Naplánujte implementaci hybridního připojení Microsoft Entra
Pokud máte místní prostředí služby Active Directory Domain Services (AD DS) a chcete připojit počítače připojené k doméně služby AD DS k Microsoft Entra ID, můžete tuto úlohu provést pomocí hybridního připojení Microsoft Entra.
Spropitné
Přístup k místním prostředkům pomocí jednotného přihlašování (SSO) je také k dispozici pro zařízení, která jsou připojena k Microsoft Entra. Další informace o tom, jak funguje jednotné přihlašování (SSO) k místním prostředkům na zařízeních připojených k Microsoft Entra, najdete v tématu .
Požadavky
Tento článek předpokládá, že znáte Úvod ke správě identit zařízení v Microsoft Entra ID.
Poznámka
Minimální požadovaná verze řadiče domény (DC) pro Windows 10 nebo novější hybridní připojení Microsoft Entra je Windows Server 2008 R2.
Hybridní zařízení připojená k Microsoftu Entra vyžadují pravidelné sledování sítě na řadiče domény. Bez tohoto připojení se zařízení stanou nepoužitelnými.
Scénáře, které se přeruší bez přímého spojení s vašimi řadiči domény, zahrnují:
- Změna hesla zařízení
- Změna hesla uživatele (přihlašovací údaje uložené v mezipaměti)
- Resetování čipu TPM (Trusted Platform Module)
Plánování implementace
Pokud chcete naplánovat hybridní implementaci Microsoft Entra, seznamte se s těmito informacemi:
- Kontrola podporovaných zařízení
- Kontrola věcí, které byste měli znát
- Přezkoumání cíleného nasazení hybridního připojení Microsoft Entra
- Vyberte scénář na základě vaší infrastruktury identit
- Přezkoumání podpory pro místní prostředí UPN (User Principal Name) v Microsoft Windows Server Active Directory pro hybridní připojení Microsoft Entra.
Kontrola podporovaných zařízení
Hybridní připojení Microsoft Entra podporuje širokou škálu zařízení s Windows.
- Windows 11
- Windows 10
- Windows Server 2016
- Poznámka: zákazníci v národním cloudu Azure vyžadují verzi 1803
- Windows Server 2019
Osvědčeným postupem je, že microsoft doporučuje upgradovat na nejnovější verzi Windows.
Kontrola věcí, které byste měli znát
Nepodporované scénáře
- Hybridní připojení Microsoft Entra není podporováno pro Windows Server s rolí řadiče domény (DC).
- Základní operační systém serveru nepodporuje žádný typ registrace zařízení.
- Nástroj pro migraci stavu uživatele (USMT) nefunguje s registrací zařízení.
Aspekty obrazování operačního systému
Pokud se spoléháte na nástroj pro přípravu systému (Sysprep) a používáte před windows 10 1809 image k instalaci, ujistěte se, že image není ze zařízení, které je už zaregistrované s Microsoft Entra ID jako hybridní připojení Microsoft Entra.
Pokud se spoléháte na snímek virtuálního počítače k vytvoření dalších virtuálních počítačů, ujistěte se, že tento snímek není z virtuálního počítače, který je již v Microsoft Entra ID zaregistrován jako hybridně připojený.
Pokud používáte sjednocený filtr zápisu a podobné technologie, které vymažou změny disku při restartování, je nutné je použít po hybridním připojení zařízení microsoft Entra. Povolení takových technologií před dokončením hybridního připojení Microsoft Entra způsobí, že se zařízení při každém restartování nepřipojí.
Zpracování zařízení registrovaných pod Microsoft Entra
Pokud jsou vaše zařízení s Windows 10 nebo novější doménou připojená microsoft Entra zaregistrovaná do vašeho tenanta, může to vést ke duálnímu stavu hybridního připojení Microsoft Entra a zaregistrovaného zařízení Microsoft Entra. Doporučujeme upgradovat na Windows 10 1803 (s použitím KB4489894) nebo novější, aby se tento scénář automaticky vyřešil. V verzích před rokem 1803 musíte před povolením hybridního připojení Microsoft Entra ručně odebrat registrovaný stav Microsoft Entra. V 1803 a novějších verzích byly provedeny následující změny, aby se zabránilo tomuto duálnímu stavu:
- Jakýkoli existující zaregistrovaný stav služby Microsoft Entra pro uživatele by se automaticky odebral po hybridním připojení zařízení k Microsoft Entra a tentýž uživatel se přihlásí. Pokud například uživatel A měl na zařízení zaregistrovaný stav Microsoft Entra, vyčistí se duální stav uživatele A pouze v případě, že se uživatel A přihlásí k zařízení. Pokud je na stejném zařízení více uživatelů, je duální stav vyčištěn jednotlivě, když se tito uživatelé přihlásí. Po odebrání registrovaného stavu pomocí Microsoft Entra Windows 10 vyřadí zařízení z registrace v Intune nebo jiné správě mobilních zařízení (MDM), pokud byla registrace provedena jako součást registrace pomocí Microsoft Entra prostřednictvím automatického zápisu.
