建立混合式Azure AD：逐步指南 – techsyncer

如果您使用本地 Active Directory（AD）功能，并且还想使用 Azure AD 功能，比如有条件的访问、单一登录（SSO）等，那么这篇文章适合您。在这篇文章中，您将学到如何设置 Microsoft 称之为混合 Azure AD 加入的模式。

什么是混合 Azure AD 加入？

简而言之，混合 Azure AD 加入是一种模式，允许您通过传统的本地 AD 工具管理设备，同时将其注册到 Azure AD。有关更多信息，请查看混合 Azure AD 加入设备的 Microsoft 文档。

在开始配置混合 Azure AD加入设备的步骤之前，确保您符合或拥有以下要求和先决条件：

设备必须是受支持的当前 Windows 设备（Windows 10 1809 或更高版本，或 Windows Server 2016 及更高版本）
本地 AD 加入的 Windows 10 设备
Windows 设备上的互联网连接（enterpriseregistration.windows.net:443，login.microsoftonline.com:443 和 device.login.microsoftonline.com:443）
在本地 AD 必须同步到 Azure AD，且只能同步到一个 Azure AD 租户。本文中所有示例中的两个域均称为 adamtheautomator.com。如果要同步多个 Azure AD 租户，只需使用 GPO 而不是 SCP 即可。
您必须知道 Azure AD 的全局管理员帐户。本文示例将使用帐户名为 adam。
您必须知道本地 AD 的企业管理员帐户。本文示例将使用帐户名为 [email protected]。
您需要在成员服务器上安装 Azure AD Connect 1.1.819.0 并与 Azure AD 同步已同步

本文所有示例将使用名为 adamtheautomator.com 的本地 AD 域，与同名的 Azure AD 同步。

有关所有先决条件的完整列表，请参阅计划混合 Azure Active Directory 加入实施 Microsoft 文档。

设置混合 Azure AD 加入设备的第一步是配置 Azure AD Connect。在这里，您将设置 Azure AD 同步过程，以便了解您打算采用的混合模式。

要开始设置，请首先打开 Azure AD 连接并单击配置。

在下一个屏幕上，单击 配置设备选项，然后单击 下一步。

提供您的 Azure AD 租户的全局管理员凭据，然后单击 下一步。

单击 配置混合 Azure AD 加入，然后单击 下一步。

在设备操作系统页面上，您将选择要上线的设备类型。对于本文，我们将仅上线当前设备（Windows 10）。选择Windows 10 或更高版本域加入设备，然后单击下一步。

有关如何配置 Windows 早期版本设备（Windows 8.1+ 和 Windows Server 2008 R2+）的信息，请参阅为受管域配置混合 Azure Active Directory 加入的 Microsoft 文档。

您现在将在Azure中创建服务连接点（SCP），以允许您的设备读取Azure AD租户信息。检查您的Forest下的森林名称，选择Azure Active Directory作为身份验证服务，然后点击添加提供您本地企业管理员帐户的凭据。完成后，点击下一步。

在下一个屏幕上，点击配置开始该过程。一切应该只需几秒钟。

完成后，您将被告知配置一些附加步骤。完成后，点击退出。

一旦您配置了Azure AD Connect，现在应该检查以确保您的劳动成果确实奏效了！幸运的是，所有Windows 10设备最终都应该自动加入混合AD，但对于第一个设备，您应该确认这一点。

要确认Windows 10设备是否注册，请重新启动其中一个设备。它重新启动后，连接到该设备，可以远程连接也可以在控制台上连接，并进入命令提示符。在命令提示符中，键入dsregcmd /status。如果在设备状态下看到AzureADJoined: YES，则说明情况良好。

如果设备尚未显示为Azure AD加入，可能是因为计算机对象尚未同步到Azure AD。您可以尝试通过运行dsregcmd /join并再次查看状态来强制进行注册。

如果您仍然没有看到设备已加入 Azure AD，请查看此故障排除指南。您也可以下载此 PowerShell 脚本在设备上运行，执行许多常见测试。

确认 Windows 10 客户端已加入后，请确保在 Azure 端进行检查。为此，请转到您的 Azure AD 租户中的设备刀片。在这里，您应该看到加入类型是混合 Azure AD 加入，而已注册的 Windows 10 设备具有最新的时间戳。

如果您看到设备显示为“已注册”和“混合 Azure AD 加入”，您可能会发现 AAD 有条件访问 (CA) 规则无法与“已注册”条目正确工作。为了解决此问题，请将所有设备升级到 Windows 10 1903。您可能还需要使用脚本删除所有“已注册”条目。

一旦确认您的测试 Windows 10 设备已注册并作为混合 Azure AD 加入，AD 中的所有其他当前设备也应该开始自动注册。

如果用户已登录到已加入的客户端，则必须注销并重新登录以获取主刷新令牌。

一旦配置完成，以混合 Azure AD 加入模型加入的设备将自动注册。在您完成本文中所需的所有步骤之后，大部分的工作都已完成。此时，您可以开始使用 Azure AD 提供的各种服务来管理所有加入域的设备。