, contoso.local birincil etki alanında ise şirket içi AD ancak internet'in doğrulanabilir bir etki alanı değil ve kullanıcının yalnızca Contoso içinde kullanılan ağ.For example, if contoso.com is the primary domain in Azure AD, contoso.local is the primary domain in on-premises AD but is not a verifiable domain in the internet and only used within Contoso's network.

Aşağıdaki tabloda Ayrıntılar desteği bu şirket için AD UPN, Windows 10 hibrit Azure AD'ye katılma sağlarThe table below provides details on support for these on-premises AD UPNs in Windows 10 Hybrid Azure AD join

Tür şirket içi AD UPNType of on-premises AD UPN Etki alanı türüDomain type Windows 10 sürümüWindows 10 version AçıklamaDescription
YönlendirilebilirRoutable FederasyonFederated 1703 sürümündenFrom 1703 release Genel kullanıma sunulduGenerally available
Yönlendirilebilir olmayanNon-routable FederasyonFederated 1803 sürümüFrom 1803 release Genel kullanıma sunulduGenerally available
YönlendirilebilirRoutable YönetilenManaged DesteklenmiyorNot supported
Yönlendirilebilir olmayanNon-routable YönetilenManaged DesteklenmiyorNot supported

Sonraki adımlarNext steps