- Tato změna nemá vliv na registrovaný stav Microsoft Entra na jakýchkoli místních účtech na zařízení. Platí pouze pro účty domény. Zaregistrovaný stav Microsoft Entra v místních účtech se automaticky neodebere ani po přihlášení uživatele, protože uživatel není uživatelem domény.
- Přidáním následující hodnoty registru do HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001 můžete zabránit tomu, aby se vaše zařízení připojené k doméně registrovalo v Microsoft Entra.
- Pokud máte ve Windows 10 1803 nakonfigurovaný Windows Hello pro firmy, musí uživatel po vyčištění duálního stavu překonfigurovat Windows Hello pro firmy. Tento problém řeší KB4512509.
Poznámka
I když Windows 10 a Windows 11 automaticky odeberou zaregistrovaný stav Microsoft Entra místně, objekt zařízení v Microsoft Entra ID se okamžitě neodstraní, pokud ho spravuje Intune. Odebrání registrovaného stavu Microsoft Entra můžete ověřit spuštěním dsregcmd /status.
Hybridní připojení Microsoft Entra pro jedinou lesní doménu, více tenantů Microsoft Entra
Aby organizace mohly zaregistrovat zařízení jako hybridní připojení Microsoft Entra pro příslušné tenanty, musí zajistit, aby se konfigurace spojovacího bodu služby (SCP) prováděla na zařízeních a ne v Microsoft Windows Server Active Directory. Další podrobnosti o tom, jak tuto úlohu provést, najdete v článku Cílové nasazení hybridního připojení Microsoft Entra. Je důležité, aby organizace pochopily, že některé funkce Microsoft Entra nefungují v konfiguracích, kde je jedna doménová struktura a více tenantů Microsoft Entra.
- Zpětný zápis u zařízení nefunguje. Tato konfigurace má vliv na podmíněný přístup založený na zařízení pro lokální aplikace federované pomocí služby AD FS. Tato konfigurace také ovlivňuje nasazení Windows Hello pro firmy při použití hybridního modelu důvěry certifikátu.
- Zpětný zápis skupin nefunguje. Tato konfigurace ovlivňuje zpětný zápis skupin Office 365 do doménové struktury s nainstalovaným Exchangem.
- bezproblémové jednotné přihlášení nefunguje. Tato konfigurace má vliv na scénáře jednotného přihlašování v organizacích používajících platformy prohlížeče, jako je iOS nebo Linux s Firefoxem, Safari nebo Chrome bez rozšíření Windows 10.
- místní ochrana heslem Microsoft Entra nefunguje. Tato konfigurace ovlivňuje schopnost provádět změny hesel a události resetování hesel u místních řadičů domény služby Active Directory Domain Services (AD DS) pomocí stejných globálních a vlastních zakázaných seznamů hesel, které jsou uložené v Microsoft Entra ID.
Další aspekty
Pokud vaše prostředí používá infrastrukturu virtuálních klientských počítačů (VDI), přečtěte si téma Identita zařízení a virtualizace plochy.
Hybridní připojení Microsoft Entra je podporováno pro standard FIPS (Federal Information Processing Standard) v souladu s TPM 2.0 a není podporováno pro TPM 1.2. Pokud vaše zařízení mají čip TPM kompatibilní s standardem FIPS 1.2, musíte je před pokračováním v hybridním připojení Microsoft Entra zakázat. Microsoft neposkytuje žádné nástroje pro zakázání režimu FIPS pro čipy TPM, protože závisí na výrobci čipu TPM. Pokud potřebujete podporu, obraťte se na hardware OEM.
Od verze Windows 10 1903 se čip TPM verze 1.2 nepoužívá s hybridním spojením Microsoft Entra a zařízení s těmito čipy TPM jsou považována za zařízení bez TPM.
Změny hlavního názvu uživatele (UPN) se podporují jenom při spuštění aktualizace Windows 10 2004. U zařízení před aktualizací Windows 10 2004 můžou mít uživatelé na svých zařízeních problémy s jednotným přihlašováním a podmíněným přístupem. Pokud chcete tento problém vyřešit, musíte zrušit spojení zařízení z Microsoft Entra ID (spustit dsregcmd /leave se zvýšenými oprávněními) a znovu se připojit (stane se automaticky). Uživatelé, kteří se přihlašují pomocí Windows Hello for Business, se s tímto problémem nesetkávají.
Kontrola cíleného hybridního připojení k systému Microsoft Entra
Organizace můžou chtít provést cílené zavedení hybridního připojení Microsoft Entra, než ho povolí pro celou organizaci. Přečtěte si článek nasazení cíleného hybridního připojení Microsoft Entra, abyste pochopili, jak toho dosáhnout.
Varování
Organizace by měly ve své pilotní skupině obsahovat ukázku uživatelů z různých rolí a profilů. Cílené zavedení pomáhá identifikovat případné problémy, které váš plán nemusí řešit, než toto zavedení povolíte pro celou organizaci.
Vyberte scénář na základě vaší infrastruktury identit
Hybridní spojení Microsoft Entra funguje s prostředími spravovanými i federovanými v závislosti na tom, jestli je UPN směrovatelný nebo nesměrovatelný. V dolní části stránky najdete tabulku podporovaných scénářů.
Spravované prostředí
Spravované prostředí je možné nasadit prostřednictvím synchronizace hodnot hash hesel (PHS) nebo předávacího ověřování (PTA) s bezproblémovým jednotným přihlašováním.
Tyto scénáře nevyžadují, abyste nakonfigurovali federační server pro ověřování (AuthN).
Poznámka
Cloudové ověřování pomocí fázovaného zavádění je podporováno od aktualizace Windows 10 1903.
Federované prostředí
Federované prostředí by mělo mít zprostředkovatele identity, který podporuje následující požadavky. Pokud máte federované prostředí využívající službu Ad FS (Active Directory Federation Services), jsou již podporovány následující požadavky.
protokol WS-Trust: Tento protokol je vyžadován pro ověřování hybridně připojených zařízení Windows společnosti Microsoft Entra pomocí Microsoft Entra ID. Pokud používáte službu AD FS, musíte povolit následující koncové body WS-Trust:
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
Varování
Oba adfs/services/trust/2005/windowstransport nebo adfs/services/trust/13/windowstransport by měly být povolené pouze jako intranetové koncové body a nesmí být zpřístupněny jako koncové body přístupné extranetu prostřednictvím proxy webových aplikací. Další informace o tom, jak zakázat koncové body systému Windows WS-Trust, najdete v tématu Zakázání koncových bodů WS-Trust Windows naproxy serveru. V části Service>Endpointsmůžete zjistit, jaké koncové body jsou povolené prostřednictvím konzoly pro správu služby AD FS.
Počínaje verzí 1.1.819.0 vám Microsoft Entra Connect poskytuje průvodce ke konfiguraci hybridního připojení Microsoft Entra. Průvodce umožňuje výrazně zjednodušit proces konfigurace. Pokud instalace požadované verze nástroje Microsoft Entra Connect není pro vás dostupná, přečtěte si téma Postup ruční konfigurace registrace zařízení. Pokud je contoso.com zaregistrovaná jako potvrzená vlastní doména, můžou uživatelé získat PRT i v případě, že jejich synchronizovaná místní přípona hlavního názvu uživatele (UPN) služby AD DS je v subdoméně, jako je test.contoso.com.
Přehled podpory UPN uživatelů lokálního Microsoft Windows Server Active Directory pro hybridní připojení Microsoft Entra
- Směrovatelný UPN (hlavní název uživatele): Směrovatelný UPN má platnou ověřenou doménu registrovanou u registrátora domén. Pokud je například contoso.com primární doménou v Microsoft Entra ID, contoso.org je primární doménou v místní doméně AD, vlastněná společností Contoso a ověřená v Microsoft Entra ID.
- Hlavní název uživatele (UPN) nesměrovatelných uživatelů: Nesměrovatelný hlavní název uživatele (UPN) nemá ověřenou doménu a je použitelný jenom v rámci privátní sítě vaší organizace. Pokud je například contoso.com primární doménou v Microsoft Entra ID a contoso.local je primární doména v místní službě AD, ale nejedná se o ověřitelnou doménu na internetu a používá se jenom v síti společnosti Contoso.
Poznámka
Informace v této části platí jenom pro uživatelské jméno (UPN) uživatelů v místní síti. Nevztahuje se na příponu místní domény počítače (příklad: computer1.contoso.local).
Následující tabulka obsahuje podrobnosti o podpoře UPN místní verze služby Microsoft Windows Server Active Directory ve Windows 10 v rámci hybridního připojení Microsoft Entra.
| Typ místního hlavního názvu uživatele služby Microsoft Windows Server Active Directory | Typ domény | Verze Windows 10 | Popis |
|---|---|---|---|
| Směrovatelný | Federalizovaný | Z verze 1703 | Obecně dostupné |
| Nesměrovatelné | Federalizovaný | od verze 1803 | Obecně dostupné |
| Směrovatelná | Spravovaný | Od verze 1803 | Obecně dostupná funkce, Microsoft Entra SSPR na uzamykací obrazovce Windows, není podporována v prostředích, kde se místní UPN (hlavní název uživatele) liší od UPN služby Microsoft Entra. Místní hlavní název uživatele (UPN) musí být synchronizovaný s atributem onPremisesUserPrincipalName v Microsoft Entra ID. |
| Nesměrovatelné | Řízen | Nepodporováno |