Hybride deelname van Microsoft Entra configureren

Door uw apparaten naar Microsoft Entra ID te brengen, wordt de productiviteit van gebruikers gemaximaliseerd via eenmalige aanmelding (SSO) in uw cloud- en on-premises resources. U kunt de toegang tot uw resources beveiligen met voorwaardelijke toegang.

Vereisten

Vereisten voor netwerkconnectiviteit

Voor hybride Microsoft Entra-koppeling moeten apparaten toegang tot de volgende Microsoft-bronnen hebben vanuit het netwerk van uw organisatie:

  • https://enterpriseregistration.windows.net
  • https://login.microsoftonline.com
  • https://device.login.microsoftonline.com
  • https://autologon.microsoftazuread-sso.com (Als u naadloze eenmalige aanmelding gebruikt of wilt gebruiken)
  • De STS (beveiligingstokenservice) van uw organisatie (voor federatieve domeinen)

Waarschuwing

Als uw organisatie proxyservers gebruikt die SSL-verkeer onderscheppen voor scenario's zoals preventie van gegevensverlies of beperkingen voor Microsoft Entra-tenants, moet u ervoor zorgen dat verkeer dat moet https://device.login.microsoftonline.com worden uitgesloten van TLS-onderbreking en -inspectie. Als u deze URL niet uitsluit, kan dit leiden tot interferentie met verificatie van clientcertificaten, problemen met apparaatregistratie en voorwaardelijke toegang op basis van apparaten.

Als uw organisatie toegang tot internet vereist via een uitgaande proxy, kunt u WPAD (Web Proxy Auto-Discovery) gebruiken om Windows 10- of nieuwere computers in te schakelen voor apparaatregistratie met Microsoft Entra ID. Zie Troubleshooting Automatic Detection (Problemen met automatische detectie oplossen) als u problemen ondervindt met het configureren en beheren van WPAD.

Als u WPAD niet gebruikt, kunt u WinHTTP-proxy-instellingen op uw computer configureren met een groepsbeleidsobject (GPO) vanaf Windows 10 1709. Zie WinHTTP Proxy Settings deployed by GPO (WinHTTP-proxyinstellingen geïmplementeerd door GPO) voor meer informatie.

Notitie

Als u proxy-instellingen op uw computer configureert met behulp van WinHTTP-instellingen, kunnen computers die geen verbinding hebben met de geconfigureerde proxy, geen verbinding maken met internet.

Als uw organisatie internettoegang via een geverifieerde uitgaande proxy vereist, moet u ervoor zorgen dat uw computers met Windows 10 of hoger kunnen verifiëren naar de uitgaande proxy. Omdat computers met Windows 10 of hoger apparaatregistratie uitvoeren via machinecontext, moet u verificatie naar een uitgaande proxy configureren via machinecontext. Vraag uw provider van de uitgaande proxy naar de configuratievereisten.

Controleer of apparaten toegang hebben tot de vereiste Microsoft-resources onder het systeemaccount door het script Test Device Registration Connectivity te gebruiken.

Beheerde domeinen

We denken dat de meeste organisaties hybride deelname van Microsoft Entra implementeren met beheerde domeinen. Beheerde domeinen gebruiken wachtwoord-hashsynchronisatie (PHS) of passthrough-verificatie (PTA) met naadloze eenmalige aanmelding. Voor scenario's met een beheerd domein is het configureren van een federatieserver niet vereist.

Hybride deelname van Microsoft Entra configureren met behulp van Microsoft Entra Connect voor een beheerd domein:

  1. Open Microsoft Entra Connect en selecteer Vervolgens Configureren.

  2. Selecteer bij Extra taken de optie Apparaatopties configureren en selecteer daarna Volgende.

  3. Selecteer Volgende in Overzicht.

  4. Voer in Verbinding maken met Microsoft Entra-id de referenties in van een hybride identiteitsbeheerder voor uw Microsoft Entra-tenant.

  5. Selecteer in Apparaatopties de optie Hybride deelname van Microsoft Entra configureren en selecteer vervolgens Volgende.

  6. Selecteer bij Apparaatbesturingssystemen de besturingssystemen die worden gebruikt door apparaten in uw Active Directory-omgeving en selecteer Volgende.

  7. Voer in de SCP-configuratie voor elk forest waar u Wilt dat Microsoft Entra Connect een serviceaansluitpunt (SCP) configureert, de volgende stappen uit en selecteer vervolgens Volgende.

    1. Selecteer de forest.
    2. Selecteer een verificatieservice.
    3. Selecteer Toevoegen om de referenties van een ondernemingsbeheerder in te voeren.

    Een schermopname van Microsoft Entra Connect en opties voor SCP-configuratie in een beheerd domein.

  8. Selecteer bij Klaar om te configureren de optie Configureren.

  9. Selecteer bij Configuratie voltooid de optie Afsluiten.

Federatieve domeinen

Een gefedereerde omgeving moet een id-provider hebben die de volgende vereisten ondersteunt. Als u een gefedereerde omgeving hebt met Active Directory Federation Services (AD FS), worden de onderstaande vereisten al ondersteund.

  • WIAORMULTIAUTHN-claim: deze claim is vereist om Hybride Join van Microsoft Entra uit te voeren voor downlevel Windows-apparaten.
  • WS-Trust-protocol: dit protocol is vereist voor het verifiëren van windows huidige hybride apparaten van Microsoft Entra met Microsoft Entra ID. Wanneer u AD FS gebruikt, moet u de volgende WS-Trust-eindpunten inschakelen:
    • /adfs/services/trust/2005/windowstransport
    • /adfs/services/trust/13/windowstransport
    • /adfs/services/trust/2005/usernamemixed
    • /adfs/services/trust/13/usernamemixed
    • /adfs/services/trust/2005/certificatemixed
    • /adfs/services/trust/13/certificatemixed

Waarschuwing

Zowel adfs/services/trust/2005/windowstransport als adfs/services/trust/13/windowstransport dienen alleen te worden ingeschakeld als naar intranet gerichte eindpunten en mogen NIET beschikbaar worden gemaakt als naar extranet gerichte eindpunten via de webtoepassingsproxy. Zie voor meer informatie over het uitschakelen van WS-Trust Windows eindpunten Disable WS-Trust Windows endpoints on the proxy. Onder Service>Eindpunten in de AD FS-beheerconsole kunt u zien welke eindpunten zijn ingeschakeld.

Hybride deelname van Microsoft Entra configureren met behulp van Microsoft Entra Connect voor een federatieve omgeving:

  1. Open Microsoft Entra Connect en selecteer Vervolgens Configureren.

  2. Selecteer op de pagina Extra taken de optie Apparaatopties configureren en selecteer Volgende.

  3. Selecteer Volgende op de pagina Overzicht.

  4. Voer op de pagina Verbinding maken met Microsoft Entra-id de referenties in van een hybride identiteitsbeheerder voor uw Microsoft Entra-tenant en selecteer vervolgens Volgende.

  5. Selecteer op de pagina Apparaatopties de optie Hybride deelname van Microsoft Entra configureren en selecteer vervolgens Volgende.

  6. Voer op de pagina SCP de volgende stappen uit en selecteer Volgende:

    1. Selecteer de forest.
    2. Selecteer de verificatieservice. U moet AD FS-server selecteren, tenzij uw organisatie exclusief Windows 10- of nieuwere clients heeft en u computer-/apparaatsynchronisatie configureert of uw organisatie naadloze eenmalige aanmelding gebruikt.
    3. Selecteer Toevoegen om de referenties van een ondernemingsbeheerder in te voeren.

    Een schermopname van Microsoft Entra Connect en opties voor SCP-configuratie in een federatief domein.

  7. Selecteer op de pagina Apparaatbesturingssystemen de besturingssystemen die worden gebruikt door de apparaten in uw Active Directory-omgeving en selecteer Volgende.

  8. Voer op de pagina Federatieconfiguratie de referenties van uw AD FS-beheerder in en selecteer Volgende.

  9. Selecteer op de pagina Gereed om te configureren op Configureren.

  10. Selecteer de pagina Configuratie voltooid op Afsluiten.

Waarschuwingen voor federaties

Met Windows 10 1803 of hoger, als onmiddellijk een hybride join van Microsoft Entra voor een federatieve omgeving met AD FS mislukt, vertrouwen we op Microsoft Entra Connect om het computerobject in Microsoft Entra ID te synchroniseren om de apparaatregistratie voor Microsoft Entra hybrid join te voltooien.

Andere scenario's

Organisaties kunnen hybride deelname van Microsoft Entra testen op een subset van hun omgeving vóór een volledige implementatie. De stappen voor het voltooien van een doelimplementatie vindt u in het artikel Microsoft Entra hybrid join targeted deployment. Organisaties moeten een representatieve groep van gebruikers met verschillende rollen en profielen in deze testgroep opnemen. Een gerichte implementatie helpt bij het identificeren van eventuele problemen die uw plan mogelijk niet aanpakt voordat u de hele organisatie inschakelt.

Sommige organisaties kunnen mogelijk Microsoft Entra Connect niet gebruiken om AD FS te configureren. De stappen voor het handmatig configureren van de claims vindt u in het artikel Hybride deelname van Microsoft Entra handmatig configureren.

Cloud voor de Amerikaanse overheid (inclusief GCCHigh en DoD)

Voor organisaties in Azure Government is voor hybride deelname van Microsoft Entra vereist dat apparaten toegang hebben tot de volgende Microsoft-resources vanuit het netwerk van uw organisatie:

  • https://enterpriseregistration.windows.neten https://enterpriseregistration.microsoftonline.us
  • https://login.microsoftonline.us
  • https://device.login.microsoftonline.us
  • https://autologon.microsoft.us (Als u naadloze eenmalige aanmelding gebruikt of wilt gebruiken)

Problemen met hybride deelname van Microsoft Entra oplossen

Als u problemen ondervindt met het voltooien van hybride deelname aan Microsoft Entra voor Windows-apparaten die lid zijn van een domein, raadpleegt u: