Rencanakan implementasi join hibrid Microsoft Entra Anda
Jika Anda memiliki lingkungan Active Directory Domain Services (AD DS) lokal dan ingin menghubungkan komputer yang sudah terhubung ke domain AD DS ke Microsoft Entra ID, Anda dapat menyelesaikan tugas ini dengan melakukan penggabungan hibrid Microsoft Entra.
Saran
Akses menyeluruh (SSO) ke sumber daya lokal juga tersedia untuk perangkat yang bergabung dengan Microsoft Entra. Untuk informasi selengkapnya, lihat Cara kerja SSO ke sumber daya lokal di perangkat yang bergabung dengan Microsoft Entra.
Prasyarat
Artikel ini mengasumsikan bahwa Anda terbiasa dengan Pengenalan pengelolaan identitas perangkat di Microsoft Entra ID.
Nota
Versi pengontrol domain (DC) minimum yang diperlukan untuk Windows 10 atau gabungan hibrid Microsoft Entra yang lebih baru adalah Windows Server 2008 R2.
Perangkat tergabung hibrid Microsoft Entra memerlukan koneksi langsung jaringan berkala ke pengontrol domain Anda. Tanpa koneksi ini, perangkat menjadi tidak dapat digunakan.
Skenario yang gagal tanpa adanya garis pandang langsung ke pengontrol domain Anda meliputi:
- Perubahan kata sandi perangkat
- Penggantian kata sandi pengguna (Kredensial di-cache)
- Reset Modul Platform Tepercaya (TPM)
Rencanakan implementasi Anda
Untuk merencanakan implementasi Microsoft Entra hibrid Anda, biasakan diri Anda dengan:
- Meninjau perangkat yang didukung
- Tinjau hal-hal yang harus Anda ketahui
- Meninjau penyebaran gabungan hibrid Microsoft Entra yang ditargetkan
- Pilih skenario Anda berdasarkan infrastruktur identitas Anda
- Tinjau dukungan nama prinsipal pengguna (UPN) Microsoft Windows Server Active Directory lokal untuk gabungan hibrid Microsoft Entra
Meninjau perangkat yang didukung
Gabungan hibrid Microsoft Entra mendukung berbagai perangkat Windows.
- Windows 11
- Windows 10
- Windows Server 2016
- Catatan: pelanggan cloud Azure National memerlukan versi 1803
- Windows Server 2019
Sebagai praktik terbaik, Microsoft menyarankan Anda meningkatkan ke versi terbaru Windows.
Tinjau hal-hal yang harus Anda ketahui
Skenario yang tidak didukung
- Gabungan hibrid Microsoft Entra tidak didukung untuk Windows Server yang menjalankan peran Pengendali Domain (DC).
- OS Inti Server tidak mendukung jenis pendaftaran perangkat apa pun.
- Alat Migrasi Status Pengguna (USMT) tidak berfungsi dengan pendaftaran perangkat.
Pertimbangan pencitraan OS
Jika Anda mengandalkan Alat Persiapan Sistem (Sysprep) dan menggunakan citra pra-Windows 10 1809 untuk penginstalan, pastikan citra tersebut bukan berasal dari perangkat yang sudah terdaftar sebagai tergabung hibrid dengan Microsoft Entra ID.
Jika Anda mengandalkan rekam jepret Komputer Virtual (VM) untuk membuat lebih banyak VM, pastikan bahwa rekam jepret bukan dari VM yang sudah terdaftar di MICROSOFT Entra ID sebagai gabungan hibrid Microsoft Entra.
Jika Anda menggunakan Filter Tulis Terpadu dan teknologi serupa yang menghapus perubahan pada disk saat reboot, teknologi tersebut harus diterapkan setelah perangkat bergabung secara hybrid dengan Microsoft Entra. Mengaktifkan teknologi tersebut sebelum penyelesaian gabungan hibrid Microsoft Entra menyebabkan perangkat terlepas setiap kali restart.
