Megosztás a következőn keresztül:

A Microsoft Entra hibrid csatlakozás implementálásának megtervezése

  • Cikk

Ha helyszíni Active Directory Domain Services (AD DS) környezettel rendelkezik, és szeretné, hogy az AD DS tartományhoz csatlakozott számítógépei csatlakozzanak a Microsoft Entra ID-hez, ezt a feladatot a Microsoft Entra hibrid csatlakozás segítségével végezheti el.

Borravaló

A helyszíni erőforrások egyszeri bejelentkezési (SSO)-hozzáférése a Microsoft Entra által csatlakoztatott eszközök számára is elérhető. További információért lásd: Hogyan működik a helyszíni erőforrásokhoz való egyszeri bejelentkezés a Microsoft Entra által csatlakoztatott eszközökön.

Előfeltételek

Ez a cikk feltételezi, hogy ismeri a(z) Microsoft Entra ID eszközidentitás-kezelésének bevezetőjét.

Jegyzet

A Windows 10 vagy újabb Microsoft Entra hibrid illesztéshez minimálisan szükséges tartományvezérlő -verzió a Windows Server 2008 R2.

A Microsoft Entra hibrid csatlakoztatott eszközök periodikus hálózati kapcsolatot igényelnek a tartományvezérlőkhöz. A kapcsolat nélkül az eszközök használhatatlanná válnak.

Azok a forgatókönyvek, amelyek nem működnek, ha nincs közvetlen kapcsolat a tartományvezérlőkkel, magukban foglalják:

  • Eszköz jelszavának módosítása
  • Felhasználói jelszó módosítása (tárolt hitelesítő adatok)
  • A megbízható platformmodul (TPM) alaphelyzetbe állítása

Tervezzük meg a megvalósítást

A hibrid Microsoft Entra-implementáció megtervezéséhez ismerkedjen meg a következőkkel:

  • Támogatott eszközök áttekintése
  • Érdemes áttekinteni a fontos tudnivalókat
  • A Microsoft Entra hibrid csatlakozás célzott üzembe helyezésének áttekintése
  • Válassza ki a forgatókönyvet az identitásinfrastruktúra alapján
  • A Microsoft Entra hibrid csatlakozás támogatásának áttekintése a helyszíni Microsoft Windows Server Active Directory felhasználói főnév (UPN) esetében.

Támogatott eszközök áttekintése

A Microsoft Entra hibrid csatlakoztatása számos Windows-eszközt támogat.

  • Windows 11
  • Windows 10
  • Windows Server 2016
    • megjegyzés: Azure National-felhő ügyfeleinek az 1803-es verzióra van szükségük
  • Windows Server 2019

Ajánlott eljárásként a Microsoft azt javasolja, hogy frissítsen a Windows legújabb verziójára.

Érdemes áttekinteni a fontos tudnivalókat

Nem támogatott forgatókönyvek

  • A Microsoft Entra hibrid illesztése nem támogatott a tartományvezérlői szerepkört futtató Windows Server esetében.
  • A Server Core operációs rendszer semmilyen eszközregisztrációt nem támogat.
  • A User State Migration Tool (USMT) nem működik az eszközregisztrációval.

Operációsrendszer-képalkotó szempontok

  • Ha a Rendszerelőkészítő eszközre (Sysprep) támaszkodik, és a telepítéshez Windows 10 1809 előtti rendszerképet használ, győződjön meg arról, hogy a rendszerkép nem olyan eszközről származik, amely már regisztrálva van a Microsoft Entra azonosítóban Microsoft Entra hibrid csatlakozásúként.

  • Ha virtuálisgép-pillanatképre támaszkodik további virtuális gépek létrehozásához, győződjön meg arról, hogy a pillanatkép nem olyan virtuális gépről származik, amely már regisztrált a Microsoft Entra-azonosítóval a Microsoft Entra hibrid csatlakoztatásaként.

  • Ha az egyesített írási szűrőt () és hasonló technológiákat használ, amelyek újraindításkor törlik a lemez módosításait, azokat a Microsoft Entra hibrid eszköz csatlakoztatása után kell alkalmazni. Az ilyen technológiák engedélyezése a Microsoft Entra hibrid csatlakoztatásának befejezése előtt azt eredményezi, hogy az eszköz nem csatlakozik minden újraindításhoz.

Microsoft Entra-regisztrált állapotú eszközök kezelése

Ha a Windows 10 vagy újabb tartományhoz csatlakozott eszközei a Microsoft Entra regisztráltak a bérlőjéhez, az a Microsoft Entra hibrid csatlakozás és a Microsoft Entra regisztrált eszközök kettős állapotához vezethet. Javasoljuk, hogy frissítsen a Windows 10 1803-ra (KB4489894 alkalmazva) vagy újabb verzióra a forgatókönyv automatikus kezeléséhez. Az 1803 előtti kiadásokban manuálisan kell eltávolítania a Microsoft Entra regisztrált állapotát, mielőtt engedélyezi a Microsoft Entra hibrid csatlakozását. Az 1803-ban és a fenti kiadásokban a következő módosításokat hajtották végre a kettős állapot elkerülése érdekében:

  • Egy felhasználó meglévő Microsoft Entra regisztrált állapota automatikusan törlődik , miután az eszköz hibrid microsoft entra csatlakozik, és ugyanezek a felhasználói naplók. Ha például az A felhasználó regisztrált Microsoft Entra-állapottal rendelkezik az eszközön, az A felhasználó kettős állapota csak akkor törlődik, ha az A felhasználó bejelentkezik az eszközre. Ha ugyanazon az eszközön több felhasználó is található, a kettős állapot külön-külön törlődik, amikor ezek a felhasználók bejelentkeznek. Miután egy rendszergazda eltávolította a Microsoft Entra regisztrált állapotát, a Windows 10 törli az eszköz regisztrációját az Intune-ból vagy más mobileszköz-kezelésből (MDM), ha a regisztráció a Microsoft Entra regisztrációjának részeként történt automatikus regisztrációval.
  • Ez a változás nem érinti a Microsoft Entra regisztrált állapotát az eszközön található helyi fiókokon. Csak tartományi fiókokra vonatkozik. A Microsoft Entra regisztrált állapota a helyi fiókokban a felhasználói bejelentkezés után sem törlődik automatikusan, mivel a felhasználó nem tartományi felhasználó.
  • Megakadályozhatja, hogy a tartományhoz csatlakoztatott eszköz regisztrálva legyen a Microsoft Entra-ban, ha hozzáadja a következő beállításjegyzék-értéket a HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin fájlhoz: "BlockAADWorkplaceJoin"=dword:00000001.
  • A Windows 10 1803-ban, ha a Vállalati Windows Hello van konfigurálva, a felhasználónak újra kell konfigurálnia a Windows Hello vállalati verziót a kettős állapot törlése után. A probléma megoldására a KB4512509 használatos.

Jegyzet

Annak ellenére, hogy a Windows 10 és a Windows 11 automatikusan eltávolítja a Microsoft Entra regisztrált állapotát helyileg, a Microsoft Entra-azonosítóban lévő eszközobjektum nem törlődik azonnal, ha az Intune kezeli. A Microsoft Entra regisztrált állapotának eltávolítását a dsregcmd /statusfuttatásával ellenőrizheti.

Microsoft Entra hibrid csatlakozás egyetlen erdőhöz, több Microsoft Entra-bérlőhöz

Ahhoz, hogy az eszközöket hibrid Microsoft Entra-csatlakozásként regisztrálhassa a megfelelő bérlőkhöz, a szervezeteknek gondoskodniuk kell arról, hogy a szolgáltatáskapcsolati pont (SCP) konfigurációja az eszközökön történjen, és ne a Microsoft Windows Server Active Directoryban. A feladat végrehajtásával kapcsolatos további részleteket a Microsoft Entra hibrid csatlakozás célzott üzembe helyezési című cikkben talál. Fontos, hogy a szervezetek megértsék, hogy bizonyos Microsoft Entra-képességek nem működnek egyetlen erdős környezetben, ahol több Microsoft Entra-bérlő konfigurációja van.

