Procedure: de implementatie van uw hybride Azure Active Directory-koppeling plannen
Op een vergelijkbare manier als een gebruiker is een apparaat een andere kernidentiteit die u wilt beveiligen en gebruiken om uw resources op elk moment en vanaf elke locatie te beveiligen. U kunt dit doel bereiken door apparaat-id's in Azure AD te gebruiken en te beheren met een van de volgende methoden:
- Azure AD-koppeling
- Hybride Azure AD-koppeling
- Azure AD-registratie
Door uw apparaten naar Azure AD te brengen, optimaliseert u de productiviteit van uw gebruikers via eenmalige aanmelding (SSO) bij al uw on-premises bronnen en cloudbronnen. Tegelijkertijd kunt u de toegang tot uw cloud- en on-premises resources beveiligen met voorwaardelijke toegang.
Als u een on-premises Active Directory -omgeving (AD) hebt en u uw AD-computers die lid zijn van een domein wilt toevoegen aan Azure AD, kunt u dit doen door hybride Azure AD-join uit te doen. In dit artikel vindt u de gerelateerde stappen voor het implementeren van een hybride Azure AD-join in uw omgeving.
Tip
SSO-toegang tot on-premises resources is ook beschikbaar voor apparaten die zijn samengevoegd met Azure AD. Zie How SSO to on-premises resources works on Azure AD joined devices (Hoe eenmalige aanmelding bij on-premises resources werkt op apparatendie zijn verbonden met Azure AD) voor meer informatie.
Vereisten
In dit artikel wordt ervan uitgenomen dat u bekend bent met de Inleiding tot apparaatidentiteitsbeheer in Azure Active Directory.
Notitie
De minimaal vereiste domeincontrollerversie voor Windows 10 hybride Azure AD-join is Windows Server 2008 R2.
Hybride Azure AD-apparaten vereisen periodiek een netwerkverbinding met uw domeincontrollers. Zonder deze verbinding worden apparaten onbruikbaar.
Scenario's die worden breekt zonder zicht op uw domeincontrollers:
- Apparaatwachtwoord wijzigen
- Gebruikerswachtwoord wijzigen (referenties in cache)
- TPM opnieuw instellen
Uw implementatie plannen
Als u uw hybride Azure AD-implementatie wilt plannen, moet u zich vertrouwd maken met het volgende:
- Ondersteunde apparaten controleren
- Bekijk wat u moet weten
- Gecontroleerde validatie van hybride Azure AD-join controleren
- Selecteer uw scenario op basis van uw identiteitsinfrastructuur
- Bekijk de on-premises AD UPN-ondersteuning voor hybride Azure AD-join
Ondersteunde apparaten controleren
Hybride Azure AD Join ondersteunt een breed scala aan Windows apparaten. Omdat de configuratie voor apparaten met oudere versies van Windows aanvullende of andere stappen vereist, zijn de ondersteunde apparaten gegroepeerd in twee categorieën:
Windows huidige apparaten
- Windows 10
- Windows 11
- Windows Server 2016
- Opmerking: Azure National Cloud-klanten vereisen versie 1803
- Windows Server 2019
Voor apparaten met het Windows desktopbesturingssysteem wordt de ondersteunde versie vermeld in dit artikel Windows 10 release-informatie. Microsoft raadt best practice aan om een upgrade uit te voeren naar de nieuwste versie van Windows 10.
Windows apparaten op een lager niveau installeren
- Windows 8.1
- Windows 7-ondersteuning is beëindigd op 14 januari 2020. Zie Support for Windows 7 has ended (Ondersteuning voor een Windows 7 is beëindigd) voor meer informatie.
- Windows Server 2012 R2
- Windows Server 2012
- Windows Server 2008 R2. Zie voorbereiden voor Windows Server 2008 einde van ondersteuning voor ondersteuningsinformatie over Windows Server 2008 en 2008R2.
Als eerste planningsstap moet u uw omgeving controleren en bepalen of u ondersteuning Windows down-level apparaten.
Bekijk wat u moet weten
Niet-ondersteunde scenario's
Hybride Azure AD-join wordt niet ondersteund voor Windows Server met de domeincontrollerrol (DC).
Hybride Azure AD-join wordt niet ondersteund op Windows apparaten op lager niveau bij gebruik van referentieroaming, roaming van gebruikersprofiel of verplicht profiel.
Server Core OS biedt geen ondersteuning voor een type apparaatregistratie.
Hulpprogramma voor migratie van gebruikersstatus (USMT) werkt niet met apparaatregistratie.
Overwegingen voor os-imaging
Als u vertrouwt op de Hulpprogramma voor systeemvoorbereiding (Sysprep) en als u een pre-Windows 10 1809-installatieafbeelding gebruikt voor installatie, moet u ervoor zorgen dat de installatie van de installatie niet afkomstig is van een apparaat dat al is geregistreerd bij Azure AD als Hybride Azure AD-join.
Als u vertrouwt op een momentopname van een virtuele machine (VM) om extra VM's te maken, moet u ervoor zorgen dat de momentopname niet afkomstig is van een virtuele machine die al is geregistreerd bij Azure AD als Hybride Azure AD-join.
Als u Unified Write Filter en vergelijkbare technologieën gebruikt die wijzigingen aan de schijf verwijderen bij het opnieuw opstarten, moeten deze worden toegepast nadat het apparaat is samengevoegd met Hybrid Azure AD. Het inschakelen van dergelijke technologieën voordat de hybride Azure AD-join is voltooid, zorgt ervoor dat het apparaat bij elke herstart niet meer aan elkaar wordt ontvoegd
Apparaten verwerken met een geregistreerde Azure AD-status
Als uw Windows 10 domein lid zijn van Azure AD zijn geregistreerd bij uw tenant, kan dit leiden tot een dubbele status van een hybride Azure AD-apparaat en een apparaat dat is geregistreerd bij Azure AD. U kunt het beste upgraden naar Windows 10 1803 (met KB4489894 toegepast) of hoger om dit scenario automatisch aan te pakken. In versies vóór 1803 moet u de geregistreerde Azure AD-status handmatig verwijderen voordat u Hybride Azure AD-join inschakelen. In versies van 1803 en hoger zijn de volgende wijzigingen aangebracht om deze dubbele status te voorkomen:
- Een bestaande geregistreerde Azure AD-status voor een gebruiker wordt automatisch verwijderd nadat het apparaat is verbonden met Hybrid Azure AD en dezelfde gebruiker zich aanmeldt bij. Als gebruiker A bijvoorbeeld een geregistreerde status van Azure AD op het apparaat heeft, wordt de dubbele status voor gebruiker A alleen opgeschoond wanneer gebruiker A zich aanmeldt bij het apparaat. Als er meerdere gebruikers op hetzelfde apparaat zijn, wordt de dubbele status afzonderlijk opgeschoond wanneer deze gebruikers zich aanmelden. Naast het verwijderen van de geregistreerde status van Azure AD, wordt Windows 10 ook de registratie van het apparaat bij Intune of andere MDM verwijderd als de inschrijving is uitgevoerd als onderdeel van de Azure AD-registratie via automatische inschrijving.
- Deze wijziging heeft geen invloed op de geregistreerde status van Azure AD op lokale accounts op het apparaat. Deze is alleen van toepassing op domeinaccounts. De geregistreerde status van Azure AD voor lokale accounts wordt dus niet automatisch verwijderd, zelfs niet nadat de gebruiker zich heeft aangemeld, omdat de gebruiker geen domeingebruiker is.
- U kunt voorkomen dat uw apparaat dat lid is van een domein, wordt geregistreerd bij Azure AD door de volgende registerwaarde toe te voegen aan HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001.
- Als Windows 10 in Windows 10 1803 Windows Hello for Business hebt geconfigureerd, moet de gebruiker na het ops schonen van de dubbele status Windows Hello for Business opnieuw instellen. Dit probleem is opgelost met KB4512509
Notitie
Hoewel Windows 10 de geregistreerde Azure AD-status automatisch lokaal verwijdert, wordt het apparaatobject in Azure AD niet onmiddellijk verwijderd als het wordt beheerd door Intune. U kunt het verwijderen van de geregistreerde Azure AD-status valideren door dsregcmd /status uit te voert en het apparaat te beschouwen als niet geregistreerd bij Azure AD op basis van dat.
Hybride Azure AD-join voor één forest, meerdere Azure AD-tenants
Als u apparaten wilt registreren als hybride Azure AD-join voor respectieve tenants, moeten organisaties ervoor zorgen dat de SCP-configuratie wordt uitgevoerd op de apparaten en niet in AD. Meer informatie over hoe u dit kunt doen, vindt u in het artikel controlled validation of hybrid Azure AD join (Gecontroleerde validatie van hybride Azure AD-join). Het is ook belangrijk voor organisaties om te begrijpen dat bepaalde Azure AD-mogelijkheden niet werken in één forest, meerdere Azure AD-tenantconfiguraties.
- Terugschrijven van apparaat werkt niet. Dit is van invloed op voorwaardelijke toegang op basis van apparaten voor on-premises apps die zijn ge federeerd met ADFS. Dit is ook van invloed Windows Hello voor zakelijke implementatie wanneer u het hybride certificaatvertrouwensmodel gebruikt.
- Terugschrijven van groepen werkt niet. Dit is van invloed op het terugschrijven Office 365 groepen naar een forest met Exchange geïnstalleerd.
- Naadloze eenmalige aanmelding werkt niet. Dit is van invloed op scenario's voor eenmalige aanmelding die organisaties kunnen gebruiken op platformen tussen besturingssystemen en browsers, bijvoorbeeld iOS/Linux met Firefox, Safari en Chrome zonder de extensie Windows 10.
- Hybride Azure AD-join voor Windows apparaten op lager niveau in een beheerde omgeving werkt niet. Hybride Azure AD-join op Windows Server 2012 R2 in een beheerde omgeving vereist bijvoorbeeld naadloze eenmalige aanmelding en omdat naadloze eenmalige aanmelding niet werkt, werkt hybride Azure AD-join voor een dergelijke installatie niet.
- On-premises Azure AD-wachtwoordbeveiliging werkt niet. Dit is van invloed op de mogelijkheid om wachtwoordwijzigingen en gebeurtenissen voor wachtwoord opnieuw instellen uit te voeren op on-premises Active Directory Domain Services-domeincontrollers (AD DS) met dezelfde algemene en aangepaste lijsten met verboden wachtwoorden die zijn opgeslagen in Azure AD.
Aanvullende overwegingen
Zie Apparaatidentiteit en bureaubladvirtualisatie als uw omgeving gebruikmaakt van VDI (Virtual Desktop Infrastructure).
Hybride Azure AD-join wordt ondersteund voor FIPS-compatibele TPM 2.0 en niet voor TPM 1.2. Als uw apparaten compatibel zijn met FIPS TPM 1.2, moet u deze uitschakelen voordat u doorgaat met Hybrid Azure AD Join. Microsoft biedt geen hulpprogramma's voor het uitschakelen van de FIPS-modus voor TPM's, omdat deze afhankelijk is van de TPM-fabrikant. Neem contact op met uw hardware-OEM voor ondersteuning.
Vanaf de Windows 10 1903-release worden TPM's 1.2 niet gebruikt met hybride Azure AD-join en worden apparaten met deze TPM's beschouwd alsof ze geen TPM hebben.
UPN-wijzigingen worden alleen ondersteund vanaf Windows 10 update van 2004. Voor apparaten vóór Windows 10 update van 2004 hebben gebruikers problemen met eenmalige aanmelding en voorwaardelijke toegang op hun apparaten. U kunt dit probleem oplossen door het apparaat los te maken van Azure AD (voer 'dsregcmd /leave' uit met verhoogde bevoegdheden) en weer lid worden (gebeurt automatisch). Gebruikers die zich aanmelden met Windows Hello for Business hebben dit probleem echter niet.
Gecontroleerde validatie van hybride Azure AD-join controleren
Wanneer aan alle vereisten is Windows apparaten automatisch geregistreerd als apparaten in uw Azure AD-tenant. De status van deze apparaat-id's in Azure AD wordt hybride Azure AD-join genoemd. Meer informatie over de concepten die in dit artikel worden behandeld, vindt u in het artikel Inleiding tot apparaatidentiteitsbeheer in Azure Active Directory.
Organisaties willen mogelijk een gecontroleerde validatie van hybride Azure AD-join uitvoeren voordat ze deze in één keer in de hele organisatie kunnen inschakelen. Lees het artikel controlled validation of hybrid Azure AD join (Validatie van hybride Azure AD-join) om te begrijpen hoe u dit kunt doen.
Selecteer uw scenario op basis van uw identiteitsinfrastructuur
Hybride Azure AD-join werkt met zowel beheerde als federatieve omgevingen, afhankelijk van of de UPN routeerbaar of niet-routeerbaar is. Zie de onderkant van de pagina voor de tabel over ondersteunde scenario's.
Beheerde omgeving
Een beheerde omgeving kan worden geïmplementeerd via Wachtwoord-hashsynchronisatie (PHS) of pass-through-verificatie (PTA) met naadloze eengemaakte aanmelding.
Voor deze scenario's is het niet nodig om een federatieve server te configureren voor authenticatie.
Notitie
Cloudverificatie met gefaseerd implementatie wordt alleen ondersteund vanaf Windows 10 update van 1903
Federatief omgeving
Een gefedereerde omgeving moet een id-provider hebben die de volgende vereisten ondersteunt. Als u een gefedereerde omgeving hebt met Active Directory Federation Services (AD FS), worden de onderstaande vereisten al ondersteund.
- WIAORMULTIAUTHN-claim: Deze claim is verwijst voor een hybride Azure AD-koppeling oplossen voor downlevel Windows-apparaten.
- WS-Trust-protocol: Dit protocol is vereist voor de verificatie van Windows Current Hybrid Azure AD gekoppelde apparaten met Azure AD. Wanneer u AD FS gebruikt, moet u de volgende WS-Trust-eind punten inschakelen:
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed
Waarschuwing
Zowel adfs/services/trust/2005/windowstransport als adfs/services/trust/13/windowstransport moeten alleen worden ingeschakeld als intranet-gerichte eindpunten en mogen niet worden blootgesteld als extranet-gerichte eindpunten via de web-toepassingsproxy. Zie voor meer informatie over het uitschakelen van WS-Trust Windows eindpunten Disable WS-Trust Windows endpoints on the proxy. Onder Service > Eindpunten in de AD FS-beheerconsole kunt u zien welke eindpunten zijn ingeschakeld.
Notitie
Azure AD biedt geen ondersteuning voor smartcards of certificaten in beheerde domeinen.
Vanaf versie 1.1.819.0 bevat Azure AD Connect een wizard om hybride Azure AD-koppeling te configureren. Met de wizard kunt u het configuratieproces aanzienlijk vereenvoudigen. Als het installeren van de vereiste versie van Azure AD Verbinding maken geen optie voor u is, zie apparaatregistratie handmatig configureren.
Op basis van het scenario dat overeenkomt met uw identiteitsinfrastructuur, zie:
- Hybride Azure Active Directory configureren voor federatief omgeving
- Hybride Azure Active Directory configureren voor beheerde omgeving
Bekijk upn-ondersteuning van on-premises AD-gebruikers voor hybride Azure AD-join
Soms kunnen de UPN's van uw on-premises AD-gebruikers verschillen van uw Azure AD-UPN's. In dergelijke gevallen biedt Windows 10 Hybrid Azure AD Join beperkte ondersteuning voor on-premises AD UPN's op basis van de verificatiemethode ,het domeintype en Windows 10 versie. Er zijn twee soorten on-premises AD-UPN's die in uw omgeving kunnen bestaan:
- UPN voor routeerbare gebruikers: een routeerbare UPN heeft een geldig geverifieerd domein dat is geregistreerd bij een domeinregistrar. Als een contoso.com het primaire domein in Azure AD is, is contoso.org het primaire domein in on-premises AD dat eigendom is van Contoso en is geverifieerd in Azure AD
- UPN van niet-routeerbare gebruikers: Een niet-routeerbare UPN heeft geen geverifieerd domein. Deze is alleen van toepassing binnen het particuliere netwerk van uw organisatie. Als contoso.com bijvoorbeeld het primaire domein in Azure AD is, is contoso.local het primaire domein in on-premises AD, maar is het geen verifieerbaar domein op internet en wordt het alleen gebruikt binnen het netwerk van Contoso.
Notitie
De informatie in deze sectie is alleen van toepassing op upn van on-premises gebruikers. Het is niet van toepassing op het domeinachtervoegsel van een on-premises computer (bijvoorbeeld: computer1.contoso.local).
De onderstaande tabel bevat details over ondersteuning voor deze on-premises AD UPN's in Windows 10 Hybrid Azure AD Join
| Type of on-premises AD UPN | Domeintype | Windows 10-versie | Description |
|---|---|---|---|
| Routeerbaar | Federatief | Vanaf versie 1703 | Algemeen beschikbaar |
| Niet-routeerbaar | Federatief | Vanaf versie 1803 | Algemeen beschikbaar |
| Routeerbaar | Beheerd | Vanaf versie 1803 | Algemeen beschikbaar, Azure AD SSPR op Windows vergrendelingsscherm wordt niet ondersteund. De on-premises UPN moet worden gesynchroniseerd met het onPremisesUserPrincipalName kenmerk in Azure AD |
| Niet-routeerbaar | Beheerd | Niet ondersteund |