Nasıl Yapılır: Hibrit Azure Active Directory'ye katılma uygulamanızı planlama
Bir kullanıcıya benzer bir şekilde, bir cihaz korumak istediğiniz başka bir temel kimliktir ve kaynakları dilediğiniz zaman ve herhangi bir konumdan korumak için kullanabilirsiniz. Aşağıdaki yöntemlerden birini kullanarak, Azure AD 'de cihaz kimliklerini taşıyarak ve yöneterek bu hedefi gerçekleştirebilirsiniz:
- Azure AD'ye katılım
- Hibrit Azure AD'ye katılım
- Azure AD kaydı
Cihazlarınızı Azure AD'ye taşıyarak, çoklu oturum açma (SSO) özelliği sayesinde bulut ve şirket içi kaynaklarınız genelinde kullanıcılarınızın üretkenliğini en üst düzeye çıkarırsınız. Aynı zamanda bulut ve şirket içi kaynaklarınız için koşullu erişimleerişimi güvenli hale getirebilirsiniz.
Şirket içi Active Directory (AD) ortamınız varsa ve AD alanına katılmış bilgisayarlarınızı Azure AD 'ye eklemek istiyorsanız, karma Azure AD katılımı yaparak bunu yapabilirsiniz. Bu makalede, ortamınızda karma Azure AD katılımı uygulamak için ilgili adımlar sağlanmaktadır.
İpucu
Şirket içi kaynaklara SSO erişimi, Azure AD 'ye katılmış cihazlar için de kullanılabilir. Daha fazla bilgi için bkz. Azure AD 'ye katılmış CIHAZLARDA SSO, şirket içi kaynaklara yönelik olarak nasıl kullanılır.
Önkoşullar
Bu makalede, Azure Active Directory ' deki cihaz kimliği yönetimine girişhakkında bilgi sahibi olduğunuz varsayılır.
Not
Windows 10 hibrit Azure AD joın için gereken en düşük etki alanı denetleyicisi sürümü Windows Server 2008 R2 ' dir.
Hibrit Azure AD 'ye katılmış cihazlar, etki alanı denetleyicilerinize düzenli aralıklarla ağ hattını gerektirir. Bu bağlantı olmadan, cihazlar kullanılamaz hale gelir.
Etki alanı denetleyicilerinize bir görüş satırı olmadan kesen senaryolar:
- Cihaz parolası değiştirme
- Kullanıcı parolası değiştirme (önbelleğe alınan kimlik bilgileri)
- TPM sıfırlama
Uygulamanızı planlayın
Hibrit Azure AD uygulamanızı planlamak için şunu öğrenmeniz gerekir:
- Desteklenen cihazları gözden geçir
- Bilmeniz gereken işlemleri gözden geçirin
- Karma Azure AD JOIN 'in denetimli doğrulamasını gözden geçirin
- Kimlik altyapınıza göre senaryonuzu seçin
- Karma Azure AD katılımı için şirket içi AD UPN desteğini gözden geçirin
Desteklenen cihazları gözden geçir
hibrit Azure AD katılımı, çok çeşitli Windows cihazları destekler. Windows eski sürümlerini çalıştıran cihazların yapılandırması ek veya farklı adımlar gerektirdiğinden, desteklenen cihazlar iki kategoride gruplandırılır:
geçerli cihazları Windows
- Windows 10
- Windows 11
- Windows Server 2016
- Note: Azure Ulusal bulut müşterileri sürüm 1803 gerektirir
- Windows Server 2019
Windows masaüstü işletim sistemini çalıştıran cihazlarda, desteklenen sürüm bu makalede sürüm bilgileri Windows 10listelenmiştir. En iyi uygulama olarak, Microsoft Windows 10 en son sürümüne yükseltmenizi önerir.
Windows alt düzey cihazlar
- Windows 8.1
- Windows 7 desteği 14 ocak 2020 tarihinde sona erdi. daha fazla bilgi için bkz. Windows 7 desteği bitti.
- Windows Server 2012 R2
- Windows Server 2012
- Windows Sunucu 2008 R2. Windows server 2008 ve 2008 R2 hakkında destek bilgileri için bkz. Windows server 2008 destek sonu.
ilk planlama adımı olarak, ortamınızı gözden geçirmeniz ve alt düzey cihazların Windows desteklemeniz gerekip gerekmediğini belirlemeniz gerekir.
Bilmeniz gereken işlemleri gözden geçirin
Desteklenmeyen senaryolar
karma Azure AD katılımı, etki alanı denetleyicisi (DC) rolünü çalıştıran Windows sunucusu için desteklenmez.
karma Azure AD katılımı, kimlik bilgisi dolaşımı veya kullanıcı profili dolaşımı veya zorunlu profili kullanılırken Windows alt düzey cihazlarda desteklenmez.
