规划 Microsoft Entra 混合加入实现
如果你有本地 Active Directory 域服务 (AD DS) 环境,并想要将已加入 AD DS 域的计算机加入 Microsoft Entra ID,可以通过执行混合 Microsoft Entra 混合加入来实现此目的。
提示
已联接 Microsoft Entra 的设备也可以使用单一登录 (SSO) 访问本地资源。 有关详细信息,请参阅本地资源的 SSO 在已加入 Microsoft Entra 的设备上如何工作。
先决条件
本文假设读者已熟悉 Microsoft Entra ID 中的设备标识管理简介。
注意
Windows 10 或更高版本 Microsoft Entra 混合加入所需的最低域控制器 (DC) 版本为 Windows Server 2008 R2。
已加入混合 Microsoft Entra 的设备需要定期通过网络连接到域控制器。 如果没有此连接,设备将变为不可用。
在无法连接到域控制器的情况下中断的方案,包括:
- 设备密码更改
- 用户密码更改(缓存的凭据)
- 受信任的平台模块 (TPM) 重置
规划实施
若要规划混合 Microsoft Entra 实现,应熟悉:
- 查看支持的设备
- 查看应该知道的事项
- 查看 Microsoft Entra 混合加入的针对性部署
- 基于标识基础结构选择场景
- 查看本地 Microsoft Windows Server Active Directory 用户主体名称 (UPN) 对 Microsoft Entra 混合加入的支持
查看支持的设备
Microsoft Entra 混合加入支持多种 Windows 设备。
- Windows 11
- Windows 10
- Windows Server 2016
- 注意:Azure 国家云客户需要版本 1803
- Windows Server 2019
Microsoft 建议的最佳做法是升级到最新版本的 Windows 版本。
查看应该知道的事项
不支持的方案
- 运行域控制器 (DC) 角色的 Windows Server 不支持 Microsoft Entra 混合加入。
- Server Core OS 不支持任何类型的设备注册。
- 用户状态迁移 (USMT) 工具不适用于设备注册。
OS 映像注意事项
如果依赖于系统准备工具 (Sysprep),并且使用的是 Windows 10 1809 以前版本的映像进行安装,请确保映像不是来自已在 Microsoft Entra ID 中注册为已建立 Microsoft Entra 混合联接的设备。
如果依赖于使用虚拟机 (VM) 快照来创建更多的 VM,请确保快照不是来自已在 Microsoft Entra ID 中注册为 Microsoft Entra 混合加入的 VM。
如果使用统一写入筛选器和类似的技术在重新启动时清除对磁盘的更改,那么必须在设备进行 Microsoft Entra 混合加入后应用它们。 在完成 Microsoft Entra 混合加入之前启用此类技术将导致设备在每次重新启动时断开联接。
处理已注册 Microsoft Entra 的设备
如果 Windows 10 或更高版本的已加入域的设备向租户注册了 Microsoft Entra,则可能导致 Microsoft Entra 混合加入和Microsoft Entra 注册设备的双重状态。 建议升级到 Windows 10 1803(应用了 KB4489894)或更高版本来自动处理此方案。 在 1803 之前的版本中,需要手动移除已注册 Microsoft Entra 状态,然后才能启用 Microsoft Entra 混合加入。 为避免此双重状态,1803 及更高版本中进行了以下更改:
- 在设备进行 Microsoft Entra 混合加入且同一用户登录后,系统会自动删除用户的任何现有的已注册 Microsoft Entra 状态。 例如,如果用户 A 在设备上有已注册 Microsoft Entra 状态,则仅当用户 A 登录到设备时,才会清除用户 A 的双重状态。 如果同一设备上存在多个用户,则当这些用户登录时,系统会单独清除该双重状态。 在管理员移除已注册 Microsoft Entra 状态后,如果注册是通过自动注册进行的 Microsoft Entra 注册的一部分,则 Windows 10 将从 Intune 或其他移动设备管理 (MDM) 取消注册该设备。
- 设备上任何本地帐户的 Microsoft Entra 已注册状态不受此更改影响。 它仅适用于域帐户。 即使在用户登录之后,本地帐户的已注册 Microsoft Entra 状态也不会自动删除,因为该用户不是域用户。
- 可以通过将注册表值 "BlockAADWorkplaceJoin"=dword:00000001 添加到 HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin阻止将已加入域的设备注册到 Microsoft Entra。
- 在 Windows 10 1803 中,如果已配置 Windows Hello 企业版,则用户需要在清除双重状态后重新配置 Windows Hello 企业版。 此问题已通过 KB4512509 得到解决。
注意
尽管 Windows 10 和 Windows 11 会在本地自动删除已注册 Microsoft Entra 状态,但如果 Microsoft Entra ID 中的设备对象由 Intune 管理,则不会立即将其删除。 可以通过运行 dsregcmd /status 来验证是否已删除已注册 Microsoft Entra 状态,并基于这一点将设备视为没有注册到 Microsoft Entra。
单个林、多个 Microsoft Entra 租户的 Microsoft Entra 混合加入
要若将设备注册为各自租户的 Microsoft Entra 混合加入,组织需要确保在设备上而不是在 Microsoft Windows Server Active Directory 中完成服务连接点 (SCP) 配置。 有关如何完成此任务的更多详细信息,请参阅 Microsoft Entra 混合加入针对性部署一文。 组织必须知道某些 Microsoft Entra 功能在单个林、多个 Microsoft Entra 租户配置中不起作用。
- 设备写回将不起作用。 此配置会影响使用 AD FS 联合的本地应用基于设备的条件访问。 此配置还会影响使用混合证书信任模型时的 Windows Hello 企业版部署。
- 组写回将不起作用。 此配置会影响将 Office 365 组写回已安装 Exchange 的林中。
- 本地 Microsoft Entra 密码保护不起作用。 此配置会影响使用 Microsoft Entra 中存储的相同全局和自定义受禁密码列表,对本地 Active Directory 域服务 (AD DS) 域控制器执行密码更改和密码重置活动的功能。
其他注意事项
如果你的环境使用虚拟桌面基础结构 (VDI),请参阅设备标识和桌面虚拟化。
Microsoft Entra 混合加入支持符合美国联邦信息处理标准 (FIPS) 的 TPM 2.0,但不支持 TPM 1.2。 如果设备具有符合 FIPS 的 TPM 1.2,则必须先将其禁用,然后才能继续 Microsoft Entra 混合加入。 Microsoft 不提供任何工具来禁用 TPM 的 FIPS 模式,因为这依赖于 TPM 制造商。 请联系硬件 OEM 获取支持。
从 Windows 10 1903 版本开始,TPM 1.2 不再与 Microsoft Entra 混合加入一起使用,并且具有这些 TPM 的设备将被视为没有 TPM。
从 Windows 10 2004 更新开始,才支持 UPN 更改。 对于 Windows 10 2004 更新之前的设备,用户设备上将出现 SSO 和条件访问问题。 若要解决此问题,需要从 Microsoft Entra ID 中分离设备(使用提升的权限运行“dsregcmd /leave”),然后重新联接(自动执行)。 但是,使用 Windows Hello 企业版登录的用户不会遇到这个问题。
查看针对性 Microsoft Entra 混合加入
组织在全面启用 Microsoft Entra 混合加入之前,可能需要有针对性地退出此功能。 请查看 Microsoft Entra 混合加入针对性部署一文,了解如何完成此任务。
警告
组织应在其试点组中包含不同角色和配置文件的用户示例。 针对性推出有助于确定在为整个组织启用之前你的计划可能尚未解决的任何问题。
基于标识基础结构选择场景
Microsoft Entra 混合加入既适用于托管环境,也适用于联合环境,具体取决于 UPN 是否可路由。 有关受支持场景的表,请查看页面底部。
托管环境
可通过密码哈希同步 (PHS) 来部署托管环境。
这些方案不要求你配置用于身份验证 (AuthN) 的联合服务器。
联合环境
联合环境应具有支持以下要求的标识提供者。 如果已有使用 Active Directory 联合身份验证服务 (AD FS) 的联合环境,则已经支持以下要求。
WS-Trust 协议: 使用 Microsoft Entra ID 对当前 Microsoft Entra 混合联接的 Windows 设备进行身份验证时需要此协议。 使用 AD FS 时,需要启用以下 WS-Trust 终结点:
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
警告
adfs/services/trust/2005/windowstransport 或 adfs/services/trust/13/windowstransport 只能作为面向 Intranet 的终结点启用,不能通过 Web 应用程序代理作为面向 Extranet 的终结点公开。 若要详细了解如何禁用 WS-Trust Windows 终结点,请参阅在代理上禁用 WS-Trust Windows 终结点。 可以通过 AD FS 管理控制台中的“服务”“终结点”查看已启用哪些终结点。
自版本 1.1.819.0 起,Microsoft Entra 提供了 Microsoft Entra 混合加入的配置向导。 该向导可让你显著简化配置过程。 如果无法安装所需版本的 Microsoft Entra Connect,请参阅如何手动配置设备注册。 如果 contoso.com 注册为已确认的自定义域,则即使其同步的本地 AD DS UPN 后缀位于 test.contoso.com 等子域中,用户也可以获取 PRT。
查看本地 Microsoft Windows Server Active Directory 用户 UPN 对 Microsoft Entra 混合加入的支持
有时候,本地 Microsoft Windows Server Active Directory 用户 UPN 不同于你的 Microsoft Entra UPN。 在此类情况下,Windows 10 或更高版本的 Microsoft Entra 混合加入根据身份验证方法、域类型和 Windows 版本对本地 Microsoft Windows Server Active Directory UPN 提供有限支持。 你的环境中可以存在两种类型的本地 Microsoft Windows Server Active Directory UPN:
- 可路由用户 UPN:可路由的 UPN 具有已向域注册机构注册的有效的已验证域。 例如,如果 contoso.com 是 Microsoft Entra ID 中的主域,则 contoso.org 是 Contoso 拥有的且已在 Microsoft Entra ID 中验证的本地 Microsoft Windows Server Active Directory 中的主域。
- 不可路由的用户 UPN:不可路由的 UPN 没有已验证的域,仅在组织的专用网络中适用。 例如,如果 contoso.com 是 Microsoft Entra ID 中的主域,contoso.local 是本地 Microsoft Windows Server Active Directory 中的主域,但在 Internet 中不是可验证的域,且仅可在 Contoso 的网络中使用。
注意
本部分中的信息仅适用于本地用户 UPN。 它不适用于本地计算机域后缀(例如:computer1.contoso.local)。
下表提供了 Windows 10 Microsoft Entra 混合加入中对这些本地 Microsoft Windows Server Active Directory UPN 的支持情况的详细信息:
| 本地 Microsoft Windows Server Active Directory UPN 的类型 | 域类型 | Windows 10 版本 | 说明 |
|---|---|---|---|
| 可路由的 | 联合 | 从 1703 版本开始 | 正式发布 |
| 非可路由的 | 联合 | 从 1803 版本开始 | 正式发布 |
| 可路由的 | 托管 | 从 1803 版本开始 | Windows 锁屏界面上的 Microsoft Entra SSPR 已正式发布,在本地 UPN 与 Microsoft Entra UPN 不同的环境中不受支持。 本地 UPN 必须同步到 Microsoft Entra ID 中的 onPremisesUserPrincipalName 属性 |
| 非可路由的 | 托管 | 不支持 |