如何加入 Active Directory 或 Azure AD 域：完整指南

 

将计算机加入域（无论是本地 Active Directory 还是 Azure 域（Microsoft Access ID））是集中身份、实施策略和启用单点登录的基础。 在本指南中，我们在一个资源中收集了您需要的所有内容：加入选项 Windows 10/11、与 Microsoft Entra Connect 的混合身份、Azure AD 域服务、Azure 中的 AD FS 部署、具有条件访问和监控的安全性以及运营和成本建议。

目标是帮助您选择最佳路径（经典 AD DS、Azure AD/Entra ID、Azure AD DS 或 AD FS 联合），了解它们如何相互连接，并按照最佳实践执行正确的步骤。 您还将了解如何准备 UPN 和 DNS 以进行同步 微软365，如何扩展和使同步高度可用，以及在出现问题时要检查什么，而不遗漏 Azure 中的典型网络配置。

Windows 10 和 11 中的域加入选项

目前主要有四种场景：本地 AD DS 加入、Azure AD 加入（Microsoft Entra ID）、混合设备（混合 Azure AD 加入）以及使用 Azure AD 域服务的托管域加入。 每个方案都满足身份管理、应用程序兼容性或远程工作等不同的需求。

从 Windows 10/11 加入 Azure AD 非常简单，只需从计算机本身即可： 设置 > 帐户 > 访问工作或学校 > 连接 > 将此设备加入 Azure Active Directory，使用 Microsoft ID 凭据登录，重新启动，然后以您的公司用户身份重新登录。

首次启动后，您通常需要设置 MFA 和 Windows Hello（PIN）以增强安全性并方便快速登录。 从那时起，每次登录时都会要求输入 PIN，以符合许多组织所要求的双因素身份验证。

如果您正在部署访问代理（例如 Sophos ZTNA），请记住应用程序服务器（RDP、CIFS、 SSH的等）必须与代理属于同一域。 首先将计算机加入 Azure AD，然后安装代理，以便它继承正确的身份和访问路径。

使用 Microsoft Azure AD 的身份体系结构

Microsoft Access ID 是基于云的身份和目录服务，可集中应用程序、用户和设备，并通过同步与本地 AD DS 集成。 典型的参考包括：Entra ID 租户、带有应用程序 VM 的 Web 子网、本地 AD DS、带有 Microsoft Entra Connect 用于同步的服务器以及具有分层分离的应用程序 VM。

常见用例： 发布 应用 为远程用户提供 Azure 中的 Web，启用自助服务（例如，使用 P1/P2 许可证进行密码重置），并且如果设计需要，无需在本地和 Azure 虚拟网络之间建立 VPN/ExpressRoute 连接即可运行。

在可用性方面，Microsoft Entra 分布在全球，并在数据中心之间实现自动故障转移，确保跨多个地理位置访问目录数据。 这种设计最大限度地减少了中断并支持分布式工作负载。

使用 Microsoft Entra Connect 的混合身份：同步和 SSO

Microsoft Entra Connect 将 AD DS 身份与 Entra ID 同步，并允许您选择身份验证方法：密码哈希同步（默认）、直通身份验证或与 AD FS 或其他 IdP 联合。 选择取决于安全策略、所需的 SSO 体验和已部署的组件。

• 支持的同步拓扑： 单个租户使用单个森林；单个租户使用多个森林（具有身份整合）；多个独立森林；多个 Entra 目录（同步服务器过滤掉独有的对象集）；以及用于高可用性、测试或迁移的暂存服务器。
• 部署 Entra Connect 的最佳实践： 定义要同步的内容，包括域和频率；过滤（按组、域、OU 或属性）以避免同步不活动的帐户；并且，如果有很多对象，请考虑使用完整的 SQL Server 而不是 LocalDB 并调整容量。
• 高可用性： 如果需要，使用处于暂存模式的第二台服务器来承担主动角色；如果您不使用 LocalDB，请考虑为您的数据库使用 SQL 集群（Entra Connect 不支持镜像和 AlwaysOn），并规划灾难恢复。

