Hybride deelname van Microsoft Entra configureren

Door uw apparaten naar Microsoft Entra ID te brengen, wordt de productiviteit van gebruikers gemaximaliseerd via eenmalige aanmelding (SSO) in uw cloud- en on-premises resources. U kunt de toegang tot uw resources beveiligen met voorwaardelijke toegang.

Vereisten

• Microsoft Entra Verbinding maken versie 1.1.819.0 of hoger.
  • Sluit de standaardapparaatkenmerken niet uit van uw Microsoft Entra Verbinding maken Sync-configuratie. Zie Kenmerken die zijn gesynchroniseerd door Microsoft Entra Verbinding maken voor meer informatie over standaardapparaatkenmerken die zijn gesynchroniseerd met Microsoft Entra-id.
  • Als de computerobjecten van de apparaten waarvan u hybride lid wilt zijn van Microsoft Entra, deel uitmaken van specifieke organisatie-eenheden (OE's), configureert u de juiste OE's die moeten worden gesynchroniseerd in Microsoft Entra Verbinding maken. Zie Filteren op basis van organisatie-eenheden voor meer informatie over het synchroniseren van computerobjecten met behulp van Microsoft Entra Verbinding maken.
• Globale Beheer istratorreferenties voor uw Microsoft Entra-tenant.
• Referenties van ondernemingsbeheerder voor elk van de on-premises Active Directory Domain Services-forests.
• (Voor federatieve domeinen) Ten minste Windows Server 2012 R2 waarop Active Directory Federation Services is geïnstalleerd.
• Gebruikers kunnen hun apparaten registreren bij Microsoft Entra ID. Meer informatie over deze instelling vindt u onder de kop Apparaatinstellingen configureren in het artikel Apparaatinstellingen configureren.

Vereisten voor netwerkconnectiviteit

Voor hybride Microsoft Entra-koppeling moeten apparaten toegang tot de volgende Microsoft-bronnen hebben vanuit het netwerk van uw organisatie:

• https://enterpriseregistration.windows.net
• https://login.microsoftonline.com
• https://device.login.microsoftonline.com
• https://autologon.microsoftazuread-sso.com (Als u naadloze eenmalige aanmelding gebruikt of wilt gebruiken)
• De STS (beveiligingstokenservice) van uw organisatie (voor federatieve domeinen)

Als uw organisatie toegang tot internet vereist via een uitgaande proxy, kunt u WPAD (Web Proxy Auto-Discovery) gebruiken om Windows 10- of nieuwere computers in te schakelen voor apparaatregistratie met Microsoft Entra ID. Zie Troubleshooting Automatic Detection (Problemen met automatische detectie oplossen) als u problemen ondervindt met het configureren en beheren van WPAD.

Als u WPAD niet gebruikt, kunt u WinHTTP-proxy-instellingen op uw computer configureren met een groepsbeleidsobject (GPO) vanaf Windows 10 1709. Zie WinHTTP Proxy Settings deployed by GPO (WinHTTP-proxyinstellingen geïmplementeerd door GPO) voor meer informatie.

Als uw organisatie internettoegang via een geverifieerde uitgaande proxy vereist, moet u ervoor zorgen dat uw computers met Windows 10 of hoger kunnen verifiëren naar de uitgaande proxy. Omdat computers met Windows 10 of hoger apparaatregistratie uitvoeren via machinecontext, moet u verificatie naar een uitgaande proxy configureren via machinecontext. Vraag uw provider van de uitgaande proxy naar de configuratievereisten.

Controleer of apparaten toegang hebben tot de vereiste Microsoft-resources onder het systeemaccount door het script Test Device Registration Connectivity te gebruiken.

Beheerde domeinen

We denken dat de meeste organisaties hybride deelname van Microsoft Entra implementeren met beheerde domeinen. Beheerde domeinen gebruiken wachtwoord-hashsynchronisatie (PHS) of passthrough-verificatie (PTA) met naadloze eenmalige aanmelding. Voor scenario's met een beheerd domein is het configureren van een federatieserver niet vereist.

Hybride deelname van Microsoft Entra configureren met behulp van Microsoft Entra Verbinding maken voor een beheerd domein:

1. Open Microsoft Entra Verbinding maken en selecteer vervolgens Configureren.

2. Selecteer bij Extra taken de optie Apparaatopties configureren en selecteer daarna Volgende.

3. Selecteer Volgende in Overzicht.

4. Voer in Verbinding maken naar Microsoft Entra-id de referenties in van een Globale Beheer istrator van uw Microsoft Entra-tenant.

5. Selecteer in Apparaatopties de optie Hybride deelname van Microsoft Entra configureren en selecteer vervolgens Volgende.

6. Selecteer bij Apparaatbesturingssystemen de besturingssystemen die worden gebruikt door apparaten in uw Active Directory-omgeving en selecteer Volgende.

7. Voer in de SCP-configuratie voor elk forest waar u Wilt dat Microsoft Entra Verbinding maken een serviceverbindingspunt (SCP) te configureren, de volgende stappen uit en selecteer vervolgens Volgende.

   1. Selecteer de forest.
   2. Selecteer een verificatieservice.
   3. Selecteer Toevoegen om de referenties van een ondernemingsbeheerder in te voeren.

