Opties voor Azure AD Connect gebruikers aanmeldingAzure AD Connect user sign-in options

Met Azure Active Directory (Azure AD) Connect kunnen uw gebruikers zich aanmelden bij zowel Cloud-als on-premises resources met behulp van dezelfde wacht woorden.Azure Active Directory (Azure AD) Connect allows your users to sign in to both cloud and on-premises resources by using the same passwords. In dit artikel worden de belangrijkste concepten voor elk identiteits model beschreven, waarmee u de identiteit kunt kiezen die u wilt gebruiken om u aan te melden bij Azure AD.This article describes key concepts for each identity model to help you choose the identity that you want to use for signing in to Azure AD.

Als u al bekend bent met het Azure AD-identiteits model en meer wilt weten over een specifieke methode, raadpleegt u de desbetreffende koppeling:If you’re already familiar with the Azure AD identity model and want to learn more about a specific method, see the appropriate link:

Notitie

Het is belang rijk om te onthouden dat door Federatie te configureren voor Azure AD, u een vertrouwens relatie tot stand brengt tussen uw Azure AD-Tenant en uw federatieve domeinen.It is important to remember that by configuring federation for Azure AD, you establish trust between your Azure AD tenant and your federated domains. Met deze vertrouwens relatie worden federatieve domein gebruikers toegang tot Azure AD-cloud resources binnen de Tenant.With this trust federated domain users will have access to Azure AD cloud resources within the tenant.

De aanmeldings methode voor gebruikers voor uw organisatie kiezenChoosing the user sign-in method for your organization

De eerste beslissing van de implementatie van Azure AD Connect is het kiezen van de verificatie methode die uw gebruikers gebruiken om zich aan te melden.The first decision of implementing Azure AD Connect is choosing which authentication method your users will use to sign in. Het is belang rijk om ervoor te zorgen dat u de juiste methode kiest die voldoet aan de beveiligings-en geavanceerde vereisten van uw organisatie.It's important to make sure you choose the right method that meets your organization's security and advanced requirements. Verificatie is van cruciaal belang omdat de identiteit van de gebruiker wordt gevalideerd om toegang te krijgen tot apps en gegevens in de Cloud.Authentication is critical, because it will validate user's identities to access apps and data in the cloud. Als u de juiste verificatie methode kiest, moet u rekening houden met de tijd, de bestaande infra structuur, de complexiteit en de kosten van de implementatie van uw keuze.To choose the right authentication method, you need to consider the time, existing infrastructure, complexity, and cost of implementing your choice. Deze factoren zijn voor elke organisatie verschillend en kunnen in de loop van de tijd veranderen.These factors are different for every organization and might change over time.

Azure AD biedt ondersteuning voor de volgende verificatie methoden:Azure AD supports the following authentication methods:

  • Cloud authenticatie : wanneer u deze verificatie methode kiest, wordt het verificatie proces door Azure AD afgehandeld voor aanmelding van de gebruiker.Cloud Authentication - When you choose this authentication method Azure AD handles the authentication process for user's sign-in. Met Cloud authenticatie kunt u kiezen uit twee opties:With cloud authentication you can choose from two options:
    • Hash-synchronisatie van wacht woord (PHS) : met wachtwoord-hash-synchronisatie kunnen gebruikers dezelfde gebruikers naam en hetzelfde wacht woord gebruiken als ze on-premises gebruiken zonder dat ze een extra infra structuur hoeven te implementeren naast Azure AD Connect.Password hash synchronization (PHS) - Password Hash Sync enables users to use the same username and password that they use on-premises without having to deploy any additional infrastructure besides Azure AD Connect.
    • Pass-Through-verificatie (PTA) : deze optie is vergelijkbaar met wacht woord-hash-synchronisatie, maar biedt een eenvoudige wachtwoord validatie met behulp van on-premises software-agents voor organisaties met een sterk beveiligings-en nalevings beleid.Pass-through authentication (PTA) - This option is similar to password hash sync, but provides a simple password validation using on-premises software agents for organizations with strong security and compliance policies.
  • Federatieve verificatie : wanneer u deze verificatie methode kiest, wordt het verificatie proces door Azure AD afgeleverd aan een afzonderlijk vertrouwd verificatie systeem, zoals AD FS of een Federatie systeem van derden, om de aanmelding van de gebruiker te valideren.Federated authentication - When you choose this authentication method Azure AD will hand off the authentication process to a separate trusted authentication system, such as AD FS or a third-party federation system, to validate the user's sign-in.

Voor de meeste organisaties die willen aanmelden bij Office 365, SaaS-toepassingen en andere resources op basis van Azure AD, wordt u aangeraden de standaard optie voor het synchroniseren van wacht woord-hashes te gebruiken.For most organizations that just want to enable user sign-in to Office 365, SaaS applications, and other Azure AD-based resources, we recommend the default password hash synchronization option.

Zie voor gedetailleerde informatie over het kiezen van een verificatie methode de juiste verificatie methode voor uw Azure Active Directory hybride identiteits oplossingFor detailed information on choosing an authentication method, see Choose the right authentication method for your Azure Active Directory hybrid identity solution

Wachtwoord-hashsynchronisatiePassword hash synchronization

Hashes van wacht woorden van gebruikers worden gesynchroniseerd van on-premises Active Directory naar Azure AD.With password hash synchronization, hashes of user passwords are synchronized from on-premises Active Directory to Azure AD. Wanneer wacht woorden worden gewijzigd of on-premises opnieuw worden ingesteld, worden de nieuwe wacht woord-hashes onmiddellijk gesynchroniseerd met Azure AD, zodat uw gebruikers altijd hetzelfde wacht woord voor cloud resources en on-premises resources kunnen gebruiken.When passwords are changed or reset on-premises, the new password hashes are synchronized to Azure AD immediately so that your users can always use the same password for cloud resources and on-premises resources. De wacht woorden worden nooit verzonden naar Azure AD of opgeslagen in azure AD als gewone tekst.The passwords are never sent to Azure AD or stored in Azure AD in clear text. U kunt wachtwoord hash synchronisatie samen met het terugschrijven van het wacht woord gebruiken om selfservice voor wachtwoord herstel in te scha kelen in azure AD.You can use password hash synchronization together with password write-back to enable self-service password reset in Azure AD.

Daarnaast kunt u naadloze SSO inschakelen voor gebruikers op computers die lid zijn van een domein in het bedrijfs netwerk.In addition, you can enable Seamless SSO for users on domain-joined machines that are on the corporate network. Met eenmalige aanmelding hoeven gebruikers alleen een gebruikers naam in te voeren om ze veilig toegang te bieden tot cloud resources.With single sign-on, enabled users only need to enter a username to help them securely access cloud resources.

Wachtwoord-hashsynchronisatie

Zie het artikel wacht woord-hash-synchronisatie voor meer informatie.For more information, see the password hash synchronization article.

Pass-through-verificatiePass-through authentication

Met Pass-Through-verificatie wordt het wacht woord van de gebruiker gevalideerd op basis van de on-premises Active Directory controller.With pass-through authentication, the user’s password is validated against the on-premises Active Directory controller. Het wacht woord hoeft in geen enkel vorm aanwezig te zijn in azure AD.The password doesn't need to be present in Azure AD in any form. Dit maakt het mogelijk om on-premises beleid, zoals beperkingen voor aanmeldings tijden, te evalueren tijdens de verificatie van Cloud Services.This allows for on-premises policies, such as sign-in hour restrictions, to be evaluated during authentication to cloud services.

Pass-Through-verificatie maakt gebruik van een eenvoudige agent op een computer die lid is van een Windows Server 2012 R2-domein in de on-premises omgeving.Pass-through authentication uses a simple agent on a Windows Server 2012 R2 domain-joined machine in the on-premises environment. Deze agent luistert naar aanvragen voor wachtwoord validatie.This agent listens for password validation requests. Het is niet vereist dat binnenkomende poorten open zijn op internet.It doesn't require any inbound ports to be open to the Internet.

Daarnaast kunt u eenmalige aanmelding inschakelen voor gebruikers op computers die lid zijn van een domein en die zich in het bedrijfs netwerk bevinden.In addition, you can also enable single sign-on for users on domain-joined machines that are on the corporate network. Met eenmalige aanmelding hoeven gebruikers alleen een gebruikers naam in te voeren om ze veilig toegang te bieden tot cloud resources.With single sign-on, enabled users only need to enter a username to help them securely access cloud resources. Pass-through-verificatiePass-through authentication

Zie voor meer informatie:For more information, see:

Federatie die gebruikmaakt van een nieuwe of bestaande farm met AD FS in Windows Server 2012 R2Federation that uses a new or existing farm with AD FS in Windows Server 2012 R2

Met federatieve aanmelding kunnen uw gebruikers zich aanmelden bij Azure AD-Services met hun on-premises wacht woorden.With federated sign-in, your users can sign in to Azure AD-based services with their on-premises passwords. Hoewel ze zich in het bedrijfs netwerk bevinden, hoeven ze hun wacht woord niet op te geven.While they're on the corporate network, they don't even have to enter their passwords. Met behulp van de optie Federatie met AD FS kunt u een nieuwe of bestaande farm implementeren met AD FS in Windows Server 2012 R2.By using the federation option with AD FS, you can deploy a new or existing farm with AD FS in Windows Server 2012 R2. Als u een bestaande farm opgeeft, configureert Azure AD Connect de vertrouwens relatie tussen uw farm en Azure AD zodat uw gebruikers zich kunnen aanmelden.If you choose to specify an existing farm, Azure AD Connect configures the trust between your farm and Azure AD so that your users can sign in.

Federatie met AD FS in Windows Server 2012 R2

Federation with AD FS in Windows Server 2012 R2

Federatie met AD FS implementeren in Windows Server 2012 R2Deploy federation with AD FS in Windows Server 2012 R2

Als u een nieuwe farm implementeert, hebt u het volgende nodig:If you're deploying a new farm, you need:

  • Een Windows Server 2012 R2-server voor de Federatie server.A Windows Server 2012 R2 server for the federation server.
  • Een Windows Server 2012 R2-server voor de Web Application proxy.A Windows Server 2012 R2 server for the Web Application Proxy.
  • Een. pfx-bestand met één SSL-certificaat voor de naam van de gewenste Federation-service.A .pfx file with one SSL certificate for your intended federation service name. Bijvoorbeeld: fs.contoso.com.For example: fs.contoso.com.

Als u een nieuwe farm implementeert of een bestaande farm gebruikt, hebt u het volgende nodig:If you're deploying a new farm or using an existing farm, you need:

  • Lokale beheerders referenties op uw Federatie servers.Local administrator credentials on your federation servers.
  • Lokale beheerders referenties op alle werkgroepserver (geen lid van een domein) waarop u de rol van de Web Application proxy wilt implementeren.Local administrator credentials on any workgroup servers (not domain-joined) that you intend to deploy the Web Application Proxy role on.
  • De computer waarop u de wizard uitvoert, kan verbinding maken met andere computers waarop u AD FS of Web Application proxy wilt installeren met behulp van Windows Remote Management.The machine that you run the wizard on to be able to connect to any other machines that you want to install AD FS or Web Application Proxy on by using Windows Remote Management.

Zie SSO met AD FS configurerenvoor meer informatie.For more information, see Configuring SSO with AD FS.

Federatie met PingFederateFederation with PingFederate

Met federatieve aanmelding kunnen uw gebruikers zich aanmelden bij Azure AD-Services met hun on-premises wacht woorden.With federated sign-in, your users can sign in to Azure AD-based services with their on-premises passwords. Hoewel ze zich in het bedrijfs netwerk bevinden, hoeven ze hun wacht woord niet op te geven.While they're on the corporate network, they don't even have to enter their passwords.

Zie PingFederate Integration with Azure Active Directory and Office 365 (Engelstalig) voor meer informatie over het configureren van PingFederate voor gebruik met Azure Active Directory.For more information on configuring PingFederate for use with Azure Active Directory, see PingFederate Integration with Azure Active Directory and Office 365

Zie Azure AD Connect aangepaste installatie voor meer informatie over het instellen van Azure AD Connect met behulp van PingFederate.For information on setting up Azure AD Connect using PingFederate, see Azure AD Connect custom installation

Meld u aan met een eerdere versie van AD FS of een oplossing van derdenSign in by using an earlier version of AD FS or a third-party solution

Als u de Cloud aanmelding al hebt geconfigureerd met een eerdere versie van AD FS (zoals AD FS 2,0) of een Federatie provider van derden, kunt u de configuratie van de gebruikers aanmelding overs Laan via Azure AD Connect.If you've already configured cloud sign-in by using an earlier version of AD FS (such as AD FS 2.0) or a third-party federation provider, you can choose to skip user sign-in configuration through Azure AD Connect. Zo kunt u de meest recente synchronisatie en andere mogelijkheden van Azure AD Connect krijgen terwijl u nog steeds uw bestaande oplossing gebruikt voor aanmelding.This will enable you to get the latest synchronization and other capabilities of Azure AD Connect while still using your existing solution for sign-in.

Zie voor meer informatie de ad-compatibiliteits lijst van derden van micro soft Active Directory.For more information, see the Azure AD third-party federation compatibility list.

Aanmelding van gebruikers en user principal nameUser sign-in and user principal name

Wat is user principal name?Understanding user principal name

In Active Directory is het user principal name standaard achtervoegsel (UPN) de DNS-naam van het domein waar het gebruikers account is gemaakt.In Active Directory, the default user principal name (UPN) suffix is the DNS name of the domain where the user account was created. In de meeste gevallen is dit de domein naam die is geregistreerd als het ondernemings domein op internet.In most cases, this is the domain name that's registered as the enterprise domain on the Internet. U kunt echter meer UPN-achtervoegsels toevoegen met behulp van Active Directory domeinen en vertrouwens relaties.However, you can add more UPN suffixes by using Active Directory Domains and Trusts.

De UPN van de gebruiker heeft de indeling username@domain.The UPN of the user has the format username@domain. Voor een Active Directory domein met de naam ' contoso.com ' kan een gebruiker met de naam John bijvoorbeeld de UPNjohn@contoso.com' ' hebben.For example, for an Active Directory domain named "contoso.com", a user named John might have the UPN "john@contoso.com". De UPN van de gebruiker is gebaseerd op RFC 822.The UPN of the user is based on RFC 822. Hoewel de UPN en e-mail dezelfde indeling hebben, kan de waarde van de UPN voor een gebruiker al dan niet hetzelfde zijn als het e-mail adres van de gebruiker.Although the UPN and email share the same format, the value of the UPN for a user might or might not be the same as the email address of the user.

Principal-naam van gebruiker in azure ADUser principal name in Azure AD

De wizard Azure AD Connect gebruikt het kenmerk userPrincipalName of u kunt het kenmerk (in een aangepaste installatie) opgeven dat van on-premises moet worden gebruikt als de user principal name in azure AD.The Azure AD Connect wizard uses the userPrincipalName attribute or lets you specify the attribute (in a custom installation) to be used from on-premises as the user principal name in Azure AD. Dit is de waarde die wordt gebruikt om u aan te melden bij Azure AD.This is the value that is used for signing in to Azure AD. Als de waarde van het kenmerk userPrincipalName niet overeenkomt met een geverifieerd domein in azure AD, wordt dit door Azure AD vervangen door een standaard waarde. onmicrosoft.com.If the value of the userPrincipalName attribute doesn't correspond to a verified domain in Azure AD, then Azure AD replaces it with a default .onmicrosoft.com value.

Elke map in Azure Active Directory wordt geleverd met een ingebouwde domein naam, met de indeling contoso.onmicrosoft.com, waarmee u aan de slag kunt met Azure of andere micro soft-Services.Every directory in Azure Active Directory comes with a built-in domain name, with the format contoso.onmicrosoft.com, that lets you get started using Azure or other Microsoft services. U kunt de aanmeldings ervaring verbeteren en vereenvoudigen door aangepaste domeinen te gebruiken.You can improve and simplify the sign-in experience by using custom domains. Zie uw aangepaste domein naam toevoegen aan Azure Active Directoryvoor meer informatie over aangepaste domein namen in azure AD en het verifiëren van een domein.For information on custom domain names in Azure AD and how to verify a domain, see Add your custom domain name to Azure Active Directory.

Configuratie van aanmelding bij Azure ADAzure AD sign-in configuration

Configuratie van aanmelding bij Azure AD met Azure AD ConnectAzure AD sign-in configuration with Azure AD Connect

De aanmeldings ervaring van Azure AD is afhankelijk van het feit of Azure AD kan overeenkomen met het user principal name achtervoegsel van een gebruiker dat wordt gesynchroniseerd met een van de aangepaste domeinen die worden geverifieerd in de Azure AD-Directory.The Azure AD sign-in experience depends on whether Azure AD can match the user principal name suffix of a user that's being synced to one of the custom domains that are verified in the Azure AD directory. Azure AD Connect biedt hulp bij het configureren van de aanmeldings instellingen voor Azure AD, zodat de aanmeldings ervaring van de gebruiker in de Cloud lijkt op de on-premises ervaring.Azure AD Connect provides help while you configure Azure AD sign-in settings, so that the user sign-in experience in the cloud is similar to the on-premises experience.

Azure AD Connect geeft een lijst van de UPN-achtervoegsels die zijn gedefinieerd voor de domeinen en probeert deze te koppelen aan een aangepast domein in azure AD.Azure AD Connect lists the UPN suffixes that are defined for the domains and tries to match them with a custom domain in Azure AD. Vervolgens helpt u met de juiste actie die moet worden uitgevoerd.Then it helps you with the appropriate action that needs to be taken. Op de aanmeldings pagina van Azure AD worden de UPN-achtervoegsels vermeld die zijn gedefinieerd voor on-premises Active Directory en wordt de bijbehorende status voor elk achtervoegsel weer gegeven.The Azure AD sign-in page lists the UPN suffixes that are defined for on-premises Active Directory and displays the corresponding status against each suffix. De status waarden kunnen een van de volgende zijn:The status values can be one of the following:

StatusState DescriptionDescription Actie vereistAction needed
GeverifieerdVerified Azure AD Connect heeft een overeenkomend gecontroleerd domein gevonden in azure AD.Azure AD Connect found a matching verified domain in Azure AD. Alle gebruikers voor dit domein kunnen zich aanmelden met behulp van hun on-premises referenties.All users for this domain can sign in by using their on-premises credentials. U hoeft geen actie te ondernemen.No action is needed.
Niet geverifieerdNot verified Azure AD Connect heeft een overeenkomend aangepast domein gevonden in azure AD, maar dit is niet geverifieerd.Azure AD Connect found a matching custom domain in Azure AD, but it isn't verified. Het UPN-achtervoegsel van de gebruikers van dit domein wordt gewijzigd in het default. onmicrosoft.com-achtervoegsel na synchronisatie als het domein niet is geverifieerd.The UPN suffix of the users of this domain will be changed to the default .onmicrosoft.com suffix after synchronization if the domain isn't verified. Controleer het aangepaste domein in azure AD.Verify the custom domain in Azure AD.
Niet toegevoegdNot added Azure AD Connect heeft geen aangepast domein gevonden dat overeenkomt met het UPN-achtervoegsel.Azure AD Connect didn't find a custom domain that corresponded to the UPN suffix. Het UPN-achtervoegsel van de gebruikers van dit domein wordt gewijzigd in het achtervoegsel default. onmicrosoft.com als het domein niet is toegevoegd en geverifieerd in Azure.The UPN suffix of the users of this domain will be changed to the default .onmicrosoft.com suffix if the domain isn't added and verified in Azure. Voeg en verifieer een aangepast domein dat overeenkomt met het UPN-achtervoegsel.Add and verify a custom domain that corresponds to the UPN suffix.

Op de aanmeldings pagina van Azure AD worden de UPN-achtervoegsels vermeld die zijn gedefinieerd voor on-premises Active Directory en het bijbehorende aangepaste domein in azure AD met de huidige verificatie status.The Azure AD sign-in page lists the UPN suffixes that are defined for on-premises Active Directory and the corresponding custom domain in Azure AD with the current verification status. In een aangepaste installatie kunt u nu het kenmerk voor de user principal name op de aanmeldings pagina van Azure AD selecteren.In a custom installation, you can now select the attribute for the user principal name on the Azure AD sign-in page.

Aanmeldings pagina voor Azure AD

U kunt op de knop Vernieuwen klikken om de meest recente status van de aangepaste domeinen opnieuw op te halen uit Azure AD.You can click the refresh button to re-fetch the latest status of the custom domains from Azure AD.

Het kenmerk voor de user principal name in azure AD selecterenSelecting the attribute for the user principal name in Azure AD

Het kenmerk userPrincipalName is het kenmerk dat gebruikers gebruiken wanneer ze zich aanmelden bij Azure AD en Office 365.The attribute userPrincipalName is the attribute that users use when they sign in to Azure AD and Office 365. Controleer de domeinen (ook wel bekend als UPN-achtervoegsels) die worden gebruikt in azure AD voordat de gebruikers worden gesynchroniseerd.You should verify the domains (also known as UPN suffixes) that are used in Azure AD before the users are synchronized.

We raden u ten zeerste aan het standaard kenmerk userPrincipalName te hand haven.We strongly recommend that you keep the default attribute userPrincipalName. Als dit kenmerk nonroutable is en niet kan worden geverifieerd, is het mogelijk om een ander kenmerk (bijvoorbeeld e-mail) te selecteren als het kenmerk dat de aanmeldings-ID bevat.If this attribute is nonroutable and can't be verified, then it's possible to select another attribute (email, for example) as the attribute that holds the sign-in ID. Dit wordt ook wel de alternatieve ID genoemd.This is known as the Alternate ID. De waarde van het kenmerk alternatieve ID moet voldoen aan de RFC 822-norm.The Alternate ID attribute value must follow the RFC 822 standard. U kunt een alternatieve ID met zowel wachtwoord-SSO als Federatie-SSO gebruiken als de aanmeldings oplossing.You can use an Alternate ID with both password SSO and federation SSO as the sign-in solution.

Notitie

Het gebruik van een alternatieve ID is niet compatibel met alle Office 365-workloads.Using an Alternate ID isn't compatible with all Office 365 workloads. Zie Configuring Alternate login id(Engelstalig) voor meer informatie.For more information, see Configuring Alternate Login ID.

Verschillende aangepaste domein statussen en hun effect op de Azure-aanmeldings ervaringDifferent custom domain states and their effect on the Azure sign-in experience

Het is belang rijk dat u de relatie tussen de aangepaste domein statussen in uw Azure AD-Directory en de UPN-achtervoegsels die on-premises zijn gedefinieerd begrijpt.It's very important to understand the relationship between the custom domain states in your Azure AD directory and the UPN suffixes that are defined on-premises. Laten we de verschillende mogelijke Azure-aanmeldings ervaringen door lopen wanneer u synchronisatie instelt met behulp van Azure AD Connect.Let's go through the different possible Azure sign-in experiences when you're setting up synchronization by using Azure AD Connect.

Voor de volgende informatie wordt ervan uitgegaan dat we het UPN-achtervoegsel contoso.com, dat wordt gebruikt in de on-premises Directory als onderdeel van de UPN--bijvoorbeeld user@contoso.com.For the following information, let's assume that we're concerned with the UPN suffix contoso.com, which is used in the on-premises directory as part of UPN--for example user@contoso.com.

Snelle instellingen/wachtwoord-hash-synchronisatieExpress settings/Password hash synchronization
StatusState Gevolgen voor de aanmeldings ervaring van de gebruiker met AzureEffect on user Azure sign-in experience
Niet toegevoegdNot added In dit geval is er geen aangepast domein voor contoso.com toegevoegd aan de Azure AD-adres lijst.In this case, no custom domain for contoso.com has been added in the Azure AD directory. Gebruikers met UPN on-premises met het achtervoegsel @contoso.com kunnen hun lokale UPN niet gebruiken om zich aan te melden bij Azure.Users who have UPN on-premises with the suffix @contoso.com won't be able to use their on-premises UPN to sign in to Azure. Ze moeten in plaats daarvan een nieuwe UPN gebruiken die door Azure AD wordt geleverd door het achtervoegsel voor de standaard Azure AD-adres lijst toe te voegen.They'll instead have to use a new UPN that's provided to them by Azure AD by adding the suffix for the default Azure AD directory. Als u bijvoorbeeld gebruikers synchroniseert met de Azure AD-adres lijst azurecontoso.onmicrosoft.com, krijgt de lokale gebruiker user@contoso.com een UPN van. user@azurecontoso.onmicrosoft.comFor example, if you're syncing users to the Azure AD directory azurecontoso.onmicrosoft.com, then the on-premises user user@contoso.com will be given a UPN of user@azurecontoso.onmicrosoft.com.
Niet geverifieerdNot verified In dit geval hebben we een aangepast domein contoso.com dat wordt toegevoegd aan de Azure AD-adres lijst.In this case, we have a custom domain contoso.com that's added in the Azure AD directory. Het is echter nog niet geverifieerd.However, it's not yet verified. Als u de synchronisatie van gebruikers verloopt zonder het domein te verifiëren, worden de gebruikers een nieuwe UPN toegewezen door Azure AD, net als in het scenario ' niet toegevoegd '.If you go ahead with syncing users without verifying the domain, then the users will be assigned a new UPN by Azure AD, just like in the "Not added" scenario.
GeverifieerdVerified In dit geval hebben we een aangepast domein contoso.com dat al is toegevoegd en gecontroleerd in azure AD voor het UPN-achtervoegsel.In this case, we have a custom domain contoso.com that's already added and verified in Azure AD for the UPN suffix. Gebruikers kunnen hun lokale User Principal name gebruiken om zich bijvoorbeeld user@contoso.comaan te melden bij Azure nadat ze zijn gesynchroniseerd met Azure AD.Users will be able to use their on-premises user principal name, for example user@contoso.com, to sign in to Azure after they're synced to Azure AD.
AD FS federatieAD FS federation

U kunt geen Federatie maken met het default. onmicrosoft.com-domein in azure AD of een niet-geverifieerd aangepast domein in azure AD.You can't create a federation with the default .onmicrosoft.com domain in Azure AD or an unverified custom domain in Azure AD. Wanneer u de wizard Azure AD Connect uitvoert en u een niet-geverifieerd domein selecteert voor het maken van een Federatie met, wordt u in Azure AD Connect gevraagd om de benodigde records die moeten worden gemaakt waarbij uw DNS wordt gehost voor het domein.When you're running the Azure AD Connect wizard, if you select an unverified domain to create a federation with, then Azure AD Connect prompts you with the necessary records to be created where your DNS is hosted for the domain. Zie voor meer informatie controleren van het Azure AD-domein dat is geselecteerd voor Federatie.For more information, see Verify the Azure AD domain selected for federation.

Als u de optie Federatie gebruiker aanmelden hebt geselecteerd met AD FS, moet u een aangepast domein hebben om door te gaan met het maken van een Federatie in azure AD.If you selected the user sign-in option Federation with AD FS, then you must have a custom domain to continue creating a federation in Azure AD. Voor onze discussie betekent dit dat er een aangepast domein contoso.com is toegevoegd aan de Azure AD-adres lijst.For our discussion, this means that we should have a custom domain contoso.com added in the Azure AD directory.

StatusState Gevolgen voor de aanmeldings ervaring van de gebruiker met AzureEffect on the user Azure sign-in experience
Niet toegevoegdNot added In dit geval heeft Azure AD Connect geen overeenkomend aangepast domein gevonden voor het UPN-achtervoegsel contoso.com in de Azure AD-adres lijst.In this case, Azure AD Connect didn't find a matching custom domain for the UPN suffix contoso.com in the Azure AD directory. U moet een aangepast domein contoso.com toevoegen als u gebruikers wilt aanmelden met behulp van AD FS met hun lokale UPN (zoals user@contoso.com).You need to add a custom domain contoso.com if you need users to sign in by using AD FS with their on-premises UPN (like user@contoso.com).
Niet geverifieerdNot verified In dit geval vraagt Azure AD Connect u de juiste informatie over hoe u uw domein in een later stadium kunt controleren.In this case, Azure AD Connect prompts you with appropriate details on how you can verify your domain at a later stage.
GeverifieerdVerified In dit geval kunt u door gaan met de configuratie zonder verdere actie.In this case, you can go ahead with the configuration without any further action.

De aanmeldings methode van de gebruiker wijzigenChanging the user sign-in method

U kunt de aanmeldings methode voor gebruikers wijzigen vanuit Federatie, synchronisatie van wacht woord-hashes of Pass-Through-verificatie met behulp van de taken die beschikbaar zijn in Azure AD Connect na de eerste configuratie van Azure AD Connect met de wizard.You can change the user sign-in method from federation, password hash synchronization, or pass-through authentication by using the tasks that are available in Azure AD Connect after the initial configuration of Azure AD Connect with the wizard. Voer de wizard Azure AD Connect opnieuw uit en u ziet een lijst met taken die u kunt uitvoeren.Run the Azure AD Connect wizard again, and you'll see a list of tasks that you can perform. Selecteer gebruiker aanmelden wijzigen in de lijst met taken.Select Change user sign-in from the list of tasks.

Gebruikersaanmelding wijzigen

Op de volgende pagina wordt u gevraagd de referenties voor Azure AD op te geven.On the next page, you're asked to provide the credentials for Azure AD.

Verbinding maken met Azure AD

Selecteer op de aanmeldings pagina van de gebruiker de aanmeldings locatie van de gewenste gebruiker.On the User sign-in page, select the desired user sign-in.

Verbinding maken met Azure AD

Notitie

Als u alleen een tijdelijke switch maakt voor wachtwoord-hash-synchronisatie, schakelt u het selectie vakje gebruikers accounts niet converteren in.If you're only making a temporary switch to password hash synchronization, then select the Do not convert user accounts check box. Als u de optie niet inschakelt, wordt elke gebruiker naar gefedereerde geconverteerd en kan dit enkele uren duren.Not checking the option will convert each user to federated, and it can take several hours.

Volgende stappenNext steps