如何加入 Active Directory 或 Azure AD 網域：完整指南

 

將電腦加入網域（無論是本機 Active Directory 或 Azure 網域（Microsoft Access ID））是集中身分、實作原則和啟用單一登入的基礎。 在本指南中，我們在一個資源中收集了您需要的所有內容：加入選項 Windows 10/11、與 Microsoft Entra Connect 的混合身分、Azure AD 網域服務、Azure 中的 AD FS 部署、具有條件存取和監控的安全性以及營運和成本建議。

目標是幫助您選擇最佳路徑（經典 AD DS、Azure AD/Entra ID、Azure AD DS 或 AD FS 聯合），了解它們如何相互連接，並按照最佳實踐執行正確的步驟。 您還將了解如何準備 UPN 和 DNS 以進行同步 微軟365，如何擴展和使同步高度可用，以及在出現問題時要檢查什麼，而不遺漏 Azure 中的典型網路配置。

Windows 10 和 11 中的網域加入選項

目前主要有四個場景：本機 AD DS 加入、Azure AD 加入（Microsoft Entra ID）、混合裝置（混合式 Azure AD 加入）以及使用 Azure AD 網域服務的託管網域加入。 每個方案都滿足身分管理、應用程式相容性或遠端工作等不同的需求。

從 Windows 10/11 加入 Azure AD 非常簡單，只要從電腦本身： 設定 > 帳戶 > 存取工作或學校 > 連線 > 將此裝置加入 Azure Active Directory，使用 Microsoft ID 憑證登錄，重新啟動，然後以您的公司使用者身分重新登入。

首次啟動後，您通常需要設定 MFA 和 Windows Hello（PIN）以增強安全性並方便快速登入。 從那時起，每次登入時都會要求輸入 PIN，以符合許多組織所要求的雙重認證。

如果您正在部署存取代理程式（例如 Sophos ZTNA），請記住應用程式伺服器（RDP、CIFS、 SSH等）必須與代理屬於同一域。 首先將電腦加入 Azure AD，然後安裝代理，以便它繼承正確的身分和存取路徑。

使用 Microsoft Azure AD 的身份系統結構

Microsoft Access ID 是基於雲端的身分和目錄服務，可集中應用程式、使用者和設備，並透過同步與本機 AD DS 整合。 典型的參考包括：Entra ID 租用戶、帶有應用程式 VM 的 Web 子網路、本機 AD DS、帶有 Microsoft Entra Connect 用於同步的伺服器以及具有分層分離的應用程式 VM。

常見用例： 發布 應用程序 為遠端使用者提供 Azure 中的 Web，啟用自助服務（例如，使用 P1/P2 授權進行密碼重設），如果設計需要，無需在本機和 Azure 虛擬網路之間建立 VPN/ExpressRoute 連線即可運作。

在可用性方面，Microsoft Entra 分佈在全球，並在資料中心之間實現自動故障轉移，確保跨多個地理位置存取目錄資料。 這種設計最大限度地減少了中斷並支援分散式工作負載。

使用 Microsoft Entra Connect 的混合身分：同步和 SSO

Microsoft Entra Connect 將 AD DS 身分與 Entra ID 同步，並允許您選擇驗證方法：密碼雜湊同步（預設）、傳遞驗證或與 AD FS 或其他 IdP 聯合。 選擇取決於安全性原則、所需的 SSO 體驗和已部署的元件。

• 支援的同步拓撲： 單一租用戶使用單一森林；單一租用戶使用多個森林（具有身分整合）；多個獨立森林；多個 Entra 目錄（同步伺服器過濾掉獨有的物件集）；以及用於高可用性、測試或遷移的暫存伺服器。
• 部署 Entra Connect 的最佳實務： 定義要同步的內容，包括網域和頻率；過濾（按群組、網域、OU 或屬性）以避免同步不活動的帳戶；並且，如果有很多對象，請考慮使用完整的 SQL Server 而不是 LocalDB 並調整容量。
• 高可用性： 如果需要，使用處於暫存模式的第二台伺服器來承擔主動角色；如果您不使用 LocalDB，請考慮為您的資料庫使用 SQL 叢集（Entra Connect 不支援鏡像和 AlwaysOn），並規劃災難復原。

設定使用者認證方法

密碼哈希同步： 對於許多組織來說，預設選項簡單且足夠；使用者使用相同的本機密碼進行身份驗證，但只有安全雜湊值會傳輸到雲端。

傳遞身份驗證： 如果您的政策禁止將雜湊同步到雲，代理程式會在本機 AD 中驗證密碼，而不會將雜湊儲存在登入 ID 中，從而維護 SSO。

與 AD FS 或其他提供者聯合： 如果您已經擁有 AD FS 或非 Microsoft IdP，則可以將身分驗證和 SSO 委託給該基礎架構，同時保持控制和進階自訂。

同步物件和規則

預設的 Entra Connect 設定將規則套用至使用者、聯絡人、群組、電腦等對象，需要 sourceAnchor 或 sAMAccountName 等屬性，並避免使用保留前綴（例如 Azure AD_ 或 MSOL_）。 若要修改規則，請使用隨該工具安裝的同步規則編輯器。

除了按網域/OU 進行篩選之外，您還可以實作更複雜的自訂篩選器，以將同步集縮小到相關內容。 這樣，您可以提高效能、安全性和管理成本。

身分環境監控與健康

Microsoft Entra Connect Health 提供代理程式來監視同步、AD DS 和 AD FS，並在 Azure 入口網站中公開儀表板以查看健康狀況和效能。 在事件影響用戶之前檢測到它們至關重要。

在保護方面，身分保護 (P2) 應用機器學習和啟發式方法來偵測登入異常和風險事件（異常位置、可疑 IP、受感染裝置）。 產生可操作的警報和報告。

補充條件存取以在不受信任的位置觸發 MFA，透過平台/裝置狀態進行限制，並在存取決策中使用靜態或動態群組成員身分。 這大大提高了您的安全態勢。

在 Azure 中部署 AD FS：設計、網路和高可用性

對於選擇聯合的組織，在 Azure 上部署 AD FS 可實現高可用性和可擴充性，並具有地理冗餘和從 Azure 入口網站輕鬆管理的功能。 建議的拓撲將 AD FS 和 WAP 分開，對 WAP 使用 DMZ 和負載平衡器（AD FS 使用內部負載平衡器，WAP 使用公共負載平衡器）。

• 網路與安全： 建立一個具有兩個子網（INT 和 DMZ）的虛擬網絡，每個子網應用 NSG，規則如下：允許從 DMZ 到 INT 的 HTTPS 443（例如 10.0.1.0/24 > 10.0.0.0/24，優先權 1010），除非有必要，拒絕出站到網路。中對入站流量必不可少的內容。
• 本地連線： 如果需要存取本機網域控制器，請使用 S2S VPN、P2S 或 ExpressRoute（建議用於尋找 可靠性、高延遲和安全性）。
• 可用性集： 在可用性集中每個角色（AD FS 和 WAP）至少使用兩個 VM；保留預設值（2 個故障域、5 個更新域）以進行不間斷維護。
• AD FS 的內在平衡 (ILB)： 設定靜態 IP、帶有 AD FS 伺服器的後端池以及到連接埠 80 上的 /adfs/probe 的 HTTP 運行狀況探測；將 443 發佈到後端 443 並建立指向 ILB 的聯合驗證服務內部 DNS 記錄。

WAP、公共負載平衡器和 AD FS 測試

Web 應用程式代理伺服器未加入網域並駐留在 DMZ 中，透過 443 處的公共負載平衡器使用 /adfs/probe 探測將 AD FS 發佈到 Internet。 將 DNS 標籤指派給公用 IP 以實現友善解析。

• 更新DNS： 如果您需要在內部將 ILB IP 解析為聯合 FQDN，請為聯合服務（例如 fs.company.com）建立至 ILB 的內部 A，並在 WAP 中託管條目。
• 證書： 使用具有適當 CN/SAN（聯合驗證服務、企業註冊、通配符（如果適用））的伺服器憑證並將其匯出為 PFX 以將其安裝在 AD FS 和 WAP 中。
• 測試： 啟用 IdP 啟動頁面 PowerShell的 Set-AdfsProperties -EnableIdPInitiatedSignOnPage $true 並透過導航至 https://tu-adfs/adfs/ls/IdpInitiatedSignon.aspx.

AD FS 部署範本和典型參數

有模板可以協調六台機器（兩台 DC、兩台 AD FS 和兩台 WAP），並接受區域、帳戶、 存儲、虛擬網路（現有或新的）、INT/DMZ 子網路、虛擬機器和 ILB 的靜態 IP、虛擬機器大小和管理憑證。 參數包括：位置、StorageAccountType、VirtualNetworkUsage/Name/AddressRange、子網路名稱和範圍、每個虛擬機器的 NIC IP、ADFSLoadBalancerPrivateIPAddress、每個角色的名稱前綴、虛擬機器大小和憑證。

這種方法可以加速一致且可重複的部署，同時記錄網路和安全性配置。 始終調整範圍以避免與現有網路重疊。

Azure AD 網域服務：將 VM 加入託管網域

Azure AD 網域服務 (AADD DS) 在 Azure 中提供託管網域加入、LDAP 和 Kerberos/NTLM，無需設定您自己的網域控制站。 當您需要 Azure 內對網域身份驗證的舊應用程式支援時很有用。

• 要求： 活動訂閱、輸入 ID 租用戶（僅限雲端或同步）、啟用託管網域、託管網域中的使用者帳戶（具有同步的密碼雜湊或 SSPR）以及用於在沒有公用 IP 的情況下進行 RDP 存取的 Azure Bastion。
• 程序： 在能夠與託管網域子網路通訊的子網路中建立 Windows Server VM（最好在單獨的子網路中），並將遠端連接埠關閉至 Internet（使用 Bastion），並從指定 FQDN 的系統屬性加入網域（例如 aaddscontoso.com）。
• 證書： 使用建議的 UPN 格式（user@domain.onmicrosoft.com 或自訂）或 SAMAccountName（如果適用）；帳戶必須屬於託管網域或租用戶。輸入 ID。
• 解決問題： 如果它不要求輸入憑證，則故障通常是連接/DNS：檢查網路配對，ping 託管網域的 FQDN 或 IP，並使用 ipconfig /flushdns.

如果在輸入憑證後出現錯誤，請檢查該帳戶是否屬於託管網域、是否啟用了密碼同步以及密碼變更後是否經過了足夠的時間以複製雜湊。 如果您不繼續本教學課程，請返回 WORKGROUP，然後刪除 VM。

準備本機 AD 並與 Microsoft 365/Azure AD 同步

如果您已經在使用 Microsoft 365，則將您的本機 AD 與 Entra ID 同步可統一雲端和本機憑證，並提供廣泛的混合選項。 確保您的本機 UPN 後綴是可路由的（不是 .local/.test）並且與 Microsoft 365/登入 ID 中已驗證的網域相符。

在 Active Directory 網域和信任中新增 UPN 後綴，並在 ADUC 中或透過 PowerShell 更新用戶，以批次將 @domain.local 變更為 @domain.com， 例如： $LocalUsers = Get-ADUser -Filter "UserPrincipalName -like '*domain.local'" -Properties userPrincipalName -ResultSetSize $null y $LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace("@domain.local","@domain.com"); $_ | Set-ADUser -UserPrincipalName $newUpn}.

對於 Office 365，請在屬性編輯器中查看每個使用者/群組的代理位址（主位址為大寫 SMTP）。 啟用 ADUC 中的進階功能視圖以正確編輯別名集合。

安裝 Azure AD Connect： 官方下載，選擇自訂安裝，定義登入方式（PHS、PTA 或聯合），在輸入 ID/M365 中連接全域管理員帳戶，新增 AD 林，選擇 userPrincipalName 作為登入屬性，並過濾網域/OU（如果適用）。

選用功能： 密碼寫回（P1/P2）、規則變更和調度程序；選取「完成後開始同步」或在適當的時候手動觸發。

同步操作：有用的命令和設定遷移

ADSync PowerShell 模組可讓您查詢排程器並強制循環： Import-Module ADSync, Get-ADSyncScheduler, Start-ADSyncSyncCycle -PolicyType Delta o Initial，並調整間隔 Set-ADSyncScheduler -CustomizedSyncCycleInterval 00:10:00.

