A Microsoft Entra hibrid csatlakozásának konfigurálása

Az eszközök Microsoft Entra-azonosítóhoz való hozzáadása maximalizálja a felhasználói hatékonyságot az egyszeri bejelentkezés (SSO) révén a felhőben és a helyszíni erőforrásokban. Az erőforrásokhoz való hozzáférést egyidejűleg feltételes hozzáféréssel is biztonságossá teheti.

Előfeltételek

• A Microsoft Entra Csatlakozás 1.1.819.0-s vagy újabb verzióját.
  • Ne zárja ki az alapértelmezett eszközattribútumokat a Microsoft Entra Csatlakozás Sync-konfigurációból. A Microsoft Entra-azonosítóval szinkronizált alapértelmezett eszközattribútumokról további információt a Microsoft Entra Csatlakozás által szinkronizált attribútumok című témakörben talál.
  • Ha azoknak az eszközöknek a számítógép-objektumai, amelyeket a Hibrid Microsoft Entra-nak szeretne csatlakoztatni, adott szervezeti egységekhez (OU-khoz) tartoznak, konfigurálja a megfelelő szervezeti egységeket a Microsoft Entra Csatlakozás szinkronizálásához. A számítógép-objektumok Microsoft Entra Csatlakozás használatával történő szinkronizálásáról további információt a Szervezeti egységen alapuló szűrés című témakörben talál.
• A Microsoft Entra-bérlő globális Rendszergazda istrator-hitelesítő adatai.
• Vállalati rendszergazdai hitelesítő adatok az egyes helyi Active Directory Domain Services-erdőkhöz.
• (Összevont tartományok esetén) Legalább Windows Server 2012 R2 Active Directory összevonási szolgáltatások (AD FS) telepítve.
• A felhasználók regisztrálhatják eszközeiket a Microsoft Entra-azonosítóval. Erről a beállításról az Eszközbeállítások konfigurálása című cikk Eszközbeállítások konfigurálása című szakaszában talál további információt.

Hálózati kapcsolati követelmények

A Microsoft Entra hibrid csatlakoztatásához szükséges, hogy az eszközök hozzáférjenek a következő Microsoft-erőforrásokhoz a szervezeti hálózaton:

• https://enterpriseregistration.windows.net
• https://login.microsoftonline.com
• https://device.login.microsoftonline.com
• https://autologon.microsoftazuread-sso.com (Ha közvetlen egyszeri bejelentkezést használ vagy készül használni)
• A szervezet biztonsági jogkivonat-szolgáltatása (STS) (összevont tartományokhoz)

Ha a szervezetnek kimenő proxyn keresztül kell hozzáférnie az internethez, a Webes proxy automatikus felderítése (WPAD) használatával engedélyezheti a Windows 10 vagy újabb számítógépeket a Microsoft Entra ID-val való eszközregisztrációhoz. A WPAD konfigurálásával és kezelésével kapcsolatos problémák megoldásához tekintse meg az automatikus észlelés hibaelhárítását.

Ha nem használja a WPAD-et, a Windows 10 1709-től kezdődő csoportházirend-objektummal (GPO) konfigurálhatja a számítógépen a WinHTTP-proxybeállításokat. További információ: A Csoportházirend-objektum által üzembe helyezett WinHTTP proxy Gépház.

Ha a szervezetnek hitelesített kimenő proxyn keresztül kell hozzáférnie az internethez, győződjön meg arról, hogy a Windows 10 vagy újabb számítógépek sikeresen hitelesíthetik magukat a kimenő proxyn. Mivel a Windows 10 vagy újabb számítógépek gépi környezettel futtatják az eszközregisztrációt, a kimenő proxyhitelesítést gépi környezet használatával konfigurálja. A konfiguráció követelményeivel kapcsolatban forduljon a kimenő proxy szolgáltatójához.

Ellenőrizze, hogy az eszközök hozzáférnek-e a szükséges Microsoft-erőforrásokhoz a rendszerfiókban az Eszközregisztráció tesztelése Csatlakozás ivity szkript használatával.

Felügyelt tartományok

Úgy gondoljuk, hogy a legtöbb szervezet a Microsoft Entra hibrid csatlakozását felügyelt tartományokkal telepíti. A felügyelt tartományok jelszókivonat-szinkronizálást (PHS) vagy átmenő hitelesítést (PTA) használnak zökkenőmentes egyszeri bejelentkezéssel. A felügyelt tartományok esetében nincs szükség összevonási kiszolgáló konfigurálására.

Konfigurálja a Microsoft Entra hibrid csatlakozást a Microsoft Entra Csatlakozás használatával felügyelt tartományhoz:

1. Nyissa meg a Microsoft Entra Csatlakozás, majd válassza a Konfigurálás lehetőséget.

2. A További feladatok területen válassza az Eszközbeállítások konfigurálása, majd a Tovább gombot.

3. Az Áttekintés területen válassza a Tovább lehetőséget.

4. A Microsoft Entra-azonosítóra Csatlakozás adja meg a Microsoft Entra-bérlő globális Rendszergazda istratorának hitelesítő adatait.

5. Az Eszközbeállítások területen válassza a Microsoft Entra hibrid csatlakoztatásának konfigurálása, majd a Tovább gombot.

6. Az Eszköz operációs rendszerekben válassza ki azOkat az operációs rendszereket, amelyeket az Active Directory-környezetben az eszközök használnak, majd válassza a Tovább lehetőséget.

7. Az SCP-konfigurációban minden olyan erdő esetében, ahol azt szeretné, hogy a Microsoft Entra Csatlakozás konfiguráljon egy szolgáltatáskapcsolati pontot (SCP), hajtsa végre az alábbi lépéseket, majd válassza a Tovább gombot.

   1. Válassza ki az erdőt.
   2. Válasszon ki egy hitelesítési szolgáltatást.
   3. Válassza a Hozzáadás lehetőséget a vállalati rendszergazdai hitelesítő adatok megadásához.

   

8. A Konfigurálásra kész területen válassza a Konfigurálás lehetőséget.

9. A Konfiguráció befejeződött elemében válassza a Kilépés lehetőséget.

Összevont tartományok

Az összevont környezetnek rendelkeznie kell egy identitásszolgáltatóval, amely támogatja az alábbi követelményeket. Ha összevont környezettel rendelkezik Active Directory összevonási szolgáltatások (AD FS) (AD FS) használatával, akkor az alábbi követelmények már támogatottak.

• WIAORMULTIAUTHN-jogcím: Ez a jogcím szükséges a Microsoft Entra hibrid csatlakoztatásához a Windows alacsonyabb szintű eszközökön.
• WS-Trust protokoll: Ez a protokoll szükséges a Windows aktuális Microsoft Entra hibrid csatlakoztatott eszközeinek Microsoft Entra-azonosítóval való hitelesítéséhez. Az AD FS használatakor engedélyeznie kell a következő WS-Trust végpontokat:
  • /adfs/services/trust/2005/windowstransport
  • /adfs/services/trust/13/windowstransport
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/services/trust/13/usernamemixed
  • /adfs/services/trust/2005/certificatemixed
  • /adfs/services/trust/13/certificatemixed

A Microsoft Entra hibrid illesztés konfigurálása a Microsoft Entra Csatlakozás használatával összevont környezethez:

1. Nyissa meg a Microsoft Entra Csatlakozás, majd válassza a Konfigurálás lehetőséget.

2. A További feladatok lapon válassza az Eszközbeállítások konfigurálása, majd a Tovább gombot.

3. Az Áttekintés lapon válassza a Tovább gombot.

4. A Microsoft Entra-azonosítóra Csatlakozás lapon adja meg a Microsoft Entra-bérlő globális Rendszergazda istratorának hitelesítő adatait, majd válassza a Tovább gombot.

5. Az Eszközbeállítások lapon válassza a Microsoft Entra hibrid csatlakoztatásának konfigurálása, majd a Tovább gombot.

6. Az SCP lapon hajtsa végre a következő lépéseket, majd válassza a Tovább elemet:

   1. Válassza ki az erdőt.
   2. Válassza ki a hitelesítési szolgáltatást. Az AD FS-kiszolgálót kell választania, kivéve, ha a szervezet kizárólag Windows 10 vagy újabb ügyfelekkel rendelkezik, és konfigurálja a számítógép-/eszközszinkronizálást, vagy ha a szervezet zökkenőmentes egyszeri bejelentkezést használ.
   3. Válassza a Hozzáadás lehetőséget a vállalati rendszergazdai hitelesítő adatok megadásához.

   

7. Az Eszköz operációs rendszerek lapon válassza ki azOkat az operációs rendszereket, amelyeket az Active Directory-környezet eszközei használnak, majd válassza a Tovább lehetőséget.

8. Az Összevonás konfigurációs lapján adja meg az AD FS-rendszergazda hitelesítő adatait, majd válassza a Tovább gombot.

9. A Konfigurálásra kész lapon válassza a Konfigurálás lehetőséget.

10. A Konfiguráció befejezése lapon válassza a Kilépés lehetőséget.

Összevonási kikötések

Ha a Windows 10 1803-at vagy újabb verziót használva a Microsoft Entra hibrid csatlakoztatása egy összevont környezethez az AD FS használatával meghiúsul, a Microsoft Entra Csatlakozás szinkronizálja a számítógép-objektumot a Microsoft Entra-azonosítóban a Microsoft Entra hibrid illesztés eszközregisztrációjának befejezéséhez.

Egyéb forgatókönyvek

A szervezetek a teljes bevezetés előtt tesztelhetik a Microsoft Entra hibrid csatlakozást a környezetük egy részhalmazán. A célzott üzembe helyezés végrehajtásának lépéseit a Microsoft Entra hibrid csatlakozás célzott üzembe helyezéséről szóló cikkben találja. A szervezeteknek a próbacsoport különböző szerepköreiből és profiljaiból származó felhasználók mintáját kell tartalmazniuk. A célzott bevezetés segít azonosítani azokat a problémákat, amelyekkel a terv nem foglalkozik, mielőtt engedélyezné a teljes szervezet számára.

Előfordulhat, hogy egyes szervezetek nem tudják használni a Microsoft Entra Csatlakozás az AD FS konfigurálásához. A jogcímek manuális konfigurálásához szükséges lépéseket a Microsoft Entra hibrid csatlakoztatás manuális konfigurálása című cikkben találja.

US Government cloud (beleértve a GCCHigh és a DoD)

Az Azure Governmentben lévő szervezetek esetében a Microsoft Entra hibrid csatlakoztatásához az eszközöknek a szervezet hálózatán belül az alábbi Microsoft-erőforrásokhoz kell hozzáférniük:

• https://enterpriseregistration.windows.netÉshttps://enterpriseregistration.microsoftonline.us
• https://login.microsoftonline.us
• https://device.login.microsoftonline.us
• https://autologon.microsoft.us (Ha közvetlen egyszeri bejelentkezést használ vagy készül használni)

A Microsoft Entra hibrid csatlakoztatásának hibaelhárítása

Ha problémákat tapasztal a Microsoft Entra hibrid csatlakozásának a tartományhoz csatlakoztatott Windows-eszközökhöz való elvégzésével kapcsolatban, tekintse meg a következőt:

• Eszközök hibaelhárítása a dsregcmd paranccsal
• A Microsoft Entra hibrid csatlakoztatásának hibaelhárítása a Windows aktuális eszközeihez
• A Microsoft Entra hibrid csatlakoztatásának hibaelhárítása windowsos alsó szintű eszközökhöz
• Függőben lévő eszközállapot hibaelhárítása

Kapcsolódó tartalom

• Microsoft Entra hibrid illesztés ellenőrzése
• A feltételes hozzáférés használata a megfelelő vagy a Microsoft Entra hibrid csatlakoztatott eszköz megköveteléséhez
• Vállalati Windows Hello üzembe helyezés megtervezése