規劃您的Microsoft Entra 混合式聯結實作
如果您有內部部署 Active Directory Domain Services (AD DS) 環境,而且您想要將已加入 AD DS 網域的電腦加入至 Microsoft Entra ID,您可以執行Microsoft Entra 混合式聯結來完成這項工作。
小技巧
已加入 Microsoft Entra 的裝置也可存取內部部署資源的單一登錄(SSO)。 如需詳細資訊,請參閱 Microsoft Entra 加入的裝置中 SSO 對內部資源的運作方式。
先決條件
本文假設您已熟悉 Microsoft Entra ID 中的裝置身分識別管理簡介。
注意
對於 Windows 10 或更新版本的 Microsoft Entra 混合式加入,所需的最低域控制器 (DC) 版本為 Windows Server 2008 R2。
Microsoft Entra 混合佈建裝置需要定期透過網路連接至您的網域控制器。 如果沒有此連線,裝置就會變成無法使用。
無法看到網域控制器時可能出現問題的情境包括:
- 裝置密碼變更
- 使用者密碼變更 (快取認證)
- 信任的平台模組 (TPM) 重設
規劃您的實施
若要規劃混合式Microsoft Entra 實作,請熟悉:
- 檢閱支持的裝置
- 檢閱您應該知道的事項
- 檢閱Microsoft Entra 混合式聯結的目標部署
- 根據您的身分識別基礎結構選取您的案例
- 檢閱內部部署Microsoft Windows Server Active Directory 用戶主體名稱 (UPN) 支援Microsoft Entra 混合式聯結
檢閱支持的裝置
Microsoft Entra 混合式聯結支援廣泛的 Windows 裝置。
- Windows 11
- Windows 10
- Windows Server 2016
- 注意: Azure 國家雲端客戶需要 1803 版
- Windows Server 2019
最佳做法是,Microsoft建議您升級至最新版本的 Windows。
檢閱您應該知道的事項
不支援的場景
- 扮演域控制器(DC)角色的 Windows Server 不支援Microsoft Entra混合式聯結。
- Server Core OS 不支援任何類型的裝置註冊。
- 用戶狀態移轉工具 (USMT) 不適用於裝置註冊。
OS 映像處理考慮
如果您依賴系統準備工具 (Sysprep) 並使用 Windows 10 1809 之前 的映像檔進行安裝,請確保該映像檔不是來自已通過 Microsoft Entra ID 註冊為 Microsoft Entra 混合加入的裝置。
如果您依賴虛擬機(VM)快照來建立更多 VM,請確保快照不是來自已向 Microsoft Entra ID 註冊為 Microsoft Entra 混合式聯結的 VM。
如果您使用 統一寫入篩選器 和類似技術以在重新啟動時清除磁碟上的變更,則必須在設備加入 Microsoft Entra 混合式之後套用。 在完成 Microsoft Entra 混合式聯結之前啟用這類技術,會導致裝置在每次重新啟動時都被解除聯結。
管理具有 Microsoft Entra 已註冊狀態的裝置
如果您的 Windows 10 或更新網域加入裝置 Microsoft已向租用戶註冊的 Entra,它可能會導致Microsoft Entra 混合式聯結和Microsoft Entra 已註冊裝置的雙重狀態。 建議您升級至 Windows 10 1803(已套用KB4489894),或更新版本,以自動解決此案例。 在 1803 版之前,您需要先手動移除 Microsoft Entra 註冊狀態,才能啟用 Microsoft Entra 混合式聯結。 在 1803 和更新版本中,已進行下列變更,以避免這種雙重狀態:
- 在裝置Microsoft已加入 Entra 混合式之後,使用者的任何現有Microsoft Entra 已註冊狀態都會自動移除 ,並在中記錄相同的使用者。 例如,如果使用者 A 在裝置上有 Microsoft Entra 註冊狀態,則只有在使用者 A 登入裝置時,才會清除使用者 A 的雙重狀態。 如果相同裝置上有多個使用者,當這些使用者登入時,會個別清除雙重狀態。 當系統管理員移除 Microsoft Entra 註冊狀態之後,如果當初註冊是作為 Microsoft Entra 註冊的一部分透過自動註冊進行的,Windows 10 將會將該裝置從 Intune 或其他行動裝置管理 (MDM) 中取消註冊。
- 此變更不會影響裝置上任何本機帳戶的 Microsoft Entra 註冊狀態。 僅適用於網域帳戶。 Microsoft即使使用者登入之後,本機帳戶上的 Entra 註冊狀態也不會自動移除,因為使用者不是網域使用者。
- 您可以將下列登錄值新增至 HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin:「BlockAADWorkplaceJoin」=dword:00000001,以防止已加入網域的裝置註冊到 Microsoft Entra。
- 在 Windows 10 1803 中,如果您已設定 Windows Hello 企業版,用戶必須在雙重狀態清除之後重新設定 Windows Hello 企業版。 此問題已由 KB4512509 更新解決。
注意
即使 Windows 10 和 Windows 11 會在本機自動移除 Microsoft Entra 註冊狀態,但如果由 Intune 管理,Microsoft Entra 識別符中的裝置物件也不會立即刪除。 您可以執行 dsregcmd /status來驗證 Microsoft Entra 註冊狀態是否已移除。
Microsoft Entra 混合加入單一樹系環境,多個 Microsoft Entra 租用戶
若要將裝置註冊為Microsoft Entra 混合式加入個別租使用者,組織必須確定服務連接點 (SCP) 設定是在裝置上完成,而不是在 Microsoft Windows Server Active Directory 中完成。 若想了解更多有關完成這項工作的方法,請參閱 Microsoft Entra 混合式聯結目標部署一文。 組織必須瞭解,某些 Microsoft Entra 的功能無法在「單樹系、多 Microsoft Entra 租戶」配置中運作。
- 裝置回寫 無法運作。 此設定會影響使用AD FS 同盟的內部部署應用程式裝置型條件式存取。 使用混合式憑證信任模型 時,此設定也會影響Windows Hello 企業版部署。
- 群組回寫 無法運作。 此設定會影響 Office 365 群組回寫至已安裝 Exchange 的樹系。
- 無縫單一登入 無法運作。 此設定會影響使用 iOS 或 Linux 等瀏覽器平臺搭配 Firefox、Safari 或 Chrome,而沒有 Windows 10 擴充功能的組織中的 SSO 案例。
- 內部部署 Microsoft Entra Password Protection 無法運作。 此組態會影響對本地 Active Directory 網域服務 (AD DS) 域控制器執行密碼變更和密碼重設事件的能力,這些操作會使用儲存在 Microsoft Entra ID 中的相同的全域和自訂禁用密碼清單。
其他考慮
如果您的環境使用虛擬桌面基礎結構 (VDI),請參閱 裝置身分識別和桌面虛擬化。
Microsoft Entra 混合式聯結支援符合聯邦資訊處理標準 (FIPS) 的 TPM 2.0,但不支援 TPM 1.2。 如果您的裝置具有符合 FIPS 規範的 TPM 1.2,您必須先停用它們,才能繼續進行 Microsoft Entra 混合式聯結。 Microsoft不提供任何工具來停用 TPM 的 FIPS 模式,因為它相依於 TPM 製造商。 請連絡硬體 OEM 以取得支援。
從 Windows 10 1903 版開始,TPM 1.2 版不會與 Microsoft Entra 混合式聯結搭配使用,且使用這些 TPM 的裝置會被視為沒有 TPM。
UPN 變更僅在 Windows 10 2004 更新後獲得支持。 針對 Windows 10 2004 更新之前的裝置,用戶可以在其裝置上發生 SSO 和條件式存取問題。 若要解決此問題,您需要從 Microsoft Entra ID 取消裝置的加入(使用提升的許可權執行 “dsregcmd /leave”),並讓裝置自動重新加入。 不過,使用 Windows Hello 企業版登入的使用者不會面臨此問題。
審核目標 Microsoft Entra 混合式聯結
組織可能想要在整個組織啟用之前,先針對特定群體分階段推出 Microsoft Entra 混合式加入。 請檢閱 Microsoft Entra 混合式聯結目標部署 一文,以瞭解如何完成。
警告
組織應該在其試驗群組中包含不同角色和背景的用戶範例。 目標推出可協助您識別計劃在為整個組織啟用之前可能無法解決的任何問題。
根據您的身分識別基礎結構選取您的案例
Microsoft Entra 混合式聯結能夠在受控和聯盟環境中皆適用,具體取決於 UPN 是可路由還是不可路由。 如需支援案例的數據表,請參閱頁面底部。
受管理的環境
受控環境可以透過 密碼哈希同步處理 (PHS) 或 傳遞驗證 (PTA) 與 無縫單一登錄進行部署。
這些案例不需要您設定同盟伺服器進行驗證(AuthN)。
注意
使用分段推出 的雲端驗證僅支援自 Windows 10 1903 更新起。
同盟環境
同盟環境應該有支援下列需求的識別提供者。 如果您有使用 Active Directory 同盟服務 (AD FS) 的同盟環境,則已經支援下列需求。
WS-Trust 通訊協定: 此通訊協定必須用於以 Microsoft Entra ID 驗證 Microsoft Entra 混合式聯結的 Windows 裝置。 當您使用 AD FS 時,必須啟用下列 WS-Trust 端點:
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
警告
adfs/services/trust/2005/windowstransport 或 adfs/services/trust/13/windowstransport 應僅啟用為內部網路對向端點,且不得透過 Web 應用程式 Proxy 公開為外部網路對向端點。 若要深入瞭解如何停用 WS-Trust Windows 端點,請參閱 在 Proxy上停用 WS-Trust Windows 端點。 您可以在 Service>Endpoints底下,透過 AD FS 管理控制台來查看哪些端點已啟用。
從 1.1.819.0 版開始,Microsoft Entra Connect 提供精靈來設定 Microsoft Entra 混合式聯結。 精靈可讓您大幅簡化設定程式。 如果安裝必要版本的 Microsoft Entra Connect 不是選項,請參閱 如何手動設定裝置註冊。 如果 contoso.com 註冊為已確認的自定義網域,即使其從內部部署 AD DS 同步的 UPN 後綴位於如 test.contoso.com 的子域,使用者仍可取得 PRT。
審查本機部署 Microsoft Windows Server Active Directory 使用者的 UPN 對於 Microsoft Entra 混合式加入的支援
- 可路由使用者 UPN:可路由 UPN 具有向網域註冊機構註冊的有效已驗證網域。 例如,如果 contoso.com 是 entra ID Microsoft 中的主要網域,contoso.org 是 Contoso 擁有的內部部署 AD 中的主要網域,在 Microsoft Entra ID中驗證。
- 無法路由的使用者 UPN:無法路由的 UPN 沒有已驗證的網域,而且僅適用於您組織的專用網。 例如,如果 contoso.com 是 Microsoft Entra ID 中的主要網域,而 contoso.local 是內部部署 AD 中的主要網域,但不是因特網中可驗證的網域,而且只能在 Contoso 的網路內使用。
注意
本節中的資訊僅適用於內部部署使用者 UPN。 它不適用於內部部署計算機網域後綴(例如:computer1.contoso.local)。
下表提供有關這些內部部署的 Microsoft Windows Server Active Directory UPN 在 Windows 10 Microsoft Entra 混合加入中支援的詳細資訊:
| 內部部署Microsoft Windows Server Active Directory UPN 的類型 | 網域類型 | Windows 10 版本 | 描述 |
|---|---|---|---|
| 可路由的 | 聯邦 | 從 1703 版本发布 | 普遍可用 |
| 不可路由 | 聯邦 | 從1803版本 | 正式推出 |
| 可路由傳送 | 管理 | 從1803版本 | 通常在內部部署 UPN 不同於 Microsoft Entra UPN 的環境中,Windows 鎖定畫面上的 Microsoft Entra SSPR 不受支援。 內部部署 UPN 必須同步至 Microsoft Entra ID 的 onPremisesUserPrincipalName 屬性中 |
| 不可路由 | 管理 | 不支援 |