Sunucu çekirdeği işletim sistemi herhangi bir cihaz kaydı türünü desteklemez.
Kullanıcı Durumu Taşıma Aracı (USMT) cihaz kaydıyla birlikte çalışmaz.
İşletim sistemi görüntüsü konuları
sistem hazırlama aracı 'nı (Sysprep) kullanıyorsanız ve yükleme için bir Windows 10 1809 görüntüsü kullanıyorsanız, görüntünün azure ad 'ye karma azure ad katılımı olarak zaten kayıtlı olan bir cihazdan olmadığından emin olun.
Ek VM 'Ler oluşturmak için bir sanal makine (VM) anlık görüntüsüne güvenmek istiyorsanız, anlık görüntünün Azure AD 'ye karma Azure AD katılımı olarak zaten kayıtlı olan bir VM 'den olmadığından emin olun.
Yeniden başlatma sırasında diskte yapılan değişiklikleri temizleyecek birleştirilmiş yazma Filtresi ve benzer teknolojiler kullanıyorsanız, cihaz hibrit Azure AD 'ye katılmış olduktan sonra uygulanmaları gerekir. Karma Azure AD JOIN 'in tamamlanmasından önce bu tür teknolojilerin etkinleştirilmesi, cihazın her yeniden başlatmada katılmasına neden olur
Cihazları Azure AD kayıtlı durumuyla işleme
Windows 10 etki alanına katılmış cihazlarınız azure ad , kiracınıza kayıtlıysa, karma azure ad 'ye katılmış ve azure ad 'ye kayıtlı cihazın iki durumuna neden olabilir. bu senaryoyu otomatik olarak çözmek için Windows 10 1803 (KB4489894 uygulanmış) veya üzeri sürümüne yükseltmenizi öneririz. 1803 öncesi sürümlerde, hibrit Azure AD JOIN 'i etkinleştirmeden önce Azure AD kayıtlı durumunu el ile kaldırmanız gerekecektir. 1803 ve üzeri sürümlerde, bu iki durumdan kaçınmak için aşağıdaki değişiklikler yapılmıştır:
- Bir kullanıcı için mevcut Azure AD kayıtlı durumu, cihaz karma Azure AD 'ye katılmış olduktan ve aynı kullanıcı oturum açtığındaotomatik olarak kaldırılacaktır. Örneğin, Kullanıcı A 'nın cihazda bir Azure AD kayıtlı durumu varsa, Kullanıcı a 'nın çift durumu yalnızca cihazda oturum açan kullanıcı tarafından temizlenir. Aynı cihazda birden fazla kullanıcı varsa, bu kullanıcılar oturum açarken iki durum tek tek temizlenir. azure ad kayıtlı durumunun kaldırılmasına ek olarak, kayıt, azure ad kaydının bir parçası olarak otomatik kayıt yoluyla gerçekleştiyse, Windows 10 cihazın ıntune veya diğer MDM 'den kaydını da kaldırır.
- Cihazdaki herhangi bir yerel hesap üzerinde Azure AD kayıtlı durumu bu değişiklikten etkilenmez. Yalnızca etki alanı hesapları için geçerlidir. Bu nedenle, Kullanıcı bir etki alanı kullanıcısı olmadığından, yerel hesaplarda Azure AD kayıtlı durumu, Kullanıcı oturum açmadan sonra da otomatik olarak kaldırılmaz.
- aşağıdaki kayıt defteri değerini hklm\software\policies\microsoft\ Windows \workplacejoın: "blockaadworkplacejoın" = dword: 00000001 dizinine ekleyerek etki alanına katılmış cihazın Azure AD 'den kaydedilmesini engelleyebilirsiniz.
- Windows 10 1803 ' de, iş için Windows Hello yapılandırılmışsa, iki durum temizleme sonrasında kullanıcının Windows Hello iş için yeniden kurulumu yapması gerekir. Bu sorun KB4512509 ile giderilmiştir
Not
Windows 10, azure ad kayıtlı durumunu yerel olarak kaldırsa da, ıntune tarafından yönetiliyorsa azure ad 'deki cihaz nesnesi hemen silinmez. Dsregcmd/Status ' i çalıştırarak Azure AD kayıtlı durumunun kaldırılmasını doğrulayabilir ve bu cihazı, Azure AD 'ye göre kayıtlı değil olarak kabul edebilirsiniz.
Tek orman için karma Azure AD katılımı, birden çok Azure AD kiracılar
Cihazları ilgili kiracılara karma Azure AD katılımı olarak kaydetmek için, kuruluşların SCP yapılandırmasının AD 'de değil cihazlarda yapıldığından emin olması gerekir. Bunun nasıl yapılacağı hakkında daha fazla ayrıntı, karma Azure AD birleştirmesinin denetlenen doğrulamasımakalesinde bulunabilir. Ayrıca, kuruluşların belirli Azure AD yeteneklerinin tek bir ormanda, birden çok Azure AD kiracılar yapılandırmasında çalışmadığına ilişkin anlaşılması de önemlidir.
- Cihaz geri yazma özelliği çalışmayacak. Bu , ADFS kullanılarak federe olan şirket içi uygulamalar Için cihaz tabanlı koşullu erişimietkiler. bu , karma sertifika güven modeli kullanılırken iş dağıtımı Windows Helloda etkiler.
- Grupların geri yazma özelliği çalışmayacak. bu, Exchange yüklenmiş bir ormana Office 365 gruplarının geri yazmayı etkiler.
- Sorunsuz SSO çalışmayacak. bu, kuruluşların platformlar arası/tarayıcı platformlarında, Windows 10 uzantısı olmadan Firefox, Safari, Chrome ile iOS/Linux gibi bir şekilde kullandığı SSO senaryolarını etkiler.
- yönetilen ortamda Windows alt düzey cihazlara yönelik karma Azure AD katılımı çalışmaz. örneğin, yönetilen bir ortamda Windows Server 2012 R2 'de karma azure ad katılımı sorunsuz sso gerektirir ve sorunsuz sso çalışmaz, bu tür bir kurulum için karma azure ad katılımı çalışmaz.
- Şirket Içi Azure AD parola koruması çalışmayacak. Bu, Azure AD 'de depolanan aynı genel ve özel yasaklanmış parola listelerini kullanarak şirket içi Active Directory Domain Services (AD DS) etki alanı denetleyicilerine karşı parola değişiklikleri ve parola sıfırlama olaylarını gerçekleştirmenizi etkiler.
Diğer konular
Ortamınız sanal masaüstü altyapısı (VDı) kullanıyorsa, bkz. cihaz kimliği ve Masaüstü Sanallaştırması.
Karma Azure AD katılımı, FIPS uyumlu TPM 2,0 için desteklenir ve TPM 1,2 için desteklenmez. Cihazlarınızda FIPS uyumlu TPM 1,2 varsa, hibrit Azure AD JOIN ile devam etmeden önce bunları devre dışı bırakmanız gerekir. Microsoft, TPM üreticisine bağlı olduğundan, TPMs için FIPS modunu devre dışı bırakmaya yönelik herhangi bir araç sağlamaz. Destek için lütfen donanımınızın OEM 'nize başvurun.
Windows 10 1903 sürümünden itibaren, tpms 1,2 karma Azure AD katılımı ile kullanılmaz ve bu tpms 'leri içeren cihazlar TPM 'ye sahip olmadıkları sürece kabul edilir.
UPN değişiklikleri yalnızca 2004 güncelleştirme Windows 10 başlayarak desteklenir. Windows 10 2004 güncelleştirmesinden önceki cihazlarda, kullanıcıların cihazlarında SSO ve koşullu erişim sorunları olur. Bu sorunu çözmek için cihazı Azure AD'den (yükseltilmiş ayrıcalıklarla "dsregcmd /leave" çalıştırın) ve yeniden katılmanız (otomatik olarak gerçekleşir) gerekir. Ancak, İş için Windows Hello oturum alan kullanıcılar bu sorunla karşılaşacak değil.
Hibrit Azure AD'ye katılma denetimli doğrulamasını gözden geçirme
Tüm önkullar yerine geldiğinde, Windows azure AD kiracınıza otomatik olarak cihaz olarak kaydedilir. Azure AD'de bu cihaz kimliklerinin durumu hibrit Azure AD'ye katılma olarak adlandırılır. Bu makalede ele alınan kavramlar hakkında daha fazla bilgi için, Azure Active Directory.
Kuruluşlar, karma Azure AD'ye katılmayı tüm kuruluşlarında aynı anda etkinleştirmeden önce denetimli bir doğrulama yapmak istiyor olabilir. Hibrit Azure AD'ye katılmayı denetimli olarak doğrulama makalesini gözden geçirarak nasıl başarılı olduğunu anlıyoruz.
Kimlik altyapınıza göre senaryoyu seçin
Karma Azure AD'ye katılma, UPN'nin yönlendirilebilir mi yoksa yönlendirilemeyen mi olduğuna bağlı olarak hem yönetilen hem de federasyon ortamları ile çalışır. Desteklenen senaryolarla ilgili tablo için sayfanın alt sayfasına bakın.
Yönetilen ortam
Yönetilen ortam, Sorunsuz Çoklu Oturum Açma ile Parola Karması Eşitlemesi (PHS) veya GeçişLi Kimlik Doğrulaması (PTA) aracılığıyla dağıtılabilir.
Bu senaryolar, kimlik doğrulaması için bir federasyon sunucusu yapılandırmayı gerektirmez.
Not
Aşamalı kullanımı kullanan bulut kimlik doğrulaması yalnızca 1903 güncelleştirmesinde Windows 10 desteklemektedir
Federasyon ortamı
Federasyon ortamının aşağıdaki gereksinimleri destekleyen bir kimlik sağlayıcısı olması gerekir. Active Directory Federasyon Hizmetleri (AD FS) (AD FS) kullanan bir federasyon ortamına sahipsiniz, aşağıdaki gereksinimler zaten de desteklenmiştir.
- WIAORMULTIAUTHN talebi: Bu talep, alt düzey cihazlarda karma Azure AD Windows için gereklidir.
- WS-Trust protokolü: Geçerli hibrit Azure AD'ye katılmış Windows Azure AD ile kimlik doğrulaması yapmak için bu protokol gereklidir. Uygulama uç noktalarını AD FS aşağıdaki uç noktaları WS-Trust gerekir:
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed
Uyarı
Adfs/services/trust/2005/windowstransport veya adfs/services/trust/13/windowstransport yalnızca intranete yönelik uç noktalar olarak etkinleştirilmelidir ve Web sitesi üzerinden extranet'e yönelik uç noktalar olarak Uygulama Ara Sunucusu. Uç noktaları devre dışı bırakma hakkında daha fazla WS-Trust Windows için bkz. Proxy'WS-Trust Windows uç noktalarını devre dışı bırakma. Hangi uç noktaların hizmet uç noktaları altında AD FS yönetim konsolu aracılığıyla > etkinleştirildiğinden emin olun.
Not
Azure AD, yönetilen etki alanlarında akıllı kartları veya sertifikaları desteklemez.
1.1.819.0 sürümünden itibaren Azure AD Connect hibrit Azure AD'ye katılımı yapılandırmak için bir sihirbaz sağlar. Sihirbaz, yapılandırma işlemini önemli ölçüde basitleştirebilmenizi sağlar. Azure AD'nin gerekli sürümünü Bağlan sizin için bir seçenek yoksa bkz. Cihaz kaydını el ile yapılandırma.
Kimlik altyapınız ile eşleşen senaryoyu temel alarak bkz:
- Federasyon ortamı Azure Active Directory karma birleştirmeyi yapılandırma
- Yönetilen ortam Azure Active Directory karma etki alanlarına katılmayı yapılandırma
Hibrit Azure AD'ye katılma için şirket içi AD kullanıcıları UPN desteğini gözden geçirme
Bazen şirket içi AD kullanıcı UPN'leri Azure AD UPN'lerinden farklı olabilir. Böyle durumlarda, Windows 10 Azure AD'ye katılma, kimlik doğrulama yöntemi,etki alanı türü ve etki alanı sürümüne bağlı olarak şirket içi AD UPN'leri için Windows 10 sağlar. Ortamınız içinde mevcut olan iki tür şirket içi AD UPN vardır:
- Yönlendirilebilir kullanıcılar UPN'si: Yönlendirilebilir bir UPN, bir etki alanı kayıt şirketine kayıtlı geçerli bir doğrulanmış etki alanına sahip olur. Örneğin, Contoso.com Azure AD'de birincil etki alanı ise, contoso.org Contoso'ya ait olan ve Azure AD'de doğrulanan şirket içi AD'de birincil etki alanıdır
- Yönlendirilebilir olmayan kullanıcılar UPN'leri: Yönlendirilebilir olmayan bir UPN'nin doğrulanmış bir etki alanı yok. Yalnızca kuruluş özel ağı içinde geçerlidir. Örneğin, contoso.com Azure AD'de birincil etki alanı ise contoso.local, şirket içi AD'de birincil etki alanıdır ancak İnternet'te doğrulanabilir bir etki alanı değildir ve yalnızca Contoso'nun ağı içinde kullanılır.
Not
Bu bölümdeki bilgiler yalnızca şirket içi kullanıcıların UPN'sine uygulanır. Şirket içi bilgisayar etki alanı soneki için geçerli değildir (örneğin: computer1.contoso.local).
Aşağıdaki tabloda Karma Azure AD'ye katılmada bu şirket içi AD UPN'leri Windows 10 ayrıntıları verilmiştir
| Şirket içi AD UPN türü | Etki alanı türü | Windows 10 sürümü | Description |
|---|---|---|---|
| Yönlendirilebilir | Federe | 1703 yayından | Genel kullanıma sunuldu |
| Yönlendirileemeyen | Federe | 1803 yayından | Genel kullanıma sunuldu |
| Yönlendirilebilir | Yönetilen | 1803 yayından | Genel kullanıma açık olan Azure AD SSPR Windows kilit ekranı desteklenmiyor. Şirket içi UPN'nin onPremisesUserPrincipalName Azure AD'de özniteliğiyle eşit olması gerekir |
| Yönlendirileemeyen | Yönetilen | Desteklenmez |