  • eszközvisszaíró nem működik. Ez a konfiguráció az AD FS használatával összevont helyszíni alkalmazásokeszközalapú feltételes hozzáférését érinti. Ez a konfiguráció a Hibrid tanúsítványmegbízhatósági modell használatakorVállalati Windows Hello telepítésére is hatással van.
  • Csoportok visszaírása nem működik. Ez a konfiguráció hatással van az Office 365-csoportok erdőbe történő visszaírására, amelyen telepítve van az Exchange.
  • közvetlen egyszeri bejelentkezés nem működik. Ez a konfiguráció a Windows 10-bővítmény nélküli böngészőplatformokat használó szervezetek SSO-forgatókönyveit érinti, mint például az iOS vagy Linux, a Firefox, a Safari vagy a Chrome.
  • lokális Microsoft Entra Password Protection nem működik. Ez a konfiguráció hatással van a helyszíni Active Directory Domain Services (AD DS) tartományvezérlőkön történő jelszómódosítások és jelszó-visszaállítási események végrehajtására, amelyek a Microsoft Entra ID-ban tárolt ugyanazon globális és egyéni tiltott jelszólistákat használják.

Egyéb szempontok

  • Ha a környezet virtuális asztali infrastruktúrát (VDI) használ, tekintse meg a eszközazonosítást és asztali virtualizációt.

  • A Microsoft Entra hibrid illesztés támogatott a Federal Information Processing Standard (FIPS)-kompatibilis TPM 2.0 esetében, és a TPM 1.2-ben nem támogatott. Ha az eszközei fips-kompatibilis TPM 1.2-vel rendelkeznek, le kell tiltania őket a Microsoft Entra hibrid csatlakoztatásának megkezdése előtt. A Microsoft nem biztosít eszközöket a FIPS mód letiltására a TPM-ekhez, mivel az a TPM gyártójától függ. Kérjen támogatást a hardvergyártótól.

  • A Windows 10 1903-as kiadásától kezdve az 1.2-es verziójú TPM nem használható a Microsoft Entra hibrid csatlakoztatásához, és az ezekkel a TPM-ekkel rendelkező eszközök úgy lesznek kezelve, mintha nem rendelkeznének TPM-sel.

  • Az UPN-módosítások csak a Windows 10 2004-frissítéstől kezdve támogatottak. A Windows 10 2004 frissítése előtti eszközök esetében a felhasználók SSO- és feltételes hozzáféréssel kapcsolatos problémákat tapasztalhatnak az eszközeiken. A probléma megoldásához fel kell oldania az eszköz csatlakoztatását a Microsoft Entra-azonosítóból (a "dsregcmd /leave" futtatása emelt szintű jogosultságokkal) és újracsatlakozni (automatikusan megtörténik). A Vállalati Windows Hello szolgáltatásba bejelentkező felhasználók azonban nem szembesülnek ezzel a problémával.

Célzott Microsoft Entra hibrid csatlakozás áttekintése

Előfordulhat, hogy a szervezetek szeretnének a Microsoft Entra hibrid csatlakozás célzott bevezetése előtt engedélyezni azt a teljes szervezet számára. Olvassa el a Microsoft Entra hibrid csatlakozás célzott üzembe helyezéséről szóló cikket, hogy megtudja, hogyan valósítható meg.

Figyelmeztetés

A szervezeteknek mintaként kell tartalmazniuk a különböző szerepkörökből és profilokból származó felhasználókat a próbacsoportjukban. A célzott bevezetés segít azonosítani azokat a problémákat, amelyekkel a terv nem foglalkozik, mielőtt engedélyezné a teljes szervezet számára.

Válassza ki a forgatókönyvet az identitásinfrastruktúra alapján

A Microsoft Entra hibrid csatlakozás mind felügyelt, mind pedig összevont környezetekben működik, attól függően, hogy az UPN továbbítható vagy nem továbbítható. A támogatott forgatókönyvekről a lap alján talál táblázatot.

Felügyelt környezet

A felügyelt környezetek üzembe helyezhetők Jelszókivonat-szinkronizálás (PHS) vagy átmenő hitelesítés (PTA)közvetlen egyszeri bejelentkezés.

Ezekhez a forgatókönyvekhez nem szükséges összevonási kiszolgálót konfigurálnia hitelesítéshez (AuthN).

Jegyzet

A felhőalapú hitelesítés szakaszos bevezetés használata csak a Windows 10 1903 frissítéstől kezdve támogatott.

Összevont környezet

Az összevont környezetnek rendelkeznie kell egy identitásszolgáltatóval, amely támogatja az alábbi követelményeket. Ha összevont környezettel rendelkezik az Active Directory összevonási szolgáltatások (AD FS) használatával, akkor az alábbi követelmények már támogatottak.

WS-Trust protokoll: Ez a protokoll szükséges a Microsoft Entra hibrid csatlakoztatott Windows-eszközök Microsoft Entra-azonosítóval való hitelesítéséhez. Az AD FS használatakor engedélyeznie kell a következő WS-Trust végpontokat:

/adfs/services/trust/2005/windowstransport /adfs/services/trust/13/windowstransport /adfs/services/trust/2005/usernamemixed /adfs/services/trust/13/usernamemixed /adfs/services/trust/2005/certificatemixed /adfs/services/trust/13/certificatemixed

Figyelmeztetés

Az adfs/services/trust/2005/windowstransport vagy adfs/services/trust/13/windowstransport csak intranetes végpontként engedélyezett, és NEM szabad mint extranetes végpontként a webalkalmazás-proxyn keresztül kitenni. A WS-Trust Windows-végpontok letiltásáról további információt a következő hivatkozáson talál: WS-Trust Windows-végpontok letiltása aproxy-n. Az AD FS felügyeleti konzolon, a Service>Endpointsalatt láthatja, hogy mely végpontok vannak engedélyezve.

Az 1.1.819.0-s verziótól kezdve a Microsoft Entra Connect egy varázslóval konfigurálja a Microsoft Entra hibrid csatlakozást. A varázslóval jelentősen leegyszerűsítheti a konfigurációs folyamatot. Ha a Microsoft Entra Connect szükséges verziójának telepítése nem lehetséges, olvassa el Eszközregisztráció manuális konfigurálásacímű témakört. Ha contoso.com igazolt egyéni tartományként van regisztrálva, a felhasználók akkor is lekérhetnek egy PRT-t, ha a szinkronizált helyszíni AD DS UPN-utótag egy olyan altartományban található, mint a test.contoso.com.

Tekintse át a Microsoft Windows Server Active Directory helyszíni felhasználóinak upN-támogatását a Microsoft Entra hibrid csatlakozáshoz

  • Routable users UPN: A routable UPN érvényes ellenőrzött tartománnyal rendelkezik, amely regisztrálva van egy tartományregisztrálónál. Ha például a contoso.com a Microsoft Entra ID elsődleges tartománya, a contoso.org pedig a Contoso tulajdonában lévő helyszíni AD elsődleges tartománya, és -ként van igazolva a Microsoft Entra ID-ben.
  • Nem átirányítható felhasználók UPN: A nem átirányítható UPN-ek nem rendelkeznek ellenőrzött tartománnyal, és csak a szervezet magánhálózatán belül alkalmazhatók. Ha például contoso.com a Microsoft Entra ID elsődleges tartománya, és a contoso.local a helyszíni AD elsődleges tartománya, de nem ellenőrizhető tartomány az interneten, és csak a Contoso hálózatán belül használatos.

Jegyzet

Az ebben a szakaszban szereplő információk csak a helyszíni felhasználók UPN-jeire vonatkoznak. Nem alkalmazható helyszíni számítógép-tartomány utótagjára (például: computer1.contoso.local).

Az alábbi táblázat részletesen ismerteti a Windows 10 Microsoft Entra hibrid csatlakoztatásának helyszíni Microsoft Windows Server Active Directory UPN-jeinek támogatását:

A helyszíni Microsoft Windows Server Active Directory UPN típusa Tartomány típusa Windows 10-es verzió Leírás
Irányítható Összevont 1703-ból származó kiadás Általánosan elérhető
Nem átirányítható Összevont Az 1803-ból származó kiadás Általánosan elérhető
Routable Kezelt 1803-ból származó kiadás Általánosan elérhető, a Microsoft Entra SSPR windowsos zárolási képernyőn nem támogatott olyan környezetekben, ahol a helyszíni UPN eltér a Microsoft Entra UPN-től. A helyszíni UPN-et szinkronizálni kell a Microsoft Entra ID onPremisesUserPrincipalName attribútumával
Nem átirányítható Kezelt Nem támogatott

Következő lépések