Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Se si dispone di un ambiente Active Directory Domain Services (AD DS) locale e si desidera unire i computer già uniti a un dominio di AD DS a Microsoft Entra ID, è possibile eseguire questa operazione effettuando un join ibrido a Microsoft Entra.
Suggerimento
L'accesso Single Sign-On (SSO) alle risorse locali è disponibile anche per i dispositivi aggiunti a Microsoft Entra. Per altre informazioni, vedere Funzionamento dell'accesso SSO alle risorse locali nei dispositivi aggiunti a Microsoft Entra.
Prerequisiti
Questo articolo presuppone che l'utente abbia familiarità con l'introduzione alla gestione delle identità dei dispositivi in Microsoft Entra ID.
Annotazioni
La versione minima richiesta del controller di dominio (DC) per Windows 10 o versione successiva dell'aggiunta ibrida Microsoft Entra è Windows Server 2008 R2.
I dispositivi con giunzione ibrida di Microsoft Entra richiedono una visibilità periodica alla rete ai controller di dominio. Senza questa connessione, i dispositivi diventano inutilizzabili.
Gli scenari che si interrompono senza accesso visivo ai controller di dominio includono:
- Modifica della password del dispositivo
- Modifica della password utente (credenziali memorizzate nella cache)
- Reimpostazione del modulo TPM (Trusted Platform Module)
Pianificare l'implementazione
Per pianificare l'implementazione ibrida di Microsoft Entra, acquisire familiarità con:
- Esaminare i dispositivi supportati
- Esaminare le cose che dovresti sapere
- Esaminare la distribuzione mirata dell'aggiunta ibrida a Microsoft Entra
- Selezionare lo scenario in base all'infrastruttura di gestione delle identità
- Rivedere il supporto del nome principale utente (UPN) di Microsoft Windows Server Active Directory locale per il join ibrido di Microsoft Entra.
Esaminare i dispositivi supportati
Microsoft Entra hybrid join supporta un'ampia gamma di dispositivi Windows.
- Windows 11
- Windows 10
- Windows Server 2016
- Nota: I clienti cloud nazionali di Azure richiedono la versione 1803
- Windows Server 2019
Come procedura consigliata, Microsoft consiglia di eseguire l'aggiornamento alla versione più recente di Windows.
Esaminare le cose che dovresti sapere
Scenari non supportati
- Microsoft Entra hybrid join non è supportato per Windows Server che esegue il ruolo di Controller del dominio (DC).
- Il sistema operativo Server Core non supporta alcun tipo di registrazione del dispositivo.
- Lo Strumento di migrazione stato utente (USMT) non funziona con la registrazione del dispositivo.
Considerazioni sull'immagine del sistema operativo
Se si fa affidamento sullo strumento di preparazione del sistema (Sysprep) e si utilizza un'immagine pre-Windows 10 1809 per l'installazione, assicurarsi che l'immagine non provenga da un dispositivo già registrato con Microsoft Entra ID come dispositivo unito ibrido a Microsoft Entra.
Se ci si basa su uno snapshot di macchina virtuale (VM) per creare più macchine virtuali, assicurarsi che lo snapshot non provena da una macchina virtuale già registrata con Microsoft Entra ID come aggiunto ibrido a Microsoft Entra.
Se si usano filtri di scrittura unificati e tecnologie simili che cancellano le modifiche apportate al disco al riavvio, devono essere applicate dopo che il dispositivo è aggiunto ibrido a Microsoft Entra. L'abilitazione di tali tecnologie prima del completamento dell'aggiunta ibrida a Microsoft Entra comporta l'annullamento della partecipazione del dispositivo a ogni riavvio.
Gestione dei dispositivi con stato registrato di Microsoft Entra
Se i dispositivi con Windows 10 o versioni successive aggiunti al dominio sono registrati con Microsoft Entra nel tenant, potrebbe portare a uno stato duplice di ibrido Microsoft Entra e dispositivo registrato con Microsoft Entra. È consigliabile eseguire l'aggiornamento a Windows 10 1803 (con KB4489894 applicato) o versione successiva per risolvere automaticamente questo scenario. Nelle versioni precedenti alla versione 1803 è necessario rimuovere manualmente lo stato registrato di Microsoft Entra prima di abilitare l'aggiunta ibrida a Microsoft Entra. Nel 1803 e versioni successive sono state apportate le modifiche seguenti per evitare questo doppio stato:
- Qualsiasi stato registrato di Microsoft Entra esistente per un utente verrà automaticamente rimosso dopo che il dispositivo è aggiunto ibrido a Microsoft Entra e lo stesso utente accede. Ad esempio, se l'utente A aveva uno stato registrato di Microsoft Entra nel dispositivo, il doppio stato per l'utente A viene pulito solo quando l'utente A accede al dispositivo. Se nello stesso dispositivo sono presenti più utenti, lo stato doppio viene pulito singolarmente quando tali utenti accedono. Dopo che un amministratore rimuove lo stato registrato di Microsoft Entra, Windows 10 annulla la registrazione del dispositivo da Intune o da altri dispositivi mobili (MDM), se la registrazione è avvenuta come parte della registrazione di Microsoft Entra tramite registrazione automatica.
- Lo stato registrato di Microsoft Entra su qualsiasi account locale del dispositivo non è interessato da questa modifica. Applicabile solo agli account di dominio. Lo stato registrato di Microsoft Entra negli account locali non viene rimosso automaticamente anche dopo l'accesso dell'utente, perché l'utente non è un utente di dominio.
- È possibile impedire che il dispositivo aggiunto a un dominio venga registrato da Microsoft Entra aggiungendo il seguente valore del Registro di sistema a HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001.
- In Windows 10 1803, se è configurato Windows Hello for Business, l'utente deve riconfigurare Windows Hello for Business dopo la pulizia dello stato doppio. Questo problema viene risolto con KB4512509.
Annotazioni
Anche se Windows 10 e Windows 11 rimuovono automaticamente lo stato registrato di Microsoft Entra in locale, l'oggetto dispositivo in Microsoft Entra ID non viene eliminato immediatamente se è gestito da Intune. È possibile convalidare la rimozione dello stato registrato di Microsoft Entra eseguendo dsregcmd /status.
Associazione ibrida di Microsoft Entra per una singola foresta, molteplici tenant di Microsoft Entra
Per registrare i dispositivi come aggiunta ibrida di Microsoft Entra ai rispettivi tenant, le organizzazioni devono assicurarsi che la configurazione del punto di connessione del servizio (SCP) venga eseguita nei dispositivi e non in Microsoft Windows Server Active Directory. Per ulteriori dettagli su come eseguire questa attività, consultare l'articolo Distribuzione mirata del join ibrido di Microsoft Entra. È importante per le organizzazioni comprendere che alcune funzionalità di Microsoft Entra non funzionano nelle configurazioni con una singola foresta e tenant multipli di Microsoft Entra.
- Il writeback del dispositivo non funziona. Questa configurazione influisce sull'accesso condizionale basato su dispositivo per le app locali federate tramite AD FS. Questa configurazione influisce anche sulla distribuzione di Windows Hello for Business quando si usa il modello di attendibilità del certificato ibrido.
- Il writeback dei gruppi non funziona. Questa configurazione influisce sul writeback dei gruppi di Office 365 in una foresta con Exchange installato.
- Il Single Sign-On senza interruzioni non funziona. Questa configurazione influisce sugli scenari SSO nelle organizzazioni che usano piattaforme browser come iOS o Linux con Firefox, Safari o Chrome senza l'estensione Di Windows 10.
- La protezione password di Microsoft Entra locale non funziona. Questa configurazione influisce sulla possibilità di eseguire modifiche alle password e gli eventi di reimpostazione della password nei controller di dominio Active Directory Domain Services (AD DS) locali usando gli stessi elenchi di password globali e personalizzati escluse archiviati in Microsoft Entra ID.
Altre considerazioni
Se l'ambiente usa l'infrastruttura VDI (Virtual Desktop Infrastructure), vedere Identità del dispositivo e virtualizzazione desktop.
Microsoft Entra hybrid join è supportato per TPM 2.0 conforme al Federal Information Processing Standard (FIPS) e non è supportato per TPM 1.2. Se i tuoi dispositivi hanno TPM 1.2 conforme a FIPS, è necessario disabilitarli prima di procedere con l'associazione ibrida a Microsoft Entra. Microsoft non fornisce strumenti per disabilitare la modalità FIPS per TPM perché ciò dipende dal produttore del TPM. Contattare l'OEM hardware per assistenza.
A partire dalla versione di Windows 10 1903, la versione TPM 1.2 non viene usata con il join ibrido di Microsoft Entra e i dispositivi con tali TPM vengono considerati come se non avessero un TPM.
Le modifiche ai nomi di accesso UPN sono supportate solo a partire dall'aggiornamento di Windows 10 2004. Per i dispositivi prima dell'aggiornamento di Windows 10 2004, gli utenti potrebbero avere problemi di accesso SSO e condizionale nei dispositivi. Per risolvere questo problema, è necessario annullare la connessione del dispositivo dall'ID Microsoft Entra (eseguire "dsregcmd /leave" con privilegi elevati) e ripetere la registrazione (avviene automaticamente). Tuttavia, gli utenti che accedono con Windows Hello for Business non riscontrano questo problema.
Esaminare l'unione ibrida mirata di Microsoft Entra
Le organizzazioni potrebbero voler eseguire un'implementazione mirata del join ibrido di Microsoft Entra prima di abilitarlo per l'intera organizzazione. Consultare l'articolo Distribuzione mirata del join ibrido di Microsoft Entra per capire come portare a termine l'operazione.
Avvertimento
Le organizzazioni devono includere un esempio di utenti di ruoli e profili diversi nel gruppo pilota. Un'implementazione mirata consente di identificare eventuali problemi che il piano potrebbe non risolvere prima di abilitare per l'intera organizzazione.
Selezionare lo scenario in base all'infrastruttura di gestione delle identità
Il join ibrido di Microsoft Entra funziona con ambienti sia gestiti che federati a seconda che l'UPN sia instradabile o non instradabile. Consultare il fondo della pagina per la tabella sugli scenari supportati.
Ambiente gestito
Un ambiente gestito può essere distribuito tramite Sincronizzazione hash delle password (PHS) o Pass Through Authentication (PTA) con Accesso Single Sign-On facile.
Questi scenari non richiedono la configurazione di un server federativo per l'autenticazione (AuthN).
Annotazioni
L'autenticazione cloud con l'implementazione a fasi è supportata solo a partire dall'aggiornamento di Windows 10 1903.
Ambiente federato
Un ambiente federato deve includere un provider di identità che supporta i requisiti riportati di seguito. Se l'ambiente federato usa Active Directory Federation Services (AD FS), i requisiti seguenti sono già supportati.
protocolloWS-Trust: Questo protocollo è necessario per autenticare i dispositivi Windows aggiunti a Microsoft Entra ibrido con Microsoft Entra ID. Quando si usa AD FS, è necessario abilitare gli endpoint WS-Trust seguenti:
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
Avvertimento
Sia adfs/services/trust/2005/windowstransport o adfs/services/trust/13/windowstransport devono essere abilitati solo come endpoint con connessione Intranet e non devono essere esposti come endpoint con connessione Extranet tramite il proxy applicazione Web. Per altre informazioni su come disabilitare gli endpoint Windows WS-Trust, vedere Disabilitare gli endpoint Windows WS-Trust sul proxy. È possibile verificare gli endpoint abilitati nella console di gestione di AD FS, in Servizio>Endpoint.
A partire dalla versione 1.1.819.0, Microsoft Entra Connect offre una procedura guidata per configurare Microsoft Entra join ibrido. La procedura guidata consente di semplificare notevolmente il processo di configurazione. Se l'installazione della versione richiesta di Microsoft Entra Connect non è un'opzione, vedere Come configurare manualmente la registrazione del dispositivo. Se contoso.com viene registrato come dominio personalizzato confermato, gli utenti possono ottenere un PRT anche se il suffisso UPN dei servizi di dominio Active Directory locale sincronizzato è in un sottodominio come test.contoso.com.
Esaminare il supporto UPN degli utenti di Active Directory di Microsoft Windows Server in locale per l'integrazione ibrida con Microsoft Entra
- UPN utenti instradabili: un UPN instradabile ha un dominio verificato valido registrato presso un registro di domini. Ad esempio, se contoso.com è il dominio primario in Microsoft Entra ID, contoso.org è il dominio primario in AD locale di proprietà di Contoso e verificato in Microsoft Entra ID.
- UPN utenti non indirizzabili: un UPN non indirizzabile non dispone di un dominio verificato ed è applicabile solo all'interno della rete privata dell'organizzazione. Ad esempio, se contoso.com è il dominio primario in Microsoft Entra ID e contoso.local è il dominio primario in AD locale, ma non è un dominio verificabile in Internet e usato solo all'interno della rete di Contoso.
Annotazioni
Le informazioni contenute in questa sezione si applicano solo a un UPN utenti locali. Non è applicabile a un suffisso di dominio del computer locale (ad esempio: computer1.contoso.local).
La tabella seguente fornisce informazioni dettagliate sul supporto per questi UPN di Microsoft Windows Server Active Directory locali in Windows 10 Microsoft Entra hybrid join:
| Tipo di UPN di Microsoft Windows Server Active Directory locale | Tipo di dominio | Versione di Windows 10 | Descrizione |
|---|---|---|---|
| Instradabile | Federato | Dalla versione di rilascio 1703 | Generalmente disponibile |
| Non indirizzabile | Federato | Dalla versione 1803 | Generalmente disponibile |
| Instradabile | Gestito | Dalla versione 1803 | Generalmente disponibile, la reimpostazione self-service della password di Microsoft Entra nella schermata di blocco di Windows non è supportata negli ambienti in cui l'UPN locale è diverso dall'UPN di Microsoft Entra. L'UPN locale deve essere sincronizzato con l'attributo onPremisesUserPrincipalName in Microsoft Entra ID |
| Non indirizzabile | Gestito | Non supportato |