Azure AD Connect 設定以 JSON 格式儲存在 %ProgramData%\AADConnect 下；您可以匯出/匯入它來複製部署。 並使用 腳本 MigrateSettings.ps1（工具資料夾）從一台伺服器遷移到另一台伺服器。

記住，時間安排不是一個系統 備用：某些屬性僅存在於雲端（例如許可證），如果在雲端中刪除它們，則無法透過同步恢復。 對於本機 AD 和 Microsoft 365 資料備份，請轉向專用解決方案。

要求和網路： Windows Server 2012/2016/2019 隨附 GUI，用於安裝 Entra Connect、.NET 4.5.1+、PowerShell 3.0+、啟用 TLS 1.2 以及 TCP 80/443 出站到 Microsoft 服務；工具伺服器不支援 Essentials/Core。

條件接收、安全和政府

針對意外來源、不合規平台或停用設備，使用條件存取策略補充登錄，並依靠群組（包括動態群組）來分段存取。 這就是以最小摩擦實現零信任的方法。

身分保護 (P2) 增加了對異常登入訊號做出反應的基準風險策略， Entra 報告有助於診斷和審計相關活動。

連接 Connect Health 代理程式來監視同步、AD DS 和 AD FS，並在 Azure 入口網站中提供指標和狀態， 是高效率管理的支柱之一。

效能、成本和可操作性（架構完善）

• 性能： Entra ID 依賴於一個主副本和唯讀的輔助副本，具有最終一致性和有效的擴展性，因為它主要是一個讀取操作。如果物件數量超過約 100.000 個，Entra Connect 會擴充 SQL。
• 費用： 使用 Azure 計算器進行估算；透過將同步限制在必要的範圍內並選擇減少基礎架構的驗證方法（例如，如果不是必需的，則不使用 AD FS）來進行最佳化。
• 可靠性： 考慮在 Staging 中使用第二個 Entra Connect 伺服器進行故障轉移、災難復原規劃，並處理 數據庫- 避免使用鏡像或 AlwaysOn 等不受支援的技術進行資料庫同步。
• 可操作性： Entra Connect 工具（控制台、同步服務管理器和規則編輯器）可讓您透過精確的控制和診斷來維護和調整同步，這在複雜環境或自訂規則中至關重要。

與 Citrix 和 SAML 整合（使用 Azure AD 的 SSO）

若要透過 Azure AD 使用 Citrix 和 SSO 發布桌面或應用程序，請使用 SAML 2.0 作為 Azure AD IdP 整合 Citrix Gateway 和 StoreFront，以便加入 Azure AD 的使用者可以輕鬆地從 myapps.microsoft.com 登入。 在 Azure AD 中，建立一個企業應用程序，使用識別碼和回复 URL 配置 SAML 作為 /cgi/samlauth，下載簽名證書，複製登入和登出 URL，將應用程式指派給用戶，並在快捷方式中使用 SSO URL。

在 Citrix Gateway 上，導入證書，配置 SAML 策略，添加帶有元資料的 Azure IdP，並與 StoreFront 連結（最好透過 HTTPS），驗證身份驗證是否正常運作以及信任和 STA 策略是否合適。 如果您使用 AD FS 作為中介 IdP，請記住聯合的 CNAME 記錄（例如，enterpriseregistration。 ) 來解決加入 Azure AD 的流程，同時確保在電腦上安裝對應的根憑證。

關於平台： 請謹慎諮詢 Reddit 等資源，因為他們的建議不是官方的，並且在應用更改之前務必根據正式的技術文件進行檢查。

從基礎到高級，這一旅程涵蓋了從簡單的 Azure AD 連接到具有高可用性、聯合和 SSO 的混合架構的所有內容，適用於現代和傳統應用程序，具有複雜的安全控制和強大的操作。 透過正確規劃 UPN 和 DNS、正確過濾同步以及實施 MFA 和條件存取等安全措施，Windows 10/11 和 Azure 上傳中的身分管理將高效、可擴展且易於維護。