Delen via

Migreren naar cloudverificatie met gefaseerde implementatie

Overzicht

Gefaseerde implementatie (SRO) is bedoeld als een tijdelijk testmechanisme voor organisaties met federatieve domeinen en maakt het mogelijk om cloudverificatie te testen met een groep gebruikers voordat het hele domein wordt overgezet van federatief naar beheerd. Deze functies omvatten Meervoudige verificatie van Microsoft Entra, Voorwaardelijke toegang, Identiteitsbeveiliging voor gelekte referenties, Identiteitsbeheer en meer. Met deze aanpak kunt u functionaliteit en gebruikerservaring valideren voordat u uw domeinen volledig overgezet van federatief naar beheerd.

Voordat u met de gefaseerde implementatie begint, moet u rekening houden met de gevolgen als aan een of meer van de volgende voorwaarden wordt voldaan:

  • U gebruikt momenteel een on-premises Multi-Factor Authentication-server.
  • U gebruikt smartcards voor verificatie.
  • Uw huidige server biedt bepaalde functies die alleen federatief zijn.
  • U stapt over van een federatieoplossing van derden naar beheerde services.

Voordat u deze functie probeert, raden we u aan onze handleiding te bekijken over het kiezen van de juiste verificatiemethode. Zie de tabel 'Methoden vergelijken' in De juiste verificatiemethode kiezen voor uw hybride identiteitsoplossing van Microsoft Entra voor meer informatie.

Bekijk deze video 'Wat is gefaseerde implementatie?' voor een overzicht van de functie:

Notitie

Gefaseerde implementatie is niet ontworpen als een permanente configuratie. Organisaties moeten een federatieve id-provider (IdP) onderhouden als een terugval tijdens gefaseerde implementatietests. Het blijven gebruiken van gefaseerde implementatie na migratie naar beheerde verificatie zonder federatieve IdP kan leiden tot onverwachte verificatiefouten en verminderde gebruikerservaringen. Om een soepele overgang te garanderen, raden we u aan om de domeinoverschakeling naar beheerde verificatie uit te voeren zodra het testen is geslaagd.

Aanbevolen procedures voor het gebruik van gefaseerde implementatie

  • Gebruik gefaseerde implementatie alleen voor testgroepen om het gedrag van cloudverificatie te valideren vóór wijzigingen in het hele domein.
  • Onderhoud uw federatieve IdP tijdens het testen van SRO om een terugvalpad voor verificatie te garanderen.
  • Vermijd het plaatsen van alle gebruikers in gefaseerde implementatie, tenzij u een duidelijk overgangsplan voor beheerde verificatie hebt.
  • Bewaak verificatiestromen tijdens het testen om afwijkingen vroeg te detecteren.
  • Plan een tijdige overstap naar beheerde verificatie zodra het testen is geslaagd.

Vereisten

  • U hebt een Microsoft Entra-tenant met federatieve domeinen.

  • U hebt besloten een van de volgende opties te verplaatsen:

    Voor beide opties raden we aan om single sign-on (SSO) in te schakelen om een probleemloze aanmeldervaring te bereiken. Voor Windows 7 of 8.1 domein-gekoppelde apparaten raden we u aan naadloze SSO te gebruiken. Zie Wat is naadloze SSO voor meer informatie. Gebruik voor Windows 10, Windows Server 2016 en latere versies SSO via Primary Refresh Token (PRT). Voor Microsoft Entra-apparaten, Microsoft Entra-hybride apparaten of persoonlijke geregistreerde apparaten gebruikt u 'Werk- of schoolaccount toevoegen'.

  • U moet alle juiste beleidsregels voor tenant-huisstijl en voorwaardelijke toegang configureren die u nodig hebt voor gebruikers die worden gemigreerd naar cloudverificatie.

  • Als u bent overgestapt van federatieve naar cloudverificatie, moet u controleren of de DirSync-instelling is ingesteld op synchronizeUpnForManagedUsersEnabledtrue, anders staat Microsoft Entra ID synchronisatie-updates voor de UPN of alternatieve aanmeldings-id niet toe voor gelicentieerde gebruikersaccounts die gebruikmaken van beheerde verificatie. Zie de functies van de Microsoft Entra Connect Sync-service voor meer informatie.

  • Als u van plan bent om meervoudige verificatie van Microsoft Entra te gebruiken, raden we u aan gecombineerde registratie in te schakelen. Hierdoor kunnen gebruikers hun verificatiemethoden eenmaal registreren voor zowel selfservice voor wachtwoordherstel (SSPR) als meervoudige verificatie. Opmerking: wanneer u SSPR gebruikt om het wachtwoord opnieuw in te stellen of het wachtwoord te wijzigen met behulp van de pagina MyProfile tijdens de gefaseerde implementatie, moet Microsoft Entra Connect de nieuwe wachtwoordhash synchroniseren die maximaal 2 minuten na het opnieuw instellen kan duren.

  • Als u de functie Gefaseerde implementatie wilt gebruiken, moet u een hybride identiteitsbeheerder voor uw tenant zijn.

  • Als u naadloze eenmalige aanmelding wilt inschakelen voor een specifiek Active Directory-forest, moet u een domeinbeheerder zijn.

  • Als u hybrid Microsoft Entra ID of Microsoft Entra join implementeert, moet u een upgrade uitvoeren naar de Windows 10 1903-update.

Ondersteunde scenario's

De volgende scenario's worden ondersteund voor gefaseerde implementatie. De functie werkt alleen voor:

  • Gebruikers die zijn toegewezen aan Microsoft Entra ID met behulp van Microsoft Entra Connect. Dit geldt niet voor gebruikers in de cloud.

  • Gebruikersaanmeldingsverkeer in browsers en clients voor moderne verificatie . Toepassingen of cloudservices die gebruikmaken van verouderde verificatie vallen terug op federatieve verificatiestromen. Een voorbeeld van verouderde verificatie kan Exchange Online zijn met moderne verificatie uitgeschakeld of Outlook 2010, dat geen ondersteuning biedt voor moderne verificatie.

  • Groepsgrootte is momenteel beperkt tot 50.000 gebruikers. Als u groepen hebt die groter zijn dan 50.000 gebruikers, is het raadzaam om deze groep te splitsen over meerdere groepen voor gefaseerde implementatie. U kunt ook maximaal 10 groepen per functie gebruiken, 10 groepen elk voor wachtwoord-hashsynchronisatie, passthrough-verificatie en naadloze eenmalige aanmelding.

  • Windows 10 Hybrid Join of Microsoft Entra-verbinding voor het verkrijgen van een primary refresh-token zonder zichtlijn naar de federatieserver voor Windows 10 versie 1903 en nieuwer, wanneer de UPN van de gebruiker routeerbaar is en het domeinachtervoegsel geverifieerd is in Microsoft Entra ID.

  • Autopilot-inschrijving wordt ondersteund in gefaseerde implementatie met Windows 10 versie 1909 of hoger.

Niet-ondersteunde scenario's

De volgende scenario's worden niet ondersteund voor gefaseerde implementatie:

  • Verouderde verificatie, zoals POP3 en SMTP, worden niet ondersteund.

  • Selfservice voor wachtwoordherstel (SSPR) met writeback naar een lokaal domein wordt niet ondersteund wanneer uitrol in fasen is ingeschakeld voor een beveiligingsgroep. Hoewel het in sommige gevallen werkt, kan SSPR niet consistent werken wanneer gefaseerde implementatie is ingeschakeld.

  • Bepaalde toepassingen verzenden de queryparameter 'domain_hint' naar Microsoft Entra-id tijdens verificatie. Deze stromen worden voortgezet en gebruikers die zijn ingeschakeld voor gefaseerde implementatie, blijven federatie gebruiken voor verificatie.

  • Beheerders kunnen cloudverificatie implementeren met behulp van beveiligingsgroepen. Om synchronisatielatentie te voorkomen wanneer u on-premises Active Directory-beveiligingsgroepen gebruikt, raden we u aan cloudbeveiligingsgroepen te gebruiken. De volgende voorwaarden zijn van toepassing:

    • U kunt maximaal 10 groepen per functie gebruiken. Dat wil gezegd, u kunt 10 groepen elk gebruiken voor wachtwoord-hashsynchronisatie, passthrough-verificatie en naadloze eenmalige aanmelding.
    • Geneste groepen worden niet ondersteund.
    • Dynamische groepen worden niet ondersteund voor gefaseerde implementatie.
    • Contactobjecten in de groep blokkeren dat de groep wordt toegevoegd.

  • Wanneer u voor het eerst een beveiligingsgroep toevoegt voor gefaseerde implementatie, bent u beperkt tot 200 gebruikers om een UX-time-out te voorkomen. Nadat u de groep hebt toegevoegd, kunt u naar behoefte meer gebruikers rechtstreeks aan de groep toevoegen.

  • Terwijl gebruikers zich in gefaseerde implementatie bevinden met wachtwoord-hashsynchronisatie (PHS), wordt er standaard geen wachtwoordverloop toegepast. Wachtwoordverloop kan worden toegepast door CloudPasswordPolicyForPasswordSyncedUsersEnabled in te schakelen. Wanneer 'CloudPasswordPolicyForPasswordSyncedUsersEnabled' is ingeschakeld, wordt het wachtwoordverloopbeleid ingesteld op 90 dagen vanaf het moment dat het wachtwoord on-premises is ingesteld zonder optie om het aan te passen. Programmatisch bijwerken van het kenmerk PasswordPolicies wordt niet ondersteund zolang gebruikers zich in een gefaseerde uitrol bevinden. Zie Wachtwoordverloopbeleid om te leren hoe u 'CloudPasswordPolicyForPasswordSyncedUsersEnabled' instelt.

  • Windows 10 Hybrid Join of Microsoft Entra join primaire vernieuwings tokenverzameling voor Windows 10-versies ouder dan 1903. nl-NL: Dit scenario valt terug op het WS-Trust-eindpunt van de federatieserver, zelfs als de gebruiker zich aanmeldt binnen de reikwijdte van de gefaseerde implementatie.

  • Windows 10 Hybrid Join of Microsoft Entra join primair vernieuwen token acquisitie voor alle versies, wanneer de on-premises UPN van de gebruiker niet routeerbaar is. Dit scenario valt terug op het WS-Trust-eindpunt in de gefaseerde implementatiemodus, maar werkt niet meer wanneer de gefaseerde migratie is voltooid en gebruikersaanmelding niet meer afhankelijk is van de federatieserver.

  • Als u een niet-persistente VDI-installatie hebt met Windows 10, versie 1903 of hoger, moet u een federatief domein blijven gebruiken. Verplaatsen naar een beheerd domein wordt niet ondersteund op niet-persistente VDI. Zie Apparaat-id en bureaubladvirtualisatie voor meer informatie.

  • Als u een Windows Hello voor Bedrijven hybride certificaatvertrouwensrelatie hebt met certificaten die zijn uitgegeven via uw federatieserver en fungeren als registratie-instantie of smartcardgebruikers, wordt het scenario niet ondersteund voor een gefaseerde implementatie.

    Notitie

    U moet nog steeds de laatste cut-over van federatieve naar cloudverificatie maken met behulp van Microsoft Entra Connect of PowerShell. Gefaseerde implementatie schakelt niet over van federatieve naar beheerde domeinen. Zie Domein converteren van federatief naar beheerd voor meer informatie over het knippen van domeinen.

Aan de slag met gefaseerde implementatie

Als u het aanmelden voor wachtwoord-hashsynchronisatie wilt testen met behulp van Staged Rollout, volgt u de instructies in het volgende gedeelte.

Zie Microsoft Entra ID 2.0 preview voor informatie over welke PowerShell-cmdlets moeten worden gebruikt.

Voorbereiding voor wachtwoord-hashsynchronisatie

  1. Schakel wachtwoord-hashsynchronisatie in vanaf de pagina Optionele functies in Microsoft Entra Connect. 

    Schermopname van de pagina Optionele functies in Microsoft Entra Connect

  2. Zorg ervoor dat een volledige synchronisatiecyclus voor wachtwoordhash is uitgevoerd, zodat alle wachtwoordhashes van de gebruikers zijn gesynchroniseerd met Microsoft Entra-id. Als u de status van wachtwoord-hashsynchronisatie wilt controleren, kunt u de diagnostische gegevens van PowerShell gebruiken in Problemen met wachtwoord-hashsynchronisatie oplossen met Microsoft Entra Connect Sync.

    Schermopname van het microsoft Entra Connect-logboek voor probleemoplossing

Als u passthrough-verificatie-aanmelding wilt testen met behulp van gefaseerde implementatie, schakelt u deze in door de instructies in de volgende sectie te volgen.

Voorbereiding voor passthrough-verificatie

  1. Identificeer een server met Windows Server 2012 R2 of hoger waarop u de passthrough-verificatieagent wilt uitvoeren.

    Kies niet de Microsoft Entra Connect-server. Zorg ervoor dat de server lid is van een domein, kan geselecteerde gebruikers verifiëren met Active Directory en kan communiceren met Microsoft Entra-id op uitgaande poorten en URL's. Zie de sectie 'Stap 1: De vereisten controleren' van quickstart: Naadloze eenmalige aanmelding van Microsoft Entra voor meer informatie.

  2. Download de Microsoft Entra Connect-verificatieagent en installeer deze op de server. 

  3. Als u hoge beschikbaarheid wilt inschakelen, installeert u extra verificatieagents op andere servers.

  4. Zorg ervoor dat u de instellingen voor Smart Lockout juist hebt geconfigureerd. Dit helpt te verzekeren dat de on-premises Active Directory-accounts van uw gebruikers niet worden vergrendeld door kwaadwillende actoren.

We raden u aan naadloze eenmalige aanmelding in te schakelen, ongeacht de aanmeldingsmethode (wachtwoord-hashsynchronisatie of passthrough-verificatie) die u selecteert voor gefaseerde implementatie. Volg de instructies in de volgende sectie om naadloze eenmalige aanmelding in te schakelen.

Voorbereiding voor naadloze single sign-on

Schakel naadloze eenmalige aanmelding in voor de Active Directory-forests met behulp van PowerShell. Als u meer dan één Active Directory-forest hebt, schakelt u dit afzonderlijk in voor elk forest.  Naadloze eenmalige aanmelding wordt alleen geactiveerd voor gebruikers die zijn geselecteerd voor gefaseerde implementatie. Dit heeft geen invloed op uw bestaande federatie-installatie.

Schakel naadloze SSO in door de volgende taken uit te voeren:

  1. Meld u aan bij Microsoft Entra Connect Server.

  2. Ga naar de map %programfiles%\Microsoft Entra Connect .

  3. Importeer de naadloze PowerShell-module voor eenmalige aanmelding door de volgende opdracht uit te voeren:

    Import-Module .\AzureADSSO.psd1

  4. Voer PowerShell uit als beheerder. Roep New-AzureADSSOAuthenticationContext aan in PowerShell. Met deze opdracht opent u een deelvenster waarin u de referenties van de hybride identiteitsbeheerder van uw tenant kunt invoeren.

  5. Roep Get-AzureADSSOStatus | ConvertFrom-Json aan. Met deze opdracht wordt een lijst met Active Directory-forests weergegeven (zie de lijst Domeinen) waarvoor deze functie is ingeschakeld. Standaard is deze ingesteld op uitgeschakeld op het tenantniveau.

    Voorbeeld van de PowerShell-uitvoer

  6. Roep $creds = Get-Credential aan. Voer in de opdrachtprompt de domeinbeheerder-referenties in voor het beoogde Active Directory-forest.

  7. Roep Enable-AzureADSSOForest -OnPremCredentials $creds aan. Met deze opdracht maakt u het AZUREADSSOACC-computeraccount vanuit de on-premises domeincontroller, voor het Active Directory-forest dat vereist is voor naadloze eenmalige aanmelding.

  8. Naadloze eenmalige aanmelding vereist dat URL's zich in de intranetzone bevinden. Als u deze URL's wilt implementeren met behulp van groepsbeleid, raadpleegt u quickstart: Naadloze eenmalige aanmelding van Microsoft Entra.

  9. Voor een volledige gids kunt u ook onze implementatieplannen downloaden voor naadloze SSO.

Gefaseerde implementatie inschakelen

Als u een specifieke functie (passthrough-verificatie, wachtwoord-hashsynchronisatie of naadloze eenmalige aanmelding) wilt implementeren voor een bepaalde set gebruikers in een groep, volgt u de instructies in de volgende secties.

Een gefaseerde implementatie van een specifieke functie inschakelen voor uw tenant

U kunt deze opties implementeren:

  • Wachtwoord-hashsynchronisatie + Naadloze eenmalige aanmelding
  • Doorgangsverificatie + Naadloze SSO
  • Niet ondersteund - Wachtwoord-hashsynchronisatie + Passthrough-verificatie + Naadloze eenmalige aanmelding
  • Verificatie-instellingen op basis van certificaten
  • Meervoudige verificatie van Azure

Voer de volgende stappen uit om gefaseerde implementatie te configureren:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride identiteitsbeheerder.

  2. Blader naar Entra ID>Entra Connect>.

  3. Selecteer op de Microsoft Entra Connect pagina, onder gefaseerde implementatie van cloudverificatie, de link Gefaseerde implementatie inschakelen voor aanmelding van beheerde gebruikers.

  4. Selecteer op de pagina Gefaseerde implementatiefunctie inschakelen de opties die u wilt inschakelen: Wachtwoord-hashsynchronisatie, passthrough-verificatie, naadloze eenmalige aanmelding of verificatie op basis van certificaten. Als u bijvoorbeeld Wachtwoord-hashsynchronisatie en naadloze eenmalige aanmelding wilt inschakelen, schuift u beide besturingselementen naar Aan.

  5. Groepen toevoegen aan de functies die u hebt geselecteerd. Bijvoorbeeld passthrough-verificatie en naadloze eenmalige aanmelding. Om een time-out te voorkomen, moet u ervoor zorgen dat de beveiligingsgroepen in eerste instantie niet meer dan 200 leden bevatten.

    Notitie

    De leden in een groep worden automatisch ingeschakeld voor gefaseerde implementatie. Geneste en dynamische lidmaatschapsgroepen worden niet ondersteund voor gefaseerde implementatie. Wanneer u een nieuwe groep toevoegt, worden gebruikers in de groep (maximaal 200 gebruikers voor een nieuwe groep) bijgewerkt om onmiddellijk beheerde verificatie te gebruiken. Wanneer u een groep bewerkt (gebruikers toevoegt of verwijdert), kan het tot 24 uur duren voordat de wijzigingen van kracht worden. Naadloze SSO is alleen van toepassing als gebruikers zich in de groep Naadloze SSO bevinden en ook in een PTA- of PHS-groep.

Gedrag van gebruikersverificatie tijdens gefaseerde implementatieovergangen

Wanneer een gebruiker wordt toegevoegd aan een gefaseerde implementatiegroep (SR) of wanneer een groep waartoe ze behoren, wordt toegevoegd aan SR, wordt de verificatiemethode overgezet van federatief naar beheerd. Deze wijziging wordt van kracht nadat de gebruiker nog één interactieve aanmelding heeft voltooid met behulp van hun bestaande federatieve aanmelding. Na deze aanmelding past Microsoft Entra de beheerde verificatie-ervaring toe voor volgende aanmeldingen.

Op dezelfde manier, wanneer een gebruiker wordt verwijderd uit de SR-groep of wanneer de groep wordt verwijderd uit SR, blijven ze beheerde verificatie gebruiken totdat ze nog één interactieve aanmelding hebben voltooid. Daarna wordt federatie opnieuw toegepast en worden toekomstige aanmeldingen omgeleid naar de federatieve id-provider.

Dit gedrag zorgt voor een naadloze overgang tussen verificatiemethoden terwijl de continuïteit en beveiliging van gebruikerstoegang behouden blijven.

Controle

We hebben controlegebeurtenissen ingeschakeld voor de verschillende acties die we uitvoeren voor gefaseerde implementatie:

  • Controlegebeurtenis wanneer u een gefaseerde implementatie inschakelt voor wachtwoord-hashsynchronisatie, passthrough-verificatie of naadloze eenmalige aanmelding.

    Notitie

    Een controlegebeurtenis wordt geregistreerd wanneer naadloze eenmalige aanmelding is ingeschakeld met behulp van gefaseerde implementatie.

    Het deelvenster Creëer uitrolbeleid voor functie - tabblad Activiteit

    Het deelvenster

  • Controlegebeurtenis wanneer een groep wordt toegevoegd aan wachtwoord-hashsynchronisatie, passthrough-verificatie of naadloze eenmalige aanmelding.

    Notitie

    Een controlegebeurtenis wordt geregistreerd wanneer een groep wordt toegevoegd aan wachtwoord-hashsynchronisatie voor gefaseerde implementatie.

    Het deelvenster Een groep toevoegen aan de uitrol van een functie - tabblad Activiteit

    Het deelvenster 'Een groep toevoegen aan functie-implementatie' - tabblad Aangepaste eigenschappen

  • Controlegebeurtenis wanneer een gebruiker die aan de groep is toegevoegd, wordt ingeschakeld voor gefaseerde implementatie.

    Het deelvenster 'Gebruiker toevoegen aan functie-implementatie' - tabblad Activiteit

    Het deelvenster

Validatie

Voer de volgende taken uit om de aanmelding te testen met wachtwoord-hashsynchronisatie of passthrough-verificatie (aanmelding met gebruikersnaam en wachtwoord):

  1. Ga in het extranet naar de pagina Apps in een privébrowsersessie en voer vervolgens de UPN (UserPrincipalName) in van het gebruikersaccount dat is geselecteerd voor gefaseerde implementatie.

    Gebruikers die zijn gericht op gefaseerde implementatie, worden niet omgeleid naar uw federatieve aanmeldingspagina. In plaats daarvan wordt hen gevraagd zich aan te melden op de door de Microsoft Entra-tenant gebrande aanmeldingspagina.

  2. Zorg ervoor dat de aanmelding succesvol wordt weergegeven in het activiteitenrapport van Microsoft Entra door te filteren met userPrincipalName.

Om de aanmelding te testen met naadloze SSO:

  1. Ga op het intranet naar de pagina Apps met behulp van een browsersessie en voer vervolgens de UPN (UserPrincipalName) in van het gebruikersaccount dat is geselecteerd voor gefaseerde implementatie.

    Gebruikers die zijn geselecteerd voor gefaseerde implementatie van naadloze eenmalige aanmelding, krijgen de melding 'We proberen u aan te melden...' te zien voordat ze op de achtergrond worden aangemeld.

  2. Zorg ervoor dat de aanmelding succesvol wordt weergegeven in het activiteitenrapport van Microsoft Entra door te filteren met userPrincipalName.

    Als u aanmeldingen van gebruikers wilt bijhouden die zich nog steeds voordoen op Active Directory Federation Services (AD FS) voor geselecteerde gefaseerde implementatiegebruikers, volgt u de instructies bij het oplossen van problemen met AD FS: gebeurtenissen en logboekregistratie. Raadpleeg de documentatie van de leverancier over hoe u dit kunt controleren voor externe federatieproviders.

    Notitie

    Terwijl gebruikers zich in de gefaseerde implementatie met PHS bevinden, kan het wijzigen van wachtwoorden 2 minuten duren vanwege de synchronisatietijd. Stel uw gebruikers hiervan op de hoogte om telefoontjes naar de helpdesk te voorkomen nadat ze hun wachtwoord hebben gewijzigd.

Controleren

U kunt de gebruikers en groepen bewaken die zijn toegevoegd aan of verwijderd uit gefaseerde implementatie en aanmeldingen van gebruikers tijdens de gefaseerde implementatie, met behulp van de nieuwe Hybride verificatiewerkmappen in het Microsoft Entra-beheercentrum.

Hybride authenticatiewerkboeken

Een gebruiker verwijderen uit een gefaseerde uitrol

Als u een gebruiker uit de groep verwijdert, wordt gefaseerde implementatie voor die gebruiker uitgeschakeld. Als u de functie Gefaseerde implementatie wilt uitschakelen, schuift u de schakelaar terug naar Uit.

Belangrijk

Wanneer u een gebruiker verwijdert uit een groep in gefaseerde implementatie voor verificatie op basis van certificaten, waarbij de gebruiker zich met een certificaat heeft aangemeld bij Windows-apparaten, wordt aanbevolen om de gebruiker ingeschakeld te houden voor de verificatiemethode op basis van certificaten in Entra-id. De gebruiker moet ingeschakeld blijven voor authenticatie op basis van certificaten nadat deze is verwijderd uit de gefaseerde uitrol, zodat de gebruiker zich kan aanmelden bij Windows en hun primaire vernieuwingstoken kan vernieuwen met behulp van de federatieve id-provider.

Veelgestelde vragen

V: Kan ik deze mogelijkheid gebruiken in productie?

A: Ja, u kunt deze functie gebruiken in uw productietenant, maar we raden u aan deze eerst uit te proberen in uw testtenant.

V: Kan deze functie worden gebruikt om een permanente 'co-existentie' te onderhouden, waarbij sommige gebruikers federatieve verificatie gebruiken en anderen cloudverificatie gebruiken?

A: Nee, deze functie is ontworpen voor het testen van cloudverificatie. Na een geslaagde test moet u enkele groepen gebruikers overschakelen naar cloudverificatie. We raden niet aan een permanente gemengde status te gebruiken, omdat deze benadering kan leiden tot onverwachte authenticatiestromen.

V: Kan ik PowerShell gebruiken om gefaseerde implementatie uit te voeren?

A: Ja. Zie Microsoft Entra ID Preview voor meer informatie over het gebruik van PowerShell om gefaseerde implementatie uit te voeren.

Volgende stappen

  • Last updated on