De implementatie van hybride deelname van Microsoft Entra plannen
Als u een on-premises Active Directory-domein Services-omgeving (AD DS) hebt en u uw AD DS-computers die lid zijn van uw AD DS-domein wilt koppelen aan Microsoft Entra ID, kunt u deze taak uitvoeren door hybride deelname van Microsoft Entra uit te voeren.
Tip
Eenmalige aanmelding (SSO) tot on-premises resources is ook beschikbaar voor apparaten die lid zijn van Microsoft Entra. Zie Hoe eenmalige aanmelding bij on-premises resources werkt op aan Microsoft Entra gekoppelde apparaten voor meer informatie.
Vereisten
In dit artikel wordt ervan uitgegaan dat u bekend bent met het inleiding tot apparaatidentiteitsbeheer in Microsoft Entra-id.
Notitie
De minimaal vereiste domeincontrollerversie (DC) voor Windows 10 of nieuwere Hybride Koppeling van Microsoft Entra is Windows Server 2008 R2.
Hybride apparaten van Microsoft Entra vereisen regelmatig een netwerklijn voor uw domeincontrollers. Zonder deze verbinding worden apparaten onbruikbaar.
Scenario's die breken zonder zichtlijn naar uw domeincontrollers zijn onder andere:
- Wachtwoordwijziging apparaat
- Gebruikerswachtwoord wijzigen (referenties in cache)
- TPM (Trusted Platform Module) opnieuw instellen
Uw implementatie plannen
Als u uw hybride Microsoft Entra-implementatie wilt plannen, moet u vertrouwd raken met:
- Ondersteunde apparaten controleren
- Dingen die u moet weten controleren
- Doelimplementatie van Hybride Deelname van Microsoft Entra bekijken
- Uw scenario selecteren op basis van uw identiteitsinfrastructuur
- Ondersteuning voor on-premises Microsoft Windows Server Active Directory User Principal Name (UPN) voor hybride deelname van Microsoft Entra controleren
Ondersteunde apparaten controleren
Hybride deelname van Microsoft Entra ondersteunt een breed scala aan Windows-apparaten.
- Windows 11
- Windows 10
- Windows Server 2016
- Opmerking: Azure National-cloudklanten hebben versie 1803 nodig
- Windows Server 2019
Als best practice raadt Microsoft u aan een upgrade uit te voeren naar de nieuwste versie van Windows.
Dingen die u moet weten controleren
Niet-ondersteunde scenario's
- Hybride deelname van Microsoft Entra wordt niet ondersteund voor Windows Server waarop de domeincontrollerrol (DC) wordt uitgevoerd.
- Server Core OS biedt geen ondersteuning voor enig type apparaatregistratie.
- User State Migration Tool (hulpprogramma voor migratie van gebruikersstatus/USMT) werkt niet met apparaatregistratie.
Aandachtspunten voor het maken van schijfkopieën van het besturingssysteem
Als u vertrouwt op het hulpprogramma voor systeemvoorbereiding (Sysprep) en als u een installatiekopieën van vóór Windows 10 1809 gebruikt, moet u ervoor zorgen dat de installatiekopieën niet afkomstig zijn van een apparaat dat al is geregistreerd bij Microsoft Entra ID als hybride lid van Microsoft Entra.
Als u vertrouwt op een momentopname van een virtuele machine (VM) om meer VM's te maken, moet u ervoor zorgen dat de momentopname niet afkomstig is van een virtuele machine die al is geregistreerd bij Microsoft Entra-id als hybride toevoeging aan Microsoft Entra.
Als u Unified Write Filter en vergelijkbare technologieën gebruikt die bij het opnieuw opstarten wijzigingen in de schijf wissen, moeten deze worden toegepast nadat het apparaat hybride lid is van Microsoft Entra. Het inschakelen van dergelijke technologieën voordat de hybride join van Microsoft Entra wordt voltooid, resulteert in het apparaat dat niet wordt toegevoegd bij elke herstart.
Apparaten verwerken met de geregistreerde Microsoft Entra-status
Als uw windows 10- of nieuwere apparaten die lid zijn van een domein microsoft Entra zijn geregistreerd bij uw tenant, kan dit leiden tot een dubbele status van hybride Microsoft Entra-gekoppelde apparaten en geregistreerde Microsoft Entra-apparaten. Een upgrade naar Windows 10 1803 (met KB4489894 toegepast) of nieuwer wordt aanbevolen om dit scenario automatisch op te lossen. In pre-1803-releases moet u de geregistreerde Microsoft Entra-status handmatig verwijderen voordat u Hybride Join van Microsoft Entra inschakelt. In 1803 en hoger zijn de volgende wijzigingen aangebracht om deze dubbele status te voorkomen:
- Elke bestaande geregistreerde Microsoft Entra-status voor een gebruiker wordt automatisch verwijderd nadat het apparaat is toegevoegd aan Microsoft Entra hybrid en dezelfde gebruiker zich aanmeldt. Als gebruiker A bijvoorbeeld een Microsoft Entra-registratiestatus heeft op het apparaat, wordt de dubbele status voor gebruiker A alleen opgeschoond wanneer gebruiker A zich aanmeldt bij het apparaat. Als er meerdere gebruikers op hetzelfde apparaat zijn, wordt de dubbele status afzonderlijk opgeschoond wanneer deze gebruikers zich aanmelden. Nadat een beheerder de geregistreerde Microsoft Entra-status heeft verwijderd, wordt de registratie van het apparaat door Windows 10 bij Intune of andere MDM (Mobile Device Management) ongedaan gemaakt als de inschrijving is uitgevoerd als onderdeel van de Microsoft Entra-registratie via automatische inschrijving.
- De geregistreerde Status van Microsoft Entra op lokale accounts op het apparaat wordt niet beïnvloed door deze wijziging. Alleen van toepassing op domeinaccounts. De geregistreerde Status van Microsoft Entra voor lokale accounts wordt niet automatisch verwijderd, zelfs niet nadat de gebruiker zich heeft aangemeld, omdat de gebruiker geen domeingebruiker is.
- U kunt voorkomen dat uw domein-gekoppelde apparaat wordt geregistreerd door de volgende registerwaarde toe te voegen aan HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001.
- Als u in Windows 10 1803 Windows Hello voor Bedrijven hebt geconfigureerd, moet de gebruiker Windows Hello voor Bedrijven opnieuw configureren nadat de dubbele status is opgeschoond. Dit probleem wordt opgelost met KB4512509.
Notitie
Hoewel Windows 10 en Windows 11 automatisch de geregistreerde Status van Microsoft Entra lokaal verwijderen, wordt het apparaatobject in Microsoft Entra-id niet onmiddellijk verwijderd als het wordt beheerd door Intune. U kunt het verwijderen van de geregistreerde Microsoft Entra-status valideren door dsregcmd /status uit te voeren en te overwegen dat het apparaat niet is geregistreerd bij Microsoft Entra op basis hiervan.
Hybride deelname van Microsoft Entra voor één forest, meerdere Microsoft Entra-tenants
Organisaties moeten ervoor zorgen dat de SCP-configuratie (Service Verbinding maken ion Point) wordt uitgevoerd op de apparaten en niet in Microsoft Windows Server Active Directory om apparaten te registreren als hybride deelname aan respectieve tenants. Meer informatie over hoe u deze taak kunt uitvoeren, vindt u in het artikel Microsoft Entra hybrid join targeted deployment. Het is belangrijk dat organisaties begrijpen dat bepaalde Microsoft Entra-mogelijkheden niet werken in één forest, meerdere Configuraties van Microsoft Entra-tenants.
- Terugschrijven van apparaat werkt niet. Deze configuratie is van invloed op voorwaardelijke toegang op basis van apparaten voor on-premises apps die zijn gefedereerd met AD FS. Deze configuratie is ook van invloed op Windows Hello voor bedrijfsimplementatie bij gebruik van het Hybrid Cert Trust-model.
- Groeps terugschrijven werkt niet. Deze configuratie is van invloed op het terugschrijven van Office 365-groepen naar een forest waarop Exchange is geïnstalleerd.
- Naadloze eenmalige aanmelding werkt niet. Deze configuratie is van invloed op SSO-scenario's in organisaties die browserplatforms zoals iOS of Linux gebruiken met Firefox, Safari of Chrome zonder de Windows 10-extensie.
- On-premises Microsoft Entra Password Protection werkt niet. Deze configuratie is van invloed op de mogelijkheid om wachtwoordwijzigingen en gebeurtenissen voor wachtwoordherstel uit te voeren voor on-premises Active Directory-domein Services-domeincontrollers (AD DS) met dezelfde algemene en aangepaste lijsten met verboden wachtwoorden die zijn opgeslagen in Microsoft Entra ID.
Andere overwegingen
Als uw omgeving gebruikmaakt van VDI (Virtual Desktop Infrastructure), raadpleegt u Apparaatidentiteit en bureaubladvirtualisatie.
Hybride deelname van Microsoft Entra wordt ondersteund voor FIPS-compatibele TPM 2.0 (Federal Information Processing Standard) en wordt niet ondersteund voor TPM 1.2. Als uw apparaten FIPS-compatibele TPM 1.2 hebben, moet u deze uitschakelen voordat u doorgaat met Hybride Join van Microsoft Entra. Microsoft biedt geen hulpprogramma's voor het uitschakelen van de FIPS-modus voor TPM's, omdat deze afhankelijk is van de TPM-fabrikant. Neem contact op met uw hardware-OEM voor ondersteuning.
Vanaf de release van Windows 10 1903 worden TPMs 1.2 niet gebruikt met Hybride Koppeling van Microsoft Entra en apparaten met deze TPM's behandeld alsof ze geen TPM hebben.
UPN-wijzigingen worden alleen ondersteund vanaf de Windows 10-update van 2004. Voor apparaten vóór de 2004-update in Windows 10 kunnen gebruikers problemen met eenmalige aanmelding en voorwaardelijke toegang ondervinden op hun apparaten. U kunt dit probleem oplossen door het apparaat los te maken van Microsoft Entra-id (voer 'dsregcmd /leave' uit met verhoogde bevoegdheden) en u moet opnieuw deelnemen (gebeurt automatisch). Gebruikers die zich aanmelden met Windows Hello voor Bedrijven ondervinden dit probleem echter niet.
Gerichte hybride deelname van Microsoft Entra beoordelen
Organisaties willen mogelijk een gerichte implementatie van Hybride Deelname van Microsoft Entra uitvoeren voordat ze deze inschakelen voor hun hele organisatie. Lees het artikel over de gerichte implementatie van Microsoft Entra Hybrid Join om te begrijpen hoe u dit kunt doen.
Waarschuwing
Organisaties moeten een representatieve groep van gebruikers met verschillende rollen en profielen in hun testgroep opnemen. Een gerichte implementatie helpt bij het identificeren van eventuele problemen die uw plan mogelijk niet heeft opgelost voordat u de hele organisatie inschakelt.
Uw scenario selecteren op basis van uw identiteitsinfrastructuur
Hybride deelname van Microsoft Entra werkt met zowel beheerde als federatieve omgevingen, afhankelijk van of de UPN routeerbaar of niet-routeerbaar is. Zie de onderkant van de pagina voor een tabel over ondersteunde scenario's.
Beheerde omgeving
Een beheerde omgeving kan worden geïmplementeerd via PHS (Password Hash Sync) of Pass Through Authentication (PTA) met naadloze eenmalige aanmelding.
Voor deze scenario's hoeft u geen federatieserver te configureren voor verificatie (AuthN).
Notitie
Cloudverificatie met behulp van gefaseerde implementatie wordt alleen ondersteund vanaf de Windows 10 1903-update.
Federatieve omgeving
Een gefedereerde omgeving moet een id-provider hebben die de volgende vereisten ondersteunt. Als u een gefedereerde omgeving hebt met Active Directory Federation Services (AD FS), worden de onderstaande vereisten al ondersteund.
WS-Trust-protocol: dit protocol is vereist voor het verifiëren van windows huidige hybride apparaten van Microsoft Entra met Microsoft Entra ID. Wanneer u AD FS gebruikt, moet u de volgende WS-Trust-eindpunten inschakelen:
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
Waarschuwing
Zowel adfs/services/trust/2005/windowstransport als adfs/services/trust/13/windowstransport dienen alleen te worden ingeschakeld als naar intranet gerichte eindpunten en mogen NIET beschikbaar worden gemaakt als naar extranet gerichte eindpunten via de webtoepassingsproxy. Zie voor meer informatie over het uitschakelen van WS-Trust Windows eindpunten Disable WS-Trust Windows endpoints on the proxy. Onder Service>Eindpunten in de AD FS-beheerconsole kunt u zien welke eindpunten zijn ingeschakeld.
Vanaf versie 1.1.819.0 biedt Microsoft Entra Verbinding maken u een wizard voor het configureren van hybride deelname aan Microsoft Entra. Met de wizard kunt u het configuratieproces aanzienlijk vereenvoudigen. Als u de vereiste versie van Microsoft Entra installeert Verbinding maken geen optie is, raadpleegt u Apparaatregistratie handmatig configureren. Als contoso.com is geregistreerd als een bevestigd aangepast domein, kunnen gebruikers een PRT krijgen, zelfs als hun gesynchroniseerde on-premises AD DS UPN-achtervoegsel zich in een subdomein bevindt, zoals test.contoso.com.
On-premises Microsoft Windows Server Active Directory-gebruikers UPN-ondersteuning controleren voor hybride deelname aan Microsoft Entra
Soms verschillen on-premises UPN's van Microsoft Windows Server Active Directory-gebruikers van Uw Microsoft Entra UPN's. In deze gevallen biedt Windows 10 of nieuwere Hybride Deelname van Microsoft Entra beperkte ondersteuning voor on-premises Microsoft Windows Server Active Directory UPN's op basis van de verificatiemethode, het domeintype en de Windows-versie. Er zijn twee soorten on-premises Microsoft Windows Server Active Directory UPN's die in uw omgeving kunnen voorkomen:
- Routeerbare gebruikers UPN: een routeerbare UPN heeft een geldig geverifieerd domein dat is geregistreerd bij een domeinregistrar. Als contoso.com bijvoorbeeld het primaire domein in Microsoft Entra ID is, is contoso.org het primaire domein in on-premises Microsoft Windows Server Active Directory die eigendom is van Contoso en geverifieerd in Microsoft Entra-id.
- UPN van niet-routeerbare gebruikers: een niet-routeerbare UPN heeft geen geverifieerd domein en is alleen van toepassing binnen het particuliere netwerk van uw organisatie. Als contoso.com bijvoorbeeld het primaire domein in Microsoft Entra-id is en contoso.local het primaire domein in on-premises Microsoft Windows Server Active Directory is, maar geen verifieerbaar domein op internet is en alleen wordt gebruikt in het netwerk van Contoso.
Notitie
De informatie in deze sectie is alleen van toepassing op een UPN van on-premises gebruikers. Het is niet van toepassing op een on-premises computerdomeinachtervoegsel (bijvoorbeeld: computer1.contoso.local).
De volgende tabel bevat informatie over ondersteuning voor deze on-premises Microsoft Windows Server Active Directory UPN's in Windows 10 Microsoft Entra hybrid join:
| Type of on-premises Microsoft Windows Server Active Directory UPN | Domeintype | Windows 10-versie | Beschrijving |
|---|---|---|---|
| Routeerbaar | Federatief | Vanaf de 1703-release | Algemeen beschikbaar |
| Niet-routeerbaar | Federatief | Vanaf de 1803-release | Algemeen beschikbaar |
| Routeerbaar | Beheerd | Vanaf de 1803-release | Algemeen beschikbaar, Microsoft Entra SSPR op het vergrendelingsscherm van Windows wordt niet ondersteund in omgevingen waarin de on-premises UPN verschilt van de Microsoft Entra UPN. De on-premises UPN moet worden gesynchroniseerd met het onPremisesUserPrincipalName kenmerk in Microsoft Entra ID |
| Niet-routeerbaar | Beheerd | Niet ondersteund |