设置企业以在 Azure 中远程工作:常见问题解答

此 Azure Active Directory (Azure AD) 和云服务常见问题解答可以帮助你管理 IT 专业人员团队远程工作。

原始产品版本:   Azure Active Directory 原始 KB 编号   :4559203

常见问题解答

我是 Microsoft 云的新人。 如何允许员工通过 Microsoft 提供的免费许可证使用 Microsoft Teams 开始远程工作?

Microsoft 提供为期六个月的免费 E1 许可证,使员工可以通过 Microsoft Teams 在家提高工作效率。 有关许可的信息并检查资格,请转到: 管理 Office 365 E1 试用版

可从 Azure AD 角度设置 Microsoft Teams,以使用我的现有本地部署,提供了哪些指南?

第一步是考虑需求。例如,你是希望将用户从本地同步到 Azure AD,还是只想启动新的云解决方案? 你可以在此处了解有关部署 更多信息

我从事教育工作,并且没有现有的本地基础结构。 如何将 Microsoft Teams 用于教育目的,例如在线教学?

Microsoft 提供免费的 A1 教育版许可证。有关许可的信息,请转到获取整个学校的免费 Office 365。 以下文档提供有关如何在学校或大学中启用远程学习的有用信息:

我的管理员也在家工作。 如何让他们以安全的方式远程访问内部服务器?

答案取决于您当前的部署。 如果你已拥有 VPN 解决方案,可以通过使用 MFA 解决方案中的多重身份验证 (解决方案) 集成它,以添加一层额外的安全。

如果还没有 VPN 解决方案,可以继续部署,并使用 Windows 网关通过让 MFA 作为附加安全层来允许远程访问。

如果使用的是第三方 VPN 解决方案或 Microsoft Windows 网关,能否提供技术详细信息来帮助我启用 MFA 以允许远程访问内部服务器?

是的,我们提供技术指南。

如果你已在运行 Azure MFA 服务器,并且必须使用它,可以使用现有 VPN 解决方案或 Windows 网关创建此类部署。 (请注意,此类部署已弃用,只有现有客户才能使用它。)

下面是第三方 VPN 的 MFA 服务器集成示例:

使用 Azure MFA 服务器的高级方案

下面将了解如何将 Azure MFA 服务器与网关集成

如果你使用的是 MFA NPS 扩展,请参阅以下文章了解技术详细信息:

我想要启用 Azure MFA。 如何选择 MFA 的类型使用?

下表提供了多个部署 MFA 的方案。

方案 先决条件
使用新式验证的仅云标识环境 无需执行其他先决条件任务
混合标识方案 将部署 Azure AD Connect,并且用户标识将与 Azure Active Directory 本地 Active Directory 域服务 (AD DS) 同步或联合。
发布用于云访问的本地旧版应用程序 已部署 Azure AD 应用程序代理。
将 Azure MFA 与 RADIUS 身份验证一同使用 部署了网络策略 (NPS) 网络策略服务器。
用户拥有 Microsoft Office 2010 或更早版本,或适用于 iOS 11 或更早版本 Apple Mail 升级到 Microsoft Office 2013 或更高版本以及适用于 iOS 12 或更高版本的 Apple Mail。 旧身份验证协议不支持条件访问。

有关每个 MFA 类型的工作原理以及何时使用它,请转到规划 Azure 多重身份验证部署

如何使用户能够直接从 Azure AD 重置其密码?

Azure AD 提供了几种基于当前方案实现此目的的方法:

  • 如果用户拥有 Azure Active Directory Premium,并且想要为用户启用 SSPR-U (SSPR) ,我们建议使用此选项:

    启用 Azure Active Directory 自助服务密码重置

  • 如果用户没有 Azure Active Directory Premium,并且将 Active Directory 联合身份验证服务 (AD FS) 用于联合身份验证,但没有 SSPR,我们建议使用此选项:

如果用户没有 Azure Active Directory 高级版,但想要使用 ADFS 更改密码终结点,则必须显式启用终结点 (更新密码自定义) 。 他们还可以在代理终结点上执行这一操作。 执行此操作可在 AD FS 上启用该功能。

用户可以将 URL 的名为"passwordchangeurl"声明作为 Azure AD 声明发送。 对于运行 Windows 10 版本 1703 或更高版本的已加入 Azure AD 的 Windows 10 工作站,Azure AD 将遵守此要求。 当用户按 Ctrl+Alt+Del 时,用户将被定向到声明中显示的 URL。

下面是有关 AD FS 上下文中声明的一些示例参考:

配置 AD FS 以发送密码过期声明

我有一个仅云部署,并且必须添加 Azure MFA 作为附加安全层。 是否有免费许可证?

是。Azure AD 免费或独立 Office 365 许可证使用安全默认值要求用户和管理员使用 MFA。

若要了解如何管理用户的 MFA 设置,请转到查看 用户的状态

在远程工作时,是否值得将我的用户设备连接到 Azure AD?

Azure AD 支持通过连接设备从任何位置单一登录设备、应用和服务。 IT 专业人员获得管理和保护组织资源所需的控制。 有关详细信息,请转到获取 Azure AD 中的设备

哪些类型的设备可以连接到 Azure AD?

你可以将三种类型的设备连接到 Azure AD:已注册的 Azure AD、加入的 Azure AD 或已加入的混合 Azure AD,具体取决于你的基础结构。 有关详细信息,请转到获取 Azure AD 中的设备

是否需要额外的许可证才能将我的设备连接到 Azure AD?

否。 不需要其他许可证。 由于 Azure AD 免费许可证默认与 Office 365 许可证一起启用,因此用户可以将设备连接到 Azure AD。

远程工作时,为什么从加入 Azure AD 的设备重置密码后无法访问 Office 365 服务?

重置密码后,您必须注销,然后使用新密码重新登录。

远程工作时,为什么从加入混合 Azure AD 的设备重置密码后无法访问 Office 365 服务。

当你在已加入混合 Azure AD 的设备上重置密码时,你必须对域控制器具有一个看到线。 如果你位于企业网络外部,请确保你通过 VPN 进行连接。 然后,注销,然后使用新密码重新登录。

在公司网络外工作时,我是否仍可从加入混合 Azure AD 的设备访问 Office 365 资源?

是。 你仍然可以从企业网络外部加入混合 Azure AD 的设备访问 Office 365 资源,除非你更改密码。

即使我在企业网络外部更改了密码,是否还有办法从加入混合 Azure AD 的设备保留对 Office 365 资源的访问权限?

如果你使用 Windows Hello 企业版 (WHfB) 登录已加入混合 Azure AD 的设备,即使更改密码,你仍然会保留对 Office 365 资源的访问权限。

如何验证 Azure AD 设备的运行状况?

可以使用设备注册疑难解答工具 (加入混合 Azure AD、加入 Azure AD 和 Azure AD 注册) 的所有加入类型的运行状况。

如何验证单一Sign-On (SSO) 是否在我的设备上正常工作?

从已加入 Azure AD 或加入 Azure AD 的混合设备运行 dsregcmd /status 命令,并检查   AzureAdPrt 是否设置为   YES。 有关详细信息,请转到 SSO 状态

什么是混合 Azure AD 设备注册步骤?

下面是已加入混合 Azure AD 的设备注册步骤:

  1. 设备尝试从以下注册表子项检索租户 ID 和域名 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD :。
  2. 如果步骤 1 失败,设备会与本地 AD (配置分区) 通信,以从 SCP 服务连接点 (获取租户) 。 (可以使用设备注册 SCP 工具 PowerShell.)
  3. 设备与 Azure AD 租户通信。
  4. 设备针对 Azure AD 或联合身份验证服务 (例如,ADFS) 。
  5. 设备注册过程完成。

有关详细信息,请转到混合 Azure AD 设备注册

解决设备注册问题的最佳方法是什么?

设备注册疑难解答工具运行 3 (0 多个测试,以识别和修复所有加入类型(已加入混合 Azure AD、加入 Azure AD 和 Azure AD 注册) )的最常见设备注册问题。

在家工作时,我无法访问云资源。 我的设备的条件访问策略未注册,但设备似乎已连接到 Azure AD。 可能出什么问题了?

仔细检查设备与 Azure AD 的连接。 此外,检查 Azure AD PRT 值。 有关详细信息,请转到 SSO 状态

当用户在家工作时,是否有方法允许他们重置密码?

是。 你可以允许用户从家更改其密码。 下面将了解如何配置密码写回功能:

  1. 从 Azure Active Directory Connect 启用密码写回功能。 有关详细信息,请转到在 Azure AD Connect 中启用密码写回

  2. 在 Azure Active Directory Connect 服务器上运行以下 PowerShell 命令,设置对 Azure Active Directory Connect 帐户的必需权限:

    Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
    
    Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountNameAADConnectAccount -ADConnectorAccountDomain domain.local
    

    若要获取 ADConnectorAccountName   和 ADConnectorAccountDomain 值:

    Get-ADSyncADConnectorAccount
    
  3. 若要从 Azure 门户启用密码写回,请转到为 SSPR 启用密码写回

密码写回和 SSPR 所需的许可证是什么?

密码写回和 SSPR 所需的端口和 URL 是什么?

对于在防火墙后面或通过代理运行的 Azure Active Directory Connect 服务器,请打开本文中列出的端口和URL。

第三方信息免责声明

本文中提到的第三方产品由 Microsoft 以外的其他公司提供。 Microsoft 不对这些产品的性能或可靠性提供任何明示或暗示性担保。