Menangani perangkat dengan status terdaftar Microsoft Entra
Jika perangkat yang bergabung dengan domain Windows 10 atau yang lebih baru terdaftar Microsoft Entra ke tenant Anda, itu mungkin menyebabkan status ganda dari perangkat Microsoft Entra Hybrid Joined dan perangkat Microsoft Entra Registered. Sebaiknya tingkatkan ke Windows 10 1803 (dengan KB4489894 diterapkan) atau yang lebih baru untuk mengatasi skenario ini secara otomatis. Dalam rilis pra-1803, Anda perlu menghapus status terdaftar Microsoft Entra secara manual sebelum mengaktifkan penyatuan hibrida Microsoft Entra. Pada rilis tahun 1803 ke atas, perubahan berikut dilakukan untuk menghindari status ganda ini:
- Status terdaftar Microsoft Entra yang ada untuk pengguna akan dihapus secara otomatis setelah perangkat dihubungkan ke hibrid Microsoft Entra dan pengguna yang sama masuk. Misalnya, jika Pengguna A memiliki status terdaftar Microsoft Entra pada perangkat, status ganda untuk Pengguna A dibersihkan hanya saat Pengguna A masuk ke perangkat. Jika ada beberapa pengguna pada perangkat yang sama, status ganda dibersihkan satu per satu saat pengguna tersebut masuk. Setelah admin menghapus status terdaftar Microsoft Entra, Windows 10 akan membatalkan pendaftaran perangkat dari Intune atau manajemen perangkat seluler (MDM) lainnya, jika pendaftaran terjadi sebagai bagian dari pendaftaran Microsoft Entra melalui pendaftaran otomatis.
- Status terdaftar Microsoft Entra pada akun lokal apa pun di perangkat tidak terpengaruh oleh perubahan ini. Hanya berlaku untuk akun domain. Status terdaftar Microsoft Entra di akun lokal tidak dihapus secara otomatis bahkan setelah pengguna masuk, karena pengguna bukan pengguna domain.
- Anda dapat mencegah perangkat yang bergabung dengan domain Anda untuk terdaftar di Microsoft Entra dengan menambahkan nilai registri berikut ke HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001.
- Di Windows 10 1803, jika Anda mengonfigurasi Windows Hello for Business, pengguna perlu mengonfigurasi ulang Windows Hello untuk Bisnis setelah pembersihan status ganda. Masalah ini diatasi dengan KB4512509.
Nota
Meskipun Windows 10 dan Windows 11 secara otomatis menghapus status terdaftar Microsoft Entra secara lokal, objek perangkat di MICROSOFT Entra ID tidak segera dihapus jika dikelola oleh Intune. Anda dapat memvalidasi penghapusan status terdaftar Microsoft Entra dengan menjalankan dsregcmd /status.
Penyatuan hibrid Microsoft Entra untuk satu forest, beberapa penyewa Microsoft Entra
Untuk mendaftarkan perangkat sebagai gabungan hibrid Microsoft Entra ke penyewa masing-masing, organisasi perlu memastikan bahwa konfigurasi Titik Koneksi Layanan (SCP) dilakukan pada perangkat dan bukan di Microsoft Windows Server Active Directory. Detail selengkapnya tentang cara menyelesaikan tugas ini dapat ditemukan dalam artikel penyebaran yang ditargetkan gabungan hibrid Microsoft Entra. Penting bagi organisasi untuk memahami bahwa kemampuan Microsoft Entra tertentu tidak berfungsi dalam konfigurasi satu hutan dengan beberapa penyewa Microsoft Entra.
- Penulisan balik perangkat tidak berfungsi. Konfigurasi ini memengaruhi Akses Bersyarat berbasis Perangkat untuk aplikasi lokal yang difederasikan menggunakan AD FS. Konfigurasi ini juga memengaruhi implementasi Windows Hello for Business saat menggunakan model Kepercayaan Sertifikat Hibrida.
- Penulisan balik Grup tidak berfungsi. Konfigurasi ini memengaruhi pengembalian Grup Office 365 ke forest yang terpasang Exchange.
- Seamless SSO tidak berfungsi. Konfigurasi ini memengaruhi skenario SSO di organisasi yang menggunakan platform browser seperti iOS atau Linux dengan Firefox, Safari, atau Chrome tanpa ekstensi Windows 10.
- Perlindungan Kata Sandi Microsoft Entra lokal tidak berfungsi. Konfigurasi ini memengaruhi kemampuan untuk melakukan perubahan kata sandi dan peristiwa reset kata sandi terhadap pengendali domain Active Directory Domain Services (AD DS) lokal menggunakan daftar kata sandi terlarang global dan kustom yang sama yang disimpan di ID Microsoft Entra.
Pertimbangan lain
Jika lingkungan Anda menggunakan infrastruktur desktop virtual (VDI), lihat Identitas perangkat dan virtualisasi desktop.
Penyatuan hibrid Microsoft Entra didukung dengan TPM 2.0 yang memenuhi Standar Pemrosesan Informasi Federal (FIPS), tetapi tidak untuk TPM 1.2. Jika perangkat Anda memiliki TPM 1.2 yang mematuhi FIPS, Anda harus menonaktifkannya sebelum melakukan penyambungan hibrida Microsoft Entra. Microsoft tidak menyediakan alat apa pun untuk menonaktifkan mode FIPS untuk TPM karena bergantung pada produsen TPM. Hubungi OEM perangkat keras Anda untuk dukungan.
Mulai dari rilis Windows 10 1903, versi TPM 1.2 tidak digunakan dengan penggabungan hibrida Microsoft Entra dan perangkat yang memiliki TPM tersebut diperlakukan seolah-olah tidak memiliki TPM.
Perubahan UPN hanya didukung mulai pembaruan Windows 10 2004. Untuk perangkat sebelum pembaruan Windows 10 2004, pengguna dapat mengalami masalah SSO dan Akses Bersyarat di perangkat mereka. Untuk mengatasi masalah ini, Anda perlu melepas perangkat dari Microsoft Entra ID (jalankan "dsregcmd /leave" dengan hak administrator) dan menghubungkan ulang (terjadi secara otomatis). Namun, pengguna yang masuk dengan Windows Hello for Business tidak menghadapi masalah ini.
Meninjau gabungan hibrid Microsoft Entra yang ditargetkan
Organisasi mungkin ingin melakukan peluncuran bertahap untuk gabungan hibrid Microsoft Entra sebelum mengaktifkannya untuk seluruh organisasi. Tinjau artikel penyebaran gabungan hibrida Microsoft Entra yang ditargetkan untuk memahami cara menyelesaikannya.
Peringatan
Organisasi harus menyertakan sampel pengguna dari berbagai peran dan profil dalam grup pilot mereka. Peluncuran yang terfokus membantu mengidentifikasi masalah apa pun yang mungkin tidak ditangani oleh rencana Anda sebelum Anda menerapkan ke seluruh organisasi.
Pilih skenario Anda berdasarkan infrastruktur identitas Anda
Gabungan hibrid Microsoft Entra berfungsi pada lingkungan yang dikelola dan terfederasi, bergantung pada apakah UPN tersebut dapat dirutekan atau tidak. Lihat bagian bawah halaman untuk tabel tentang skenario yang didukung.
Lingkungan terkelola
Lingkungan terkelola dapat disebarkan baik melalui Sinkronisasi Hash Kata Sandi (PHS) atau Otentikasi Pass-Through (PTA) dengan Single sign-on tanpa hambatan .
Skenario ini tidak mengharuskan Anda mengonfigurasi server federasi untuk autentikasi (AuthN).
Nota
Autentikasi Cloud menggunakan peluncuran bertahap hanya didukung mulai dari pembaruan Windows 10 1903.
Lingkungan Terefederasi
Lingkungan federasi harus memiliki Penyedia Identitas yang mendukung persyaratan berikut. Jika Anda memiliki lingkungan federasi menggunakan Layanan Federasi Direktori Aktif (AD FS), persyaratan di bawah ini sudah didukung.
protokol WS-Trust: Protokol ini diperlukan untuk mengautentikasi perangkat Windows gabungan hibrid Microsoft Entra dengan ID Microsoft Entra. Saat Anda menggunakan AD FS, Anda perlu mengaktifkan titik akhir WS-Trust berikut:
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
Peringatan
Baik adfs/services/trust/2005/windowstransport atau adfs/services/trust/13/windowstransport harus diaktifkan sebagai intranet yang menghadap titik akhir saja dan TIDAK boleh diekspos sebagai ekstranet yang menghadap titik akhir melalui Proksi Aplikasi Web. Untuk mempelajari selengkapnya tentang cara menonaktifkan titik akhir Windows WS-Trust, lihat Menonaktifkan titik akhir Windows WS-Trust pada proksi. Anda dapat melihat titik akhir mana yang diaktifkan melalui konsol manajemen AD FS di bawah Layanan >Titik Akhir.
Dimulai dengan versi 1.1.819.0, Microsoft Entra Connect memberi Anda panduan untuk mengonfigurasi gabungan hibrid Microsoft Entra. Wizard memungkinkan Anda menyederhanakan proses konfigurasi secara signifikan. Jika menginstal versi Microsoft Entra Connect yang diperlukan bukan opsi untuk Anda, lihat Cara mengonfigurasi pendaftaran perangkat secara manual. Jika contoso.com terdaftar sebagai domain kustom yang dikonfirmasi, pengguna bisa mendapatkan PRT bahkan jika akhiran UPN AD DS lokal yang disinkronkan berada dalam subdomain seperti test.contoso.com.
Tinjau dukungan UPN pengguna Microsoft Windows Server Active Directory lokal untuk gabungan hibrid Microsoft Entra
- UPN pengguna yang dapat dirutekan: UPN yang dapat dirutekan memiliki domain terverifikasi yang sah dan terdaftar di pencatat domain. Misalnya, jika contoso.com adalah domain utama di Microsoft Entra ID, contoso.org adalah domain utama di AD lokal yang dimiliki oleh Contoso dan diverifikasi di Microsoft Entra ID.
- UPN pengguna yang tidak dapat dialihkan: UPN yang tidak dapat dialihkan tidak memiliki domain terverifikasi dan hanya berlaku dalam jaringan privat organisasi Anda. Misalnya, jika contoso.com adalah domain utama di MICROSOFT Entra ID dan contoso.local adalah domain utama di AD lokal tetapi bukan domain yang dapat diverifikasi di internet dan hanya digunakan dalam jaringan Contoso.
Nota
Informasi di bagian ini hanya berlaku untuk UPN pengguna lokal. Ini tidak berlaku untuk akhiran domain komputer lokal (misalnya: computer1.contoso.local).
Tabel berikut ini menyediakan detail tentang dukungan untuk UPN Microsoft Windows Server Active Directory lokal ini di gabungan hibrid Microsoft Entra Windows 10:
| Jenis UPN Microsoft Windows Server Active Directory lokal | Jenis domain | Versi Windows 10 | Deskripsi |
|---|---|---|---|
| Dapat dirutekan | Berbasis Federasi | Dari rilis 1703 | Tersedia secara umum |
| Tidak dapat dirutekan | Terfederasi | Dari rilis 1803 | Tersedia secara umum |
| Dirutekan | Dikelola | Sejak rilis 1803 | Umumnya tersedia, Microsoft Entra SSPR pada layar kunci Windows tidak didukung di lingkungan di mana UPN lokal berbeda dari UPN Microsoft Entra. UPN lokal harus disinkronkan ke atribut onPremisesUserPrincipalName di ID Microsoft Entra |
| Tidak dapat dialihkan | Dikelola | Tidak didukung |
Langkah berikutnya
- Mengonfigurasi gabungan hibrid Microsoft Entra