您现在访问的是微软AZURE全球版技术文档网站,若需要访问由世纪互联运营的MICROSOFT AZURE中国区技术文档网站,请访问 https://docs.azure.cn.

混合 Azure AD 加入所需的配置后任务

运行 Azure AD Connect 为组织配置混合 Azure AD 加入后,必须执行几个附加的步骤才能最终完成该设置。 请仅执行适用于自己设备的步骤。

1. 配置受控的推出(可选)

完成所有配置步骤后,运行 Windows 10 和 Windows Server 2016 的所有已加入域的设备会自动注册到 Azure AD。 如果你希望进行受控的实施而不是执行这种自动注册,可以使用组策略有选择地启用或禁用自动实施。 应在启动其他配置步骤之前设置此组策略:

  • 在 Active Directory 中创建组策略对象。
  • 将其命名为 (ex- Hybrid Azure AD join)。
  • 编辑策略并转到“计算机配置”>“策略”>“管理模板”>“Windows 组件”>“设备注册”。

备注

对于 2012R2,请通过“计算机配置”>“策略”>“管理模板”>“Windows 组件”>“工作区加入”>“自动工作区加入客户端计算机”完成策略设置

  • 启用“将已加入域的计算机注册为设备”设置。
  • 依次单击“应用”、“确定”。
  • 将 GPO 链接到所选的位置(组织单位、安全组或所有设备的域)。

2. 使用设备注册终结点配置网络

确保可从组织网络中的计算机访问以下 URL,以便注册到 Azure AD:

  • https://enterpriseregistration.windows.net
  • https://login.microsoftonline.com
  • https://device.login.microsoftonline.com

3. 对 Windows 10 设备实现 WPAD

如果组织通过出站代理访问 Internet,请实现 Web 代理自动发现 (WPAD),使 Windows 10 计算机能够注册到 Azure AD。

4. 在未通过 Azure AD Connect 配置的任何林中配置 SCP

服务连接点 (SCP) 包含设备用来自动注册的 Azure AD 租户信息。 运行从 Azure AD Connect 下载的 PowerShell 脚本 ConfigureSCP.ps1。

5. 配置尚未通过 Azure AD Connect 配置的任何联合身份验证服务

如果组织使用联合身份验证服务登录到 Azure AD,则 Azure AD 信赖方信任中的声明规则必须允许设备身份验证。 如果将联合身份验证与 AD FS 配合使用,请转到 AD FS 帮助以生成声明规则。 如果使用非 Microsoft 联合身份验证解决方案,该联系相关的提供商获得指导。

备注

如果使用了 Windows 下层设备,在接收发往 Azure AD 信任的请求时,该服务必须支持颁发 authenticationmethod 和 wiaormultiauthn 声明。 在 AD FS 中,应添加一个用于传递身份验证方法的颁发转换规则。

6. 为 Windows 下层设备启用 Azure AD 无缝 SSO

如果组织使用密码哈希同步或直通身份验证登录到 Azure AD,请使用该登录方法启用 Azure AD 无缝 SSO,以便对 Windows 下层设备进行身份验证。

7. 为 Windows 下层设备设置 Azure AD 策略

若要注册 Windows 下层设备,需确保 Azure AD 策略允许用户注册设备。

  • 在 Azure 门户中登录到自己的帐户。
  • 转到:“Azure Active Directory”>“设备”>“设备设置”
  • 将“用户可以向 Azure AD 注册其设备”设置为“全部”。
  • 点击“保存”(Save)

8. 将 Azure AD 终结点添加到 Windows 下层设备

将 Azure AD 设备身份验证终结点添加到 Windows 下层设备上的本地 Intranet 区域,避免对设备进行身份验证时出现证书提示:https://device.login.microsoftonline.com

如果使用无缝 SSO,另请在该区域中启用“允许通过脚本更新状态栏”,并添加以下终结点:https://autologon.microsoftazuread-sso.com

9. 在 Windows 下层设备上安装 Microsoft 工作区加入

安装程序会在设备系统上创建一个在用户上下文中运行的计划任务。 当用户登录到 Windows 时触发该任务。 使用集成 Windows 身份验证完成身份验证后,该任务将使用用户凭据以静默方式将设备联接到 Azure AD。 下载中心的网址为 https://www.microsoft.com/download/details.aspx?id=53554。

10. 配置组策略以允许设备注册

有关如何允许单个设备的混合 Azure AD 联接的信息,请参阅混合 Azure AD 联接的受控验证

后续步骤

配置设备写回