配置用户认证方法

密码哈希同步： 对于许多组织来说，默认选项简单且足够；用户使用相同的本地密码进行身份验证，但只有安全哈希值会传输到云端。

传递身份验证： 如果您的策略禁止将哈希同步到云，代理会在本地 AD 中验证密码，而不会将哈希存储在登录 ID 中，从而维护 SSO。

与 AD FS 或其他提供商联合： 如果您已经拥有 AD FS 或非 Microsoft IdP，则可以将身份验证和 SSO 委托给该基础架构，同时保持控制和高级自定义。

同步对象和规则

默认的 Entra Connect 配置将规则应用于用户、联系人、组、计算机等对象，需要 sourceAnchor 或 sAMAccountName 等属性，并避免使用保留前缀（例如 Azure AD_ 或 MSOL_）。 要修改规则，请使用随该工具安装的同步规则编辑器。

除了按域/OU 进行过滤之外，您还可以实现更复杂的自定义过滤器，以将同步集缩小到相关内容。 这样，您可以提高性能、安全性和管理成本。

身份环境监控和健康

Microsoft Entra Connect Health 提供代理来监视同步、AD DS 和 AD FS，并在 Azure 门户中公开仪表板以查看健康状况和性能。 在事件影响用户之前检测到它们至关重要。

在保护方面，身份保护 (P2) 应用机器学习和启发式方法来检测登录异常和风险事件（异常位置、可疑 IP、受感染设备）。 生成可操作的警报和报告。

补充条件访问以在不受信任的位置触发 MFA，通过平台/设备状态进行限制，并在访问决策中使用静态或动态组成员身份。 这大大提高了您的安全态势。

在 Azure 中部署 AD FS：设计、网络和高可用性

对于选择联合的组织，在 Azure 上部署 AD FS 可实现高可用性和可扩展性，并具有地理冗余和从 Azure 门户轻松管理的功能。 推荐的拓扑将 AD FS 和 WAP 分开，对 WAP 使用 DMZ 和负载均衡器（AD FS 使用内部负载均衡器，WAP 使用公共负载均衡器）。

• 网络和安全： 创建一个具有两个子网（INT 和 DMZ）的虚拟网络，每个子网应用 NSG，规则如下：允许从 DMZ 到 INT 的 HTTPS 443（例如 10.0.1.0/24 > 10.0.0.0/24，优先级 1010），除非必要，否则拒绝出站到 Internet（例如，拒绝 80 出站优先级 100），并且仅打开 DMZ 中对入站流量必不可少的内容。
• 本地连接： 如果需要访问本地域控制器，请使用 S2S VPN、P2S 或 ExpressRoute（推荐用于寻找 可靠性、高延迟和安全性）。
• 可用性集： 在可用性集中每个角色（AD FS 和 WAP）至少使用两个 VM；保留默认值（2 个故障域、5 个更新域）以实现不间断维护。
• AD FS 的内部平衡 (ILB)： 配置静态 IP、带有 AD FS 服务器的后端池以及到端口 80 上的 /adfs/probe 的 HTTP 运行状况探测；将 443 发布到后端 443 并创建指向 ILB 的联合身份验证服务内部 DNS 记录。

WAP、公共负载均衡器和 AD FS 测试

Web 应用程序代理服务器未加入域并驻留在 DMZ 中，通过 443 处的公共负载均衡器使用 /adfs/probe 探测将 AD FS 发布到 Internet。 将 DNS 标签分配给公共 IP 以实现友好解析。

• 更新DNS： 如果您需要在内部将 ILB IP 解析为联合 FQDN，请为联合服务（例如 fs.company.com）创建到 ILB 的内部 A，并在 WAP 中托管条目。
• 证书： 使用具有适当 CN/SAN（联合身份验证服务、企业注册、通配符（如果适用））的服务器证书并将其导出为 PFX 以将其安装在 AD FS 和 WAP 中。
• 测试： 启用 IdP 启动页面 PowerShell的 Set-AdfsProperties -EnableIdPInitiatedSignOnPage $true 并通过导航至 https://tu-adfs/adfs/ls/IdpInitiatedSignon.aspx.

