Поделиться через


Настройка гибридного соединения Microsoft Entra

Подключение устройств к идентификатору Microsoft Entra обеспечивает максимальную производительность пользователей с помощью единого входа в облаке и локальных ресурсах. В то же время вы можете защитить доступ к ресурсам с помощью условного доступа.

Предварительные условия

  • Microsoft Entra Connect версии 1.1.819.0 или более поздней.
    • Не исключайте атрибуты устройства по умолчанию из конфигурации синхронизации Microsoft Entra Connect. Дополнительные сведения об атрибутах устройств по умолчанию, синхронизированных с идентификатором Microsoft Entra Connect, см. в статье "Атрибуты, синхронизированные Microsoft Entra Connect".
    • Если объекты компьютеров устройств, которые вы хотите присоединить к гибридному устройству Microsoft Entra, принадлежат определённым организационным единицам (ОЕ), настройте синхронизацию нужных ОЕ в Microsoft Entra Connect. Дополнительные сведения о синхронизации объектов компьютеров с помощью Microsoft Entra Connect см. в разделе "Фильтрация на основе подразделения".
  • Учетные данные администратора гибридной идентичности для тенанта Microsoft Entra.
  • Учетные данные администратора предприятия для каждого локального леса доменов в службах Active Directory.
  • (Для федеративных доменов) По крайней мере Windows Server 2012 R2 с установленными Active Directory Federation Services (AD FS).
  • Пользователи могут зарегистрировать свои устройства с помощью идентификатора Microsoft Entra. Дополнительные сведения об этом параметре можно найти в разделе Настройка параметров устройств в статье Настройка параметров устройств.

Требования к сетевому подключению.

Для гибридного присоединения к Microsoft Entra требуется, чтобы у устройств был доступ к следующим ресурсам Майкрософт из сети организации:

  • https://enterpriseregistration.windows.net
  • https://login.microsoftonline.com
  • https://device.login.microsoftonline.com
  • https://autologon.microsoftazuread-sso.com (если вы используете или планируете использовать бесшовный единый вход).
  • Служба токенов безопасности вашей организации (STS) (для федеративных доменов).

Предупреждение

Если в организации используются прокси-серверы, которые перехватывают SSL-трафик для таких сценариев, как предотвращение потери данных или ограничения для арендаторов Microsoft Entra, убедитесь, что трафик на https://device.login.microsoftonline.com и https://enterpriseregistration.windows.net исключен из режима разрыва и проверки TLS. Не исключение этих URL-адресов может привести к вмешательству в проверку подлинности клиентских сертификатов, возникновению проблем с регистрацией устройств и условным доступом на основе устройств.

Если вашей организации требуется доступ к Интернету через исходящий прокси-сервер, можно использовать автоматическое обнаружение веб-прокси (WPAD) для включения Windows 10 или более новых компьютеров для регистрации устройств с помощью идентификатора Microsoft Entra. Если возникли проблемы при настройке и управлении WPAD, см. статью об устранении неполадок с автоматическим обнаружением здесь.

Если вы не используете WPAD, параметры прокси-сервера WinHTTP можно настроить на компьютере с помощью объекта групповой политики (GPO), начиная с Windows 10 версии 1709. Дополнительные сведения см. в статье Развертывание параметров прокси-сервера WinHTTP с помощью объекта групповой политики.

Примечание.

Если вы настроите параметры прокси-сервера на компьютере с помощью параметров WinHTTP, любые компьютеры, которым не удается подключиться к настроенному прокси-серверу, не смогут подключиться к Интернету.

Если вашей организации требуется доступ в Интернет через исходящий прокси-сервер с аутентификацией, необходимо убедиться, что ваши компьютеры с Windows 10 или более поздней версии могут успешно пройти проверку подлинности на этом прокси-сервере. Так как компьютеры с Windows 10 или более поздней версии выполняют регистрацию устройства с использованием контекста компьютера, необходимо настроить проверку подлинности для исходящего прокси-сервера с использованием контекста компьютера. Обратитесь к поставщику исходящего прокси-сервера, чтобы узнать требования к конфигурации.

Проверьте, есть ли у устройств доступ к указанным выше ресурсам Майкрософт под системной учетной записью с помощью скрипта проверки подключения при регистрации устройств.

Управляемые домены

Мы считаем, что большинство организаций развертывают гибридное соединение Microsoft Entra с управляемыми доменами. Управляемые домены используют синхронизацию хэша паролей (PHS) или сквозную проверку подлинности (PTA) с простым единым входом. В сценариях с управляемыми доменами не нужно настраивать сервер федерации.

Настройка гибридного соединения Microsoft Entra с помощью Microsoft Entra Connect для управляемого домена:

  1. Откройте Microsoft Entra Connect и нажмите кнопку "Настроить".

  2. На странице Дополнительные задачи выберите раздел Настройка параметров устройств, а затем нажмите кнопку Далее.

  3. В разделе Обзор нажмите кнопку Далее.

  4. В разделе "Подключение к Microsoft Entra ID" введите учетные данные администратора гибридного удостоверения для вашего клиента Microsoft Entra.

  5. В параметрах устройства выберите "Настройка гибридного соединения Microsoft Entra" и нажмите кнопку "Далее".

  6. На странице Операционные системы устройств выберите операционные системы, используемые устройствами в вашей среде Active Directory, и нажмите кнопку Далее.

  7. В конфигурации SCP, для каждого леса, где вы хотите, чтобы Microsoft Entra Connect настроил точку подключения службы (SCP), выполните следующие действия и нажмите Далее.

    1. Щелкните Лес.
    2. Выберите Служба проверки подлинности.
    3. Выберите Добавить, чтобы ввести учетные данные администратора предприятия.

    Снимок экрана: Microsoft Entra Connect и параметры настройки SCP в управляемом домене.

  8. На странице Готово к настройке нажмите кнопку Настроить.

  9. На странице Конфигурация завершена нажмите кнопку Выйти.

Федеративные домены

В федеративной среде должен быть поставщик удостоверений, поддерживающий следующие требования. Если у вас есть федеративная среда с использованием служб федерации Active Directory (AD FS), то приведённые ниже требования уже поддерживаются.

  • протокол WS-Trust: этот протокол необходим для проверки подлинности гибридных устройств, присоединенных к Microsoft Entra, с помощью идентификатора Microsoft Entra. При использовании AD FS нужно включить следующие конечные точки WS-Trust:
    • /adfs/services/trust/2005/windowstransport
    • /adfs/services/trust/13/windowstransport
    • /adfs/services/trust/2005/usernamemixed
    • /adfs/services/trust/13/usernamemixed
    • /adfs/services/trust/2005/certificatemixed
    • /adfs/services/trust/13/certificatemixed

Предупреждение

Также нужно включить adfs/services/trust/2005/windowstransport и adfs/services/trust/13/windowstransport, но только в качестве конечных точек с подключением к интрасети. Их НЕЛЬЗЯ предоставлять как конечные точки с подключением к экстрасети через прокси-сервер веб-приложения. Дополнительные сведения см. в статье об отключении конечных точек WS-Trust в Windows на прокси-сервере. В разделе Служба>Конечные точки вы можете увидеть, какие конечные точки активированы в консоли управления AD FS.

Настройка гибридного соединения Microsoft Entra с помощью Microsoft Entra Connect для федеративной среды:

  1. Откройте Microsoft Entra Connect и нажмите кнопку "Настроить".

  2. На странице Дополнительные задачи выберите Настройка параметров устройств, а затем Далее.

  3. На странице обзора нажмите кнопку Далее.

  4. На странице «Подключение к Microsoft Entra ID» введите учетные данные Администратора гибридного удостоверения для вашего клиента Microsoft Entra, а затем нажмите кнопку «Далее».

  5. На странице параметров устройства выберите "Настройка гибридного соединения Microsoft Entra" и нажмите кнопку "Далее".

  6. На странице SCP выполните приведенные ниже действия, а затем выберите Далее:

    1. Выберите лес.
    2. Выберите службу аутентификации. Необходимо выбрать сервер AD FS, если только у вашей организации нет исключительно клиентов Windows 10 или более новых, и вы не настраиваете синхронизацию компьютеров и устройств, или если ваша организация не использует бесшовный единый вход.
    3. Выберите Добавить, чтобы ввести учетные данные администратора предприятия.

    Снимок экрана: Microsoft Entra Connect и параметры настройки SCP в федеративном домене.

  7. На странице Операционные системы устройств выберите операционные системы, используемые устройствами в вашей среде Active Directory, и нажмите кнопку Далее.

  8. На странице Настройка службы федерации введите учетные данные администратора AD FS и нажмите кнопку Далее.

  9. На странице Готово к настройке выберите Настроить.

  10. На странице Конфигурация завершена выберите Выйти.

Предостережения, касающиеся федерации

Начиная с Windows 10 версии 1803, если немедленное гибридное присоединение Microsoft Entra в федеративной среде через службу федерации не удается, осуществляется синхронизация объекта компьютера в Microsoft Entra ID с помощью Microsoft Entra Connect для завершения регистрации устройства для гибридного присоединения Microsoft Entra.

Другие сценарии

Организации могут протестировать гибридное присоединение Microsoft Entra в части своей инфраструктуры до полного развертывания. Действия по завершению целевого развертывания вы можете найти в статье Microsoft Entra hybrid join targeted deployment. Организации должны включить выборку пользователей из различных ролей и профилей в эту пилотную группу. Целевое развертывание помогает определить все проблемы, которые ваш план может не решить, прежде чем включить всю организацию.

Некоторые организации могут не использовать Microsoft Entra Connect для настройки AD FS. Шаги по ручной настройке утверждений можно найти в статье «Настройка гибридного подключения Microsoft Entra вручную».

Облако для государственных организаций США (включительно GCCHigh и DoD)

Для организаций в Azure Government гибридное соединение Microsoft Entra требует, чтобы устройства имели доступ к следующим ресурсам Microsoft из сети вашей организации.

  • https://enterpriseregistration.windows.net иhttps://enterpriseregistration.microsoftonline.us
  • https://login.microsoftonline.us
  • https://device.login.microsoftonline.us
  • https://autologon.microsoft.us (если вы используете или планируете использовать бесшовный единый вход).

Диагностика и исправление неисправностей гибридного соединения Microsoft Entra

Если возникают проблемы с завершением гибридного соединения Microsoft Entra для устройств Windows, присоединенных к домену, см.: