Partilhar via


Configurar manualmente a associação híbrida do Microsoft Entra

Se o uso do Microsoft Entra Connect for uma opção para você, consulte as orientações em Configurar a associação híbrida do Microsoft Entra. Usando a automação no Microsoft Entra Connect, simplifica significativamente a configuração da junção híbrida do Microsoft Entra.

Este artigo aborda a configuração manual de requisitos para ingresso híbrido do Microsoft Entra, incluindo etapas para domínios gerenciados e federados.

Pré-requisitos

  • Microsoft Entra Connect
    • Para que a associação de sincronização de registro de dispositivo seja bem-sucedida, como parte da configuração de registro de dispositivo, não exclua os atributos de dispositivo padrão da configuração do Microsoft Entra Connect Sync. Para saber mais sobre os atributos de dispositivo padrão sincronizados com a ID do Microsoft Entra, consulte Atributos sincronizados pelo Microsoft Entra Connect.
    • Se os objetos de computador dos dispositivos que você deseja que sejam associados híbridos do Microsoft Entra pertencerem a unidades organizacionais (OUs) específicas, configure as UOs corretas para sincronização no Microsoft Entra Connect. Para saber mais sobre como sincronizar objetos de computador usando o Microsoft Entra Connect, consulte Filtragem baseada em unidade organizacional.
  • Credenciais de administrador empresarial para cada uma das florestas dos Serviços de Domínio Ative Directory locais.
  • (Para domínios federados) Windows Server com os Serviços de Federação do Ative Directory instalados.
  • Os usuários podem registrar seus dispositivos com o Microsoft Entra ID. Mais informações sobre essa configuração podem ser encontradas sob o título Configurar configurações do dispositivo, no artigo, Configurar configurações do dispositivo.

A associação do Microsoft Entra híbrido requer que os dispositivos tenham acesso aos seguintes recursos da Microsoft a partir da rede da sua organização:

  • https://enterpriseregistration.windows.net
  • https://login.microsoftonline.com
  • https://device.login.microsoftonline.com
  • https://autologon.microsoftazuread-sso.com (Se utilizar ou planear utilizar o início de sessão único totalmente integrado)
  • Serviço de Token de Segurança (STS) da sua organização (para domínios federados)

Aviso

Se sua organização usa servidores proxy que intercetam o tráfego SSL para cenários como prevenção de perda de dados ou restrições de locatário do Microsoft Entra, certifique-se de que o tráfego para essas URLs seja excluído da inspeção e quebra TLS. A falha na exclusão dessas URLs pode causar interferência com a autenticação de certificado de cliente, causar problemas com o registro do dispositivo e o Acesso Condicional baseado no dispositivo.

Se a sua organização necessitar de acesso à Internet através de um proxy de saída, pode utilizar a Deteção Automática de Proxy da Web (WPAD) para ativar o Windows 10 ou computadores mais recentes para o registo de dispositivos com o Microsoft Entra ID. Para resolver problemas de configuração e gerenciamento do WPAD, consulte Solução de problemas de deteção automática.

Se você não usa WPAD, você pode definir as configurações de proxy WinHTTP no seu computador a partir do Windows 10 1709. Para obter mais informações, consulte Configurações de proxy WinHTTP implantadas pelo GPO (Objeto de Diretiva de Grupo).

Nota

Se você definir as configurações de proxy em seu computador usando as configurações de WinHTTP, todos os computadores que não puderem se conectar ao proxy configurado não conseguirão se conectar à Internet.

Se a sua organização necessitar de acesso à Internet através de um proxy de saída autenticado, certifique-se de que os seus computadores Windows 10 ou mais recentes podem autenticar-se com êxito no proxy de saída. Como os computadores Windows 10 ou mais recentes executam o registro de dispositivo usando o contexto da máquina, configure a autenticação de proxy de saída usando o contexto da máquina. Consulte o seu fornecedor de proxy de saída sobre os requisitos de configuração.

Verifique se os dispositivos podem acessar os recursos necessários da Microsoft na conta do sistema usando o script Test Device Registration Connectivity .

Configuração

Você pode configurar dispositivos associados híbridos do Microsoft Entra para vários tipos de plataformas de dispositivos Windows.

Depois que essas configurações forem concluídas, siga as orientações para verificar o registro.