   

8. Selecteer bij Klaar om te configureren de optie Configureren.

9. Selecteer bij Configuratie voltooid de optie Afsluiten.

Federatieve domeinen

Een gefedereerde omgeving moet een id-provider hebben die de volgende vereisten ondersteunt. Als u een gefedereerde omgeving hebt met Active Directory Federation Services (AD FS), worden de onderstaande vereisten al ondersteund.

• WIAORMULTIAUTHN-claim: deze claim is vereist om Hybride Join van Microsoft Entra uit te voeren voor downlevel Windows-apparaten.
• WS-Trust-protocol: dit protocol is vereist voor het verifiëren van windows huidige hybride apparaten van Microsoft Entra met Microsoft Entra ID. Wanneer u AD FS gebruikt, moet u de volgende WS-Trust-eindpunten inschakelen:
  • /adfs/services/trust/2005/windowstransport
  • /adfs/services/trust/13/windowstransport
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/services/trust/13/usernamemixed
  • /adfs/services/trust/2005/certificatemixed
  • /adfs/services/trust/13/certificatemixed

Hybride deelname van Microsoft Entra configureren met behulp van Microsoft Entra Verbinding maken voor een federatieve omgeving:

1. Open Microsoft Entra Verbinding maken en selecteer vervolgens Configureren.

2. Selecteer op de pagina Extra taken de optie Apparaatopties configureren en selecteer Volgende.

3. Selecteer Volgende op de pagina Overzicht.

4. Voer op de pagina Verbinding maken microsoft-entra-id de referenties in van een globale Beheer istrator van uw Microsoft Entra-tenant en selecteer vervolgens Volgende.

5. Selecteer op de pagina Apparaatopties de optie Hybride deelname van Microsoft Entra configureren en selecteer vervolgens Volgende.

6. Voer op de pagina SCP de volgende stappen uit en selecteer Volgende:

   1. Selecteer de forest.
   2. Selecteer de verificatieservice. U moet AD FS-server selecteren, tenzij uw organisatie exclusief Windows 10- of nieuwere clients heeft en u computer-/apparaatsynchronisatie configureert of uw organisatie naadloze eenmalige aanmelding gebruikt.
   3. Selecteer Toevoegen om de referenties van een ondernemingsbeheerder in te voeren.

   

7. Selecteer op de pagina Apparaatbesturingssystemen de besturingssystemen die worden gebruikt door de apparaten in uw Active Directory-omgeving en selecteer Volgende.

8. Voer op de pagina Federatieconfiguratie de referenties van uw AD FS-beheerder in en selecteer Volgende.

9. Selecteer op de pagina Gereed om te configureren op Configureren.

10. Selecteer de pagina Configuratie voltooid op Afsluiten.

Waarschuwingen voor federaties

Met Windows 10 1803 of hoger, als onmiddellijk een hybride join van Microsoft Entra voor een federatieve omgeving met AD FS mislukt, vertrouwen we op Microsoft Entra Verbinding maken om het computerobject in Microsoft Entra-id te synchroniseren om de apparaatregistratie voor Hybride Join van Microsoft Entra te voltooien.

Andere scenario's

Organisaties kunnen hybride deelname van Microsoft Entra testen op een subset van hun omgeving vóór een volledige implementatie. De stappen voor het voltooien van een doelimplementatie vindt u in het artikel Microsoft Entra hybrid join targeted deployment. Organisaties moeten een representatieve groep van gebruikers met verschillende rollen en profielen in deze testgroep opnemen. Een gerichte implementatie helpt bij het identificeren van eventuele problemen die uw plan mogelijk niet aanpakt voordat u de hele organisatie inschakelt.

Sommige organisaties kunnen mogelijk geen Microsoft Entra-Verbinding maken gebruiken om AD FS te configureren. De stappen voor het handmatig configureren van de claims vindt u in het artikel Hybride deelname van Microsoft Entra handmatig configureren.

Cloud voor de Amerikaanse overheid (inclusief GCCHigh en DoD)

Voor organisaties in Azure Government is voor hybride deelname van Microsoft Entra vereist dat apparaten toegang hebben tot de volgende Microsoft-resources vanuit het netwerk van uw organisatie:

• https://enterpriseregistration.windows.netandhttps://enterpriseregistration.microsoftonline.us
• https://login.microsoftonline.us
• https://device.login.microsoftonline.us
• https://autologon.microsoft.us (Als u naadloze eenmalige aanmelding gebruikt of wilt gebruiken)

Problemen met hybride deelname van Microsoft Entra oplossen

Als u problemen ondervindt met het voltooien van hybride deelname aan Microsoft Entra voor Windows-apparaten die lid zijn van een domein, raadpleegt u:

• Problemen met apparaten oplossen met behulp van de dsregcmd-opdracht
• Problemen met hybride deelname van Microsoft Entra voor huidige Windows-apparaten oplossen
• Problemen met hybride deelname van Microsoft Entra voor downlevel Windows-apparaten oplossen
• Problemen met status 'apparaat in behandeling' oplossen

Gerelateerde inhoud

• Verificatie van hybride deelname van Microsoft Entra
• Voorwaardelijke toegang gebruiken om compatibel of hybride gekoppelde Microsoft Entra-apparaten te vereisen
• Een Windows Hello voor Bedrijven-implementatie plannen