Nasıl Yapılır: Hibrit Azure Active Directory join uygulamanızı planlamaHow To: Plan your hybrid Azure Active Directory join implementation

Kullanıcıya benzer şekilde bir cihaz, korumak istediğiniz ve her yerde ve zamanda kaynaklarınızı korumak için kullandığınız başka bir kimlik alır.In a similar way to a user, a device is becoming another identity you want to protect and also use to protect your resources at any time and location. Aşağıdaki yöntemlerden biri ile cihazlarınızın kimliklerini Azure AD'ye getirerek bu hedefi gerçekleştirebilirsiniz:You can accomplish this goal by bringing your devices' identities to Azure AD using one of the following methods:

  • Azure AD'ye katılımAzure AD join
  • Hibrit Azure AD'ye katılımHybrid Azure AD join
  • Azure AD kaydıAzure AD registration

Cihazlarınızı Azure AD'ye taşıyarak, çoklu oturum açma (SSO) özelliği sayesinde bulut ve şirket içi kaynaklarınız genelinde kullanıcılarınızın üretkenliğini en üst düzeye çıkarırsınız.By bringing your devices to Azure AD, you maximize your users' productivity through single sign-on (SSO) across your cloud and on-premises resources. Ayrıca, koşullu erişim ile bulut ve şirket içi kaynaklarınıza erişimin güvenliği sağlayabilirsiniz.At the same time, you can secure access to your cloud and on-premises resources with conditional access.

Şirket içi Active Directory ortamınız varsa ve etki alanınıza katılmış cihazları Azure AD'ye katmak istiyorsanız hibrit Azure AD'ye katılmış cihazları yapılandırarak bunu gerçekleştirebilirsiniz.If you have an on-premises Active Directory environment and you want to join your domain-joined devices to Azure AD, you can accomplish this by configuring hybrid Azure AD joined devices. Bu makalede, ortamınızda katılın, hibrit Azure AD'ye uygulamak için ilgili adımları sağlar.This article provides you with the related steps to implement a hybrid Azure AD join in your environment.

ÖnkoşullarPrerequisites

Bu makalede, aşina olduğunuzu varsayar Azure Active Directory'de cihaz yönetimine giriş.This article assumes that you are familiar with the Introduction to device management in Azure Active Directory.

Not

Windows 10 hibrit Azure AD'ye katılma Windows Server 2008 R2 için gereken en düşük etki alanı işlevsel orman işlev düzeyleri.The minimum required domain functional and forest functional levels for Windows 10 hybrid Azure AD join is Windows Server 2008 R2.

Uygulamanızı planlamaPlan your implementation

Karma Azure AD uygulamanız planlamak için ile kendinizi alıştırın:To plan your hybrid Azure AD implementation, you should familiarize yourself with:

İşaretli Cihazları gözden geçir desteklenirReview supported devices
İşaretli Gözden geçirme bilmeniz gerekenlerReview things you should know
İşaretli Cihazlarınızı hibrit Azure AD'ye katılma denetlemek nasıl gözden geçirinReview how to control the hybrid Azure AD join of your devices
İşaretli Senaryonuzu seçinSelect your scenario

Cihazları gözden geçir desteklenirReview supported devices

Hibrit Azure AD'ye katılım geniş Windows cihazları destekler.Hybrid Azure AD join supports a broad range of Windows devices. Yapılandırmanın daha eski Windows sürümleri çalıştıran cihazlar için ek veya bunlardan farklı adımlar gerektiğinden, desteklenen cihazları iki kategorilere ayrılır:Because the configuration for devices running older versions of Windows requires additional or different steps, the supported devices are grouped into two categories:

Windows cihazlarıWindows current devices

  • Windows 10Windows 10
  • Windows Server 2016Windows Server 2016
  • Windows Server 2019Windows Server 2019

Windows masaüstü işletim sistemini çalıştıran cihazlar için desteklenen sürüm Windows 10 Yıldönümü Güncelleştirmesi (sürüm 1607) olan veya üzeri.For devices running the Windows desktop operating system, the supported version is the Windows 10 Anniversary Update (version 1607) or later. En iyi uygulama, Windows 10 'un en son sürüme yükseltin.As a best practice, upgrade to the latest version of Windows 10.

Windows alt düzey cihazlarıWindows down-level devices

  • Windows 8.1Windows 8.1
  • Windows 7Windows 7
  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2012Windows Server 2012
  • Windows Server 2008 R2Windows Server 2008 R2

İlk planlama adım, ortamınızı gözden geçirin ve Windows alt düzey cihazları desteklemek gerekli olup olmadığını belirleyin.As a first planning step, you should review your environment and determine whether you need to support Windows down-level devices.

Gözden geçirme bilmeniz gerekenlerReview things you should know

Ortamınızı kimlik verilerini birden fazla Azure AD kiracınıza eşitlenmiş tek bir ormanda bulunuyorsa, hibrit Azure AD'ye katılım kullanamazsınız.You can't use a hybrid Azure AD join if your environment consists of a single forest that synchronized identity data to more than one Azure AD tenant.

Sistem hazırlığı Aracı (Sysprep) bağlı bir Windows 10, 1803 yüklemesinden oluşturulan emin görüntüler olun veya hibrit Azure AD'ye katılım için daha önce yapılandırılmamış.If you are relying on the System Preparation Tool (Sysprep), make sure images created from an installation of Windows 10 1803 or earlier have not been configured for hybrid Azure AD join.

Ek sanal makineler oluşturmak için bir sanal makine (VM) üzerinde anlık görüntü FQDN'yi kullanıyorsanız, hibrit Azure AD'ye katılım için yapılandırılmamış bir VM anlık görüntüsü kullandığınızdan emin olun.If you are relying on a Virtual Machine (VM) snapshot to create additional VMs, make sure you use a VM snapshot that has not been configured for hybrid Azure AD join.

Windows alt düzey cihazların hibrit Azure AD'ye katılma:Hybrid Azure AD join of Windows down-level devices:

  • Olan Federasyon olmayan ortamlarda desteklenen Azure Active Directory sorunsuz çoklu oturum açma.Is supported in non-federated environments through Azure Active Directory Seamless Single Sign-On.
  • Değil sorunsuz çoklu oturum açma olmadan Azure AD geçişli kimlik doğrulaması kullanılırken desteklenir.Is not supported when using Azure AD Pass-through Authentication without Seamless Single Sign On.
  • Değil dolaşımı veya gezici kullanıcı profili kullanırken veya Sanal Masaüstü Altyapısı (VDI) kullanılırken desteklenmez.Is not supported when using credential roaming or user profile roaming or when using virtual desktop infrastructure (VDI).

Windows etki alanı denetleyicisi (DC) rolünü çalıştıran sunucu kaydını desteklenmiyor.The registration of Windows Server running the Domain Controller (DC) role is not supported.

Kuruluşunuz, kimliği doğrulanmış bir giden bağlantı proxy'si aracılığıyla İnternete erişimi gerektiriyorsa Windows 10 bilgisayarlarınızın giden bağlantı proxy'sine başarıyla kimlik doğrulayabildiğinden emin olmanız gerekir.If your organization requires access to the Internet via an authenticated outbound proxy, you must make sure that your Windows 10 computers can successfully authenticate to the outbound proxy. Windows 10 bilgisayarlar makine bağlamını kullanarak cihaz kaydını çalıştırdığından makine bağlamı ile giden bağlantı proxy'sinin yapılandırılması gerekir.Because Windows 10 computers run device registration using machine context, it is necessary to configure outbound proxy authentication using machine context.

Hibrit Azure AD'ye katılma, Azure AD ile şirket içi etki alanına katılmış cihazlarınızı otomatik olarak kaydedilecek bir işlemdir.Hybrid Azure AD join is a process to automatically register your on-premises domain-joined devices with Azure AD. Otomatik olarak kaydetmek için tüm cihazlar burada istemediğiniz durumlar vardır.There are cases where you don't want all your devices to register automatically. Bu sizin için doğru olup olmadığını cihazlarınızı hibrit Azure AD'ye katılma denetlemek nasıl.If this is true for you, see How to control the hybrid Azure AD join of your devices.

Windows 10 etki alanına katılmış ise zaten cihazlardır kayıtlı Azure AD kiracınız için hibrit Azure AD'ye katılma etkinleştirmeden önce bu duruma kaldırılması önerilir.If your Windows 10 domain joined devices are already Azure AD registered to your tenant, we highly recommend removing that state before enabling Hybrid Azure AD join. Windows 10 1809 yayından çift bu durumu önlemek için aşağıdaki değişiklikler yapılmıştır:From Windows 10 1809 release, the following changes have been made to avoid this dual state:

  • Hibrit Azure AD'ye katılmış cihaz olduktan sonra herhangi bir mevcut Azure AD kayıtlı durumu otomatik olarak kaldırılması.Any existing Azure AD registered state would be automatically removed after the device is Hybrid Azure AD joined.
  • Etki alanına katılmış cihaz Azure AD'ye bu kayıt defteri anahtarı - HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin" ekleyerek kayıtlı olmasını engelleyebilir = DWORD: 00000001.You can prevent your domain joined device from being Azure AD registered by adding this registry key - HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001 .
  • Bu değişiklik, artık Windows 10, 1803 KB4489894 sürümüyle kullanılabilir.This change is now available for Windows 10 1803 release with KB4489894.

FIPS uyumlu TPM'ler için hibrit Azure AD'ye katılma desteklenmez.FIPS-compliant TPMs aren't supported for Hybrid Azure AD join. FIPS uyumlu TPM'ler cihazlarınız varsa, bunları hibrit Azure AD'ye katılma devam etmeden önce devre dışı bırakmanız gerekir.If your devices have FIPS-compliant TPMs, you must disable them before proceeding with Hybrid Azure AD join. Microsoft, TPM üreticisine bağımlı olduğu FIPS modundayken TPM'ler için devre dışı bırakmak için herhangi bir aracı sağlamaz.Microsoft does not provide any tools for disabling FIPS mode for TPMs as it is dependent on the TPM manufacturer. Lütfen OEM donanımınız için desteğe başvurun.Please contact your hardware OEM for support.

Cihazlarınızı hibrit Azure AD'ye katılma denetlemek nasıl gözden geçirinReview how to control the hybrid Azure AD join of your devices

Hibrit Azure AD'ye katılma, Azure AD ile şirket içi etki alanına katılmış cihazlarınızı otomatik olarak kaydedilecek bir işlemdir.Hybrid Azure AD join is a process to automatically register your on-premises domain-joined devices with Azure AD. Otomatik olarak kaydetmek için tüm cihazlar burada istemediğiniz durumlar vardır.There are cases where you don't want all your devices to register automatically. Bu örnek için her şeyin beklendiği gibi çalıştığını doğrulamak için ilk dağıtım sırasında true'dur.This is for example true, during the initial rollout to verify that everything works as expected.

Daha fazla bilgi için cihazlarınızı hibrit Azure AD'ye katılma denetlemeFor more information, see How to control the hybrid Azure AD join of your devices

Senaryonuzu seçinSelect your scenario

Hibrit Azure AD'ye katılım'ı aşağıdaki senaryolar için yapılandırabilirsiniz:You can configure hybrid Azure AD join for the following scenarios:

  • Yönetilen etki alanlarıManaged domains
  • Federasyon etki alanlarıFederated domains

Ortamınızı etki alanları yönettiği, hibrit Azure AD'ye katılım'ı destekler:If your environment has managed domains, hybrid Azure AD join supports:

  • Kimlik doğrulaması (PTA) geçirinPass Through Authentication (PTA)
  • Parola karma eşitlemesi (PHS)Password Hash Sync (PHS)

Not

Azure AD, yönetilen etki alanlarında akıllı kartlar veya sertifikaları desteklemez.Azure AD does not support smartcards or certificates in managed domains.

1.1.819.0 sürümünden itibaren Azure AD Connect hibrit Azure AD'ye katılımı yapılandırmak için bir sihirbaz sağlar.Beginning with version 1.1.819.0, Azure AD Connect provides you with a wizard to configure hybrid Azure AD join. Sihirbaz, yapılandırma işlemini önemli ölçüde basitleştirebilmenizi sağlar.The wizard enables you to significantly simplify the configuration process. Daha fazla bilgi için bkz.For more information, see:

Azure AD Connect gerekli sürümünü yüklemek sizin için bir seçenek değilse, bkz. el ile cihaz kaydını yapılandırmak nasıl.If installing the required version of Azure AD Connect is not an option for you, see how to manually configure device registration.

Şirket içi AD UPN'sini desteği hibrit Azure AD'ye katılmaOn-premises AD UPN support in Hybrid Azure AD join

Bazı durumlarda, şirket içi AD UPN, Azure AD UPN farklı olabilir.Sometimes, your on-premises AD UPNs could be different from your Azure AD UPNs. Bu gibi durumlarda, Windows 10 hibrit Azure AD'ye katılma sınırlı destek için şirket içi AD UPN göre sağlar kimlik doğrulama yöntemi, etki alanı türü ve Windows 10 sürümü.In such cases, Windows 10 Hybrid Azure AD join provides limited support for on-premises AD UPNs based on the authentication method, domain type and Windows 10 version. Ortamınızda bulunabilir AD UPN şirket içi iki tür vardır:There are two types of on-premises AD UPNs that can exist in your environment:

  • UPN yönlendirilebilir: UPN yönlendirilebilir bir etki alanı kayıt şirketi ile kayıtlı bir geçerli doğrulanmış etki sahiptir.Routable UPN: A routable UPN has a valid verified domain, that is registered with a domain registrar. Örneğin, Azure AD'de birincil etki alanı contoso.com ise şirket içi birincil etki alanı contoso.org olan Contoso tarafından sahip olunan bir AD ve Azure AD'de doğrulanmışFor example, if contoso.com is the primary domain in Azure AD, contoso.org is the primary domain in on-premises AD owned by Contoso and verified in Azure AD
  • Yönlendirilemeyen UPN: Yönlendirilemeyen bir UPN doğrulanmış bir etki alanı yok.Non-routable UPN: A non-routable UPN does not have a verified domain. Yalnızca kuruluşunuzun özel ağına içinde geçerlidir.It is applicable only within your organization's private network. Azure AD'de birincil etki alanı contoso.com ise, örneğin, contoso.local birincil etki alanında ise şirket içi AD ancak internet'in doğrulanabilir bir etki alanı değil ve kullanıcının yalnızca Contoso içinde kullanılan ağ.For example, if contoso.com is the primary domain in Azure AD, contoso.local is the primary domain in on-premises AD but is not a verifiable domain in the internet and only used within Contoso's network.

Aşağıdaki tabloda Ayrıntılar desteği bu şirket için AD UPN, Windows 10 hibrit Azure AD'ye katılma sağlarThe table below provides details on support for these on-premises AD UPNs in Windows 10 Hybrid Azure AD join

Tür şirket içi AD UPNType of on-premises AD UPN Etki alanı türüDomain type Windows 10 sürümüWindows 10 version AçıklamaDescription
YönlendirilebilirRoutable FederasyonFederated 1703 sürümündenFrom 1703 release Genel kullanıma sunulduGenerally available
YönlendirilebilirRoutable YönetilenManaged 1709 sürümüFrom 1709 release Şu anda özel Önizleme aşamasındadır.Currently in private preview. Azure AD SSPR desteklenmiyorAzure AD SSPR is not supported
Yönlendirilebilir olmayanNon-routable FederasyonFederated 1803 sürümüFrom 1803 release Genel kullanıma sunulduGenerally available
Yönlendirilebilir olmayanNon-routable YönetilenManaged DesteklenmiyorNot supported

Sonraki adımlarNext steps