De implementatie van hybride deelname van Microsoft Entra plannen
Als u een on-premises Ad DS-omgeving (Active Directory Domain Services) hebt en u uw AD DS-computers die lid zijn van uw AD DS-domein wilt toevoegen aan Microsoft Entra ID, kunt u deze taak uitvoeren door hybride deelname van Microsoft Entra uit te voeren.
Tip
Eenmalige aanmelding (SSO) tot on-premises resources is ook beschikbaar voor apparaten die gekoppeld zijn aan Microsoft Entra. Zie Hoe SSO naar on-premises bronnen werkt op Microsoft Entra-verbonden apparatenvoor meer informatie.
Voorwaarden
In dit artikel wordt ervan uitgegaan dat u bekend bent met de Inleiding tot apparaatidentiteitsbeheer in Microsoft Entra ID.
Notitie
De minimaal vereiste domeincontrollerversie (DC) voor Windows 10 of nieuwere Hybride Koppeling van Microsoft Entra is Windows Server 2008 R2.
Voor Microsoft Entra hybride gekoppelde apparaten is periodieke netwerkzichtbaarheid richting uw domeincontrollers vereist. Zonder deze verbinding worden apparaten onbruikbaar.
Scenario's die niet functioneren zonder visuele verbinding met uw domeincontrollers zijn onder andere:
- Apparaatwachtwoord wijzigen
- Gebruikerswachtwoord wijzigen (referenties in cache)
- TPM (Trusted Platform Module) opnieuw instellen
Uw implementatie plannen
Als u uw hybride Microsoft Entra-implementatie wilt plannen, moet u vertrouwd raken met:
- Controleer ondersteunde apparaten
- Bekijk de dingen die u moet weten
- Beoordeel gerichte implementatie van Microsoft Entra hybride verbinding
- Selecteer uw scenario op basis van uw identiteitsinfrastructuur
- Ondersteuning voor on-premises Microsoft Windows Server Active Directory User Principal Name (UPN) voor hybride koppeling van Microsoft Entra evalueren.
Ondersteunde apparaten bekijken
Hybride deelname van Microsoft Entra ondersteunt een breed scala aan Windows-apparaten.
- Windows 11
- Windows 10
- Windows Server 2016
- Opmerking: Nationaal-klanten van Azure-cloud vereisen versie 1803
- Windows Server 2019
Als best practice raadt Microsoft u aan een upgrade uit te voeren naar de nieuwste versie van Windows.
Bekijk de dingen die u moet weten
Niet-ondersteunde scenario's
- Hybride deelname van Microsoft Entra wordt niet ondersteund voor Windows Server waarop de domeincontrollerrol (DC) wordt uitgevoerd.
- Server Core OS biedt geen ondersteuning voor een type apparaatregistratie.
- Het hulpprogramma voor migratie van gebruikersstatus (USMT) werkt niet met apparaatregistratie.
Overwegingen voor installatiekopieën van het besturingssysteem
Als u vertrouwt op het hulpprogramma voor systeemvoorbereiding (Sysprep) en een pre-Windows 10 1809 image gebruikt voor installatie, zorg er dan voor dat de image niet afkomstig is van een apparaat dat al is geregistreerd bij Microsoft Entra ID als Microsoft Entra hybrid joined.
Als u vertrouwt op een momentopname van een virtuele machine (VM) om meer VM's te maken, moet u ervoor zorgen dat de momentopname niet afkomstig is van een virtuele machine die al is geregistreerd bij Microsoft Entra-id als hybride toevoeging aan Microsoft Entra.
Als u Unified Write Filter gebruikt en vergelijkbare technologieën die de wijzigingen op de schijf bij het opnieuw opstarten wissen, moeten deze toegepast worden nadat het apparaat aan Microsoft Entra als hybride is gekoppeld. Het inschakelen van dergelijke technologieën voordat de hybride koppeling van Microsoft Entra is voltooid, resulteert erin dat het apparaat bij elke herstart wordt losgekoppeld.
