Procedure: De implementatie van Uw Microsoft Entra-deelname plannen

U kunt apparaten rechtstreeks toevoegen aan Microsoft Entra ID zonder dat u zich hoeft aan on-premises Active Directory te koppelen, terwijl uw gebruikers productief en veilig blijven. Microsoft Entra join is geschikt voor ondernemingen voor implementaties op schaal en binnen het bereik. Eenmalige aanmelding (SSO) tot on-premises resources is ook beschikbaar voor apparaten die lid zijn van Microsoft Entra. Zie Hoe eenmalige aanmelding bij on-premises resources werkt op aan Microsoft Entra gekoppelde apparaten voor meer informatie.

Dit artikel bevat de informatie die u nodig hebt om uw Microsoft Entra join-implementatie te plannen.

Vereisten

In dit artikel wordt ervan uitgegaan dat u bekend bent met de inleiding tot apparaatbeheer in Microsoft Entra-id.

Uw implementatie plannen

Als u uw Microsoft Entra Join-implementatie wilt plannen, moet u vertrouwd raken met:

  • Uw scenario's controleren
  • Uw identiteitsinfrastructuur controleren
  • Uw apparaatbeheer evalueren
  • Overwegingen voor toepassingen en resources begrijpen
  • Uw inrichtingsopties begrijpen
  • Enterprise State Roaming inschakelen
  • Voorwaardelijke toegang configureren

Uw scenario's controleren

Met Microsoft Entra join kunt u overstappen op een cloud-first model met Windows. Als u van plan bent om uw apparaatbeheer te moderniseren en de IT-kosten voor apparaten te verlagen, biedt Microsoft Entra join een uitstekende basis voor het bereiken van deze doelstellingen.

Houd rekening met Microsoft Entra als uw doelen overeenkomen met de volgende criteria:

  • U gaat Microsoft 365 gebruiken als de productiviteitssuite voor uw gebruikers.
  • U wilt apparaten beheren met een cloudoplossing voor apparaatbeheer.
  • U wilt het inrichten van apparaten vereenvoudigen voor geografisch gedistribueerde gebruikers.
  • U bent van plan uw toepassingsinfrastructuur te moderniseren.

Uw identiteitsinfrastructuur controleren

Microsoft Entra join werkt in beheerde en federatieve omgevingen. We denken dat de meeste organisaties beheerde domeinen gaan implementeren. Scenario's voor beheerde domeinen vereisen geen configuratie en beheer van een federatieserver zoals Active Directory Federation Services (AD FS).

Beheerde omgeving

Een beheerde omgeving kan worden geïmplementeerd met behulp van Password Hash Sync of Pass-Through Authentication met naadloze eenmalige aanmelding.

Federatieve omgeving

Een federatieve omgeving moet een id-provider hebben die zowel WS-Trust- als WS-Fed-protocollen ondersteunt:

  • WS-Fed: dit protocol is vereist om een apparaat aan Microsoft Entra-id toe te voegen.
  • WS-Trust: dit protocol is vereist om u aan te melden bij een apparaat dat is toegevoegd aan Microsoft Entra.

Wanneer u AD FS gebruikt, moet u de volgende WS-Trust-eindpunten inschakelen: /adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed

Als uw id-provider deze protocollen niet ondersteunt, werkt Microsoft Entra join niet systeemeigen.

Notitie

Momenteel werkt Microsoft Entra join niet met AD FS 2019 geconfigureerd met externe verificatieproviders als de primaire verificatiemethode. Microsoft Entra join wordt standaard ingesteld op wachtwoordverificatie als de primaire methode, wat resulteert in verificatiefouten in dit scenario

Gebruikersconfiguratie

Als u gebruikers maakt in uw:

  • On-premises Active Directory moet u deze synchroniseren met Microsoft Entra-id met behulp van Microsoft Entra Verbinding maken.
  • Microsoft Entra ID, er is geen extra installatie vereist.

On-premises UPN's (User Principal Names) die afwijken van Microsoft Entra UPN's, worden niet ondersteund op apparaten die zijn gekoppeld aan Microsoft Entra. Als uw gebruikers een on-premises UPN gebruiken, moet u van plan zijn over te schakelen naar het gebruik van hun primaire UPN in Microsoft Entra-id.

UPN-wijzigingen worden alleen ondersteund vanaf de Windows 10-update van 2004. Gebruikers op apparaten met deze update hebben geen problemen na het wijzigen van hun UPN's. Voor apparaten vóór de Windows 10-update van 2004 zouden gebruikers problemen met eenmalige aanmelding en voorwaardelijke toegang ondervinden op hun apparaten. Ze moeten zich aanmelden bij Windows via de tegel 'Andere gebruiker' met behulp van hun nieuwe UPN om dit probleem op te lossen.

Uw apparaatbeheer evalueren

Ondersteunde apparaten

Microsoft Entra join:

  • Ondersteunt Windows 10- en Windows 11-apparaten.
  • Wordt niet ondersteund in eerdere versies van Windows of andere besturingssystemen. Als u Windows 7/8.1-apparaten hebt, moet u ten minste upgraden naar Windows 10 om Microsoft Entra join te implementeren.
  • Wordt ondersteund voor FIPS-compatibele TPM 2.0, maar niet ondersteund voor TPM 1.2. Als uw apparaten FIPS-compatibele TPM 1.2 hebben, moet u deze uitschakelen voordat u doorgaat met Microsoft Entra join. Microsoft biedt geen hulpprogramma's voor het uitschakelen van de FIPS-modus voor TPM's, omdat deze afhankelijk is van de TPM-fabrikant. Neem contact op met uw hardware-OEM voor ondersteuning.

Aanbeveling: gebruik altijd de nieuwste Windows-versie om te profiteren van bijgewerkte functies.

Beheerplatform

Apparaatbeheer voor aan Microsoft Entra gekoppelde apparaten is gebaseerd op een MDM-platform (Mobile Device Management), zoals Intune en MDM-CSP's. Vanaf Windows 10 is er een ingebouwde MDM-agent die werkt met alle compatibele MDM-oplossingen.

Notitie

Groepsbeleid wordt niet ondersteund op aan Microsoft Entra gekoppelde apparaten omdat ze niet zijn verbonden met on-premises Active Directory. Beheer van aan Microsoft Entra gekoppelde apparaten is alleen mogelijk via MDM

Er zijn twee benaderingen voor het beheren van aan Microsoft Entra gekoppelde apparaten:

  • Alleen MDM: een apparaat wordt uitsluitend beheerd door een MDM-provider zoals Intune. Alle beleidsregels worden geleverd als onderdeel van het MDM-inschrijvingsproces. Voor microsoft Entra ID P1- of P2- of EMS-klanten is MDM-inschrijving een geautomatiseerde stap die deel uitmaakt van een Microsoft Entra join.
  • Co-beheer : een apparaat wordt beheerd door een MDM-provider en Microsoft Configuration Manager. In deze benadering wordt de Microsoft Configuration Manager-agent geïnstalleerd op een door MDM beheerd apparaat om bepaalde aspecten te beheren.

Als u groepsbeleid gebruikt, evalueert u uw GPO en MDM-beleidspariteit met behulp van groepsbeleidsanalyse in Microsoft Intune.

Bekijk ondersteunde en niet-ondersteunde beleidsregels om te bepalen of u een MDM-oplossing kunt gebruiken in plaats van groepsbeleid. Houd rekening met de volgende vragen voor niet-ondersteunde beleidsregels:

  • Zijn de niet-ondersteunde beleidsregels nodig voor apparaten of gebruikers die lid zijn van Microsoft Entra?
  • Zijn de niet-ondersteunde beleidsregels van toepassing in een cloudimplementatie?

Als uw MDM-oplossing niet beschikbaar is via de Microsoft Entra-app-galerie, kunt u deze toevoegen aan het proces dat wordt beschreven in Microsoft Entra-integratie met MDM.

Via co-beheer kunt u Microsoft Configuration Manager gebruiken om bepaalde aspecten van uw apparaten te beheren terwijl het beleid wordt geleverd via uw MDM-platform. Microsoft Intune maakt co-beheer mogelijk met Microsoft Configuration Manager. Zie Wat is co-beheer voor Windows 10 of nieuwere apparaten voor meer informatie over co-beheer. Als u een ander MDM-product dan Intune gebruikt, neem dan contact op met uw MDM-provider voor toepasselijke co-beheerscenario's.

Aanbeveling: Overweeg mdm-beheer alleen voor aan Microsoft Entra gekoppelde apparaten.

Overwegingen voor toepassingen en resources begrijpen

We raden u aan toepassingen van on-premises naar de cloud te migreren voor een betere gebruikerservaring en toegangsbeheer. Aan Microsoft Entra gekoppelde apparaten kunnen naadloos toegang bieden tot zowel on-premises als cloudtoepassingen. Zie Hoe eenmalige aanmelding bij on-premises resources werkt op aan Microsoft Entra gekoppelde apparaten voor meer informatie.

De volgende secties bevatten overwegingen voor verschillende typen toepassingen en resources.

Cloudtoepassingen

Als een toepassing wordt toegevoegd aan de Microsoft Entra-app-galerie, krijgen gebruikers eenmalige aanmelding via Microsoft Entra-gekoppelde apparaten. Er is geen andere configuratie vereist. Gebruikers krijgen eenmalige aanmelding op zowel Microsoft Edge- als Chrome-browsers. Voor Chrome moet u de Windows 10 Accounts-extensie implementeren.

Alle Win32-toepassingen die:

  • Afhankelijk van Web Account Manager (WAM) voor tokenaanvragen krijgt u ook eenmalige aanmelding op aan Microsoft Entra gekoppelde apparaten.
  • Vertrouw niet op WAM kan gebruikers vragen om verificatie.

On-premises webtoepassingen

Als uw apps op maat zijn gemaakt en/of on-premises worden gehost, moet u deze toevoegen aan de vertrouwde sites van uw browser om:

  • Geïntegreerde Windows-verificatie in te schakelen om te werken
  • Gebruikers een ervaring zonder prompt voor eenmalige aanmelding te geven.

Als u AD FS gebruikt, raadpleegt u Eenmalige aanmelding verifiëren en beheren met AD FS.

Aanbeveling: Overweeg hosting in de cloud (bijvoorbeeld Azure) en integratie met Microsoft Entra ID voor een betere ervaring.

On-premises toepassingen die afhankelijk zijn van verouderde protocollen

Gebruikers krijgen eenmalige aanmelding van aan Microsoft Entra gekoppelde apparaten als het apparaat toegang heeft tot een domeincontroller.

Notitie

Aan Microsoft Entra gekoppelde apparaten kunnen naadloos toegang bieden tot zowel on-premises als cloudtoepassingen. Zie Hoe eenmalige aanmelding bij on-premises resources werkt op aan Microsoft Entra gekoppelde apparaten voor meer informatie.

Aanbeveling: Implementeer de Microsoft Entra-toepassingsproxy om beveiligde toegang voor deze toepassingen in te schakelen.

On-premises netwerkshares

Uw gebruikers hebben eenmalige aanmelding van Microsoft Entra-gekoppelde apparaten wanneer een apparaat toegang heeft tot een on-premises domeincontroller. Meer informatie over hoe dit werkt

Printers

We raden u aan Universal Print te implementeren voor een cloudoplossing voor afdrukbeheer zonder on-premises afhankelijkheden.

On-premises toepassingen die afhankelijk zijn van computerverificatie

Aan Microsoft Entra gekoppelde apparaten bieden geen ondersteuning voor on-premises toepassingen die afhankelijk zijn van computerverificatie.

Aanbeveling: overweeg deze toepassingen buiten gebruik te stellen en over te stappen op hun moderne alternatieven.

Extern bureaublad-services

Voor een extern bureaublad-verbinding met een aan Microsoft Entra gekoppelde apparaten moet de hostcomputer lid zijn van Microsoft Entra of hybride microsoft Entra-gekoppeld zijn. Extern bureaublad vanaf een niet-gekoppeld of niet-Windows-apparaat wordt niet ondersteund. Zie Verbinding maken voor meer informatie naar een externe pc die is toegevoegd aan Microsoft Entra

Vanaf de Windows 10 2004-update kunnen gebruikers ook extern bureaublad gebruiken vanaf een bij Microsoft Entra geregistreerd Windows 10- of hoger apparaat naar een ander apparaat dat is toegevoegd aan Microsoft Entra.

RADIUS- en wifiverificatie

Momenteel bieden Microsoft Entra-gekoppelde apparaten geen ondersteuning voor RADIUS-verificatie met behulp van een on-premises computerobject en certificaat voor het maken van verbinding met Wi-Fi-toegangspunten, omdat RADIUS afhankelijk is van de aanwezigheid van een on-premises computerobject in dit scenario. Als alternatief kunt u certificaten gebruiken die via Intune of gebruikersreferenties worden gepusht om te verifiëren bij wifi.

Uw inrichtingsopties begrijpen

Opmerking: Apparaten die zijn toegevoegd aan Microsoft Entra kunnen niet worden geïmplementeerd met behulp van het Hulpprogramma voor systeemvoorbereiding (Sysprep) of vergelijkbare imaging-hulpprogramma's

U kunt aan Microsoft Entra gekoppelde apparaten inrichten met behulp van de volgende methoden:

  • Selfservice in OOBE/Instellingen : in de selfservicemodus doorlopen gebruikers het Microsoft Entra-deelnameproces tijdens Windows Out of Box Experience (OOBE) of vanuit Windows Instellingen. Zie Uw werkapparaat toevoegen aan het netwerk van uw organisatie voor meer informatie.
  • Windows Autopilot - Windows Autopilot maakt vooraf configuratie van apparaten mogelijk voor een soepelere Microsoft Entra join-ervaring in OOBE. Zie het Overzicht van Windows Autopilot voor meer informatie.
  • Bulkinschrijving : met bulkinschrijving kan een beheerdergestuurde Microsoft Entra join met behulp van een hulpprogramma voor bulkinrichting apparaten configureren. Zie Bulkinschrijving voor Windows-apparaten voor meer informatie.

Hier volgt een vergelijking van deze drie benaderingen

Element Selfservice-installatie Windows Autopilot Bulkinschrijving
Gebruikersinteractie vereisen om in te stellen Ja Ja Nr.
IT-inspanning vereisen Nr. Ja Ja
Toepasselijke stromen OOBE &Instellingen Alleen OOBE Alleen OOBE
Lokale beheerdersrechten voor de primaire gebruiker Ja (standaard) Configureerbaar Nee
OEM-ondersteuning voor apparaten vereisen Nr. Ja Nr.
Ondersteunde versies 1511+ 1709+ 1703+

Kies uw implementatiebenadering of -benaderingen door de vorige tabel te bekijken en de volgende overwegingen te bekijken voor het kiezen van een van de volgende benaderingen:

  • Zijn uw gebruikers technisch onderlegd om de installatie zelf te doorlopen?
    • Selfservice werkt het beste voor deze gebruikers. Overweeg Windows Autopilot om de gebruikerservaring te verbeteren.
  • Zijn uw gebruikers extern of binnen bedrijfsruimten?
    • Selfservice of Autopilot werkt het beste voor externe gebruikers voor een probleemloze installatie.
  • Geeft u de voorkeur aan een door de gebruiker gestuurde of door een beheerder beheerde configuratie?
    • Bulkinschrijving werkt beter voor door beheerders gestuurde implementatie om apparaten in te stellen voordat ze worden overgedragen aan gebruikers.
  • Koopt u apparaten van 1-2 OEMS of hebt u een brede distributie van OEM-apparaten?
    • Als u aanschaft van beperkte OEM's die ook Autopilot ondersteunen, kunt u profiteren van een strakkere integratie met Autopilot.

De apparaatinstellingen configureren

Met het Microsoft Entra-beheercentrum kunt u de implementatie van aan Microsoft Entra gekoppelde apparaten in uw organisatie beheren. Als u de gerelateerde instellingen wilt configureren, bladert u naar Apparaatinstellingen voor alle apparaten identiteiten>>>. Meer informatie

Gebruikers kunnen apparaten toevoegen aan Microsoft Entra-id

Stel deze optie in op Alles of Geselecteerd op basis van het bereik van uw implementatie en op wie u een apparaat wilt instellen dat lid is van Microsoft Entra.

Users may join devices to Microsoft Entra ID

Aanvullende lokale beheerders op aan Microsoft Entra gekoppelde apparaten

Kies Geselecteerd en selecteert de gebruikers die u wilt toevoegen aan de groep lokale beheerders op alle aan Microsoft Entra gekoppelde apparaten.

Additional local administrators on Microsoft Entra joined devices

Meervoudige verificatie (MFA) vereisen om apparaten te koppelen

Selecteer Ja als u wilt dat gebruikers MFA uitvoeren tijdens het toevoegen van apparaten aan Microsoft Entra-id.

Require multifactor Auth to join devices

Aanbeveling: gebruik de gebruikersactie Apparaten registreren of koppelen in voorwaardelijke toegang om MFA af te dwingen voor het toevoegen van apparaten.

Uw mobiliteitsinstellingen configureren

Voordat u uw mobiliteitsinstellingen kunt configureren, moet u mogelijk eerst een MDM-provider toevoegen.

Een MDM-provider toevoegen:

  1. Selecteer op de pagina Microsoft Entra-id in de sectie Beheren de optie Mobility (MDM and MAM).

  2. Selecteer Toepassing toevoegen.

  3. Selecteer uw MDM-provider in de lijst.

    Screenshot of the Microsoft Entra ID Add an application page. Several M D M providers are listed.

Selecteer uw MDM-provider om de gerelateerde instellingen te configureren.

Gebruikersbereik van MDM

Selecteer Sommige of Alle op basis van het bereik van uw implementatie.

MDM user scope

Op basis van uw bereik vindt een van de volgende handelingen plaats:

  • Gebruiker bevindt zich in MDM-bereik: als u een Microsoft Entra ID P1- of P2-abonnement hebt, wordt MDM-inschrijving geautomatiseerd samen met Microsoft Entra join. Alle gebruikers binnen het bereik moeten een juiste licentie voor uw MDM hebben. Als de MDM-inschrijving in dit scenario mislukt, wordt Microsoft Entra join ook teruggedraaid.
  • Gebruiker bevindt zich niet in MDM-bereik: als gebruikers zich niet in mdm-bereik bevinden, wordt Microsoft Entra-deelname voltooid zonder MDM-inschrijving. Dit bereik resulteert in een niet-beheerd apparaat.

MDM-URL's

Er zijn drie URL's die betrekking hebben op uw MDM-configuratie:

  • URL voor MDM-gebruiksvoorwaarden
  • MDM-detectie-URL
  • URL voor MDM-naleving

Screenshot of part of the Microsoft Entra M D M configuration section, with U R L fields for M D M terms of use, discovery, and compliance.

Elke URL heeft een vooraf gedefinieerde standaardwaarde. Als deze velden leeg zijn, neemt u contact op met uw MDM-provider voor meer informatie.

MAM-instellingen

MAM is niet van toepassing op Microsoft Entra Join.

Enterprise State Roaming inschakelen

Als u statusroaming wilt inschakelen naar Microsoft Entra ID, zodat gebruikers hun instellingen op verschillende apparaten kunnen synchroniseren, raadpleegt u Enterprise State Roaming inschakelen in Microsoft Entra ID.

Aanbeveling: Schakel deze instelling in, zelfs voor hybride apparaten van Microsoft Entra.

Voorwaardelijke toegang configureren

Als u een MDM-provider hebt geconfigureerd voor uw aan Microsoft Entra gekoppelde apparaten, markeert de provider het apparaat zodra het apparaat onder beheer is.

Compliant device

U kunt deze implementatie gebruiken om beheerde apparaten te vereisen voor toegang tot cloud-apps met voorwaardelijke toegang.

Volgende stappen