AD FS 部署模板和典型参数

有模板可以协调六台机器（两台 DC、两台 AD FS 和两台 WAP），并接受区域、帐户、 存储、虚拟网络（现有或新的）、INT/DMZ 子网、虚拟机和 ILB 的静态 IP、虚拟机大小和管理凭据。 参数包括：位置、StorageAccountType、VirtualNetworkUsage/Name/AddressRange、子网名称和范围、每个虚拟机的 NIC IP、ADFSLoadBalancerPrivateIPAddress、每个角色的名称前缀、虚拟机大小和凭据。

这种方法可以加速一致且可重复的部署，同时记录网络和安全配置。 始终调整范围以避免与现有网络重叠。

Azure AD 域服务：将 VM 加入托管域

Azure AD 域服务 (AADD DS) 在 Azure 中提供托管域加入、LDAP 和 Kerberos/NTLM，无需设置您自己的域控制器。 当您需要 Azure 内对域身份验证的旧应用程序支持时很有用。

• 要求： 活动订阅、输入 ID 租户（仅限云或同步）、启用托管域、托管域中的用户帐户（具有同步的密码哈希或 SSPR）以及用于在没有公共 IP 的情况下进行 RDP 访问的 Azure Bastion。
• 处理： 在能够与托管域子网通信的子网中创建 Windows Server VM（最好在单独的子网中），并将远程端口关闭到 Internet（使用 Bastion），并从指定 FQDN 的系统属性加入域（例如 aaddscontoso.com）。
• 证书： 使用建议的 UPN 格式（user@domain.onmicrosoft.com 或自定义）或 SAMAccountName（如果适用）；该帐户必须属于托管域或租户。输入 ID。
• 问题： 如果它不要求输入凭据，则故障通常是连接/DNS：检查网络配对，ping 托管域的 FQDN 或 IP，并使用 ipconfig /flushdns.

如果在输入凭据后出现错误，请检查该帐户是否属于托管域、是否启用了密码同步以及密码更改后是否经过了足够的时间以复制哈希。 如果您不继续本教程，请返回 WORKGROUP，然后删除 VM。

准备本地 AD 并与 Microsoft 365/Azure AD 同步

如果您已经在使用 Microsoft 365，则将您的本地 AD 与 Entra ID 同步可以统一云和本地凭据，并提供广泛的混合选项。 确保您的本地 UPN 后缀是可路由的（不是 .local/.test）并且与 Microsoft 365/登录 ID 中已验证的域匹配。

在 Active Directory 域和信任中添加 UPN 后缀，并在 ADUC 中或通过 PowerShell 更新用户，以批量将 @domain.local 更改为 @domain.com， 例如： $LocalUsers = Get-ADUser -Filter "UserPrincipalName -like '*domain.local'" -Properties userPrincipalName -ResultSetSize $null y $LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace("@domain.local","@domain.com"); $_ | Set-ADUser -UserPrincipalName $newUpn}.

对于 Office 365，请在属性编辑器中查看每个用户/组的代理地址（主地址为大写 SMTP）。 启用 ADUC 中的高级功能视图以正确编辑别名集合。

安装 Azure AD Connect： 官方下载，选择自定义安装，定义登录方式（PHS、PTA 或联合），在输入 ID/M365 中连接全局管理员帐户，添加 AD 林，选择 userPrincipalName 作为登录属性，并过滤域/OU（如果适用）。

可选功能： 密码写回（P1/P2）、规则更改和调度程序；选中“完成后开始同步”或在适当的时候手动触发。

同步操作：有用的命令和配置迁移

ADSync PowerShell 模块允许您查询调度程序并强制循环： Import-Module ADSync, Get-ADSyncScheduler, Start-ADSyncSyncCycle -PolicyType Delta o Initial，并调整间隔 Set-ADSyncScheduler -CustomizedSyncCycleInterval 00:10:00.

Azure AD Connect 配置以 JSON 格式保存在 %ProgramData%\AADConnect 下；您可以导出/导入它来克隆部署。 并使用 脚本 MigrateSettings.ps1（工具文件夹）从一台服务器迁移到另一台服务器。

记住，时间安排不是一个系统 备份：某些属性仅存在于云中（例如许可证），如果在云中删除它们，则无法通过同步恢复。 对于本地 AD 和 Microsoft 365 数据备份，请转向专用解决方案。

要求和网络： Windows Server 2012/2016/2019 带有 GUI，用于安装 Entra Connect、.NET 4.5.1+、PowerShell 3.0+、启用 TLS 1.2 以及 TCP 80/443 出站到 Microsoft 服务；工具服务器不支持 Essentials/Core。

条件接收、安全和政府

针对意外来源、不合规平台或禁用设备，使用条件访问策略补充登录，并依靠组（包括动态组）来分段访问。 这就是以最小摩擦实现零信任的方法。

身份保护 (P2) 增加了对异常登录信号做出反应的基线风险策略， Entra 报告有助于诊断和审计相关活动。

连接 Connect Health 代理来监视同步、AD DS 和 AD FS，并在 Azure 门户中提供指标和状态， 是高效管理的支柱之一。

性能、成本和可操作性（架构完善）

• 性能： Entra ID 依赖于一个主副本和只读辅助副本，具有最终一致性和有效的扩展性，因为它主要是一个读取操作。如果对象数量超过大约 100.000 个，Entra Connect 会扩展 SQL。
• 费用： 使用 Azure 计算器进行估算；通过将同步限制在必要的范围内并选择减少基础设施的身份验证方法（例如，如果不是必需的，则不使用 AD FS）来进行优化。
• 可靠性： 考虑在 Staging 中使用第二个 Entra Connect 服务器进行故障转移、灾难恢复规划，并处理 数据库- 避免使用镜像或 AlwaysOn 等不受支持的技术进行数据库同步。
• 可操作性： Entra Connect 工具（控制台、同步服务管理器和规则编辑器）允许您通过精确的控制和诊断来维护和调整同步，这在复杂环境或自定义规则中至关重要。

与 Citrix 和 SAML 集成（使用 Azure AD 的 SSO）

要通过 Azure AD 使用 Citrix 和 SSO 发布桌面或应用程序，请使用 SAML 2.0 作为 Azure AD IdP 集成 Citrix Gateway 和 StoreFront，以便加入 Azure AD 的用户可以轻松地从 myapps.microsoft.com 登录。 在 Azure AD 中，创建一个企业应用程序，使用标识符和回复 URL 配置 SAML 作为 /cgi/samlauth，下载签名证书，复制登录和注销 URL，将应用程序分配给用户，并在快捷方式中使用 SSO URL。

在 Citrix Gateway 上，导入证书，配置 SAML 策略，添加带有元数据的 Azure IdP，并与 StoreFront 链接（最好通过 HTTPS），验证身份验证是否正常工作以及信任和 STA 策略是否合适。 如果您使用 AD FS 作为中介 IdP，请记住联合的 CNAME 记录（例如，enterpriseregistration。 ) 来解决加入 Azure AD 的流程，同时确保在计算机上安装相应的根证书。

关于平台： 请谨慎咨询 Reddit 等资源，因为他们的建议不是官方的，并且在应用更改之前务必根据正式的技术文档进行检查。

从基础到高级，这一旅程涵盖了从简单的 Azure AD 连接到具有高可用性、联合和 SSO 的混合架构的所有内容，适用于现代和传统应用程序，具有复杂的安全控制和强大的操作。 通过正确规划 UPN 和 DNS、正确过滤同步以及实施 MFA 和条件访问等安全措施，Windows 10/11 和 Azure 上传中的身份管理将高效、可扩展且易于维护。