设置企业以便在 Azure 中远程工作:常见问题解答

此Microsoft Entra ID和云服务常见问题解答可以帮助你在 IT 专业人员团队远程工作时对其进行管理。

原始产品版本:Microsoft Entra ID原始 KB 编号:4559203

常见问题解答

我不熟悉 Microsoft Cloud。 如何将 Microsoft Teams 与 Microsoft 提供的免费许可证配合使用,使员工能够开始远程工作?

Microsoft 提供为期 6 个月的免费 E1 许可证,使员工能够通过 Microsoft Teams 在家提高工作效率。 有关许可和检查资格的信息,请转到:管理Office 365 E1试用版

从Microsoft Entra角度设置 Microsoft Teams 以使用我的现有本地部署,有什么指导?

Microsoft Teams 使用存储在 Microsoft Entra ID 中的标识。 可以将Microsoft Entra ID与本地 AD 环境集成。 有关详细信息,请参阅 Microsoft 365 与本地环境的集成

我从事教育工作,没有现有的本地基础结构。 如何将 Microsoft Teams 用于教育目的,例如在线教学?

Microsoft 提供免费的 A1 教育版许可证。 有关许可的信息,请转到获取整个学校的免费Office 365。 以下文档提供了有关如何在学校或大学启用远程学习的有用信息:

我的管理员也在家工作。 如何使他们能够以安全的方式远程访问我们的内部服务器?

答案取决于当前部署。 如果已有 VPN 解决方案,则可以使用我们的多重身份验证 (MFA) 解决方案将其集成,以添加另一层安全性。

如果还没有 VPN 解决方案,则可以继续部署,并使用 Windows 网关将 MFA 作为额外的安全层来允许远程访问。

如果我使用的是第三方 VPN 解决方案或 Microsoft Windows 网关,是否可以提供技术详细信息来帮助我启用 MFA 以允许对我的内部服务器进行远程访问?

是的,我们提供技术指南。

如果 Azure MFA 服务器已在运行中,并且必须使用它,则可以使用现有 VPN 解决方案或 Windows 网关创建此类部署。 (请注意,这种部署已被弃用,只有现有客户可以使用它。)

下面是 MFA 服务器与第三方 VPN 集成的示例:

Azure MFA 服务器的高级方案

下面介绍如何 将 Azure MFA 服务器与网关集成

如果使用 MFA NPS 扩展,请参阅以下文章了解技术详细信息:

我想启用 Azure MFA。 如何选择要使用的 MFA 类型?

下表提供了部署 MFA 的多个方案。

应用场景 先决条件
使用新式身份验证的仅限云标识环境 无其他先决条件任务
混合标识方案 Microsoft Entra Connect 已部署,并且用户标识与 本地 Active Directory 域服务 (AD DS) 同步或联合Microsoft Entra ID。
发布用于云访问的本地旧版应用程序 部署Microsoft Entra 应用程序代理。
将 Azure MFA 与 RADIUS 身份验证配合使用 部署 (NPS) 的网络策略服务器。
用户具有 Microsoft Office 2010 或更早版本,或者 Apple Mail for iOS 11 或更早版本 升级到 Microsoft Office 2013 或更高版本以及适用于 iOS 12 或更高版本的 Apple Mail。 旧式身份验证协议不支持条件访问。

有关每种 MFA 类型的工作原理以及何时使用它的详细信息,请转到 规划 Azure 多重身份验证部署

如何使用户能够直接从Microsoft Entra ID重置其密码?

Microsoft Entra ID根据当前方案提供了几种实现此目的的方法:

  • 如果用户Microsoft Entra ID P1 或 P2,并且想要为) 的用户启用 SSPR-U (SSPR,建议使用此选项:

    启用Microsoft Entra自助密码重置

  • 如果用户没有Microsoft Entra ID P1 或 P2,并且使用Active Directory 联合身份验证服务 (AD FS) 进行联合,但没有任何 SSPR,我们建议使用此选项:

如果用户没有Microsoft Entra ID P1 或 P2,但想要使用 ADFS 更改密码终结点,则必须显式启用终结点, (更新密码自定义) 。 他们也可以在代理终结点上执行此操作。 这样做可在 AD FS 上启用该功能。

用户可以将 URL 的名为“passwordchangeurl”的声明作为声明发送到Microsoft Entra ID。 对于运行 Windows 10 版本 1703 或更高版本的已加入Windows 10 Microsoft Entra工作站,Microsoft Entra ID将遵循此要求。 当用户按 Ctrl+Alt+Del 时,用户将被定向到声明中显示的 URL。

下面是有关 AD FS 上下文中声明的一些示例引用:

配置 AD FS 以发送密码过期声明

我使用仅限云的部署,并且必须添加 Azure MFA 作为额外的安全层。 是否有免费的许可证?

是。 Microsoft Entra ID免费或独立Office 365许可证使用安全默认值要求用户和管理员进行 MFA。

若要了解如何管理用户的 MFA 设置,请转到 查看用户的状态

在用户远程工作时,是否值得将用户的设备连接到Microsoft Entra ID?

Microsoft Entra ID支持通过连接的设备从任何位置对设备、应用和服务进行单一登录。 IT 专业人员获得管理和保护组织资源所必须的控制。 有关详细信息,请转到获取Microsoft Entra ID中的设备

哪些类型的设备类型可以连接到Microsoft Entra ID?

可以将三种类型的设备连接到Microsoft Entra ID:Microsoft Entra已注册、已加入Microsoft Entra或Microsoft Entra混合联接,具体取决于基础结构。 有关详细信息,请转到获取Microsoft Entra ID中的设备

将设备连接到Microsoft Entra ID是否需要额外的许可证?

否。 不需要额外的许可证。 由于默认情况下,Microsoft Entra ID免费许可证与Office 365许可证一起启用,因此用户可以将设备连接到Microsoft Entra ID。

在远程工作时,为什么在从已加入Microsoft Entra的设备重置密码后无法访问Office 365服务?

重置密码后,必须使用新密码注销并重新登录。

在远程工作时,为什么在从Microsoft Entra混合联接设备重置密码后无法访问Office 365服务。

在Microsoft Entra混合加入的设备上重置密码时,必须具有域控制器的视线。 如果你在公司网络之外,请确保通过 VPN 进行连接。 然后,使用新密码注销并重新登录。

在公司网络外部工作时,我是否仍有权从Microsoft Entra混合加入的设备访问Office 365资源?

是。 除非更改密码,否则仍有权从公司网络外部Microsoft Entra混合联接设备访问Office 365资源。

是否有一种方法可以保持从Microsoft Entra混合加入的设备访问Office 365资源,即使我在公司网络外部更改了密码?

如果使用 Windows Hello 企业版 (WHfB) 登录Microsoft Entra混合联接的设备,则即使更改密码后,你仍会保留对Office 365资源的访问权限。

如何验证Microsoft Entra设备的运行状况?

可以使用设备注册疑难解答工具验证所有联接类型的运行状况, (Microsoft Entra 混合联接、Microsoft Entra联接,Microsoft Entra注册) 。

如何验证单 Sign-On (SSO) 在我的设备上是否按预期工作?

从Microsoft Entra混合联接或已加入Microsoft Entra的设备运行 dsregcmd /status 命令,检查 AzureAdPrt 是否设置为“是”。 有关详细信息,请转到 SSO 状态

混合Microsoft Entra设备注册步骤是什么?

下面是混合联接Microsoft Entra的设备注册步骤:

  1. 设备尝试从以下注册表子项检索租户 ID 和域名: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD
  2. 如果步骤 1 失败,设备将与本地 AD (配置分区) 通信,以获取服务连接点 (SCP) 的租户信息。 (可以使用设备注册 SCP 工具 PowerShell 获取 SCP 信息。)
  3. 设备与Microsoft Entra租户通信。
  4. 设备针对Microsoft Entra ID或联合身份验证服务 ((例如 ADFS) )进行身份验证。
  5. 设备注册过程已完成。

有关详细信息,请转到混合Microsoft Entra设备注册

排查设备注册问题的最佳方法是什么?

设备注册疑难解答工具运行 30 多个测试,以识别和修复所有联接类型的最常见设备注册问题, (Microsoft Entra 混合联接、Microsoft Entra加入和Microsoft Entra注册) 。

在家工作时,我无法访问云资源。 设备的条件访问策略未注册,但设备似乎已连接到Microsoft Entra ID。 可能出了什么问题?

将设备连接检查到Microsoft Entra ID。 另检查Microsoft Entra PRT 值。 有关详细信息,请转到 SSO 状态

当用户在家办公时,是否有办法允许他们重置密码?

是。 你可以允许用户在家更改其密码。 下面介绍如何配置密码写回功能:

  1. 从 Microsoft Entra Connect 启用密码写回功能。 有关详细信息,请转到在 Microsoft Entra Connect 中启用密码写回

  2. 通过在 Microsoft Entra Connect 服务器上运行以下 PowerShell 命令,将所需的权限设置为 Microsoft Entra Connect 帐户:

    Import-Module "C:\Program Files\Microsoft Entra Connect\AdSyncConfig\AdSyncConfig.psm1"
    
    Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountNameAADConnectAccount -ADConnectorAccountDomain domain.local
    

    若要获取 ADConnectorAccountNameADConnectorAccountDomain 值,请执行以下操作:

    Get-ADSyncADConnectorAccount
    
  3. 若要从Azure 门户启用密码写回,请转到为 SSPR 启用密码写回

密码写回和 SSPR 所需的许可证是什么?

以下文章列出了所需的许可证:

自助密码重置写回如何在 Microsoft Entra ID 中工作?

密码写回和 SSPR 所需的端口和 URL 有哪些?

对于在防火墙后面或通过代理运行的Microsoft Entra Connect 服务器,请打开本文中列出的端口和 URL。

第三方信息免责声明

本文中提到的第三方产品由 Microsoft 以外的其他公司提供。 Microsoft 不对这些产品的性能或可靠性提供任何明示或暗示性担保。