Если вы используете функции службы каталогов Active Directory (AD) на своем сервере и также хотели бы использовать функции Azure AD, такие как условный доступ, единый вход (SSO) и другие, то эта статья для вас. В этой статье вы узнаете, как настроить режим, который Microsoft называет гибридным присоединением к Azure AD.
Что такое гибридное присоединение к Azure AD?
В двух словах, гибридное присоединение к Azure AD – это режим, который позволяет управлять устройствами как с помощью традиционных средств службы каталогов на сервере, так и регистрировать их в Azure AD. Дополнительную информацию можно найти в документации Microsoft по устройствам с гибридным присоединением к Azure AD.
Предварительные требования
Существует много требований и предварительных условий, которые необходимо выполнить, прежде чем начать настройку гибридного присоединения к Azure AD. Прежде чем приступить к шагам, описанным в этой статье, убедитесь, что у вас есть или выполнены следующие условия:
- Устройства должны быть поддерживаемыми текущими устройствами Windows (Windows 10 версии 1809 или выше, или Windows Server 2016 и выше)
- Устройство с Windows 10, присоединенное к локальной сети AD
- Интернет-подключение на устройстве с Windows (enterpriseregistration.windows.net:443, login.microsoftonline.com:443 и device.login.microsoftonline.com:443)
- On-prem AD должен синхронизироваться с Azure AD только с одним тенантом Azure AD. Оба домена для всех примеров в этой статье называются adamtheautomator.com. Если вы хотите синхронизировать несколько тенантов Azure AD, используйте GPO вместо SCP.
- Вы должны знать учетную запись глобального администратора для Azure AD. В примере в этой статье будет использоваться имя учетной записи adam.
- Вы должны знать учетную запись администратора предприятия для on-prem AD. В примере в этой статье будет использоваться имя учетной записи [email protected].
- У вас установлен Azure AD Connect 1.1.819.0 на сервере-члене и синхронизирован с Azure AD
Все примеры в этой статье будут использовать домен on-prem AD с именем adamtheautomator.com и синхронизированный Azure AD с тем же именем.
Для полного списка предварительных требований обратитесь к документации Microsoft о планировании реализации гибридного присоединения к Azure Active Directory.
Настройка Azure AD Connect
Первый шаг по настройке устройств с гибридным присоединением к Azure AD – настройка Azure AD Connect. Здесь вы настроите процесс синхронизации Azure AD так, чтобы он учитывал ваш намеренный гибридный режим.
Для начала откройте Azure AD Connect и нажмите на Configure.
На следующем экране перейдите к Configure device options и нажмите Next.
Укажите учетные данные глобального администратора вашего Azure AD и нажмите Next.
Нажмите Configure Hybrid Azure AD join и Next.
На странице Device Operating systems выберите типы устройств, которые вы собираетесь включить. В данной статье мы собираемся включить только текущие устройства (Windows 10). Выберите Windows 10 or later domain-joined devices и нажмите Next.
Для получения информации о том, как настроить устройства более ранних версий Windows (Windows 8.1+ и Windows Server 2008 R2+), обратитесь к документации Microsoft по ссылке Configure hybrid Azure Active Directory join for managed domains.
Вы теперь создадите точку подключения службы (SCP) в Azure, чтобы разрешить вашим устройствам читать информацию о вашем арендаторе Azure AD. Проверьте имя вашего леса под Forest, выберите Azure Active Directory в качестве Служба аутентификации и затем нажмите Добавить, чтобы предоставить учетные данные для вашей учетной записи администратора предприятия на месте. По завершении нажмите Далее.
На следующем экране нажмите Настроить, чтобы начать процесс. Все должно занять всего несколько секунд.
По завершении вам будет сказано настроить дополнительные шаги. Нажмите Выход, когда закончите.
Подтверждение статуса присоединения к Azure AD
После настройки Azure AD Connect вы должны проверить, чтобы убедиться, что плоды вашего труда действительно окупились! К счастью, все устройства с Windows 10 должны автоматически присоединяться к гибридному AD со временем, но для первого устройства вы должны это подтвердить.
Проверка с клиентской стороны
Чтобы подтвердить регистрацию устройства с Windows 10, перезагрузите одно из них. После восстановления подключитесь к нему удаленно или на консоли и перейдите в командную строку. В командной строке введите dsregcmd /status. Если вы видите AzureADJoined: YES под Состояние устройства, то все в порядке.
Если устройство еще не отображается как присоединенное к Azure AD, это может быть потому, что объект компьютера еще не был синхронизирован с Azure AD. Вы можете попробовать принудительно зарегистрировать его, запустив dsregcmd /join и снова просмотреть статус.
Если вы до сих пор не видите, что устройство присоединено к Azure AD, вам, возможно, стоит ознакомиться с этим руководством по устранению неполадок. Вы также можете скачать этот сценарий PowerShell и запустить его на устройстве для выполнения множества общих тестов.
Проверка на стороне Azure
После того как вы подтвердите, что клиент Windows 10 утверждает, что он присоединен, убедитесь также проверить на стороне Azure. Для этого перейдите на вкладку Устройства в вашем арендаторе Azure AD. Здесь вы должны увидеть, что ТИП ПРИСОЕДИНЕНИЯ – Гибридное присоединение Azure AD, и ЗАРЕГИСТРИРОВАН имеет недавнюю метку времени для устройства Windows 10.
Если вы видите устройства, отмеченные как “Зарегистрированные” и “Гибридное присоединение Azure AD”, возможно, вы обнаружите, что правила условного доступа Azure AD (CA) не будут правильно функционировать с записями “Зарегистрированные”. Чтобы исправить это, обновите все устройства до Windows 10 1903. Вам также может потребоваться удалить все записи “Зарегистрированные” с помощью сценария.
После подтверждения регистрации вашего тестового устройства Windows 10 в качестве гибридного присоединения Azure AD, все остальные текущие устройства в AD также должны начать регистрироваться автоматически.
Если пользователь вошел в систему на присоединенном клиенте, ему придется выйти и снова войти, чтобы получить основной обновленный токен.
Итог
Как только настроены, устройства, присоединенные в модели гибридного присоединения к Azure AD, автоматически регистрируют себя. После выполнения всех необходимых шагов в этой статье большая часть трудоемкой работы сделана за вас. На этом этапе вы можете начать использовать различные службы, которые предлагает Azure AD, для управления всеми вашими устройствами, присоединенными к домену.