Запланируйте внедрение гибридного соединения Microsoft Entra
Если у вас есть локальная среда доменных служб Active Directory (AD DS) и вы хотите присоединить компьютеры, присоединенные к домену AD DS, к идентификатору Microsoft Entra, вы можете выполнить эту задачу, выполнив гибридное присоединение к Microsoft Entra.
Совет
Единый вход (SSO) к локальным ресурсам также доступен для устройств, подключенных к Microsoft Entra. Дополнительные сведения см. в статье Как работает единый вход в локальные ресурсы на устройствах, подключенных к Microsoft Entra.
Необходимые условия
В этой статье предполагается, что вы знакомы с введением в управление удостоверениями устройств в Microsoft Entra ID.
Заметка
Минимальная требуемая версия контроллера домена (DC) для гибридного соединения Windows 10 или более поздней версии Microsoft Entra — Windows Server 2008 R2.
Для гибридных устройств, присоединенных к Microsoft Entra, требуются периодические сетевые линии видимости для контроллеров домена. Без этого подключения устройства становятся неиспользуемыми.
К сценариям, которые не работают при отсутствии прямой видимости контроллеров домена, относятся:
- Изменение пароля устройства
- Изменение пароля пользователя (кэшированные учетные данные)
- Сброс доверенного платформенного модуля (TPM)
Планирование реализации
Чтобы запланировать гибридную реализацию Microsoft Entra, ознакомьтесь со следующими сведениями:
- Просмотр поддерживаемых устройств
- Обзор информации, которую вам следует знать
- Обзор таргетированного развертывания гибридного соединения Microsoft Entra
- Выберите сценарий на основе вашей идентифицирующей инфраструктуры
- Проверка поддержки локального имени участника-пользователя Microsoft Windows Server Active Directory (UPN) для гибридного соединения Microsoft Entra
Просмотр поддерживаемых устройств
Гибридное соединение Microsoft Entra поддерживает широкий спектр устройств Windows.
- Windows 11
- Windows 10
- Windows Server 2016
- Примечание. для клиентов с национальным облаком Azure требуется версия 1803
- Windows Server 2019
Microsoft настоятельно рекомендует вам обновить Windows до последней версии для достижения наилучших результатов.
Ознакомьтесь с информацией, которую вам необходимо знать
Неподдерживаемые сценарии
- Гибридное соединение Microsoft Entra не поддерживается для Windows Server с ролью контроллера домена (DC).
- ОС Server Core не поддерживает регистрацию устройств.
- Утилита миграции пользовательского состояния (USMT) не работает с регистрацией устройств.
Рекомендации по визуализации ОС
Если вы используете средство подготовки системы (Sysprep) и используете образ до Windows 10 1809 для установки, убедитесь, что образ не зарегистрирован с устройства с идентификатором Microsoft Entra в качестве гибридного соединения Microsoft Entra.
Если вы полагаетесь на моментальный снимок виртуальной машины для создания дополнительных виртуальных машин, убедитесь, что этот моментальный снимок не является снимком виртуальной машины, которая уже зарегистрирована в Microsoft Entra ID как гибридно присоединённая к Microsoft Entra.
Если вы используете единый фильтр записи и аналогичные технологии, которые очищают изменения диска при перезагрузке, они должны применяться после того, как устройство будет присоединено к гибридному соединению с Microsoft Entra. Включение подобных технологий до завершения гибридного соединения Microsoft Entra приводит к тому, что устройство разъединяется при каждой перезагрузке.
Обработка устройств, зарегистрированных в системе Microsoft Entra
Если устройства, присоединенные к домену Windows 10 или более поздней версии, зарегистрированные Microsoft Entra в клиенте, это может привести к двойному состоянию гибридного соединения Microsoft Entra и зарегистрированного устройства Microsoft Entra. Мы рекомендуем выполнить обновление до Windows 10 1803 (с применением KB4489894) или более поздней версии для автоматического решения этого сценария. В выпусках до 1803 необходимо вручную удалить зарегистрированное состояние Microsoft Entra перед включением гибридного соединения Microsoft Entra. В выпусках 1803 и выше были внесены следующие изменения, чтобы избежать этого двойного состояния:
- Любое существующее зарегистрированное состояние Microsoft Entra у пользователя будет автоматически удалено после того, как устройство будет присоединено к гибридной сети Microsoft Entra и этот же пользователь выполнит вход. Например, если у пользователя A на устройстве зарегистрировано состояние Microsoft Entra, двойное состояние для пользователя A очищается только при входе пользователя A на устройство. При наличии нескольких пользователей на одном устройстве двойное состояние очищается по отдельности при входе этих пользователей. После удаления зарегистрированного состояния Microsoft Entra Windows 10 аннулирует регистрацию устройства в Intune или другом управлении мобильными устройствами (MDM), если регистрация произошла в рамках регистрации Microsoft Entra с помощью автоматической регистрации.
