De implementatie van uw hybride Azure Active Directory-deelname plannen

Als u een on-premises Active Directory Domain Services (AD DS)-omgeving hebt en de computers die aan uw AD DS-domein zijn gekoppeld aan Azure AD wilt koppelen, kunt u dit doen door hybride Azure AD join te configureren.

Tip

SSO-toegang tot on-premises resources is ook beschikbaar voor apparaten die Azure AD-gekoppeld zijn. In het artikel Hoe SSO voor on-premises resources werkt op Azure AD-gekoppelde apparaten vindt u meer informatie.

Vereisten

In dit artikel wordt ervan uitgegaan dat u bekend bent met de Inleiding tot apparaatidentiteitsbeheer in Azure Active Directory.

Notitie

De minimaal vereiste domeincontrollerversie voor hybride Azure AD join met Windows 10 of nieuwer is Windows Server 2008 R2.

Voor hybride Azure AD-gekoppelde apparaten is periodiek een netwerkregel die is gericht op uw domeincontrollers vereist. Zonder deze verbinding worden apparaten onbruikbaar.

Scenario's die zonder regel naar uw domeincontrollers niet werken:

  • Wachtwoordwijziging apparaat
  • Gebruikerswachtwoord wijzigen (referenties in cache)
  • TPM opnieuw instellen

Uw implementatie plannen

Als u uw hybride Azure AD-implementatie wilt plannen, moet u vertrouwd raken met:

  • Ondersteunde apparaten controleren
  • Dingen die u moet weten controleren
  • Gerichte implementatie van hybride Azure AD join controleren
  • Uw scenario selecteren op basis van uw identiteitsinfrastructuur
  • On-premises AD UPN-ondersteuning controleren voor hybride Azure AD join

Ondersteunde apparaten controleren

Hybride Azure AD join ondersteunt een breed scala aan Windows-apparaten. Omdat voor de configuratie van apparaten met oudere versies van Windows andere stappen zijn vereist, worden de ondersteunde apparaten gegroepeerd in twee categorieën:

Huidige Windows-apparaten

  • Windows 11
  • Windows 10
  • Windows Server 2016
    • Opmerking: Azure National-cloudklanten hebben versie 1803 nodig
  • Windows Server 2019

Voor apparaten met het Windows desktop-besturingssysteem worden ondersteunde versies vermeld in dit artikel Windows 10 release-informatie. Als best practice raadt Microsoft u aan een upgrade uit te voeren naar de nieuwste versie van Windows.

Apparaten met een lagere Windows-versie

Als eerste planningsstap moet u uw omgeving controleren en bepalen of u Windows-apparaten met een lagere versie moet ondersteunen.

Dingen die u moet weten controleren

Niet-ondersteunde scenario's

  • Hybride Azure AD join wordt niet ondersteund voor Windows Server waarop de rol Domeincontroller (DC) wordt uitgevoerd.
  • Hybride Azure AD join wordt niet ondersteund op apparaten met een lager niveau van Windows bij het gebruik van roaming naar referenties of gebruikersprofiel of verplicht profiel.
  • Server Core OS biedt geen ondersteuning voor enig type apparaatregistratie.
  • User State Migration Tool (hulpprogramma voor migratie van gebruikersstatus/USMT) werkt niet met apparaatregistratie.

Aandachtspunten voor het maken van schijfkopieën van het besturingssysteem

  • Als u afhankelijk bent van het hulpprogramma voor systeemvoorbereiding (Sysprep) en als u een installatiekopie met een lagere versie dan Windows 10 1809 gebruikt, moet u ervoor zorgen dat de installatiekopie niet afkomstig is van een apparaat dat al is geregistreerd bij Azure AD als hybride Azure AD-gekoppeld.

  • Als u vertrouwt op een momentopname van een virtuele machine (VM) om meer VM's te maken, moet u zorgen dat de momentopname niet afkomstig is van een VM die al is geregistreerd bij Azure AD als hybride Azure AD join.

  • Als u Unified Write Filter en vergelijkbare technologieën gebruikt die bij het opnieuw opstarten wijzigingen in de schijf wissen, moeten ze worden toegepast nadat het apparaat hybride Azure AD-gekoppeld is. Het inschakelen van dergelijke technologieën voordat hybride Azure AD join is voltooid, leidt ertoe dat de join bij elke keer opnieuw opstarten ongedaan wordt gemaakt.

Apparaten verwerken met Azure AD geregistreerde status

Als uw apparaten met Windows 10 of nieuwer, die lid zijn van een domein, via Azure Active Directory zijn geregistreerd bij uw tenant, kan dit leiden tot een dubbele status van een hybride Azure AD-apparaat en een apparaat dat is geregistreerd bij Azure AD. Een upgrade naar Windows 10 1803 (met KB4489894 toegepast) of nieuwer wordt aanbevolen om dit scenario automatisch op te lossen. In versies van vóór 1803 moet u de geregistreerde Azure AD-status handmatig verwijderen voordat u hybride Azure AD join inschakelt. In versies van 1803 en hoger zijn de volgende wijzigingen aangebracht om deze dubbele status te voorkomen:

  • Een bestaande geregistreerde Azure AD-status voor een gebruiker wordt automatisch verwijderd nadat het apparaat is samengevoegd met Hybride Azure AD en dezelfde gebruiker zich aanmeldt. Als gebruiker A bijvoorbeeld een geregistreerde Azure AD-status heeft op het apparaat, wordt de dubbele status voor gebruiker A alleen opgeschoond wanneer gebruiker A zich aanmeldt bij het apparaat. Als er meerdere gebruikers op hetzelfde apparaat zijn, wordt de dubbele status afzonderlijk opgeschoond wanneer deze gebruikers zich aanmelden. Na het verwijderen van de geregistreerde status van Azure AD, maakt Windows 10 de registratie van het apparaat bij Intune of een andere MDM ongedaan als de inschrijving is uitgevoerd als onderdeel van de Azure AD-registratie via automatische inschrijving.
  • De geregistreerde status van Azure AD op lokale accounts op het apparaat wordt niet beïnvloed door deze wijziging. Alleen van toepassing op domeinaccounts. De geregistreerde status van Azure AD wordt op lokale accounts niet automatisch verwijderd, zelfs niet nadat de gebruiker zich heeft aangemeld, omdat de gebruiker geen domeingebruiker is.
  • U kunt voorkomen dat uw domein-gekoppelde apparaat Azure AD-geregistreerd wordt door de volgende registerwaarde toe te voegen aan HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001.
  • Als u in Windows 10 1803 Windows Hello voor Bedrijven hebt geconfigureerd, moet de gebruiker Windows Hello voor Bedrijven opnieuw configureren nadat de dubbele status is opgeschoond. Dit probleem is opgelost bij KB4512509.

Notitie

Hoewel Windows 10 en Windows 11 de geregistreerde Azure AD-status automatisch lokaal verwijderen, wordt het apparaatobject in Azure AD niet onmiddellijk verwijderd als het wordt beheerd door Intune. U kunt het verwijderen van geregistreerde Azure AD-status valideren door dsregcmd /status uit te voeren en het apparaat eventueel te zien als niet-Azure AD-geregistreerd op basis hiervan.

Hybride Azure AD join voor meerdere Azure AD-tenants in één forest

Organisaties moeten ervoor zorgen dat de SCP-configuratie wordt uitgevoerd op de apparaten en niet in AD als ze apparaten willen registreren als hybride Azure AD join aan de respectieve tenants. Meer informatie over het uitvoeren van deze taak vindt u in het artikel Gerichte implementatie van hybride Azure AD join. Het is belangrijk dat organisaties begrijpen dat bepaalde Azure AD-mogelijkheden niet werken in configuraties met meerdere Azure AD-tenants in één forest.

Andere overwegingen

  • Als uw omgeving gebruikmaakt van VDI (Virtual Desktop Infrastructure), raadpleegt u Apparaatidentiteit en bureaubladvirtualisatie.

  • Hybride Azure AD join wordt ondersteund voor FIPS-compatibele TPM 2.0 en wordt niet ondersteund voor TPM 1.2. Als uw apparaten FIPS-compatibele TPM 1.2 hebben, moet u deze uitschakelen voordat u doorgaat met hybride Azure AD join. Microsoft biedt geen hulpprogramma's voor het uitschakelen van de FIPS-modus voor TPM's, omdat deze afhankelijk is van de TPM-fabrikant. Neem contact op met uw hardware-OEM voor ondersteuning.

  • Vanaf Windows 10 1903-release worden TPM's 1.2 niet gebruikt met hybride Azure AD join en apparaten met deze TPM's worden gezien alsof ze geen TPM hebben.

  • UPN-wijzigingen worden alleen ondersteund vanaf de Windows 10-update van 2004. Voor apparaten vóór de 2004-update in Windows 10 kunnen gebruikers problemen met eenmalige aanmelding en voorwaardelijke toegang ondervinden op hun apparaten. Als u dit probleem wilt oplossen, moet u de koppeling van het apparaat ongedaan maken vanuit Azure AD (voer dsregcmd /leave uit met verhoogde bevoegdheden) en u opnieuw aanmelden (gebeurt automatisch). Gebruikers die zich aanmelden met Windows Hello voor Bedrijven ondervinden dit probleem echter niet.

Gerichte hybride Azure AD join controleren

Organisaties willen mogelijk een gerichte implementatie van hybride Azure AD join voordat ze deze inschakelen voor hun hele organisatie. Lees het artikel Gerichte implementatie van hybride Azure AD join om te ontdekken hoe u dit kunt doen.

Waarschuwing

Organisaties moeten een representatieve groep van gebruikers met verschillende rollen en profielen in hun testgroep opnemen. Een gerichte implementatie helpt bij het identificeren van problemen die in uw plan mogelijk niet naar voren zijn gekomen voordat u een organisatiebrede implementatie uitvoert.

Uw scenario selecteren op basis van uw identiteitsinfrastructuur

Hybride Azure AD join werkt met zowel beheerde als federatieve omgevingen, afhankelijk van of de UPN routeerbaar of niet routeerbaar is. Zie de onderkant van de pagina voor een tabel over ondersteunde scenario's.

Beheerde omgeving

Een beheerde omgeving kan worden geïmplementeerd met behulp van Password Hash Sync (PHS) of Pass-Through Authentication (PTA) met naadloze eenmalige aanmelding.

Voor deze scenario's is het niet nodig om een federatieve server te configureren voor authenticatie.

Notitie

Cloudverificatie met behulp van gefaseerde implementatie wordt alleen ondersteund vanaf de Windows 10 1903-update.

Federatieve omgeving

Een gefedereerde omgeving moet een id-provider hebben die de volgende vereisten ondersteunt. Als u een gefedereerde omgeving hebt met Active Directory Federation Services (AD FS), worden de onderstaande vereisten al ondersteund.

  • WIAORMULTIAUTHN-claim: Deze claim is verwijst voor een hybride Azure AD-koppeling oplossen voor downlevel Windows-apparaten.
  • WS-Trust-protocol: Dit protocol is vereist voor de verificatie van Windows Current Hybrid Azure AD gekoppelde apparaten met Azure AD. Wanneer u AD FS gebruikt, moet u de volgende WS-Trust-eindpunten inschakelen: /adfs/services/trust/2005/windowstransport/adfs/services/trust/13/windowstransport/adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed

Waarschuwing

Zowel adfs/services/trust/2005/windowstransport als adfs/services/trust/13/windowstransport dienen alleen te worden ingeschakeld als naar intranet gerichte eindpunten en mogen NIET beschikbaar worden gemaakt als naar extranet gerichte eindpunten via de webtoepassingsproxy. Zie voor meer informatie over het uitschakelen van WS-Trust Windows eindpunten Disable WS-Trust Windows endpoints on the proxy. Onder Service>Eindpunten in de AD FS-beheerconsole kunt u zien welke eindpunten zijn ingeschakeld.

Vanaf versie 1.1.819.0 bevat Azure AD Connect een wizard om hybride Azure AD-koppeling te configureren. Met de wizard kunt u het configuratieproces aanzienlijk vereenvoudigen. Zie Apparaatregistratie handmatig configureren als het voor u niet mogelijk is om de vereiste versie van Azure AD Connect te installeren.

UPN-ondersteuning voor on-premises AD-gebruikers controleren voor hybride Azure AD join

Soms verschillen on-premises AD-gebruikers-UPN's van uw Azure AD UPN's. In deze gevallen biedt Windows 10 of nieuwer hybride Azure AD join beperkte ondersteuning voor on-premises AD UPN's op basis van de verificatiemethode, het domeintype en de Windows-versie. Er zijn twee soorten on-premises AD-UPN's die kunnen bestaan in uw omgeving:

  • UPN van routeerbare gebruikers: een routeerbare UPN heeft een geldig geverifieerd domein dat is geregistreerd bij een domeinregistrar. Als contoso.com bijvoorbeeld het primaire domein in Azure AD is, is contoso.org het primaire domein in on-premises AD dat eigendom is van Contoso en is geverifieerd in Azure AD.
  • UPN van niet-routeerbare gebruikers: een niet-routeerbare UPN heeft geen geverifieerd domein en is alleen van toepassing binnen het particuliere netwerk van uw organisatie. Als contoso.com bijvoorbeeld het primaire domein in Azure AD is en contoso.local het primaire domein in on-premises AD is, maar geen verifieerbaar domein op internet is en alleen wordt gebruikt in het netwerk van Contoso.

Notitie

De informatie in deze sectie is alleen van toepassing op een UPN van on-premises gebruikers. Het is niet van toepassing op een on-premises computerdomeinachtervoegsel (bijvoorbeeld: computer1.contoso.local).

De volgende tabel bevat informatie over ondersteuning voor deze on-premises AD UPN's in Windows 10 hybride Azure AD join

Typen on-premises AD UPN Domeintype Windows 10-versie Description
Routeerbaar Federatief Vanaf de 1703-release Algemeen beschikbaar
Niet-routeerbaar Federatief Vanaf de 1803-release Algemeen beschikbaar
Routeerbaar Beheerd Vanaf de 1803-release Algemeen beschikbaar, Azure AD SSPR op het vergrendelingsscherm van Windows wordt niet ondersteund in omgevingen waarin de on-premises UPN verschilt van de Azure AD UPN. De on-premises UPN moet worden gesynchroniseerd met het kenmerk onPremisesUserPrincipalName in Azure AD
Niet-routeerbaar Beheerd Niet ondersteund

Volgende stappen