Configurar um ponto de ligação de serviço

Seus dispositivos usam um objeto de ponto de conexão de serviço (SCP) durante o registro para descobrir informações de locatário do Microsoft Entra. Em sua instância local do Ative Directory, o objeto SCP para os dispositivos associados híbridos do Microsoft Entra deve existir na partição de contexto de nomeação de configuração da floresta do computador. Há apenas um contexto de nomenclatura de configuração por floresta. Numa configuração multifloresta do Active Directory, o ponto de ligação do serviço tem de existir em todas as florestas que contêm computadores associados a um domínio.

O objeto SCP contém dois valores de palavras-chave – azureADid:<TenantID> e azureADName:<verified domain>. O <verified domain> valor na azureADName palavra-chave dita o tipo de fluxo de registro do dispositivo (federado ou gerenciado) que o dispositivo seguirá depois de ler o valor SCP da sua instância do Ative Directory local. Mais informações sobre os fluxos gerenciados e federados podem ser encontradas no artigo Como funciona o registro de dispositivos do Microsoft Entra.

Pode utilizar o cmdlet Get-ADRootDSE para obter o contexto de nomenclatura da configuração da sua floresta.

Para uma floresta com o nome de domínio do Active Directory fabrikam.com, o contexto de nomenclatura da configuração é:

CN=Configuration,DC=fabrikam,DC=com

Em sua floresta, o objeto SCP para o registro automático de dispositivos associados ao domínio está localizado em:

CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,[Your Configuration Naming Context]

Dependendo de como você implanta o Microsoft Entra Connect, o objeto SCP pode já estar configurado. Você pode verificar a existência do objeto e recuperar os valores de descoberta usando o seguinte script do PowerShell:

$scp = New-Object System.DirectoryServices.DirectoryEntry;

$scp.Path = "LDAP://CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=fabrikam,DC=com";

$scp.Keywords;

O $scp. A saída de palavras-chave mostra as informações do locatário do Microsoft Entra. Eis um exemplo:

azureADName:microsoft.com
azureADId:a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1

Configurar a emissão de créditos

Em uma configuração federada do Microsoft Entra, os dispositivos dependem do AD FS ou de um serviço de federação local de um parceiro da Microsoft para se autenticarem na ID do Microsoft Entra. Os dispositivos são autenticados para obter um token de acesso para se registrar no Serviço de Registro de Dispositivo Microsoft Entra (Azure DRS).

Os dispositivos atuais do Windows são autenticados usando a autenticação integrada do Windows em um ponto de extremidade WS-Trust ativo (versões 1.3 ou 2005) hospedado pelo serviço de federação local.

Ao usar o AD FS, você precisa habilitar os seguintes pontos de extremidade WS-Trust:

  • /adfs/services/trust/2005/windowstransport
  • /adfs/services/trust/13/windowstransport
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/services/trust/13/usernamemixed
  • /adfs/services/trust/2005/certificatemixed
  • /adfs/services/trust/13/certificatemixed

Aviso

Tanto adfs/services/trust/2005/windowstransport quanto adfs/services/trust/13/windowstransport devem ser habilitados apenas como pontos de extremidade voltados para intranet e NÃO devem ser expostos como pontos de extremidade voltados para extranet por meio do Proxy de Aplicativo Web. Para saber mais sobre como desabilitar pontos de extremidade WS-Trust do Windows, consulte Desabilitar pontos de extremidade WS-Trust do Windows no proxy. Você pode ver quais pontos de extremidade estão habilitados por meio do console de gerenciamento do AD FS em Pontos de Extremidade de Serviço>.

Nota

Se você não tiver o AD FS como seu serviço de federação local, siga as instruções do seu fornecedor para garantir que eles ofereçam suporte a pontos de extremidade WS-Trust 1.3 ou 2005 e que eles sejam publicados por meio do arquivo de troca de metadados (MEX).

Para que o registro do dispositivo seja concluído, as seguintes declarações devem existir no token que o Azure DRS recebe. O Azure DRS cria um objeto de dispositivo no Microsoft Entra ID com algumas dessas informações. Em seguida, o Microsoft Entra Connect usa essas informações para associar o objeto de dispositivo recém-criado à conta de computador local.

  • http://schemas.microsoft.com/ws/2012/01/accounttype
  • http://schemas.microsoft.com/identity/claims/onpremobjectguid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid

Se você precisar de mais de um nome de domínio verificado, precisará fornecer a seguinte declaração para computadores:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid

Se você já estiver emitindo uma declaração ImmutableID (por exemplo, usando mS-DS-ConsistencyGuid ou outro atributo como o valor de origem para o ImmutableID), precisará fornecer uma declaração correspondente para computadores:

  • http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID

Nas secções abaixo, vai encontrar informações sobre:

  • Os valores que cada reivindicação deve ter.
  • Qual seria a aparência de uma definição no AD FS.

A definição ajuda-o a verificar se os valores estão presentes ou se precisa de os criar.

Nota

Se você não usar o AD FS para seu servidor de federação local, siga as instruções do fornecedor para criar a configuração apropriada para emitir essas declarações.

Emitir afirmação de tipo de conta

A http://schemas.microsoft.com/ws/2012/01/accounttype declaração deve conter um valor de DJ, que identifica o dispositivo como um computador associado ao domínio. No AD FS, pode adicionar uma regra de transformação de emissão semelhante à seguinte:

@RuleName = "Issue account type for domain-joined computers"
c:[
   Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
   Value =~ "-515$",
   Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
   Type = "http://schemas.microsoft.com/ws/2012/01/accounttype",
   Value = "DJ"
);

Emitir o objectGUID da conta de computador no local

A http://schemas.microsoft.com/identity/claims/onpremobjectguid declaração deve conter o valor objectGUID da conta de computador local. No AD FS, pode adicionar uma regra de transformação de emissão semelhante à seguinte:

@RuleName = "Issue object GUID for domain-joined computers"
c1:[
   Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
   Value =~ "-515$", 
   Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
&&
c2:[
   Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
   Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
   store = "Active Directory",
   types = ("http://schemas.microsoft.com/identity/claims/onpremobjectguid"),
   query = ";objectguid;{0}",
   param = c2.Value
);

Problema objectSid da conta de computador local

A http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid declaração deve conter o valor objectSid da conta de computador local. No AD FS, pode adicionar uma regra de transformação de emissão semelhante à seguinte:

@RuleName = "Issue objectSID for domain-joined computers"
c1:[
   Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
   Value =~ "-515$",
   Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
&&
c2:[
   Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid",
   Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(claim = c2);

Emitir issuerID para o computador quando vários nomes de domínio verificados estão no Microsoft Entra ID

A http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid declaração deve conter o URI (Uniform Resource Identifier) de qualquer um dos nomes de domínio verificados que se conectam ao serviço de federação local (AD FS ou parceiro) que emite o token. No AD FS, você pode adicionar regras de transformação de emissão que se parecem com as seguintes nessa ordem específica, após as anteriores. É necessária uma regra para emitir explicitamente a regra para os usuários. Nas regras a seguir, uma primeira regra que identifica a autenticação do usuário versus o computador é adicionada.

@RuleName = "Issue account type with the value User when its not a computer"
NOT EXISTS(
[
   Type == "http://schemas.microsoft.com/ws/2012/01/accounttype",
   Value == "DJ"
]
)
=> add(
   Type = "http://schemas.microsoft.com/ws/2012/01/accounttype",
   Value = "User"
);

@RuleName = "Capture UPN when AccountType is User and issue the IssuerID"
c1:[
   Type == "http://schemas.xmlsoap.org/claims/UPN"
]
&&
c2:[
   Type == "http://schemas.microsoft.com/ws/2012/01/accounttype",
   Value == "User"
]
=> issue(
   Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid",
   Value = regexreplace(
   c1.Value,
   ".+@(?<domain>.+)",
   "http://${domain}/adfs/services/trust/"
   )
);

@RuleName = "Issue issuerID for domain-joined computers"
c:[
   Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
   Value =~ "-515$",
   Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
   Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid",
   Value = "http://<verified-domain-name>/adfs/services/trust/"
);

Na declaração anterior, <verified-domain-name> é um espaço reservado. Substitua-o por um dos seus nomes de domínio verificados no Microsoft Entra ID. Por exemplo, use Value = "http://contoso.com/adfs/services/trust/".

Para obter mais informações sobre nomes de domínio verificados, consulte Adicionar um nome de domínio personalizado ao Microsoft Entra ID.

Para obter uma lista dos domínios de empresa verificados, você pode usar o cmdlet Get-MgDomain .

Lista de domínios da empresa

Emitir ImmutableID para o computador quando existir um para usuários (por exemplo, usando mS-DS-ConsistencyGuid como a origem para ImmutableID)

A http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID declaração deve conter um valor válido para computadores. No AD FS, pode criar uma regra de transformação de emissão da seguinte forma:

@RuleName = "Issue ImmutableID for computers"
c1:[
   Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
   Value =~ "-515$",
   Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
&&
c2:[
   Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
   Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
   store = "Active Directory",
   types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"),
   query = ";objectguid;{0}",
   param = c2.Value
);

Script de programa auxiliar para criar as regras de transformação de emissão do AD FS

O script a seguir ajuda você com a criação das regras de transformação de emissão descritas anteriormente.

$multipleVerifiedDomainNames = $false
$immutableIDAlreadyIssuedforUsers = $false
$oneOfVerifiedDomainNames = 'example.com'   # Replace example.com with one of your verified domains

$rule1 = '@RuleName = "Issue account type for domain-joined computers"
c:[
   Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
   Value =~ "-515$",
   Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
   Type = "http://schemas.microsoft.com/ws/2012/01/accounttype",
   Value = "DJ"
);'

$rule2 = '@RuleName = "Issue object GUID for domain-joined computers"
c1:[
   Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
   Value =~ "-515$",
   Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
&&
c2:[
   Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
   Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
   store = "Active Directory",
   types = ("http://schemas.microsoft.com/identity/claims/onpremobjectguid"),
   query = ";objectguid;{0}",
   param = c2.Value
);'

$rule3 = '@RuleName = "Issue objectSID for domain-joined computers"
c1:[
   Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
   Value =~ "-515$",
   Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
&&
c2:[
   Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid",
   Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(claim = c2);'

$rule4 = ''
if ($multipleVerifiedDomainNames -eq $true) {
$rule4 = '@RuleName = "Issue account type with the value User when it is not a computer"
NOT EXISTS(
[
   Type == "http://schemas.microsoft.com/ws/2012/01/accounttype",
   Value == "DJ"
]
)
=> add(
   Type = "http://schemas.microsoft.com/ws/2012/01/accounttype",
   Value = "User"
);

@RuleName = "Capture UPN when AccountType is User and issue the IssuerID"
c1:[
   Type == "http://schemas.xmlsoap.org/claims/UPN"
]
&&
c2:[
   Type == "http://schemas.microsoft.com/ws/2012/01/accounttype",
   Value == "User"
]
=> issue(
   Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid",
   Value = regexreplace(
   c1.Value,
   ".+@(?<domain>.+)",
   "http://${domain}/adfs/services/trust/"
   )
);

@RuleName = "Issue issuerID for domain-joined computers"
c:[
   Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
   Value =~ "-515$",
   Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
   Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid",
   Value = "http://' + $oneOfVerifiedDomainNames + '/adfs/services/trust/"
);'
}

$rule5 = ''
if ($immutableIDAlreadyIssuedforUsers -eq $true) {
$rule5 = '@RuleName = "Issue ImmutableID for computers"
c1:[
   Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
   Value =~ "-515$",
   Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
&&
c2:[
   Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
   Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
   store = "Active Directory",
   types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"),
   query = ";objectguid;{0}",
   param = c2.Value
);'
}

$existingRules = (Get-ADFSRelyingPartyTrust -Identifier urn:federation:MicrosoftOnline).IssuanceTransformRules

$updatedRules = $existingRules + $rule1 + $rule2 + $rule3 + $rule4 + $rule5

$crSet = New-ADFSClaimRuleSet -ClaimRule $updatedRules

Set-AdfsRelyingPartyTrust -TargetIdentifier urn:federation:MicrosoftOnline -IssuanceTransformRules $crSet.ClaimRulesString

Observações

  • Este script anexa as regras às já existentes. Não execute o script duas vezes, porque o conjunto de regras seria adicionado duas vezes. Antes de voltar a executar o script, confirme que não existem regras correspondentes para estas afirmações (com as condições correspondentes).

  • Se você tiver vários nomes de domínio verificados, defina o valor de $multipleVerifiedDomainNames no script como $true. Certifique-se também de remover qualquer declaração de emissão existente criada pelo Microsoft Entra Connect ou por outros meios. Aqui está um exemplo para esta regra:

    c:[Type == "http://schemas.xmlsoap.org/claims/UPN"]
    => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, ".+@(?<domain>.+)",  "http://${domain}/adfs/services/trust/")); 
    

Se você emitiu uma declaração ImmutableID para contas de usuário, defina o valor de $immutableIDAlreadyIssuedforUsers no script como $true.

Resolver problemas relacionados com a implementação

Se você tiver problemas para concluir a associação híbrida do Microsoft Entra para dispositivos Windows ingressados no domínio, consulte: