How to: Plan your Azure AD join implementation (De implementatie van uw Azure AD-join plannen)
Met Azure AD Join kunt u apparaten rechtstreeks aan Azure AD deelnemen zonder dat u zich hoeft aan te on-premises Active Directory terwijl uw gebruikers productief en veilig blijven. Azure AD Join is bedrijfsklaar voor zowel implementaties op schaal als in een bereik.
In dit artikel vindt u de informatie die u nodig hebt om de implementatie van uw Azure AD-join te plannen.
Vereisten
In dit artikel wordt ervan uitgenomen dat u bekend bent met de Inleiding tot apparaatbeheer in Azure Active Directory.
Uw implementatie plannen
Als u de implementatie van uw Azure AD-join wilt plannen, moet u zich vertrouwd maken met het volgende:
- Uw scenario's controleren
- Uw identiteitsinfrastructuur controleren
- Uw apparaatbeheer evalueren
- Overwegingen voor toepassingen en resources begrijpen
- Inzicht in uw inrichtingsopties
- Enterprise State Roaming configureren
- Voorwaardelijke toegang configureren
Uw scenario's controleren
Hoewel hybride Azure AD-join mogelijk de voorkeur heeft voor bepaalde scenario's, kunt u met Azure AD Join overstappen naar een cloud-first model met Windows. Als u van plan bent om uw apparaatbeheer te moderniseren en apparaatgerelateerde IT-kosten te verlagen, biedt Azure AD Join een goede basis voor het bereiken van deze doelstellingen.
Overweeg Azure AD Join als uw doelstellingen zijn afgestemd op de volgende criteria:
- U gaat Microsoft 365 als productiviteitssuite voor uw gebruikers.
- U apparaten wilt beheren met een cloudoplossing voor apparaatbeheer.
- U wilt het inrichten van apparaten vereenvoudigen voor geografisch gedistribueerde gebruikers.
- U bent van plan om uw toepassingsinfrastructuur te moderniseren.
Uw identiteitsinfrastructuur controleren
Azure AD Join werkt met zowel beheerde als federatief omgevingen.
Beheerde omgeving
Een beheerde omgeving kan worden geïmplementeerd via wachtwoord-hashsynchronisatie of pass-through-verificatie met naadloze een enkele aanmelding.
Voor deze scenario's is het niet nodig om een federatieve server te configureren voor authenticatie.
Federatief omgeving
Een federatief omgeving moet een id-provider hebben die ondersteuning biedt voor zowel WS-Trust als WS-Fed protocollen:
- WS-Fed: Dit protocol is vereist om een apparaat aan Azure AD te kunnen deelnemen.
- WS-Trust: Dit protocol is vereist om u aan te melden bij een apparaat dat is toegevoegd aan Azure AD.
Wanneer u AD FS gebruikt, moet u de volgende WS-Trust-eind punten inschakelen: /adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
Als uw id-provider deze protocollen niet ondersteunt, werkt Azure AD-join niet native.
Notitie
Momenteel werkt Azure AD Join niet met AD FS 2019geconfigureerd met externe verificatieproviders als de primaire verificatiemethode . Azure AD Join is standaard ingesteld op wachtwoordverificatie als primaire methode, wat resulteert in verificatiefouten in dit scenario
Smartcards en verificatie op basis van certificaten
U kunt geen smartcards of verificatie op basis van certificaten gebruiken om apparaten aan Azure AD toe te sluiten. Smartcards kunnen echter worden gebruikt om u aan te melden bij apparaten die aan Azure AD zijn AD FS geconfigureerd.
Aanbeveling: Implement Windows Hello for Business for strong, password-less authentication to Windows 10 and above devices.
Gebruikersconfiguratie
Als u gebruikers maakt in uw:
- On-premises Active Directory, moet u deze synchroniseren met Azure AD met behulp van Azure AD Verbinding maken.
- Azure AD, er is geen aanvullende installatie vereist.
On-premises UPN's die verschillen van Azure AD UPN's worden niet ondersteund op apparaten die zijn samengevoegd met Azure AD. Als uw gebruikers een on-premises UPN gebruiken, moet u van plan zijn om over te schakelen naar het gebruik van hun primaire UPN in Azure AD.
UPN-wijzigingen worden alleen ondersteund vanaf Windows 10 update van 2004. Gebruikers op apparaten met deze update hebben geen problemen na het wijzigen van hun UPN's. Voor apparaten vóór Windows 10 update van 2004 hebben gebruikers problemen met eenmalige aanmelding en voorwaardelijke toegang op hun apparaten. Ze moeten zich aanmelden bij Windows de tegel 'Andere gebruiker' met hun nieuwe UPN om dit probleem op te lossen.
Uw apparaatbeheer evalueren
Ondersteunde apparaten
Azure AD-join:
- Is van toepassing op Windows 10 en Windows 11 apparaten.
- Is niet van toepassing op eerdere versies van Windows of andere besturingssystemen. Als u Windows 7/8.1-apparaten hebt, moet u ten minste een upgrade uitvoeren om Windows 10 Azure AD-join te implementeren.
- Wordt ondersteund voor FIPS-compatibele TPM 2.0, maar niet voor TPM 1.2. Als uw apparaten compatibel zijn met FIPS TPM 1.2, moet u deze uitschakelen voordat u doorgaat met Azure AD Join. Microsoft biedt geen hulpprogramma's voor het uitschakelen van de FIPS-modus voor TPM's, omdat deze afhankelijk is van de TPM-fabrikant. Neem contact op met uw hardware-OEM voor ondersteuning.
Aanbeveling: Gebruik altijd de nieuwste Windows 10 om te profiteren van bijgewerkte functies.
Beheerplatform
Apparaatbeheer voor apparaten die zijn samengevoegd met Azure AD is gebaseerd op een MDM-platform, zoals Intune en MDM-CSP's. Windows 10 heeft een ingebouwde MDM-agent die werkt met alle compatibele MDM-oplossingen.
Notitie
Groepsbeleid wordt niet ondersteund op apparaten die zijn gekoppeld aan Azure AD, omdat ze niet zijn verbonden met on-premises Active Directory. Beheer van apparaten die zijn samengevoegd met Azure AD is alleen mogelijk via MDM
Er zijn twee benaderingen voor het beheren van apparaten die zijn samengevoegd met Azure AD:
- Alleen MDM: een apparaat wordt uitsluitend beheerd door een MDM-provider zoals Intune. Alle beleidsregels worden geleverd als onderdeel van het MDM-inschrijvingsproces. Voor Azure AD Premium of EMS-klanten is MDM-inschrijving een geautomatiseerde stap die deel uitmaakt van een Azure AD-join.
- Co-beheer: een apparaat wordt beheerd door een MDM-provider en SCCM. In deze benadering wordt de SCCM-agent geïnstalleerd op een door MDM beheerd apparaat om bepaalde aspecten te beheren.
Als u groepsbeleid gebruikt, evalueert u de pariteit van uw GPO- en MDM-beleid met behulp van groepsbeleid analytics in Microsoft Endpoint Manager.
Controleer ondersteunde en niet-ondersteunde beleidsregels om te bepalen of u een MDM-oplossing kunt gebruiken in plaats van groepsbeleid. Houd rekening met het volgende voor niet-ondersteunde beleidsregels:
- Zijn de niet-ondersteunde beleidsregels nodig voor apparaten of gebruikers die zijn lid van Azure AD?
- Zijn de niet-ondersteunde beleidsregels van toepassing in een cloudgestuurde implementatie?
Als uw MDM-oplossing niet beschikbaar is via de Azure AD-app-galerie, kunt u deze toevoegen volgens het proces dat wordt beschreven in Azure Active Directory integratie met MDM.
Via co-beheer kunt u SCCM gebruiken om bepaalde aspecten van uw apparaten te beheren terwijl beleid wordt geleverd via uw MDM-platform. Microsoft Intune co-beheer met SCCM mogelijk. Zie Wat is co-beheer? Windows 10 informatie over co-beheer voor apparaten. Als u een ander MDM-product dan Intune gebruikt, neem dan contact op met uw MDM-provider over toepasselijke scenario's voor co-beheer.
Aanbeveling: Overweeg MDM alleen te beheren voor apparaten die zijn samengevoegd met Azure AD.
Overwegingen voor toepassingen en resources begrijpen
Het is raadzaam om toepassingen te migreren van on-premises naar de cloud voor een betere gebruikerservaring en toegangsbeheer. Azure AD-apparaten kunnen echter naadloos toegang bieden tot zowel on-premises als cloudtoepassingen. Zie How SSO to on-premises resources works on Azure AD joined devices (Hoe eenmalige aanmelding bij on-premises resources werkt op apparaten die zijn verbonden met Azure AD) voor meer informatie.
In de volgende secties worden overwegingen vermeld voor verschillende typen toepassingen en resources.
Cloudtoepassingen
Als een toepassing wordt toegevoegd aan de Azure AD-app-galerie, krijgen gebruikers eenmalige aanmelding via apparaten die zijn toegevoegd aan Azure AD. Er is geen aanvullende configuratie vereist. Gebruikers krijgen eenmalige aanmelding in de browsers Microsoft Edge en Chrome. Voor Chrome moet u de extensie Windows 10 Accounts implementeren.
Alle Win32-toepassingen die:
- Vertrouw op webaccountbeheer (WAM) voor tokenaanvragen krijgen ook eenmalige aanmelding op apparaten die zijn samengevoegd met Azure AD.
- Als u niet vertrouwt op WAM, kunnen gebruikers worden gevraagd om verificatie.
On-premises webtoepassingen
Als uw apps op maat zijn gebouwd en/of on-premises worden gehost, moet u deze toevoegen aan de vertrouwde sites van uw browser om:
- Geïntegreerde Windows inschakelen
- Een SSO-ervaring zonder prompt bieden aan gebruikers.
Zie Een AD FS verifiëren en beheren met de AD FS als uAD FS.
Aanbeveling: Overweeg hosting in de cloud (bijvoorbeeld Azure) en integratie met Azure AD voor een betere ervaring.
On-premises toepassingen die afhankelijk zijn van verouderde protocollen
Gebruikers krijgen eenmalige aanmelding van apparaten die zijn verbonden met Azure AD als het apparaat toegang heeft tot een domeincontroller.
Notitie
Aan Azure AD verbonden apparaten kunnen naadloos toegang bieden tot zowel on-premises als cloudtoepassingen. Zie How SSO to on-premises resources works on Azure AD joined devices (Hoe eenmalige aanmelding bij on-premises resources werkt op apparaten die zijn verbonden met Azure AD) voor meer informatie.
Aanbeveling: Implementeer Azure AD-app proxy om beveiligde toegang voor deze toepassingen mogelijk te maken.
On-premises netwerk shares
Uw gebruikers hebben eenmalige aanmelding vanaf apparaten die zijn verbonden met Azure AD wanneer een apparaat toegang heeft tot een on-premises domeincontroller. Meer informatie over hoe dit werkt
Printers
We raden u aan Universeel afdrukken een cloudoplossing voor afdrukbeheer te implementeren zonder on-premises afhankelijkheden.
On-premises toepassingen die afhankelijk zijn van machineverificatie
Apparaten die zijn samengevoegd met Azure AD bieden geen ondersteuning voor on-premises toepassingen die afhankelijk zijn van machineverificatie.
Aanbeveling: Overweeg deze toepassingen te stoppen en over te gaan op hun moderne alternatieven.
Externe bureaubladservices
Voor een extern bureaublad-verbinding met een azure AD-apparaat moet de hostcomputer zijn samengevoegd met Azure AD of hybride Azure AD. Extern bureaublad van een niet-aaneengeeerd of niet-Windows apparaat wordt niet ondersteund. Zie voor meer informatie Verbinding maken externe pc die lid is van Azure AD
Vanaf Windows 10 update van 2004 kunnen gebruikers ook extern bureaublad gebruiken van een door Azure AD geregistreerd Windows 10 apparaat naar een apparaat dat is toegevoegd aan Azure AD.
RADIUS- en Wi-Fi-verificatie
Op dit moment bieden apparaten die zijn verbonden met Azure AD geen ondersteuning voor RADIUS-verificatie om verbinding te maken met Wi-Fi-toegangspunten, omdat RADIUS afhankelijk is van de aanwezigheid van een on-premises computerobject. Als alternatief kunt u certificaten die via Intune worden pushen of gebruikersreferenties gebruiken om te verifiëren bij Wi-Fi.
Inzicht in uw inrichtingsopties
Opmerking: Apparaten die zijn samengevoegd met Azure AD kunnen niet worden geïmplementeerd met Hulpprogramma voor systeemvoorbereiding (Sysprep) of vergelijkbare hulpprogramma's voor het maken van afbeeldingen
U kunt Azure AD Join inrichten met behulp van de volgende methoden:
- Selfservice in OOBE/Instellingen: in de selfservicemodus doorlopen gebruikers het Azure AD-joinproces tijdens Windows Out of Box Experience (OOBE) of vanuit Windows Instellingen. Zie Uw werkapparaat aan het netwerk van uw organisatie deelnemen voor meer informatie.
- Windows Autopilot: met Windows Autopilot kunt u apparaten vooraf configureren voor een soepelere ervaring in OOBE om een Azure AD-join uit te voeren. Zie Overview of Windows Autopilot (Overzicht van autopilot) voor meer informatie.
- Bulkinschrijving: met bulkinschrijving kan een door een beheerder aanGestuurde Azure AD-join met behulp van een hulpprogramma voor bulksgewijs inrichten apparaten configureren. Zie Bulkinschrijving voor apparaten Windows meer informatie.
Hier is een vergelijking van deze drie benaderingen
| Element | Selfservice-installatie | Windows Autopilot | Bulkinschrijving |
|---|---|---|---|
| Gebruikersinteractie vereisen om in te stellen | Ja | Ja | Nee |
| IT-inspanningen vereisen | Nee | Ja | Ja |
| Toepasselijke stromen | OOBE-& Instellingen | Alleen OOBE | Alleen OOBE |
| Lokale beheerdersrechten voor de primaire gebruiker | Ja, standaard | Configureerbaar | Nee |
| OEM-ondersteuning voor apparaat vereisen | Nee | Ja | Nee |
| Ondersteunde versies | 1511+ | 1709+ | 1703+ |
Kies uw implementatiebenadering of -benaderingen door de bovenstaande tabel te bekijken en de volgende overwegingen te bekijken voor het kiezen van een van beide benaderingen:
- Zijn uw gebruikers technisch onderlegd om zelf de installatie door te nemen?
- Selfservice werkt het beste voor deze gebruikers. Overweeg Windows Autopilot te gebruiken om de gebruikerservaring te verbeteren.
- Zijn uw gebruikers extern of binnen bedrijfsruimte?
- Selfservice of Autopilot werkt het beste voor externe gebruikers voor een probleemloze installatie.
- Geeft u de voorkeur aan een door de gebruiker aangestuurde of door een beheerder beheerde configuratie?
- Bulkinschrijving werkt beter voor door beheerders gestuurde implementatie om apparaten in te stellen voordat ze aan gebruikers worden overgenomen.
- Koopt u apparaten van 1-2 OEMS of hebt u een brede distributie van OEM-apparaten?
- Als u producten aanschaft van beperkte OEM's die ook ondersteuning bieden voor Autopilot, kunt u profiteren van een nauwe integratie met Autopilot.
Uw apparaatinstellingen configureren
Met Azure Portal kunt u de implementatie beheren van apparaten die zijn samengevoegd met Azure AD in uw organisatie. Als u de gerelateerde instellingen wilt configureren, selecteert Azure Active Directory op de pagina Devices > Device settings . Meer informatie
Gebruikers mogen apparaten aan Azure AD toevoegen
Stel deze optie in op Alle of Geselecteerd op basis van het bereik van uw implementatie en op wie u wilt toestaan om een apparaat in te stellen dat is toegevoegd aan Azure AD.
Extra lokale beheerders voor apparaten die zijn toegevoegd aan Azure AD
Kies Geselecteerd en selecteer de gebruikers die u wilt toevoegen aan de lokale beheerdersgroep op alle apparaten die zijn samengevoegd met Azure AD.
Meervoudige verificatie (MFA) vereisen om apparaten toe te sluiten
Selecteer Ja als u wilt dat gebruikers MFA uitvoeren tijdens het samenvoegen van apparaten met Azure AD.
Aanbeveling: Gebruik de gebruikersactie Apparaten registreren of samenvoegen in Voorwaardelijke toegang voor het afdwingen van MFA voor het samenvoegen van apparaten.
Uw mobiliteitsinstellingen configureren
Voordat u uw mobiliteitsinstellingen kunt configureren, moet u mogelijk eerst een MDM-provider toevoegen.
Een MDM-provider toevoegen:
Klik op Azure Active Directory pagina, in de sectie Beheren, op
Mobility (MDM and MAM).Klik op Toepassing toevoegen.
Selecteer uw MDM-provider in de lijst.
Selecteer uw MDM-provider om de gerelateerde instellingen te configureren.
Gebruikersbereik van MDM
Selecteer Sommige of Alle op basis van het bereik van uw implementatie.
Op basis van uw bereik gebeurt een van de volgende dingen:
- Gebruiker heeft een MDM-bereik: als u een Azure AD Premium hebt, wordt MDM-inschrijving samen met Azure AD Join geautomatiseerd. Alle gebruikers binnen het bereik moeten een geschikte licentie voor uw MDM hebben. Als de MDM-inschrijving in dit scenario mislukt, wordt azure AD-join ook teruggedraaid.
- Gebruiker valt niet binnen MDM-bereik: als gebruikers zich niet in het MDM-bereik, wordt Azure AD-join voltooid zonder MDM-inschrijving. Dit resulteert in een onmanaged apparaat.
MDM-URL's
Er zijn drie URL's die betrekking hebben op uw MDM-configuratie:
- URL voor MDM-gebruiksvoorwaarden
- URL voor MDM-detectie
- URL voor MDM-naleving
Elke URL heeft een vooraf gedefinieerde standaardwaarde. Als deze velden leeg zijn, kunt u contact opnemen met uw MDM-provider voor meer informatie.
MAM-instellingen
MAM is niet van toepassing op Azure AD Join.
Enterprise State Roaming configureren
Zie Enable Enterprise State Roaming in Azure Active Directory als u statusroaming naar Azure AD wilt inschakelen zodat gebruikers hun instellingen op verschillende apparaten kunnen synchroniseren.
Aanbeveling: schakel deze instelling zelfs in voor hybride Azure AD-apparaten.
Voorwaardelijke toegang configureren
Als u een MDM-provider hebt geconfigureerd voor uw azure AD-apparaten, markeert de provider het apparaat als compatibel zodra het apparaat onder beheer staat.
U kunt deze implementatie gebruiken om beheerde apparaten te vereisen voor toegang tot cloud-apps met voorwaardelijke toegang.