設置混合Azure AD：逐步指南 – techsyncer

如果您使用本地 Active Directory (AD) 功能，并希望使用 Azure AD 的功能，如条件访问、单一登录 (SSO) 等，本文适合您。在本文中，您将学习如何设置一种微软称之为混合 Azure AD 加入的模式。

什么是混合 Azure AD 加入？

简而言之，混合 Azure AD 加入是一种模式，它允许您通过传统的本地 AD 工具管理设备，并将其注册到 Azure AD。有关更多信息，请查看混合 Azure AD 加入设备的微软文档。

在开始配置混合 Azure AD 加入设备的步骤之前，您必须满足许多要求和先决条件。请确保您满足或拥有以下内容：

设备必须是当前支持的 Windows 设备（Windows 10 1809 或更高版本，或 Windows Server 2016 及更高版本）
本地 AD 加入的 Windows 10 设备
Windows 设备上的互联网连接性（enterpriseregistration.windows.net:443、login.microsoftonline.com:443 和 device.login.microsoftonline.com:443)
本地 AD 必須同步到 Azure AD 的唯一一個 Azure AD 租戶。本文中所有示例的域名都稱為 adamtheautomator.com。如果你想同步多個 Azure AD 租戶，只需使用 GPO 而不是 SCP。
你必須知道 Azure AD 的全域管理員帳戶。本文示例將使用帳戶名 adam。
你必須知道本地 AD 的企業管理員帳戶。本文示例將使用帳戶名 [email protected]。
你已在成員伺服器上安裝了 Azure AD Connect 1.1.819.0，並且已與 Azure AD 同步。

本文中的所有示例都將使用名稱相同的本地 AD 域 adamtheautomator.com 和同步的 Azure AD。

有關前提條件的完整列表，請參閱計劃混合 Azure Active Directory 加入實施 Microsoft 文件。

設置混合 Azure AD 加入設備的第一步是配置 Azure AD Connect。在這裡，您將設置 Azure AD 同步過程，以了解您打算使用的混合模式。

要進行設置，首先打開 Azure AD Connect，然後點擊配置。

在下一個屏幕上，點擊 配置設備選項，然後點擊 下一步。

輸入您的 Azure AD 租戶的全局管理員憑據，然後點擊 下一步。

點擊 配置混合 Azure AD 加入，然後點擊 下一步。

在設備操作系統頁面上，您可以選擇要加入的設備類型。在本文中，我們只會加入當前的設備（Windows 10）。選擇 Windows 10 或更新版本的域加入設備，然後點擊 下一步。

有關如何配置 Windows 舊版設備（Windows 8.1+ 和 Windows Server 2008 R2+）的信息，請參閱「為受管理的域配置混合 Azure Active Directory 加入」Microsoft 文檔。

您現在將在 Azure 中創建服務連接點（SCP），以允許您的設備讀取 Azure AD 租戶信息。在Forest下檢查您的林名，選擇Azure Active Directory作為身份驗證服務，然後點擊新增提供您的本地企業管理帳戶的憑據。完成後，點擊下一步。

在下一個屏幕上，點擊配置開始該過程。一切只需幾秒鐘。

完成後，將提示您配置一些其他步驟。完成後，點擊退出。

配置 Azure AD Connect 後，您應該檢查以確保您的努力取得了成果！幸運的是，所有 Windows 10 設備最終都應該自動混合 AD 加入，但對於第一個設備，您應該確認這一點。

為了確認Windows 10設備的註冊情況，重新啟動其中一台設備。在它重新啟動後，通過遠程連接或控制台連接到該設備並進入命令提示符。在命令提示符中，輸入dsregcmd /status。如果在設備狀態下看到AzureADJoined: YES，則表示一切正常。

如果該設備尚未顯示為 Azure AD 加入，可能是因為計算機對象尚未同步到 Azure AD。您可以嘗試運行dsregcmd /join來強制註冊並再次查看狀態。

如果您仍然看不到設備已加入 Azure AD，您可能需要查看此疑難排解指南。您也可以下載此 PowerShell 腳本在設備上運行以執行許多常見測試。

一旦您確認 Windows 10 客戶端顯示已加入，請確保在 Azure 端也進行檢查。要這樣做，請導航到您的 Azure AD 租戶中的設備選項卡。在這裡，您應該看到加入類型為混合 Azure AD 已加入，並且已註冊為 Windows 10 設備顯示最近的時間戳。

如果您看到設備顯示為“已註冊”和“混合 Azure AD 已加入”，您可能會發現 AAD 條件訪問（CA）規則對於“已註冊”項目無法正常運作。為解決此問題，請將所有設備升級至 Windows 10 1903。您可能還需要使用腳本刪除所有“已註冊”項目。

一旦您確認測試的 Windows 10 機器已註冊並加入了混合 Azure AD，所有其他當前在 AD 中的設備也應該自動開始註冊。

如果一個使用者已登錄到已加入的客戶端，他們將需要登出並登錄以獲取主要刷新令牌。

配置完成後，以混合 Azure AD 加入模式加入的設備將自動註冊。在完成本文中所需的所有步驟之後，大部分的困難工作已經為您完成。此時，您可以開始使用 Azure AD 提供的各種服務來管理所有已加入網域的設備。