Mengonfigurasi gabungan hibrid Microsoft Entra

Membawa perangkat Anda ke MICROSOFT Entra ID memaksimalkan produktivitas pengguna melalui akses menyeluruh (SSO) di seluruh sumber daya cloud dan lokal Anda. Anda dapat mengamankan akses ke berbagai sumber daya Anda dengan Akses Bersyarat secara bersamaan.

Prasyarat

• Microsoft Entra Koneksi versi 1.1.819.0 atau yang lebih baru.
  • Jangan kecualikan atribut perangkat default dari konfigurasi Microsoft Entra Koneksi Sync Anda. Untuk mempelajari selengkapnya tentang atribut perangkat default yang disinkronkan ke ID Microsoft Entra, lihat Atribut yang disinkronkan oleh Microsoft Entra Koneksi.
  • Jika objek komputer perangkat yang ingin Anda jadikan gabungan hibrid Microsoft Entra milik unit organisasi (OU) tertentu, konfigurasikan OU yang benar untuk disinkronkan di Microsoft Entra Koneksi. Untuk mempelajari selengkapnya tentang cara menyinkronkan objek komputer dengan menggunakan Microsoft Entra Koneksi, lihat Pemfilteran berbasis unit organisasi.
• Info masuk Administrator Global untuk penyewa Microsoft Entra Anda.
• Info masuk administrator perusahaan untuk tiap-tiap forest Active Directory Domain Services lokal.
• (Untuk domain gabungan) Setidaknya Windows Server 2012 R2 dengan Active Directory Federation Services sudah terinstal.
• Pengguna dapat mendaftarkan perangkat mereka dengan ID Microsoft Entra. Informasi selengkapnya tentang pengaturan ini dapat ditemukan di bagian judul Mengonfigurasi pengaturan perangkat, pada artikel, Mengonfigurasi pengaturan perangkat.

Persyaratan konektivitas jaringan

Gabungan hibrida Microsoft Entra memerlukan perangkat untuk memiliki akses ke sumber daya Microsoft berikut dari dalam jaringan organisasi Anda:

• https://enterpriseregistration.windows.net
• https://login.microsoftonline.com
• https://device.login.microsoftonline.com
• https://autologon.microsoftazuread-sso.com (Jika Anda menggunakan atau berencana untuk menggunakan SSO yang mulus)
• Layanan Token Keamanan (STS) organisasi Anda (Untuk domain gabungan)

Jika organisasi Anda memerlukan akses ke internet melalui proksi keluar, Anda dapat menggunakan Web Proxy Auto-Discovery (WPAD) untuk mengaktifkan Windows 10 atau komputer yang lebih baru untuk pendaftaran perangkat dengan ID Microsoft Entra. Jika Anda mengalami masalah saat mengonfigurasi dan mengelola WPAD, lihatMemecahkan masalah deteksi otomatis.

Jika tidak menggunakan WPAD, Anda dapat mengonfigurasi pengaturan proxy WinHTTP di komputer dengan Objek Kebijakan Grup (GPO) mulai versi Windows 10 1709. Untuk informasi selengkapnya, lihat Pengaturan Proxy WinHTTP yang diterapkan oleh GPO.

Jika organisasi Anda memerlukan akses ke internet melalui proksi keluar yang diautentikasi, Anda harus memastikan bahwa komputer Windows 10 atau yang lebih baru berhasil mengautentikasi proksi keluar. Karena komputer Windows 10 atau yang lebih baru menjalankan pendaftaran perangkat dengan menggunakan konteks komputer, Anda harus mengonfigurasi autentikasi proksi keluar dengan menggunakan konteks komputer. Tindak lanjuti dengan penyedia proxy keluar Anda pada persyaratan konfigurasi.

Verifikasi bahwa perangkat dapat mengakses sumber daya Microsoft yang diperlukan pada akun sistem dengan menggunakan skrip Menguji Konektivitas Pendaftaran Perangkat.

Domain yang dikelola

Kami pikir sebagian besar organisasi menyebarkan gabungan hibrid Microsoft Entra dengan domain terkelola. Domain terkelola menggunakan sinkronisasi hash kata sandi (PHS) atau autentikasi pass-through (PTA) dengan akses menyeluruh tanpa hambatan. Skenario domain terkelola tidak perlu mengonfigurasi server federasi.

Konfigurasikan gabungan hibrid Microsoft Entra dengan menggunakan Microsoft Entra Koneksi untuk domain terkelola:

1. Buka Microsoft Entra Koneksi, lalu pilih Konfigurasikan.

2. Pada halaman Tugas tambahan, pilih Opsi konfigurasi perangkat, lalu pilih Berikutnya.

3. Di Gambaran Umum, pilih Berikutnya.

4. Di Koneksi ke ID Microsoft Entra, masukkan kredensial Administrator Global penyewa Microsoft Entra Anda.

5. Di Opsi perangkat, pilih Konfigurasikan gabungan hibrid Microsoft Entra, lalu pilih Berikutnya.

6. Pada halaman Sistem operasi perangkat, pilih sistem operasi yang digunakan perangkat di lingkungan penggunaan Active Directory Anda, lalu pilih Berikutnya.

7. Dalam konfigurasi SCP, untuk setiap forest tempat Anda ingin Microsoft Entra Koneksi mengonfigurasi titik koneksi layanan (SCP), selesaikan langkah-langkah berikut, lalu pilih Berikutnya.

   1. Pilih Forest.
   2. Pilih Layanan Autentikasi.
   3. Pilih Tambahkan untuk memasukkan informasi masuk administrator perusahaan.

   

8. Pada Siap dikonfigurasi, pilih Konfigurasikan.

9. Pada Konfigurasi selesai, pilih Keluar.

Domain gabungan

Lingkungan gabungan harus memiliki penyedia identitas yang mendukung persyaratan berikut. Jika Anda memiliki lingkungan gabungan menggunakan Layanan Federasi Direktori Aktif (AD FS), maka persyaratan di bawah ini sudah didukung.

• Klaim WIAORMULTIAUTHN: Klaim ini diperlukan untuk melakukan gabungan hibrid Microsoft Entra untuk perangkat tingkat bawah Windows.
• Protokol WS-Trust: Protokol ini diperlukan untuk mengautentikasi perangkat gabungan hibrid Microsoft Entra windows saat ini dengan ID Microsoft Entra. Saat menggunakan AD FS, Anda harus mengaktifkan titik akhir WS-Trust berikut:
  • /adfs/services/trust/2005/windowstransport
  • /adfs/services/trust/13/windowstransport
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/services/trust/13/usernamemixed
  • /adfs/services/trust/2005/certificatemixed
  • /adfs/services/trust/13/certificatemixed

Konfigurasikan gabungan hibrid Microsoft Entra dengan menggunakan Microsoft Entra Koneksi untuk lingkungan federasi:

1. Buka Microsoft Entra Koneksi, lalu pilih Konfigurasikan.

2. Pada halaman Tugas tambahan, pilih Konfigurasi opsi perangkat, lalu pilih Berikutnya.

3. Di halaman Gambaran Umum, pilih Berikutnya.

4. Pada halaman Koneksi ke ID Microsoft Entra, masukkan kredensial Administrator Global penyewa Microsoft Entra Anda, lalu pilih Berikutnya.

5. Pada halaman Opsi perangkat, pilih Konfigurasikan gabungan hibrid Microsoft Entra, lalu pilih Berikutnya.

6. Pada halaman SCP, selesaikan langkah-langkah berikut, lalu pilih Berikutnya:

   1. Pilih hutan.
   2. Pilih layanan autentikasi. Anda harus memilih server Layanan Federasi Direktori Aktif kecuali organisasi Anda memiliki klien Windows 10 atau yang lebih baru secara eksklusif dan Anda mengonfigurasi sinkronisasi komputer/perangkat, atau organisasi Anda menggunakan SSO yang mulus.
   3. Pilih Tambahkan untuk memasukkan informasi masuk administrator perusahaan.

   

7. Pada halaman Sistem operasi perangkat, pilih sistem operasi yang digunakan perangkat di lingkungan penggunaan Active Directory Anda, lalu pilih Berikutnya.

8. Pada halaman Konfigurasi federasi, masukkan informasi masuk administrator AD FS Anda, lalu pilih Berikutnya.

9. Pada halaman Siap mengonfigurasi, pilih Konfigurasikan.

10. Pada halaman Konfigurasi selesai, pilih Keluar.

Peringatan penggabungan

Dengan Windows 10 1803 atau yang lebih baru, jika gabungan hibrid Microsoft Entra seketika untuk lingkungan federasi menggunakan LAYANAN Federasi Direktori Aktif gagal, kami mengandalkan Microsoft Entra Koneksi untuk menyinkronkan objek komputer di ID Microsoft Entra untuk menyelesaikan pendaftaran perangkat untuk gabungan hibrid Microsoft Entra.

Skenario lain

Organisasi dapat menguji gabungan hibrid Microsoft Entra pada subset lingkungan mereka sebelum peluncuran penuh. Langkah-langkah untuk menyelesaikan penyebaran yang ditargetkan dapat ditemukan dalam artikel Penyebaran yang ditargetkan gabungan hibrid Microsoft Entra. Organisasi harus menyertakan sampel pengguna dari berbagai peran dan profil di kelompok pilot ini. Peluncuran yang ditargetkan membantu mengidentifikasi masalah apa pun yang mungkin tidak diatasi paket Anda sebelum Anda mengaktifkan untuk seluruh organisasi.

Beberapa organisasi mungkin tidak dapat menggunakan Microsoft Entra Koneksi untuk mengonfigurasi Layanan Federasi Direktori Aktif. Langkah-langkah untuk mengonfigurasi klaim secara manual dapat ditemukan dalam artikel Mengonfigurasi gabungan hibrid Microsoft Entra secara manual.

Cloud Pemerintah AS (termasuk GCCHigh dan DoD)

Untuk organisasi di Azure Government, gabungan hibrid Microsoft Entra mengharuskan perangkat memiliki akses ke sumber daya Microsoft berikut dari dalam jaringan organisasi Anda:

• https://enterpriseregistration.windows.netdanhttps://enterpriseregistration.microsoftonline.us
• https://login.microsoftonline.us
• https://device.login.microsoftonline.us
• https://autologon.microsoft.us (Jika Anda menggunakan atau berencana untuk menggunakan SSO yang mulus)

Memecahkan masalah gabungan hibrid Microsoft Entra

Jika Anda mengalami masalah dalam menyelesaikan gabungan hibrid Microsoft Entra untuk perangkat Windows yang bergabung dengan domain, lihat:

• Perangkat pemecahan masalah menggunakan perintah dsregcmd
• Memecahkan masalah gabungan hibrid Microsoft Entra untuk perangkat Windows saat ini
• Memecahkan masalah gabungan hibrid Microsoft Entra untuk perangkat tingkat bawah Windows
• Memecahkan masalah status perangkat yang tertunda

Konten terkait

• Verifikasi gabungan hibrid Microsoft Entra
• Gunakan Akses Bersyarat untuk mewajibkan perangkat gabungan hibrid Microsoft Entra atau yang sesuai
• Merencanakan Penyebaran Windows Hello untuk Bisnis