設定 Microsoft Entra 混合式聯結
將您的裝置導入 Microsoft Entra ID 中,您將可透過跨雲端和內部部署資源的單一登入 (SSO),將使用者的生產力最大化。 同時您可以利用條件式存取來保護對資源的存取。
必要條件
-
Microsoft Entra Connect 1.1.819.0 版或更新版本。
- 請勿從您的 Microsoft Entra Connect 同步設定中排除預設裝置屬性。 若要深入了解同步處理至 Microsoft Entra ID 的預設裝置屬性,請參閱 Microsoft Entra Connect 同步處理的屬性。
- 如果您希望加入 Microsoft Entra 混合式環境的裝置的電腦物件屬於特定的組織單位 (OU),請在 Microsoft Entra Connect 中設定正確的 OU 以進行同步處理。 若要深入了解如何使用 Microsoft Entra Connect 來同步處理電腦物件,請參閱組織單位型篩選。
- Microsoft Entra 租戶的混合式身分識別管理員認證。
- 每個內部部署 Active Directory 網域服務樹系的企業管理員憑證。
- (針對同盟網域) 至少 Windows Server 2012 R2,並已安裝 Active Directory 同盟服務。
- 使用者可使用 Microsoft Entra ID 註冊裝置。 如需此設定的詳細資訊,請參閱本文中「設定裝置設定」標題底下的設定裝置設定。
網路連線能力需求
要使用 Microsoft Entra 混合式加入,您的裝置必須能夠從組織的網路中存取下列 Microsoft 資源:
https://enterpriseregistration.windows.net
https://login.microsoftonline.com
https://device.login.microsoftonline.com
-
https://autologon.microsoftazuread-sso.com
(如果您使用或計劃使用無縫單一登入 (SSO)) - 組織的 Security Token Service (STS) (適用於同盟網域)
警告
如果您的組織針對數據外洩防護或 Microsoft Entra 租戶限制等情況使用攔截 SSL 流量的代理伺服器,請確保將 https://device.login.microsoftonline.com
和 https://enterpriseregistration.windows.net
的流量排除在 TLS 拆解和檢查之外。 無法排除這些 URL 可能對用戶端憑證驗證造成的干擾,進而產生裝置註冊和裝置型條件式存取的問題。
如果組織需要透過輸出 Proxy 來存取網際網路,您可以使用 Web Proxy 自動探索 (WPAD),讓 Windows 10 或更新版本電腦能向 Microsoft Entra ID 進行裝置註冊。 若要解決 WPAD 的設定和管理問題,請參閱針對自動偵測進行疑難排解。
如果您未使用 WPAD,則從 Windows 10 1709 開始,您可以在電腦上使用群組原則物件 (GPO) 設定 WinHTTP Proxy 設定。 如需詳細資訊,請參閱 GPO 所部署的 WinHTTP Proxy 設定。
注意
如果您使用 WinHTTP 設定在電腦上設定 Proxy 設定,則任何無法連線到所設定 Proxy 的電腦將無法連線到網際網路。
如果貴組織需要透過已驗證的輸出 Proxy 存取網際網路,請確定 Windows 10 或更新版本電腦可以成功向輸出 Proxy 進行驗證。 因為 Windows 10 或更新版本電腦會使用電腦內容來執行裝置註冊,所以請使用電腦內容來設定輸出 Proxy 驗證。 請向您的輸出 Proxy 提供者洽詢相關設定需求。
請使用測試裝置註冊連線能力指令碼,來確認裝置是否能夠在系統帳戶下存取必要的 Microsoft 資源。
受控網域
我們認為大多數組織都會部署 Microsoft Entra 與受控網域的混合併用。 受控網域使用密碼雜湊同步 (PHS) 或 通過驗證 (PTA),結合無縫單一登入。 受控網域案例不需要設定同盟伺服器。
使用 Microsoft Entra Connect 在管理的網域中設定 Microsoft Entra 混合式加入:
開啟 Microsoft Entra Connect,然後選取 [設定]。
在 [其他工作] 中選取 [設定裝置選項],然後選取 [下一步]。
在 [概觀] 中,選取 [下一步]。
在 [連線到 Microsoft Entra ID] 中,為您的 Microsoft Entra 租用戶輸入混合式身分識別管理員的認證。
在 [裝置選項] 中選取 [設定 Microsoft Entra 混合式聯結],然後選取 [下一步]。
在 [裝置作業系統] 中,選取 Active Directory 環境中的裝置所使用的作業系統,然後選取 [下一步]。
在 [SCP 設定] 中,針對您希望 Microsoft Entra Connect 設定服務連接點 (SCP) 的每個樹系,完成下列步驟,然後選取 [下一步]。
- 選取 森林。
- 選取 [驗證服務]。
- 選取 [新增],並輸入企業系統管理員認證。
在 [準備好設定] 中,選取 [設定]。
在 [設定完成] 中,選取 [結束]。
同盟網域
同盟環境應具有支援下列需求的識別提供者。 如果您的同盟環境使用 Active Directory 同盟服務 (AD FS),則已支援下列需求。
-
WS-Trust 通訊協定: 此通訊協定需要用於使用 Microsoft Entra ID 驗證 Microsoft Entra 混合式聯結裝置。 當您使用 AD FS 時,您必須啟用下列 WS-Trust 端點:
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
警告
adfs/services/trust/2005/windowstransport 和 adfs/services/trust/13/windowstransport 都只能啟用為內部網路對應端點,且不得透過 Web 應用程式 Proxy 公開為內部網路對應端點。 若要深入了解如何停用 WS-Trust Windows 端點,請參閱在 Proxy上停用 WS-Trust Windows 端點。 您可以在 AD FS 管理主控台的 [服務]>[端點] 下方查看已啟用的端點。
在同盟環境中使用 Microsoft Entra Connect 設定 Microsoft Entra 混合式加入:
開啟 Microsoft Entra Connect,然後選取 [設定]。
在 [其他工作] 頁面上選取 [設定裝置選項],然後選取 [下一步]。
在 [概觀] 頁面上,選取 [下一步]。
在 [連線到 Microsoft Entra ID] 頁面上,輸入您的 Microsoft Entra 租用戶的 Hybrid 身分識別管理員 認證,然後選取「下一步」。
在 [裝置選項] 頁面上,選取 [設定 Microsoft Entra 混合式聯結],然後選取 [下一步]。
在 [SCP] 頁面上執行下列步驟,然後選取 [下一步]:
- 選擇森林。
- 選取驗證服務。 除非貴組織獨有 Windows 10 或更新版本用戶端,而且您已設定電腦/裝置同步或您的組織使用無縫 SSO,否則您必須選取 AD FS 伺服器。
- 選取 [新增],並輸入企業系統管理員認證。
在 [裝置作業系統] 頁面上,選取 Active Directory 環境中的裝置所使用的作業系統,然後選取 [下一步]。
在 [同盟組態] 頁面上輸入 AD FS 系統管理員的認證,然後選取 [下一步]。
在 [準備設定] 頁面上,選取 [設定]。
在 [設定完成] 頁面上,選取 [結束]。
同盟注意事項
使用 Windows 10 1803 或更新版本時,如果在使用同盟服務的聯邦環境中即時的 Microsoft Entra 混合式聯結程序失敗,我們依賴 Microsoft Entra Connect 來同步 Microsoft Entra ID 中的電腦物件,以完成 Microsoft Entra 混合式聯結的裝置註冊。
其他案例
組織可以在完整推出之前,在其環境的子集上測試 Microsoft Entra 混合式聯結。 您可以在 Microsoft Entra 混合式聯結目標式部署一文中找到完成目標部署的步驟。 組織應該在此試驗群組中包含來自不同角色和背景的使用者範例。 有針對性的推行有助於在啟用整個組織之前,找出計畫無法解決的任何問題。
某些組織可能無法使用 Microsoft Entra Connect 來設定 AD FS。 您可以在手動設定 Microsoft Entra 混合式聯結一文中找到手動設定宣告的步驟。
美國政府雲端 (包含 GCCHigh 和 DoD)
針對 Azure Government 中的組織,Microsoft Entra 混合式聯結要求裝置必須能夠從組織的網路中存取下列 Microsoft 資源:
-
https://enterpriseregistration.windows.net
和https://enterpriseregistration.microsoftonline.us
https://login.microsoftonline.us
https://device.login.microsoftonline.us
-
https://autologon.microsoft.us
(如果您使用或計劃使用無縫單一登入 (SSO))
針對混合式 Microsoft Entra 聯結進行疑難排解
如果您在完成已加入網域之 Windows 裝置的 Microsoft Entra 混合式聯結時遇到問題,請參閱相關說明:
- 使用 dsregcmd 命令針對裝置進行疑難排解
- 針對 Windows 現有裝置的 Microsoft Entra 混合式聯結進行疑難排解
- 針對 Windows 下層裝置的 Microsoft Entra 混合式聯結進行疑難排解
- 針對擱置裝置狀態進行疑難排解