- Состояние зарегистрированных учетных записей Microsoft Entra на любых локальных учетных записях на устройстве не изменится из-за этого. Применимо только к учетным записям домена. Зарегистрированное состояние Microsoft Entra в локальных учетных записях не удаляется автоматически даже после входа пользователя, так как пользователь не является пользователем домена.
- Вы можете предотвратить регистрацию устройства, подключенного к домену, путем добавления следующего значения реестра в HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001.
- В Windows 10 1803, если у вас уже настроено Windows Hello для бизнеса, пользователю необходимо перенастроить Windows Hello для бизнеса после устранения двойного состояния. Эта проблема устранена с помощью KB4512509.
Заметка
Несмотря на то, что Windows 10 и Windows 11 автоматически удаляют зарегистрированное состояние в Microsoft Entra локально, объект устройства в Microsoft Entra ID не удаляется сразу, если устройством управляет Intune. Вы можете проверить удаление зарегистрированного состояния Microsoft Entra, выполнив dsregcmd /status.
Гибридное соединение Microsoft Entra для одного леса, несколько клиентов Microsoft Entra
Чтобы зарегистрировать устройства в качестве гибридного соединения Microsoft Entra с соответствующими клиентами, организациям необходимо убедиться, что конфигурация точки подключения службы (SCP) выполняется на устройствах, а не в Microsoft Windows Server Active Directory. Дополнительные сведения о том, как выполнить эту задачу, см. в статье гибридное присоединение Microsoft Entra к целевому развертыванию. Важно для организаций понимать, что определенные возможности Microsoft Entra не работают в конфигурациях, включающих один лес и несколько арендаторов Microsoft Entra.
- обратной записи устройства не работает. Эта конфигурация влияет на условный доступ на основе устройств для локальных приложений, федеративных с помощью AD FS. Эта конфигурация также влияет на развертывание Windows Hello для бизнеса при использовании модели гибридного доверия Cert.
- обратная запись групп не работает. Эта конфигурация влияет на обратную запись данных групп Office 365 в лес, где установлен Exchange.
- Seamless SSO не работает. Эта конфигурация влияет на сценарии единого входа в организациях, использующих браузерные платформы, такие как iOS или Linux с Firefox, Safari или Chrome без расширения Windows 10.
- локальная защита паролей Microsoft Entra Password Protection не работает. Эта конфигурация влияет на возможность выполнения изменений паролей и событий сброса пароля для локальных контроллеров домена доменных служб Active Directory (AD DS) с использованием одинаковых глобальных и настраиваемых списков запрещенных паролей, хранящихся в идентификаторе Microsoft Entra.
Другие рекомендации
Если в вашей среде используется инфраструктура виртуальных рабочих столов (VDI), см. удостоверение устройства и виртуализация рабочих столов.
Гибридное соединение Microsoft Entra поддерживается для федерального стандарта обработки информации (FIPS), совместимого с TPM 2.0, и не поддерживается для TPM 1.2. Если на ваших устройствах есть соответствующий стандарту FIPS TPM версии 1.2, необходимо отключить его, прежде чем продолжить гибридное присоединение к Microsoft Entra. Корпорация Майкрософт не предоставляет никаких средств для отключения режима FIPS для TPM, так как он зависит от производителя TPM. Обратитесь к изготовителю оборудования для поддержки.
Начиная с выпуска Windows 10 1903, TPM версии 1.2 не используется с гибридным соединением Microsoft Entra, и устройства с такими TPM обрабатываются так, как будто у них нет доверенного платформенного модуля.
Изменения UPN поддерживаются только начиная с обновления Windows 10 2004. Для устройств до обновления Windows 10 2004 пользователи могут иметь проблемы единого входа и условного доступа на своих устройствах. Чтобы устранить эту проблему, необходимо отсоединить устройство от идентификатора Microsoft Entra (запустить dsregcmd /leave с повышенными привилегиями) и повторно присоединиться (происходит автоматически). Однако пользователи, выполнившего вход с помощью Windows Hello для бизнеса, не сталкиваются с этой проблемой.
Целенаправленная проверка гибридного соединения Microsoft Entra
Организациям может потребоваться выполнить целевое развертывание гибридного соединения Microsoft Entra, прежде чем включить его для всей организации. Ознакомьтесь со статьей о целенаправленном развертывании гибридного присоединения Microsoft Entra, чтобы понять, как это осуществить.
Предупреждение
Организации должны включать в свою пилотную группу выборку пользователей из различных ролей и профилей. Целевое развертывание помогает определить все проблемы, которые ваш план может не решить, прежде чем включить всю организацию.
Выберите сценарий на основе вашей инфраструктуры идентичности
Гибридное соединение Microsoft Entra работает как с управляемыми, так и с федеративными средами в зависимости от того, является ли UPN маршрутизируемым или немаршрутизируемым. См. таблицу поддерживаемых сценариев внизу страницы.
Управляемая среда
Управляемую среду можно развернуть с помощью синхронизации хэша паролей (PHS) или сквозной проверки подлинности (PTA) с бесшовного единого входа.
Эти сценарии не требуют настройки сервера федерации для проверки подлинности (AuthN).
Заметка
Облачная проверка подлинности с помощью поэтапного развертывания поддерживается только в обновлении Windows 10 1903.
Федеративная среда
Федеративная среда должна иметь поставщика удостоверений, поддерживающего следующие требования. Если у вас есть федеративная среда с помощью служб федерации Active Directory (AD FS), то приведенные ниже требования уже поддерживаются.
протокол WS-Trust: Этот протокол необходим для аутентификации гибридных устройств Windows, присоединенных к Microsoft Entra, с помощью идентификатора Microsoft Entra. При использовании AD FS необходимо активировать следующие конечные точки WS-Trust:
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
Предупреждение
Оба adfs/services/trust/2005/windowstransport или adfs/services/trust/13/windowstransport должны быть включены только в качестве внутренних конечных точек интрасети и не должны быть доступны в качестве конечных точек экстрасети через прокси-сервер веб-приложения. Дополнительные сведения об отключении конечных точек Windows WS-Trust см. в разделе Отключение конечных точек Windows WS-Trust на прокси. Вы можете увидеть, какие конечные точки активированы через консоль управления AD FS в Служба>Конечные точки.
Начиная с версии 1.1.819.0 Microsoft Entra Connect предоставляет мастер для настройки гибридного соединения Microsoft Entra. Мастер позволяет значительно упростить процесс настройки. Если установка требуемой версии Microsoft Entra Connect не подходит вам, см. в разделе как вручную настроить регистрацию устройств. Если contoso.com зарегистрирован как подтвержденный личный домен, пользователи могут получить PRT, даже если их суффикс UPN, синхронизированный с локальным AD DS, находится в поддомене, например test.contoso.com.
Проверка поддержки UPN пользователей локальной сети Microsoft Windows Server Active Directory для гибридного объединения Microsoft Entra
- Routable users UPN: Routable UPN имеет действительный проверенный домен, зарегистрированный в регистраторе доменов. Например, если contoso.com является основным доменом в Microsoft Entra ID, contoso.org является основным доменом в локальной AD, принадлежащей Contoso, и проверен в Microsoft Entra ID.
- Не маршрутизируемые пользователи UPN: у не маршрутизируемого UPN отсутствует проверенный домен, и он применим только в частной сети вашей организации. Например, если contoso.com является основным доменом в идентификаторе Microsoft Entra ID и contoso.local является основным доменом в локальной службе AD, но не является проверяемым доменом в Интернете и используется только в сети Contoso.
Заметка
Сведения в этом разделе относятся только к UPN пользователей, работающих локально. Это не применимо к суффиксу домена локального компьютера (например, computer1.contoso.local).
В следующей таблице приведены сведения о поддержке этих локальных имен участника-пользователя (UPNs) в Microsoft Windows Server Active Directory для гибридного соединения Microsoft Entra в Windows 10.
| Тип внутреннего UPN (User Principal Name) Microsoft Windows Server Active Directory | Тип домена | Версия Windows 10 | Описание |
|---|---|---|---|
| маршрутизируемый | Федеративный | Начиная с выпуска 1703 | Общедоступная версия |
| Немаршрутизируемый | Федеративный | Начиная с релиза версии 1803 | Общедоступная версия |
| Routable | Управляемый | Начиная с выпуска 1803 | Общедоступная версия Microsoft Entra SSPR на экране блокировки Windows не поддерживается в тех средах, где локальная учетная запись отличается от учетной записи Microsoft Entra. Локальное имя пользователя (UPN) должно быть синхронизировано с атрибутом onPremisesUserPrincipalName в Microsoft Entra ID |
| Немаршрутизируемый | Управляемый | Не поддерживается |