Federatie implementeren en beheren

  • 1 minuut

Federatie kan een nieuwe of bestaande on-premises Active Directory-farm gebruiken in Windows Server 2012 R2 (of hoger) en Microsoft Entra Verbinding maken gebruikers zich met hun on-premises wachtwoord kunnen aanmelden bij Microsoft Entra-resources.

Diagram of federation between on-premises and Microsoft Entra ID. Shows users able log into both on-premises and cloud resources with a single shared login.

Federatie is een verzameling van domeinen waarmee een vertrouwensrelatie is ingesteld. Het vertrouwensniveau varieert, maar omvat doorgaans verificatie en bijna altijd autorisatie. Een typische federatie kan een aantal organisaties omvatten waarmee een vertrouwensrelatie is ingesteld voor gedeelde toegang tot een reeks resources.

U kunt uw on-premises omgeving federeren met Microsoft Entra ID en deze federatie gebruiken voor verificatie en autorisatie. Deze aanmeldingsmethode zorgt ervoor dat alle gebruikersverificatie on-premises wordt uitgevoerd. Via deze methode kunnen beheerders strengere niveaus van toegangsbeheer implementeren. Federatie met AD FS en PingFederate is beschikbaar.

Met federatieve aanmelding kunnen uw gebruikers zich aanmelden bij Microsoft Entra-services met hun on-premises wachtwoorden. Ze hoeven ze hun wachtwoorden niet eens in te voeren, terwijl ze zich in het bedrijfsnetwerk bevinden. Met de federatieoptie met AD FS kunt u een nieuwe of bestaande farm implementeren met AD FS in Windows Server 2012 R2 of hoger. Als u ervoor kiest om een bestaande farm op te geven, configureert Microsoft Entra Verbinding maken de vertrouwensrelatie tussen uw farm en Microsoft Entra-id zodanig dat uw gebruikers zich kunnen aanmelden.

Vereiste voor het implementeren van federatie met AD FS en Microsoft Entra Verbinding maken

Implementeren in een AD FS-farm, hebt u het volgende nodig:

  • De lokale beheerdersreferenties op uw federatieservers.
  • Lokale beheerdersreferenties op werkgroepservers (die niet deel zijn van een domein) waarop u de web-toepassingsproxy-rol wilt implementeren.
  • De computer waarop u de wizard uitvoert om verbinding te maken met alle andere computers waarop u AD FS of web toepassingsproxy wilt installeren met Windows Remote Management.

Uw federatie instellen met behulp van Microsoft Entra Verbinding maken om verbinding te maken met een AD FS-farm

Screenshot of Microsoft Entra Connect application showing the create and connect to an AD FS farm dialog.

Geef de AD FS-servers op de servers waarop u AD FS wilt installeren. U kunt een of meer servers toevoegen, afhankelijk van uw capaciteitsbehoeften. Voordat u deze configuratie instelt, voegt u alle AD FS-servers toe aan Active Directory. Deze stap is niet vereist voor de web-toepassingsproxy-servers. Het wordt door Microsoft aangeraden om voor proefimplementaties één AD FS-server te installeren. Na de eerste configuratie kunt u meer servers toevoegen en implementeren om te voldoen aan uw schaalbehoeften door Microsoft Entra opnieuw Verbinding maken uit te voeren.

Geef de web-toepassingsproxy servers uw web-toepassingsproxy-servers op. De web-toepassingsproxy-server wordt geïmplementeerd in uw perimeternetwerk, tegenover het extranet. Het ondersteunt verificatieaanvragen van het extranet. U kunt een of meer servers toevoegen, afhankelijk van uw capaciteitsbehoeften. Na de eerste configuratie kunt u meer servers toevoegen en implementeren om te voldoen aan uw schaalbehoeften door Microsoft Entra opnieuw Verbinding maken uit te voeren.

Geef het serviceaccount op voor de AD FS-service De AD FS-service vereist een domeinserviceaccount om gebruikers te verifiëren en gebruikersgegevens op te zoeken in Active Directory. De service kan twee soorten serviceaccounts ondersteunen:

  • Beheerd serviceaccount voor groepen
  • Domeingebruikersaccount

Selecteer het Microsoft Entra-domein dat u wilt federeren . Gebruik de domeinpagina van Microsoft Entra om de federatierelatie tussen AD FS en Microsoft Entra-id in te stellen. Hier configureert u AD FS voor het leveren van beveiligingstokens aan Microsoft Entra-id. U configureert ook Microsoft Entra-id om de tokens van dit AD FS-exemplaar te vertrouwen. Op deze pagina kunt u slechts één domein configureren tijdens de eerste installatie. U kunt later meer domeinen configureren door Microsoft Entra opnieuw Verbinding maken uit te voeren.

Microsoft Entra Verbinding maken-hulpprogramma's voor het beheren van uw federatie

U kunt verschillende AD FS-gerelateerde taken in Microsoft Entra Verbinding maken met minimale tussenkomst van de gebruiker voltooien met behulp van de Microsoft Entra Verbinding maken wizard. Zelfs nadat u Microsoft Entra Verbinding maken hebt geïnstalleerd door de wizard uit te voeren, kunt u de wizard opnieuw uitvoeren om andere taken uit te voeren. U kunt de wizard bijvoorbeeld gebruiken om de vertrouwensrelatie met Microsoft 365 te herstellen, te federeren met Microsoft Entra-id met behulp van een alternatieve aanmeldings-id en een WAP-server (AD FS Web toepassingsproxy) toe te voegen.

Herstel de vertrouwensrelatie U kunt Microsoft Entra Verbinding maken gebruiken om de huidige status van de AD FS- en Microsoft Entra ID-vertrouwensrelatie te controleren en passende acties te ondernemen om de vertrouwensrelatie te herstellen.

Federeren met Microsoft Entra-id met behulp van AlternateID Het wordt aanbevolen dat de on-premises USER Principal Name (UPN) en de user principal name van de cloud hetzelfde blijven. Als de on-premises UPN gebruikmaakt van een niet-routeerbaar domein (bijvoorbeeld Contoso.local) of niet kan worden gewijzigd vanwege afhankelijkheden van de lokale toepassing, raden we u aan alternatieve aanmeldings-id in te stellen. Met een alternatieve aanmeldings-id kunt u een aanmeldingservaring configureren waarbij gebruikers zich kunnen aanmelden met een ander kenmerk dan hun UPN, zoals e-mail. De keuze voor User Principal Name in Microsoft Entra ID Verbinding maken standaard ingesteld op het kenmerk userPrincipalName in Active Directory. Als u een ander kenmerk voor User Principal Name kiest en federatief is met AD FS, configureert Microsoft Entra Verbinding maken AD FS voor alternatieve aanmeldings-id.

Een federatief domein toevoegen Het is eenvoudig om een domein toe te voegen dat moet worden gefedereerd met Microsoft Entra ID met behulp van Microsoft Entra Verbinding maken. Microsoft Entra Verbinding maken voegt het domein voor federatie toe en wijzigt de claimregels om de verlener correct weer te geven wanneer u meerdere domeinen hebt gefedereerd met Microsoft Entra-id.

Samen met Toevoegen en AD FS-server en een AD FS-web-toepassingsproxy-server toevoegen.

Apparaat terugschrijven

Apparaat terugschrijven wordt gebruikt om voorwaardelijke toegang op basis van apparaten in te schakelen voor met ADFS beveiligde apparaten. Deze voorwaardelijke toegang biedt extra beveiliging en zekerheid dat alleen toegang tot toepassingen wordt verleend aan vertrouwde apparaten. Met terugschrijven van apparaten wordt deze beveiliging mogelijk gemaakt door alle apparaten die zijn geregistreerd in Azure weer te synchroniseren met de on-premises Active Directory. Wanneer deze tijdens de installatie is geconfigureerd, worden de volgende bewerkingen uitgevoerd om het AD-forest voor te bereiden:

  • Als deze nog niet bestaan, maakt en configureert u nieuwe containers en objecten onder: CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest dn ].
  • Als deze nog niet bestaan, maakt en configureert u nieuwe containers en objecten onder: CN=RegisteredDevices,[domain-dn]. Apparaatobjecten worden gemaakt in deze container.
  • Stel de benodigde machtigingen in voor het Microsoft Entra Verbinding maken or-account om apparaten in uw Active Directory te beheren.