Procedure: De implementatie van Uw Microsoft Entra-deelname plannen
U kunt apparaten rechtstreeks toevoegen aan Microsoft Entra ID zonder dat u zich hoeft aan on-premises Active Directory te koppelen, terwijl uw gebruikers productief en veilig blijven. Microsoft Entra join is geschikt voor ondernemingen voor implementaties op schaal en binnen het bereik. Eenmalige aanmelding (SSO) tot on-premises resources is ook beschikbaar voor apparaten die lid zijn van Microsoft Entra. Zie Hoe eenmalige aanmelding bij on-premises resources werkt op aan Microsoft Entra gekoppelde apparaten voor meer informatie.
Dit artikel bevat de informatie die u nodig hebt om uw Microsoft Entra join-implementatie te plannen.
Voorwaarden
In dit artikel wordt ervan uitgegaan dat u bekend bent met de inleiding tot apparaatbeheer in Microsoft Entra-id.
Uw implementatie plannen
Als u uw Microsoft Entra Join-implementatie wilt plannen, moet u vertrouwd raken met:
- Uw scenario's bekijken
- Uw identiteitsinfrastructuur controleren
- Uw apparaatbeheer evalueren
- Overwegingen voor toepassingen en resources begrijpen
- Inzicht in uw inrichtingsopties
- Enterprise State Roaming configureren
- Voorwaardelijke toegang configureren
Uw scenario's bekijken
Met Microsoft Entra join kunt u overstappen naar een cloud-first model met Windows. Als u van plan bent om uw apparaatbeheer te moderniseren en de it-kosten met betrekking tot apparaten te verlagen, biedt Microsoft Entra join een uitstekende basis voor het bereiken van deze doelstellingen.
Houd rekening met Microsoft Entra als uw doelen overeenkomen met de volgende criteria:
- U gaat microsoft 365 gebruiken als productiviteitssuite voor uw gebruikers.
- U wilt apparaten beheren met een cloudoplossing voor apparaatbeheer.
- U wilt het inrichten van apparaten vereenvoudigen voor geografisch gedistribueerde gebruikers.
- U bent van plan om uw toepassingsinfrastructuur te moderniseren.
Uw identiteitsinfrastructuur controleren
Microsoft Entra join werkt in beheerde en federatieve omgevingen. De meeste organisaties implementeren beheerde domeinen. Voor beheerde domeinscenario's is het configureren en beheren van een federatieserver zoals Active Directory Federation Services (AD FS) niet vereist.
Beheerde omgeving
Een beheerde omgeving kan worden geïmplementeerd via Wachtwoord-hashsynchronisatie of Pass Through-verificatie met naadloze eenmalige aanmelding.
Federatieve omgeving
Een federatieve omgeving moet een id-provider hebben die zowel WS-Trust- als WS-Fed-protocollen ondersteunt:
- WS-Fed: dit protocol is vereist om een apparaat aan Microsoft Entra-id toe te voegen.
- WS-Trust: dit protocol is vereist om u aan te melden bij een apparaat dat is toegevoegd aan Microsoft Entra.
Wanneer u AD FS gebruikt, moet u de volgende WS-Trust-eindpunten inschakelen: /adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
Als uw id-provider deze protocollen niet ondersteunt, werkt Microsoft Entra join niet systeemeigen.
Notitie
Momenteel werkt Microsoft Entra join niet met AD FS 2019 geconfigureerd met externe verificatieproviders als de primaire verificatiemethode. Microsoft Entra join wordt standaard ingesteld op wachtwoordverificatie als de primaire methode, wat resulteert in verificatiefouten in dit scenario
Gebruikersconfiguratie
Als u gebruikers maakt in uw:
- On-premises Active Directory moet u deze synchroniseren met Microsoft Entra ID met behulp van Microsoft Entra Connect.
- Microsoft Entra ID, er is geen extra installatie vereist.
On-premises UPN's (User Principal Names) die afwijken van Microsoft Entra UPN's, worden niet ondersteund op apparaten die zijn gekoppeld aan Microsoft Entra. Als uw gebruikers een on-premises UPN gebruiken, moet u van plan zijn over te schakelen naar het gebruik van hun primaire UPN in Microsoft Entra-id.
UPN-wijzigingen worden alleen ondersteund vanaf windows 10 2004-update. Gebruikers op apparaten met deze update hebben geen problemen na het wijzigen van hun UPN's. Voor apparaten vóór de Windows 10 2004-update hebben gebruikers problemen met eenmalige aanmelding en voorwaardelijke toegang op hun apparaten. Ze moeten zich aanmelden bij Windows via de tegel 'Andere gebruiker' met behulp van hun nieuwe UPN om dit probleem op te lossen.
Uw apparaatbeheer evalueren
Ondersteunde apparaten
Microsoft Entra join:
- Ondersteunt Windows 10- en Windows 11-apparaten.
- Wordt niet ondersteund in eerdere versies van Windows of andere besturingssystemen. Als u Windows 7/8.1-apparaten hebt, moet u ten minste upgraden naar Windows 10 om Microsoft Entra join te implementeren.
- Wordt ondersteund voor FEDERAL Information Processing Standard (FIPS)-compatibele Trusted Platform Module (TPM) 2.0, maar niet ondersteund voor TPM 1.2. Als uw apparaten FIPS-compatibele TPM 1.2 hebben, moet u deze uitschakelen voordat u doorgaat met Microsoft Entra join. Microsoft biedt geen hulpprogramma's voor het uitschakelen van de FIPS-modus voor TPM's, omdat deze afhankelijk is van de TPM-fabrikant. Neem contact op met uw hardware-OEM voor ondersteuning.
Aanbeveling: gebruik altijd de nieuwste Windows-release om te profiteren van bijgewerkte functies.
Beheerplatform
Apparaatbeheer voor aan Microsoft Entra gekoppelde apparaten is gebaseerd op een MDM-platform (Mobile Device Management), zoals Intune en MDM-CSP's. Vanaf Windows 10 is er een ingebouwde MDM-agent die werkt met alle compatibele MDM-oplossingen.
Notitie
Groepsbeleid wordt niet ondersteund op aan Microsoft Entra gekoppelde apparaten omdat ze niet zijn verbonden met on-premises Active Directory. Beheer van aan Microsoft Entra gekoppelde apparaten is alleen mogelijk via MDM
Er zijn twee benaderingen voor het beheren van aan Microsoft Entra gekoppelde apparaten:
- Alleen MDM: een apparaat wordt uitsluitend beheerd door een MDM-provider zoals Intune. Alle beleidsregels worden geleverd als onderdeel van het MDM-inschrijvingsproces. Voor microsoft Entra ID P1- of P2- of EMS-klanten is MDM-inschrijving een geautomatiseerde stap die deel uitmaakt van een Microsoft Entra join.
- Co-beheer : een apparaat wordt beheerd door een MDM-provider en Microsoft Configuration Manager. In deze benadering wordt de Microsoft Configuration Manager-agent geïnstalleerd op een door MDM beheerd apparaat om bepaalde aspecten te beheren.
Als u Groepsbeleid gebruikt, evalueert u uw groepsbeleidsobject (GPO) en MDM-beleidspariteit met behulp van Groepsbeleidsanalyse in Microsoft Intune.
Controleer ondersteunde en niet-ondersteunde beleidsregels om te bepalen of u een MDM-oplossing kunt gebruiken in plaats van groepsbeleid. Houd rekening met de volgende vragen voor niet-ondersteunde beleidsregels:
- Zijn de niet-ondersteunde beleidsregels nodig voor apparaten of gebruikers die lid zijn van Microsoft Entra?
- Zijn de niet-ondersteunde beleidsregels van toepassing in een cloudimplementatie?
Als uw MDM-oplossing niet beschikbaar is via de Microsoft Entra-app-galerie, kunt u deze toevoegen aan het proces dat wordt beschreven in Microsoft Entra-integratie met MDM.
Via co-beheer kunt u Microsoft Configuration Manager gebruiken om bepaalde aspecten van uw apparaten te beheren terwijl het beleid wordt geleverd via uw MDM-platform. Microsoft Intune maakt co-beheer mogelijk met Microsoft Configuration Manager. Zie Wat is co-beheer? voor meer informatie over co-beheer voor Windows 10- of nieuwere apparaten. Als u een ander MDM-product dan Intune gebruikt, neem dan contact op met uw MDM-provider voor toepasselijke co-beheerscenario's.
Aanbeveling: Overweeg mdm-beheer alleen voor aan Microsoft Entra gekoppelde apparaten.
Overwegingen voor toepassingen en resources begrijpen
We raden u aan toepassingen van on-premises naar de cloud te migreren voor een betere gebruikerservaring en toegangsbeheer. Aan Microsoft Entra gekoppelde apparaten kunnen naadloos toegang bieden tot zowel on-premises als cloudtoepassingen. Zie Hoe eenmalige aanmelding bij on-premises resources werkt op aan Microsoft Entra gekoppelde apparaten voor meer informatie.
De volgende secties bevatten overwegingen voor verschillende soorten toepassingen en resources.
Cloudtoepassingen
Als een toepassing wordt toegevoegd aan de Microsoft Entra-app-galerie, krijgen gebruikers eenmalige aanmelding via Microsoft Entra-gekoppelde apparaten. Er is geen andere configuratie vereist. Gebruikers krijgen eenmalige aanmelding op zowel Microsoft Edge- als Chrome-browsers. Voor Chrome moet u de extensie Windows 10-accounts implementeren.
Alle Win32-toepassingen die:
- Afhankelijk van Web Account Manager (WAM) voor tokenaanvragen krijgt u ook eenmalige aanmelding op aan Microsoft Entra gekoppelde apparaten.
- Vertrouw niet op WAM om verificatie.
On-premises webtoepassingen
Als uw apps aangepast zijn gebouwd of on-premises worden gehost, moet u deze toevoegen aan de vertrouwde sites van uw browser aan:
- Geïntegreerde Windows-verificatie inschakelen om te werken
- Geef gebruikers een ervaring met eenmalige aanmelding zonder prompt op.
Als u AD FS gebruikt, raadpleegt u Eenmalige aanmelding verifiëren en beheren met AD FS.
Aanbeveling: Overweeg hosting in de cloud (bijvoorbeeld Azure) en integratie met Microsoft Entra ID voor een betere ervaring.
On-premises toepassingen die afhankelijk zijn van verouderde protocollen
Gebruikers krijgen eenmalige aanmelding van aan Microsoft Entra gekoppelde apparaten als het apparaat toegang heeft tot een domeincontroller.
Notitie
Aan Microsoft Entra gekoppelde apparaten kunnen naadloos toegang bieden tot zowel on-premises als cloudtoepassingen. Zie Hoe eenmalige aanmelding bij on-premises resources werkt op aan Microsoft Entra gekoppelde apparaten voor meer informatie.
Aanbeveling: Implementeer de Microsoft Entra-toepassingsproxy om beveiligde toegang voor deze toepassingen in te schakelen.
On-premises netwerkshares
Uw gebruikers hebben eenmalige aanmelding van Microsoft Entra-gekoppelde apparaten wanneer een apparaat toegang heeft tot een on-premises domeincontroller. Meer informatie over hoe dit werkt
Printers
U wordt aangeraden Universal Print te implementeren voor een cloudoplossing voor afdrukbeheer zonder on-premises afhankelijkheden.
On-premises toepassingen die afhankelijk zijn van machineverificatie
Aan Microsoft Entra gekoppelde apparaten bieden geen ondersteuning voor on-premises toepassingen die afhankelijk zijn van computerverificatie.
Aanbeveling: Overweeg deze toepassingen buiten gebruik te stellen en over te stappen op hun moderne alternatieven.
