Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
如果你有本地Active Directory Domain Services(AD DS)环境,并且想要将已加入 AD DS 域的计算机加入Microsoft Entra ID,可以通过执行Microsoft Entra混合联接来完成此任务。
提示
对本地资源的单一登录(SSO)访问也可用于已加入Microsoft Entra的设备。 有关详细信息,请参阅 Microsoft Entra 联接设备如何使用 SSO 访问本地资源。
先决条件
本文假定你熟悉 Microsoft Entra ID 中的设备标识管理简介。
注意事项
Windows 10或更高版本的Microsoft Entra混合联接所需的最小域控制器(DC)版本为Windows Server 2008 R2。
Microsoft Entra混合加入的设备需要定期连接到域控制器的网络可视性。 如果没有此连接,设备将变为不可用。
在无法与您的域控制器直接通信时出现故障的方案包括:
- 设备密码更改
- 用户密码更改(缓存的凭据)
- 受信任的平台模块 (TPM) 重置
规划实施
若要规划混合Microsoft Entra实现,请熟悉以下内容:
- 查看支持的设备
- 查看应该知道的事项
- 查看 Microsoft Entra 混合加入的定向部署
- 根据您的身份基础设施选择方案
- 查看本地部署 Microsoft Windows Server Active Directory 的用户主体名称(UPN)是否支持 Microsoft Entra 混合加入
查看支持的设备
Microsoft Entra 混合联接支持广泛的 Windows 设备。
- Windows 11
- Windows 10
- Windows Server 2016
- Note: Azure国家云客户需要版本 1803
- Windows Server 2019
- Windows Server 2022
最佳做法是,Microsoft建议升级到最新版本的 Windows。
查看应该知道的事项
不支持的方案
- Windows Server运行域控制器(DC)角色时,不支持Microsoft Entra混合联接。
- Server Core OS 不支持任何类型的设备注册。
- 用户状态迁移 (USMT) 工具不适用于设备注册。
OS 映像注意事项
如果您依赖于系统准备工具(Sysprep)并使用 pre-Windows 10 1809 映像进行安装,请确保该映像不是来自已用Microsoft Entra ID注册并作为 Microsoft Entra 混合加入的设备。
如果依赖于虚拟机(VM)快照来创建更多 VM,请确保该快照不是来自已通过混合加入注册到 Microsoft Entra ID 的 VM。
如果使用 Unified Write Filter和类似技术清除磁盘在重新启动时更改,则必须在设备Microsoft Entra混合联接后应用这些更改。 在Microsoft Entra混合联接完成之前启用相关技术会导致设备在每次重新启动时解除联接。
使用Microsoft Entra注册状态处理设备
如果您的设备是加入域的 Windows 10 或更新版本,并且注册到 Microsoft Entra租户,那么可能会导致设备既是 Microsoft Entra 混合加入状态,又是已注册状态的双重状态。 建议升级到 Windows 10 1803(已安装 KB4489894)或更新版本,以自动解决此问题。 在1803版本之前,您需要在启用 Microsoft Entra 混合加入之前手动删除 Microsoft Entra 注册状态。 为避免此双重状态,1803 及更高版本中进行了以下更改:
- 设备在Microsoft Entra混合加入且相同用户登录后,用户的任何现有Microsoft Entra注册状态将被自动删除。 例如,如果用户 A 在设备上具有Microsoft Entra注册状态,则仅当用户 A 登录到设备时,才会清理用户 A 的双重状态。 如果同一设备上存在多个用户,则当这些用户登录时,系统会单独清除该双重状态。 管理员删除 Microsoft Entra 注册状态后,如果设备是通过自动注册作为 Microsoft Entra 注册的一部分被注册的,Windows 10 将从 Intune 或其他移动设备管理(MDM)中取消注册该设备。
- Microsoft Entra设备上任何本地帐户的注册状态不受此更改的影响。 它仅适用于域帐户。 即使用户登录后,也不会自动删除本地帐户上的Microsoft Entra注册状态,因为该用户不是域用户。
- 通过将以下注册表值添加到 HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin:“BlockAADWorkplaceJoin”=dword:00000001,可以防止已加入域的设备被 Microsoft Entra 注册。
- 在 Windows 10 1803 中,如果已配置Windows Hello for Business,用户需要在双重状态清理后重新配置Windows Hello for Business。 此问题已通过 KB4512509 得到解决。
注意事项
即使 Windows 10 和 Windows 11 会在本地自动移除 Microsoft Entra 的注册状态,但如果设备对象由 Intune 管理,则 Microsoft Entra ID 中的设备对象不会立即被删除。 通过运行 dsregcmd /status 可以验证 Microsoft Entra 的注册状态是否已被删除。
适用于单一林、多个 Microsoft Entra 租户的 Microsoft Entra 混合加入
若要将设备注册为 Microsoft Entra 混合加入到相应租户,组织需要确保服务连接点 (SCP) 配置是在设备上完成的,而不是在 Microsoft Windows Server Active Directory 中完成的。 有关如何完成此任务的更多详细信息,请参阅文章Microsoft Entra 混合联接定向部署。 组织必须了解,在单一林场、多个 Microsoft Entra 租户配置中,某些 Microsoft Entra 功能不起作用。
- 设备写回将不起作用。 此配置会影响使用 AD FS 联合的本地应用基于设备的条件访问。 此配置还会影响使用混合证书信任模型时Windows Hello for Business部署。
- 组写回不起作用。 此配置会影响将 Office 365 群组写回到安装了 Exchange 的林。
- 本地Microsoft Entra密码保护不起作用。 此配置会影响使用存储在Microsoft Entra ID中的相同全局和自定义禁止密码列表针对本地Active Directory Domain Services(AD DS)域控制器执行密码更改和密码重置事件的能力。
其他注意事项
如果你的环境使用虚拟桌面基础结构 (VDI),请参阅设备标识和桌面虚拟化。
符合联邦信息处理标准(FIPS)的 TPM 2.0 支持 Microsoft Entra 混合联接,而不支持 TPM 1.2。 如果你的设备具有符合 FIPS 的 TPM 1.2,你必须先禁用 TPM 1.2,然后才能继续进行 Microsoft Entra 混合加入。 Microsoft 不提供任何工具来禁用 TPM 的 FIPS 模式,因为这依赖于 TPM 制造商。 请联系硬件 OEM 获取支持。
从 Windows 10 1903 版本开始,TPM 版本 1.2 不再与 Microsoft Entra 混合联接一起使用,拥有这些 TPM 的设备会被视为没有 TPM。
从 Windows 10 2004 更新开始,仅支持 UPN 更改。 对于在 Windows 10 2004 更新之前的设备,用户可以在其设备上遇到 SSO 和条件访问问题。 若要解决此问题,需要先从 Microsoft Entra ID 中取消设备的注册(使用提升的权限运行“dsregcmd /leave”),然后重新注册该设备(此过程会自动完成)。 但是,使用Windows Hello for Business登录的用户不会面临此问题。
审查 Microsoft Entra 针对性的混合加入
组织可能需要在为整个组织启用 Microsoft Entra 混合加入之前,进行有针对性的部署。 请参阅文章Microsoft Entra混合联接目标部署,以了解如何完成该部署。
警告
组织应在其试点组中包含来自不同角色和背景的用户样本。 设定目标的推出有助于在为整个组织启用之前,确定计划可能未解决的任何问题。
根据您的身份基础设施选择方案
Microsoft Entra混合联接适用于托管环境和联合环境,具体取决于 UPN 是可路由还是不可路由。 有关受支持场景的表,请查看页面底部。
托管环境
可通过密码哈希同步 (PHS) 来部署托管环境。
这些方案不要求你配置用于身份验证 (AuthN) 的联合服务器。
联邦环境
联合环境应具有支持以下要求的标识提供者。 如果联合环境使用 Active Directory Federation Services (AD FS),则已支持以下要求。
WS-Trust protocol: 此协议需要使用 Microsoft Entra ID 对已加入混合的 Windows 设备进行身份验证。 使用 AD FS 时,需要启用以下 WS-Trust 终结点:
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
警告
adfs/services/trust/2005/windowstransport 或 adfs/services/trust/13/windowstransport应仅启用为面向 Intranet 的终结点,不得通过 Web Application Proxy公开为面向 Extranet 的终结点。 若要详细了解如何禁用 WS-Trust Windows 终结点,请参阅代理上的 Disable WS-Trust Windows 终结点。 可以通过 AD FS 管理控制台中的“服务”“终结点”查看已启用哪些终结点。>
从版本 1.1.819.0 开始,Microsoft Entra Connect 提供了一个向导来配置 Microsoft Entra 混合联接。 该向导可让你显著简化配置过程。 如果无法安装所需的 Microsoft Entra Connect 版本,请参阅 如何手动配置设备注册。 如果 contoso.com 注册为已确认的自定义域,则即使其同步的本地 AD DS UPN 后缀位于 test.contoso.com 等子域中,用户也可以获取 PRT。
评估本地 Microsoft Windows Server Active Directory 用户 UPN 对 Microsoft Entra 混合加入的支持
- 可路由用户 UPN:可路由的 UPN 具有已向域注册机构注册的有效的已验证域。 例如,如果 contoso.com 是 Microsoft Entra ID 中的主域,contoso.org 是 Contoso 拥有的本地 AD 中的主域,在 Microsoft Entra ID 中验证。
- 不可路由的用户 UPN:不可路由的 UPN 没有已验证的域,仅在组织的专用网络中适用。 例如,如果 contoso.com 是 Microsoft Entra ID 中的主要域,contoso.local 是本地 AD 中的主域,但不是 Internet 中的可验证域,并且仅在 Contoso 的网络中使用。
注意事项
本部分中的信息仅适用于本地用户 UPN。 它不适用于本地计算机域后缀(例如:computer1.contoso.local)。
下表详细介绍了Windows 10 Microsoft Entra混合联接中这些本地 Microsoft Windows Server Active Directory UPN 的支持:
| 本地Microsoft Windows Server Active Directory UPN 的类型 | 域类型 | Windows 10 版本 | 说明 |
|---|---|---|---|
| 可路由的 | 联邦 | 从 1703 版本开始 | 普遍可用 |
| 不可路由 | 联邦 | 从 1803 版本开始 | 普遍可用 |
| 可路由的 | 托管 | 从 1803 版本开始 | 一般可用性版本中,Windows锁屏界面的 Microsoft Entra SSPR 在本地 UPN 与 Microsoft Entra UPN 不同的环境中不受支持。 本地 UPN 必须同步到 Microsoft Entra ID 中的 onPremisesUserPrincipalName 属性 |
| 不可路由 | 托管 | 不支持 |