Omgaan met apparaten met een geregistreerde Microsoft Entra-status
Als uw windows 10- of nieuwere apparaten die lid zijn van een domein, zijn Microsoft Entra geregistreerd voor uw tenant, kan dit leiden tot een dubbele status van hybride Microsoft Entra-gekoppelde apparaten en geregistreerde Microsoft Entra-apparaten. U wordt aangeraden een upgrade uit te voeren naar Windows 10 1803 (met KB4489894 toegepast) of hoger om dit scenario automatisch aan te pakken. In releases van vóór 1803 moet u de geregistreerde status van Microsoft Entra handmatig verwijderen voordat u de hybride koppeling van Microsoft Entra inschakelt. In 1803 en hoger zijn de volgende wijzigingen aangebracht om deze dubbele status te voorkomen:
- Elke bestaande geregistreerde Microsoft Entra-status voor een gebruiker wordt automatisch verwijderd nadat het apparaat hybride lid is van Microsoft Entra en dezelfde gebruiker inlogt. Als gebruiker A bijvoorbeeld een geregistreerde Microsoft Entra-status op het apparaat heeft, wordt de dubbele status voor gebruiker A alleen opgeschoond wanneer gebruiker A zich aanmeldt bij het apparaat. Als er meerdere gebruikers op hetzelfde apparaat zijn, wordt de dubbele status afzonderlijk opgeschoond wanneer deze gebruikers zich aanmelden. Nadat een beheerder de geregistreerde Microsoft Entra-status heeft verwijderd, wordt de registratie van het apparaat door Windows 10 bij Intune of andere MDM (Mobile Device Management) ongedaan gemaakt als de inschrijving is uitgevoerd als onderdeel van de Microsoft Entra-registratie via automatische inschrijving.
- De geregistreerde status van Microsoft Entra van lokale accounts op het apparaat wordt niet beïnvloed door deze wijziging. Alleen van toepassing op domeinaccounts. De geregistreerde Status van Microsoft Entra voor lokale accounts wordt niet automatisch verwijderd, zelfs niet nadat de gebruiker zich heeft aangemeld, omdat de gebruiker geen domeingebruiker is.
- U kunt voorkomen dat uw domein-gekoppelde apparaat wordt geregistreerd bij Microsoft Entra door de volgende registerwaarde toe te voegen aan HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001.
- Als u Windows Hello voor Bedrijven hebt geconfigureerd in Windows 10 1803, moet de gebruiker Windows Hello voor Bedrijven opnieuw configureren na het opschonen van dubbele status. Dit probleem wordt opgelost met KB4512509.
Notitie
Hoewel Windows 10 en Windows 11 automatisch de geregistreerde Status van Microsoft Entra lokaal verwijderen, wordt het apparaatobject in Microsoft Entra-id niet onmiddellijk verwijderd als het wordt beheerd door Intune. U kunt het verwijderen van de geregistreerde Microsoft Entra-status valideren door dsregcmd /statusuit te voeren.
Hybride verbinding van Microsoft Entra voor één forest, meerdere Microsoft Entra-tenants
Om apparaten te registreren als hybride join van Microsoft Entra aan hun respectieve tenants, moeten organisaties ervoor zorgen dat de SCP-configuratie (Service Connection Point) op de apparaten wordt uitgevoerd en niet in Microsoft Windows Server Active Directory. Meer informatie over het uitvoeren van deze taak vindt u in het artikel Microsoft Entra hybrid join targeted deployment. Het is belangrijk dat organisaties begrijpen dat bepaalde functionaliteiten van Microsoft Entra niet werken in een enkele forest met meerdere Microsoft Entra-tenanten configuraties.
- apparaat terugschrijven werkt niet. Deze configuratie is van invloed op voorwaardelijke toegang op basis van apparaten voor on-premises apps die zijn gefedereerd met AD FS. Deze configuratie is ook van invloed op Implementatie van Windows Hello voor Bedrijven bij het gebruik van het hybride certificaatvertrouwensmodel.
- Terugschrijven van groepen functioneert niet. Deze configuratie is van invloed op het terugschrijven van Office 365-groepen naar een forest waarop Exchange is geïnstalleerd.
- naadloze SSO werkt niet. Deze configuratie is van invloed op SSO-scenario's in organisaties die browserplatforms zoals iOS of Linux gebruiken met Firefox, Safari of Chrome zonder de Windows 10-extensie.
- On-premises Microsoft Entra-wachtwoordbeveiliging werkt niet. Deze configuratie is van invloed op de mogelijkheid om wachtwoordwijzigingen en gebeurtenissen voor wachtwoordherstel uit te voeren op on-premises AD DS-domeincontrollers (Active Directory Domain Services) met dezelfde algemene en aangepaste lijsten met verboden wachtwoorden die zijn opgeslagen in Microsoft Entra ID.
Andere overwegingen
Als uw omgeving gebruikmaakt van VDI (Virtual Desktop Infrastructure), raadpleegt u Apparaat-id en bureaubladvirtualisatie.
Hybride deelname van Microsoft Entra wordt ondersteund voor FIPS-compatibele TPM 2.0 (Federal Information Processing Standard) en wordt niet ondersteund voor TPM 1.2. Als uw apparaten FIPS-compatibele TPM 1.2 hebben, moet u deze uitschakelen voordat u doorgaat met Hybride Join van Microsoft Entra. Microsoft biedt geen hulpprogramma's voor het uitschakelen van de FIPS-modus voor TPM's, omdat deze afhankelijk is van de TPM-fabrikant. Neem contact op met uw hardware-OEM voor ondersteuning.
Vanaf de release van Windows 10 1903 wordt TPM-versie 1.2 niet gebruikt met de hybride join van Microsoft Entra en apparaten met deze TPM's worden behandeld alsof ze geen TPM hebben.
UPN-wijzigingen worden alleen ondersteund vanaf windows 10 2004-update. Voor apparaten vóór de Windows 10 2004-update kunnen gebruikers problemen met eenmalige aanmelding en voorwaardelijke toegang hebben op hun apparaten. U kunt dit probleem oplossen door het apparaat los te maken van Microsoft Entra-id (voer 'dsregcmd /leave' uit met verhoogde bevoegdheden) en u moet opnieuw deelnemen (gebeurt automatisch). Gebruikers die zich aanmelden met Windows Hello voor Bedrijven, ondervinden dit probleem echter niet.
Gerichte hybride koppeling van Microsoft Entra beoordelen
Organisaties willen mogelijk een gerichte implementatie van Hybride Deelname van Microsoft Entra uitvoeren voordat ze deze inschakelen voor de hele organisatie. Raadpleeg het artikel over gerichte implementatie van een hybride koppeling van Microsoft Entra om te begrijpen hoe dit te realiseren.
Waarschuwing
Organisaties moeten een voorbeeld van gebruikers van verschillende rollen en profielen in hun testgroep opnemen. Een gerichte implementatie helpt bij het identificeren van eventuele problemen die uw plan mogelijk niet aanpakt voordat u de hele organisatie inschakelt.
Selecteer uw scenario op basis van uw identiteitsinfrastructuur
Hybride deelname van Microsoft Entra werkt met zowel beheerde als federatieve omgevingen, afhankelijk van of de UPN routeerbaar of niet-roueerbaar is. Zie onder aan de pagina voor tabel over ondersteunde scenario's.
Beheerde omgeving
Een beheerde omgeving kan worden geïmplementeerd via Password Hash Sync (PHS) of Pass-Through Authenticatie (PTA) met naadloze eenmalige aanmelding.
Voor deze scenario's hoeft u geen federatieserver te configureren voor verificatie (AuthN).
Notitie
Cloudverificatie met behulp van gefaseerde implementatie wordt alleen ondersteund vanaf de Windows 10 1903-update.
Federatieve omgeving
Een federatieve omgeving moet een id-provider hebben die ondersteuning biedt voor de volgende vereisten. Als u een federatieve omgeving hebt met Active Directory Federation Services (AD FS), worden de onderstaande vereisten al ondersteund.
WS-Trust protocol: Dit protocol is vereist voor het verifiëren van hybride Windows-apparaten met Microsoft Entra met Microsoft Entra ID. Wanneer u AD FS gebruikt, moet u de volgende WS-Trust eindpunten inschakelen:
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
Waarschuwing
Beide adfs/services/trust/2005/windowstransport of adfs/services/trust/13/windowstransport moeten worden ingeschakeld als intranetgerichte eindpunten en mogen niet worden weergegeven als extranetgerichte eindpunten via de webtoepassingsproxy. Zie Windows-eindpunten WS-Trust uitschakelen op de proxyvoor meer informatie over hoe WS-Trust Windows-eindpunten kunnen worden uitgeschakeld. U kunt zien welke eindpunten zijn ingeschakeld via de AD FS-beheerconsole onder Service>Endpoints.
Vanaf versie 1.1.819.0 biedt Microsoft Entra Connect u een wizard voor het configureren van hybride deelname aan Microsoft Entra. Met de wizard kunt u het configuratieproces aanzienlijk vereenvoudigen. Als het installeren van de vereiste versie van Microsoft Entra Connect geen optie voor u is, zie dan Hoe apparaatregistratie handmatig te configureren. Als contoso.com is geregistreerd als een bevestigd aangepast domein, kunnen gebruikers een PRT krijgen, zelfs als hun gesynchroniseerde on-premises AD DS UPN-achtervoegsel zich in een subdomein bevindt, zoals test.contoso.com.
Controleer de UPN-ondersteuningsfunctie van on-premises Microsoft Windows Server Active Directory-gebruikers voor hybride verbinding met Microsoft Entra.
- Routeerbare gebruikers UPN: een routeerbare UPN heeft een geldig geverifieerd domein dat is geregistreerd bij een domeinregistrar. Als contoso.com bijvoorbeeld het primaire domein in Microsoft Entra-id is, is contoso.org het primaire domein in on-premises AD dat eigendom is van Contoso en geverifieerd in Microsoft Entra ID.
- Niet-routable gebruikers UPN: een niet-routable UPN heeft geen geverifieerd domein en is alleen van toepassing binnen het privénetwerk van uw organisatie. Als contoso.com bijvoorbeeld het primaire domein in Microsoft Entra-id is en contoso.local het primaire domein in on-premises AD is, maar geen verifieerbaar domein op internet is en alleen in het netwerk van Contoso wordt gebruikt.
Notitie
De informatie in deze sectie is alleen van toepassing op een UPN van on-premises gebruikers. Dit is niet van toepassing op een on-premises computerdomeinachtervoegsel (bijvoorbeeld: computer1.contoso.local).
De volgende tabel bevat details over ondersteuning voor deze on-premises Microsoft Windows Server Active Directory UPN's in Windows 10 Microsoft Entra hybride koppeling.
| Type of on-premises Microsoft Windows Server Active Directory UPN | Domeintype | Windows 10-versie | Beschrijving |
|---|---|---|---|
| Routeerbaar | Federatief | Vanaf de release van 1703 | Algemeen beschikbaar |
| Niet-routabel | Federatief | Vanaf de release van 1803 | Algemeen beschikbaar |
| Routeerbaar | Beheerd | Vanaf de release van 1803 | Algemeen beschikbaar, Microsoft Entra SSPR op het vergrendelingsscherm van Windows wordt niet ondersteund in omgevingen waarin de on-premises UPN verschilt van de Microsoft Entra UPN. De on-premises UPN moet worden gesynchroniseerd met het kenmerk onPremisesUserPrincipalName in Microsoft Entra ID |
| Niet-routabel | Beheerd | Niet ondersteund |