Extern bureaublad-services
Voor een extern bureaublad-verbinding met een aan Microsoft Entra gekoppelde apparaten moet de hostcomputer lid zijn van Microsoft Entra of hybride microsoft Entra-gekoppeld zijn. Extern bureaublad vanaf een niet-gekoppeld of niet-Windows-apparaat wordt niet ondersteund. Zie Verbinding maken met externe pc die is gekoppeld aan Microsoft Entra voor meer informatie
Na de Windows 10 2004-update kunnen gebruikers extern bureaublad van een bij Microsoft Entra geregistreerd Windows 10- of hoger apparaat gebruiken op een ander apparaat dat is toegevoegd aan Microsoft Entra.
RADIUS- en Wi-Fi-verificatie
Momenteel bieden Microsoft Entra-gekoppelde apparaten geen ondersteuning voor RADIUS-verificatie met behulp van een on-premises computerobject en certificaat voor het maken van verbinding met Wi-Fi-toegangspunten, omdat RADIUS afhankelijk is van de aanwezigheid van een on-premises computerobject in dit scenario. Als alternatief kunt u certificaten gebruiken die worden gepusht via Intune of gebruikersreferenties om te verifiëren bij Wi-Fi.
Inzicht in uw inrichtingsopties
Notitie
Aan Microsoft Entra gekoppelde apparaten kunnen niet worden geïmplementeerd met system preparation tool (Sysprep) of vergelijkbare imaging-hulpprogramma's.
U kunt aan Microsoft Entra gekoppelde apparaten inrichten met behulp van de volgende methoden:
- Selfservice in OOBE/Instellingen : in de selfservicemodus doorlopen gebruikers het Microsoft Entra-deelnameproces tijdens Windows Out of Box Experience (OOBE) of vanuit Windows-instellingen. Zie Uw werkapparaat toevoegen aan het netwerk van uw organisatie voor meer informatie.
- Windows Autopilot - Windows Autopilot maakt vooraf configuratie van apparaten mogelijk voor een soepelere Microsoft Entra join-ervaring in OOBE. Zie het overzicht van Windows Autopilot voor meer informatie.
- Bulkinschrijving : met bulkinschrijving kan een beheerdergestuurde Microsoft Entra join met behulp van een hulpprogramma voor bulkinrichting apparaten configureren. Zie Bulkinschrijving voor Windows-apparaten voor meer informatie.
Hier volgt een vergelijking van deze drie benaderingen
Element | Selfservice instellen | Windows Autopilot | Bulkinschrijving |
---|---|---|---|
Gebruikersinteractie vereisen om in te stellen | Ja | Ja | Nee |
IT-inspanning vereisen | Nee | Ja | Ja |
Toepasselijke stromen | OOBE & Instellingen | Alleen OOBE | Alleen OOBE |
Lokale beheerdersrechten voor primaire gebruiker | Ja, standaard | Configureerbare | Nee |
OEM-ondersteuning voor apparaten vereisen | Nee | Ja | Nee |
Ondersteunde versies | 1511+ | 1709+ | 1703+ |
Kies uw implementatiebenadering of benaderingen door de vorige tabel te bekijken en de volgende overwegingen te bekijken voor de overstap op een van de volgende benaderingen:
- Zijn uw gebruikers technisch onderlegd om de installatie zelf te doorlopen?
- Selfservice werkt het beste voor deze gebruikers. Overweeg Windows Autopilot om de gebruikerservaring te verbeteren.
- Zijn uw gebruikers extern of binnen bedrijfsruimten?
- Selfservice of Autopilot werkt het beste voor externe gebruikers voor een probleemloze installatie.
- Geeft u de voorkeur aan een door de gebruiker gestuurde of door een beheerder beheerde configuratie?
- Bulkinschrijving werkt beter voor door beheerders gestuurde implementatie om apparaten in te stellen voordat ze aan gebruikers worden overgedragen.
- Koopt u apparaten van 1-2 OEM's of hebt u een brede distributie van OEM-apparaten?
- Als u aanschaft van beperkte OEM's die ook Autopilot ondersteunen, kunt u profiteren van een strakkere integratie met Autopilot.
Uw apparaatinstellingen configureren
Met het Microsoft Entra-beheercentrum kunt u de implementatie van aan Microsoft Entra gekoppelde apparaten in uw organisatie beheren. Als u de gerelateerde instellingen wilt configureren, bladert u naar Apparaatinstellingen voor alle apparaten identiteiten>>>. Meer informatie
Gebruikers kunnen apparaten toevoegen aan Microsoft Entra-id
Stel deze optie in op Alles of Geselecteerd op basis van het bereik van uw implementatie en op wie u een apparaat wilt instellen dat lid is van Microsoft Entra.
Aanvullende lokale beheerders op aan Microsoft Entra gekoppelde apparaten
Kies Geselecteerd en selecteert de gebruikers die u wilt toevoegen aan de groep lokale beheerders op alle aan Microsoft Entra gekoppelde apparaten.
Meervoudige verificatie (MFA) vereisen om apparaten te koppelen
Selecteer Ja als u wilt dat gebruikers MFA uitvoeren tijdens het toevoegen van apparaten aan Microsoft Entra-id.
Aanbeveling: gebruik de gebruikersactie Registreren of apparaten toevoegen aan voorwaardelijke toegang voor het afdwingen van MFA voor het toevoegen van apparaten.
Uw mobiliteitsinstellingen configureren
Voordat u uw mobiliteitsinstellingen kunt configureren, moet u eerst een MDM-provider toevoegen.
Een MDM-provider toevoegen:
Selecteer op de pagina Microsoft Entra-id in de sectie Beheren de optie
Mobility (MDM and MAM)
.Selecteer Toepassing toevoegen.
Selecteer uw MDM-provider in de lijst.
Selecteer uw MDM-provider om de gerelateerde instellingen te configureren.
MDM-gebruikersbereik
Selecteer Sommige of Alle op basis van het bereik van uw implementatie.
Op basis van uw bereik gebeurt een van de volgende dingen:
- Gebruiker bevindt zich in MDM-bereik: als u een Microsoft Entra ID P1- of P2-abonnement hebt, wordt MDM-inschrijving geautomatiseerd samen met Microsoft Entra join. Alle gebruikers met een bereik moeten beschikken over een geschikte licentie voor uw MDM. Als de MDM-inschrijving in dit scenario mislukt, wordt Microsoft Entra join teruggedraaid.
- Gebruiker bevindt zich niet in MDM-bereik: als gebruikers zich niet in mdm-bereik bevinden, wordt Microsoft Entra-deelname voltooid zonder MDM-inschrijving. Dit bereik resulteert in een onbeheerd apparaat.
MDM-URL's
Er zijn drie URL's die betrekking hebben op uw MDM-configuratie:
- URL voor MDM-gebruiksvoorwaarden
- MDM-detectie-URL
- URL voor MDM-naleving
Elke URL heeft een vooraf gedefinieerde standaardwaarde. Als deze velden leeg zijn, neemt u contact op met uw MDM-provider voor meer informatie.
MAM-instellingen
Mobile Application Management (MAM) is niet van toepassing op Microsoft Entra Join.
Enterprise State Roaming configureren
Als u statusroaming wilt inschakelen naar Microsoft Entra ID, zodat gebruikers hun instellingen op verschillende apparaten kunnen synchroniseren, raadpleegt u Enterprise State Roaming inschakelen in Microsoft Entra ID.
Aanbeveling: Schakel deze instelling in, zelfs voor hybride apparaten van Microsoft Entra.
Voorwaardelijke toegang configureren
Als u een MDM-provider hebt geconfigureerd voor uw aan Microsoft Entra gekoppelde apparaten, markeert de provider het apparaat zodra het apparaat onder beheer is.
U kunt deze implementatie gebruiken om beheerde apparaten te vereisen voor toegang tot cloud-apps met voorwaardelijke toegang.