Konfigurera Microsoft Entra-hybridanslutning

Att ta dina enheter till Microsoft Entra ID maximerar användarproduktiviteten genom enkel inloggning (SSO) i dina molnresurser och lokala resurser. Du kan skydda åtkomsten till dina resurser med villkorlig åtkomst samtidigt.

Förutsättningar

  • Microsoft Entra Connect version 1.1.819.0 eller senare.
    • Uteslut inte standardenhetsattributen från din Microsoft Entra Connect Sync-konfiguration. Mer information om standardenhetsattribut som synkroniserats med Microsoft Entra-ID finns i Attribut som synkroniseras av Microsoft Entra Connect.
    • Om datorobjekten för de enheter som du vill vara Microsoft Entra-hybridanslutna tillhör specifika organisationsenheter (OUs) konfigurerar du rätt organisationsenheter som ska synkroniseras i Microsoft Entra Connect. Mer information om hur du synkroniserar datorobjekt med hjälp av Microsoft Entra Connect finns i Organisationsenhetsbaserad filtrering.
  • Autentiseringsuppgifter för hybrididentitetsadministratör för din Microsoft Entra-klientorganisation.
  • Företagsadministratörsautentiseringsuppgifter för var och en av skogarna i lokal Active Directory Domain Services.
  • (För federerade domäner) Minst Windows Server 2012 R2 med Active Directory Federation Services (AD FS) installerat.
  • Användare kan registrera sina enheter med Microsoft Entra-ID. Mer information om den här inställningen finns under rubriken Konfigurera enhetsinställningar i artikeln Konfigurera enhetsinställningar.

Krav för nätverksanslutning

Hybrid Microsoft Entra-anslutning kräver att enheterna har åtkomst till följande Microsoft-resurser i organisationens nätverk:

  • https://enterpriseregistration.windows.net
  • https://login.microsoftonline.com
  • https://device.login.microsoftonline.com
  • https://autologon.microsoftazuread-sso.com (Om du använder eller planerar att använda enkel inloggning)
  • Organisationens säkerhetstokentjänst (STS) (för federerade domäner)

Varning

Om din organisation använder proxyservrar som fångar upp SSL-trafik för scenarier som dataförlustskydd eller Microsoft Entra-klientbegränsningar kontrollerar du att trafik till https://device.login.microsoftonline.com undantas från TLS-avbrott och inspektion. Om du inte utesluter den här URL:en kan det orsaka störningar i klientcertifikatautentiseringen, orsaka problem med enhetsregistrering och enhetsbaserad villkorlig åtkomst.

Om din organisation kräver åtkomst till Internet via en utgående proxy kan du använda WPAD (Web Proxy Auto-Discovery) för att aktivera Windows 10- eller nyare datorer för enhetsregistrering med Microsoft Entra-ID. Information om hur du åtgärdar problem med att konfigurera och hantera WPAD finns i Felsöka automatisk identifiering.

Om du inte använder WPAD kan du konfigurera WinHTTP-proxyinställningar på datorn med ett grupprincip-objekt (GPO) som börjar med Windows 10 1709. Mer information finns i WinHTTP-proxyinställningar som distribuerats av grupprincipobjektet.

Kommentar

Om du konfigurerar proxyinställningar på datorn med hjälp av WinHTTP-inställningar kommer alla datorer som inte kan ansluta till den konfigurerade proxyn inte att ansluta till Internet.

Om din organisation kräver åtkomst till Internet via en autentiserad utgående proxy kontrollerar du att dina Windows 10- eller nyare datorer kan autentiseras till den utgående proxyn. Eftersom Windows 10- eller nyare datorer kör enhetsregistrering med hjälp av datorkontext konfigurerar du utgående proxyautentisering med hjälp av datorkontext. Kontrollera konfigurationskraven med leverantören av den utgående proxyn.

Kontrollera att enheterna har åtkomst till nödvändiga Microsoft-resurser under systemkontot med hjälp av anslutningsskriptet Testa enhetsregistrering .

Hanterade domäner

Vi tror att de flesta organisationer distribuerar Microsoft Entra-hybridanslutning med hanterade domäner. Hanterade domäner använder synkronisering av lösenordshash (PHS) eller direktautentisering (PTA) med sömlös enkel inloggning. Scenarier med hanterade domäner kräver inte att en federationsserver konfigureras.

Konfigurera Microsoft Entra-hybridanslutning med hjälp av Microsoft Entra Connect för en hanterad domän:

  1. Öppna Microsoft Entra Connect och välj sedan Konfigurera.

  2. I Ytterligare uppgifter väljer du Konfigurera enhetsalternativ och sedan Nästa.

  3. I Översikt väljer du Nästa.

  4. I Anslut till Microsoft Entra-ID anger du autentiseringsuppgifterna för en hybrididentitetsadministratör för din Microsoft Entra-klientorganisation.

  5. I Enhetsalternativ väljer du Konfigurera Microsoft Entra-hybridanslutning och väljer sedan Nästa.

  6. I Enhetsoperativsystem väljer du de operativsystem som enheter i Active Directory-miljön använder och väljer sedan Nästa.

  7. I SCP-konfigurationen utför du följande steg för varje skog där du vill att Microsoft Entra Connect ska konfigurera en tjänstanslutningspunkt (SCP). Välj sedan Nästa.

    1. Välj Skogen.
    2. Välj en autentiseringstjänst.
    3. Välj Lägg till för att ange autentiseringsuppgifterna för företagsadministratören.

    En skärmbild som visar Microsoft Entra Connect och alternativ till för SCP-konfiguration i en hanterad domän.

  8. I Redo att konfigurera väljer du Konfigurera.

  9. I Konfigurationen är klar väljer du Avsluta.

Federerade domäner

En federerad miljö bör ha en identitetsprovider som stöder följande krav. Om du har en federerad miljö med hjälp av Active Directory Federation Services (AD FS) (AD FS) stöds redan kraven nedan.

  • WIAORMULTIAUTHN-anspråk: Det här anspråket krävs för att göra Microsoft Entra-hybridanslutning för Windows-enheter på nednivå.
  • WS-Trust-protokoll: Det här protokollet krävs för att autentisera Windows aktuella Microsoft Entra-hybrid-anslutna enheter med Microsoft Entra-ID. När du använder AD FS måste du aktivera följande WS-Trust-slutpunkter:
    • /adfs/services/trust/2005/windowstransport
    • /adfs/services/trust/13/windowstransport
    • /adfs/services/trust/2005/usernamemixed
    • /adfs/services/trust/13/usernamemixed
    • /adfs/services/trust/2005/certificatemixed
    • /adfs/services/trust/13/certificatemixed

Varning

Både adfs/services/trust/2005/windowstransport och adfs/services/trust/13/windowstransport ska endast aktiveras som intranätuppkopplade slutpunkter och får INTE exponeras som extranätsinriktade slutpunkter via Programproxy. Mer information om hur du inaktiverar Windows-slutpunkter för WS-Trust finns i Inaktivera Windows-slutpunkter för WS-Trust på proxyn. Du kan se vilka slutpunkter som är aktiverade via AD FS-hanteringskonsolen under Tjänst>Slutpunkter.

Konfigurera Microsoft Entra-hybridanslutning med hjälp av Microsoft Entra Connect för en federerad miljö:

  1. Öppna Microsoft Entra Connect och välj sedan Konfigurera.

  2. På sidan Ytterligare uppgifter väljer du Konfigurera enhetsalternativ och sedan Nästa.

  3. På sidan Översikt väljer du Nästa.

  4. På sidan Anslut till Microsoft Entra-ID anger du autentiseringsuppgifterna för en hybrididentitetsadministratör för din Microsoft Entra-klientorganisation och väljer sedan Nästa.

  5. På sidan Enhetsalternativ väljer du Konfigurera Microsoft Entra-hybridanslutning och väljer sedan Nästa.

  6. Slutför följande steg på SCP-sidan och välj sedan Nästa:

    1. Välj skogen.
    2. Välj autentiseringstjänst. Du måste välja AD FS-server om inte din organisation uteslutande har Windows 10- eller nyare klienter och du konfigurerar synkronisering av dator/enhet, eller om din organisation använder sömlös enkel inloggning.
    3. Välj Lägg till för att ange autentiseringsuppgifterna för företagsadministratören.

    En skärmbild som visar Microsoft Entra Connect och alternativ till för SCP-konfiguration i en federerad domän.

  7. På sidan Enhetsoperativsystem väljer du de operativsystem som enheterna i Active Directory-miljön använder och väljer sedan Nästa.

  8. På sidan Federationskonfiguration anger du autentiseringsuppgifterna för AD FS-administratören och väljer sedan Nästa.

  9. På sidan Redo att konfigurera väljer du Konfigurera.

  10. På sidan Konfiguration slutförd väljer du Avsluta.

Federationsa caveats

Med Windows 10 1803 eller senare, om en omedelbar Microsoft Entra-hybridanslutning för en federerad miljö med AD FS misslyckas, förlitar vi oss på att Microsoft Entra Connect synkroniserar datorobjektet i Microsoft Entra-ID för att slutföra enhetsregistreringen för Microsoft Entra-hybridanslutning.

Andra scenarier

Organisationer kan testa Microsoft Entra-hybridanslutning i en delmängd av sin miljö före en fullständig distribution. Stegen för att slutföra en riktad distribution finns i artikeln Microsoft Entra hybridanslutning riktad distribution. Organisationer bör inkludera ett urval av användare från olika roller och profiler i den här pilotgruppen. En riktad distribution hjälper dig att identifiera eventuella problem som din plan kanske inte åtgärdar innan du aktiverar för hela organisationen.

Vissa organisationer kanske inte kan använda Microsoft Entra Connect för att konfigurera AD FS. Stegen för att konfigurera anspråken manuellt finns i artikeln Konfigurera Microsoft Entra-hybridanslutning manuellt.

US Government-moln (inklusive GCCHigh och DoD)

För organisationer i Azure Government kräver Microsoft Entra-hybridanslutning att enheter har åtkomst till följande Microsoft-resurser inifrån organisationens nätverk:

  • https://enterpriseregistration.windows.netoch https://enterpriseregistration.microsoftonline.us
  • https://login.microsoftonline.us
  • https://device.login.microsoftonline.us
  • https://autologon.microsoft.us (Om du använder eller planerar att använda enkel inloggning)

Felsöka Microsoft Entra-hybridanslutning

Om du har problem med att slutföra Microsoft Entra-hybridanslutningen för domänanslutna Windows-enheter kan du läsa: