Konfigurace hybridního připojení Microsoft Entra

Přenesení zařízení do Microsoft Entra ID maximalizuje produktivitu uživatelů prostřednictvím jednotného přihlašování (SSO) napříč cloudovými a místními prostředky. Přístup k prostředkům můžete zabezpečit pomocí podmíněného přístupu současně.

Požadavky

  • Microsoft Entra Connect verze 1.1.819.0 nebo novější.
    • Nevylučujte z konfigurace synchronizace Microsoft Entra Connect Sync výchozí atributy zařízení. Další informace o výchozích atributech zařízení synchronizovaných s ID Microsoft Entra najdete v tématu Atributy synchronizované službou Microsoft Entra Connect.
    • Pokud počítačové objekty zařízení, která chcete být hybridním připojením Microsoft Entra, patří do konkrétních organizačních jednotek (OU), nakonfigurujte správné organizační jednotky pro synchronizaci v Microsoft Entra Connect. Další informace o tom, jak synchronizovat počítačové objekty pomocí nástroje Microsoft Entra Connect, najdete v tématu Filtrování založené na organizační jednotce.
  • Přihlašovací údaje správce hybridních identit pro vašeho tenanta Microsoft Entra
  • Přihlašovací údaje podnikového správce pro každou z doménových struktur služby místní Active Directory Domain Services
  • (Pro federované domény) Alespoň Windows Server 2012 R2 s nainstalovaným Active Directory Federation Services (AD FS).
  • Uživatelé můžou svoje zařízení zaregistrovat pomocí Microsoft Entra ID. Další informace o tomto nastavení najdete v části Konfigurace nastavení zařízení v článku Konfigurace nastavení zařízení.

Požadavky na připojení k síti

Hybridní připojení Microsoft Entra vyžaduje, aby zařízení měla ze sítě vaší organizace přístup k následujícím prostředkům Microsoftu:

  • https://enterpriseregistration.windows.net
  • https://login.microsoftonline.com
  • https://device.login.microsoftonline.com
  • https://autologon.microsoftazuread-sso.com (pokud používáte nebo se chystáte používat bezproblémové jednotné přihlašování)
  • Služba tokenů zabezpečení vaší organizace (STS) (pro federované domény)

Upozorňující

Pokud vaše organizace používá proxy servery, které zachycují provoz SSL pro scénáře, jako je ochrana před únikem informací nebo omezení tenanta Microsoft Entra, ujistěte se, že je provoz vyloučený https://device.login.microsoftonline.com z přerušení a kontroly protokolu TLS. Při vyloučení této adresy URL může dojít k rušení ověřování klientských certifikátů, k problémům s registrací zařízení a podmíněnému přístupu na základě zařízení.

Pokud vaše organizace vyžaduje přístup k internetu přes odchozí proxy server, můžete pomocí funkce Automatické zjišťování webového proxy serveru (WPAD) povolit registraci zařízení s Windows 10 nebo novějšími počítači pro registraci zařízení s Microsoft Entra ID. Pokud chcete vyřešit problémy s konfigurací a správou WPAD, přečtěte si téma Řešení potíží s automatickým zjišťováním.

Pokud WPAD nepoužíváte, můžete v počítači nakonfigurovat nastavení proxy serveru WinHTTP pomocí objektu zásad skupiny (GPO) počínaje Windows 10 1709. Další informace najdete v tématu Nastavení proxy serveru WinHTTP nasazené objektem zásad zásad zabezpečení.

Poznámka:

Pokud nakonfigurujete nastavení proxy serveru v počítači pomocí nastavení WinHTTP, všechny počítače, které se nemůžou připojit k nakonfigurovaným proxy serveru, se nebudou moct připojit k internetu.

Pokud vaše organizace vyžaduje přístup k internetu přes ověřený odchozí proxy server, ujistěte se, že se vaše počítače s Windows 10 nebo novějšími můžou úspěšně ověřit u odchozího proxy serveru. Vzhledem k tomu, že počítače s Windows 10 nebo novějším spouštějí registraci zařízení pomocí kontextu počítače, nakonfigurujte odchozí ověřování proxy pomocí kontextu počítače. Požadavky na konfiguraci vám sdělí váš poskytovatel odchozího proxy serveru.

Pomocí skriptu Test Device Registration Connectivity ověřte, že zařízení mají přístup k požadovaným prostředkům Microsoftu v rámci systémového účtu.

Spravované domény

Myslíme si, že většina organizací nasadí hybridní připojení Microsoft Entra se spravovanými doménami. Spravované domény používají synchronizaci hodnot hash hesel (PHS) nebo předávací ověřování (PTA) s bezproblémovým jednotným přihlašováním. Scénáře spravované domény nevyžadují konfiguraci federačního serveru.

Konfigurace hybridního připojení Microsoft Entra pomocí nástroje Microsoft Entra Connect pro spravovanou doménu:

  1. Otevřete Microsoft Entra Connect a pak vyberte Konfigurovat.

  2. V části Další úlohy vyberte Konfigurovat možnosti zařízení a pak vyberte Další.

  3. V části Přehled vyberte Další.

  4. Do pole Connect to Microsoft Entra ID zadejte přihlašovací údaje správce hybridní identity pro vašeho tenanta Microsoft Entra.

  5. V možnostech zařízení vyberte Konfigurovat hybridní připojení Microsoft Entra a pak vyberte Další.

  6. V operačních systémech zařízení vyberte operační systémy, které zařízení ve vašem prostředí služby Active Directory používají, a pak vyberte Další.

  7. V konfiguraci SCP proveďte pro každou doménovou strukturu, ve které má Microsoft Entra Connect nakonfigurovat spojovací bod služby (SCP), proveďte následující kroky a pak vyberte Další.

    1. Vyberte doménovou strukturu.
    2. Vyberte ověřovací službu.
    3. Výběrem možnosti Přidat zadejte přihlašovací údaje podnikového správce.

    Snímek obrazovky znázorňující Microsoft Entra Connect a možnosti konfigurace SCP ve spravované doméně

  8. V možnosti Připraveno ke konfiguraci vyberte Konfigurovat.

  9. V konfiguraci dokončete výběr možnosti Ukončit.

Federované domény

Federované prostředí by mělo mít zprostředkovatele identity, který podporuje následující požadavky. Pokud máte federované prostředí používající Active Directory Federation Services (AD FS) (AD FS), jsou už podporované následující požadavky.

  • Deklarace identity WIAORMULTIAUTHN: Tato deklarace identity se vyžaduje k hybridnímu připojení Microsoft Entra pro zařízení s Windows nižší úrovně.
  • Protokol WS-Trust: Tento protokol je nutný k ověření aktuálních zařízení s hybridním připojeným systémem Microsoft Entra s Microsoft Entra ID. Pokud používáte službu AD FS, musíte povolit následující koncové body WS-Trust:
    • /adfs/services/trust/2005/windowstransport
    • /adfs/services/trust/13/windowstransport
    • /adfs/services/trust/2005/usernamemixed
    • /adfs/services/trust/13/usernamemixed
    • /adfs/services/trust/2005/certificatemixed
    • /adfs/services/trust/13/certificatemixed

Upozorňující

Jako pouze intranetové koncové body by měly být povolené ad fs,services/trust/trust/2005/windowstransport i adfs/services/trust/13/windowstransport a nesmí být přístupné jako extranetové koncové body prostřednictvím webového proxy aplikací. Další informace o zakázání koncových bodů WINDOWS WS-Trust najdete v tématu Zakázání koncových bodů Windows ws-Trust na proxy serveru. Pomocí konzoly pro správu SLUŽBY AD FS v části Koncové body služby>můžete zjistit, jaké koncové body jsou povolené.

Konfigurace hybridního připojení Microsoft Entra pomocí nástroje Microsoft Entra Connect pro federované prostředí:

  1. Otevřete Microsoft Entra Connect a pak vyberte Konfigurovat.

  2. Na stránce Další úlohy vyberte Konfigurovat možnosti zařízení a pak vyberte Další.

  3. Na stránce Přehled vyberte Další.

  4. Na stránce Connect to Microsoft Entra ID zadejte přihlašovací údaje správce hybridní identity pro vašeho tenanta Microsoft Entra a pak vyberte Další.

  5. Na stránce Možnosti zařízení vyberte Konfigurovat hybridní připojení Microsoft Entra a pak vyberte Další.

  6. Na stránce SCP proveďte následující kroky a pak vyberte Další:

    1. Vyberte doménovou strukturu.
    2. Vyberte ověřovací službu. Server služby AD FS musíte vybrat, pokud vaše organizace nemá výhradně klienty s Windows 10 nebo novějšími klienty a nakonfigurujete synchronizaci počítačů a zařízení nebo vaše organizace používá bezproblémové jednotné přihlašování.
    3. Výběrem možnosti Přidat zadejte přihlašovací údaje podnikového správce.

    Snímek obrazovky znázorňující Microsoft Entra Connect a možnosti konfigurace SCP ve federované doméně

  7. Na stránce Operační systémy zařízení vyberte operační systémy, které zařízení v prostředí služby Active Directory používají, a pak vyberte Další.

  8. Na stránce konfigurace federace zadejte přihlašovací údaje správce služby AD FS a pak vyberte Další.

  9. Na stránce Připraveno ke konfiguraci vyberte Konfigurovat.

  10. Na stránce Dokončení konfigurace vyberte Ukončit.

Upozornění federace

S Windows 10 1803 nebo novějším, pokud okamžité hybridní připojení Microsoft Entra pro federované prostředí pomocí služby AD FS selže, spoléháme na Microsoft Entra Connect k synchronizaci objektu počítače v Microsoft Entra ID k dokončení registrace zařízení pro hybridní připojení Microsoft Entra.

Další scénáře

Organizace můžou otestovat hybridní připojení Microsoft Entra na podmnožině svého prostředí před úplným uvedením. Postup dokončení cíleného nasazení najdete v článku o cílovém nasazení hybridního připojení Microsoft Entra. Organizace by měly zahrnovat ukázku uživatelů z různých rolí a profilů v této pilotní skupině. Cílené zavedení pomáhá identifikovat případné problémy, které váš plán nemusí řešit, než povolíte pro celou organizaci.

Některé organizace nemusí ke konfiguraci služby AD FS používat Microsoft Entra Connect. Postup ruční konfigurace deklarací identity najdete v článku Ruční konfigurace hybridního připojení Microsoft Entra.

Cloud pro státní správu USA (včetně GCCHigh a DoD)

Pro organizace ve službě Azure Government vyžaduje hybridní připojení Microsoft Entra, aby zařízení měla přístup k následujícím prostředkům Microsoftu ze sítě vaší organizace:

  • https://enterpriseregistration.windows.neta https://enterpriseregistration.microsoftonline.us
  • https://login.microsoftonline.us
  • https://device.login.microsoftonline.us
  • https://autologon.microsoft.us (pokud používáte nebo se chystáte používat bezproblémové jednotné přihlašování)

Řešení potíží s hybridním připojením k Microsoft Entra

Pokud máte problémy s dokončením hybridního připojení Microsoft Entra pro zařízení s Windows připojenými k doméně, přečtěte si téma: