Migreren naar cloudverificatie met gefaseerde implementatie

Met gefaseerde implementatie kunt u selectief groepen gebruikers testen met mogelijkheden voor cloudverificatie, zoals Meervoudige verificatie van Microsoft Entra, Voorwaardelijke toegang, Identiteitsbeveiliging voor gelekte referenties, Identiteitsbeheer en andere, voordat u uw domeinen oversijpt. In dit artikel wordt beschreven hoe u de overstap maakt.

Voordat u met de gefaseerde implementatie begint, moet u rekening houden met de gevolgen als aan een of meer van de volgende voorwaarden wordt voldaan:

• U gebruikt momenteel een on-premises Multi-Factor Authentication-server.
• U gebruikt smartcards voor verificatie.
• Uw huidige server biedt bepaalde functies die alleen federatief zijn.
• U stapt over van een federatieoplossing van derden naar beheerde services.

Voordat u deze functie probeert, raden we u aan onze handleiding te bekijken over het kiezen van de juiste verificatiemethode. Zie de tabel 'Methoden vergelijken' in De juiste verificatiemethode kiezen voor uw hybride identiteitsoplossing van Microsoft Entra voor meer informatie.

Bekijk deze video 'Wat is gefaseerde implementatie?' voor een overzicht van de functie:

Vereisten

• U hebt een Microsoft Entra-tenant met federatieve domeinen.

• U hebt besloten een van de volgende opties te verplaatsen:

  • Wachtwoord-hashsynchronisatie (sync). Zie Wat is wachtwoord-hashsynchronisatie? voor meer informatie.
  • Pass-through-verificatie Zie Wat is passthrough-verificatie? voor meer informatie.
  • CBA-instellingen (Microsoft Entra Certificate-Based Authentication). Zie Overzicht van verificatie op basis van Microsoft Entra-certificaten voor meer informatie

  Voor beide opties raden we u aan eenmalige aanmelding (SSO) in te schakelen voor aanmelding op de achtergrond. Voor Windows 7 of 8.1 domein-gekoppelde apparaten raden we u aan naadloze SSO te gebruiken. Zie Wat is naadloze SSO? voor meer informatie. Voor Windows 10- en Windows Server 2016- en latere versies is het raadzaam om eenmalige aanmelding te gebruiken via primair vernieuwingstoken (PRT) met aan Microsoft Entra gekoppelde apparaten, hybride apparaten van Microsoft Entra of persoonlijke geregistreerde apparaten via Werk- of schoolaccount toevoegen.

• U hebt alle juiste tenant-huisstijl en beleidsregels voor voorwaardelijke toegang geconfigureerd die u nodig hebt voor gebruikers die worden gemigreerd naar cloudverificatie.

• Als u bent overgestapt van federatieve naar cloudverificatie, moet u controleren of de DirSync-instelling SynchronizeUpnForManagedUsers is ingeschakeld, anders staat Microsoft Entra-id synchronisatie-updates voor de UPN of alternatieve aanmeldings-id niet toe voor gelicentieerde gebruikersaccounts die gebruikmaken van beheerde verificatie. Zie Microsoft Entra Verbinding maken Sync-servicefuncties voor meer informatie.

• Als u van plan bent om meervoudige verificatie van Microsoft Entra te gebruiken, raden we u aan gecombineerde registratie te gebruiken voor selfservice voor wachtwoordherstel (SSPR) en meervoudige verificatie , zodat uw gebruikers hun verificatiemethoden eenmalig kunnen registreren. Opmerking: wanneer u SSPR gebruikt om het wachtwoord opnieuw in te stellen of het wachtwoord te wijzigen met behulp van de pagina MyProfile tijdens de gefaseerde implementatie, moet Microsoft Entra Verbinding maken de nieuwe wachtwoordhash synchroniseren die maximaal 2 minuten na het opnieuw instellen kan duren.

• Als u de functie Gefaseerde implementatie wilt gebruiken, moet u een hybride identiteit Beheer istrator voor uw tenant zijn.

• Als u naadloze SSO wilt inschakelen voor een specifiek Active Directory-forest, moet u een domeinbeheerder zijn.

• Als u hybrid Microsoft Entra ID of Microsoft Entra join implementeert, moet u een upgrade uitvoeren naar de Windows 10 1903-update.

Ondersteunde scenario's

De volgende scenario's worden ondersteund voor gefaseerde implementatie. De functie werkt alleen voor:

• Gebruikers die zijn ingericht voor Microsoft Entra-id met behulp van Microsoft Entra Verbinding maken. Dit geldt niet voor gebruikers in de cloud.

• Gebruikersaanmeldingsverkeer in browsers en clients met moderne verificatie. Toepassingen of cloudservices die gebruikmaken van verouderde verificatie vallen terug op federatieve verificatiestromen. Een voorbeeld van verouderde verificatie kan Exchange Online zijn met moderne verificatie uitgeschakeld of Outlook 2010, dat geen ondersteuning biedt voor moderne verificatie.

• De groepsgrootte is momenteel beperkt tot 50.000 gebruikers. Als u groepen hebt die groter zijn dan 50.000 gebruikers, is het raadzaam om deze groep te splitsen over meerdere groepen voor gefaseerde implementatie.

• Windows 10 Hybrid Join of Microsoft Entra join primary refresh token acquisition without line-of-sight to the federation server for Windows 10 version 1903 and newer, when user's UPN is routeerbaar en domeinachtervoegsel wordt geverifieerd in Microsoft Entra ID.

• Autopilot-inschrijving wordt ondersteund in gefaseerde implementatie met Windows 10 versie 1909 of hoger.

Niet-ondersteunde scenario's

De volgende scenario's worden niet ondersteund voor gefaseerde implementatie:

• Verouderde verificatie, zoals POP3 en SMTP, worden niet ondersteund.

• Bepaalde toepassingen verzenden de queryparameter 'domain_hint' naar Microsoft Entra-id tijdens verificatie. Deze stromen worden voortgezet en gebruikers die zijn ingeschakeld voor gefaseerde implementatie, blijven federatie gebruiken voor verificatie.

• Beheerders kunnen cloudverificatie implementeren met behulp van beveiligingsgroepen. Om synchronisatielatentie te voorkomen wanneer u on-premises Active Directory-beveiligingsgroepen gebruikt, raden we u aan cloudbeveiligingsgroepen te gebruiken. De volgende voorwaarden zijn van toepassing:

  • U kunt maximaal 10 groepen per functie gebruiken. Dat wil zeggen, u kunt 10 groepen gebruiken voor wachtwoord-hashsynchronisatie, 10 groepen voor passthrough-verificatie en 10 groepen voor naadloze SSO.
  • Geneste groepen worden niet ondersteund.
  • Dynamische groepen worden niet ondersteund voor gefaseerde implementatie.
  • Contactobjecten in de groep blokkeren dat de groep wordt toegevoegd.

• Wanneer u voor het eerst een beveiligingsgroep toevoegt voor gefaseerde implementatie, bent u beperkt tot 200 gebruikers om een UX-time-out te voorkomen. Nadat u de groep hebt toegevoegd, kunt u naar behoefte meer gebruikers rechtstreeks aan de groep toevoegen.

• Terwijl gebruikers zich in gefaseerde implementatie bevinden met wachtwoord-hashsynchronisatie (PHS), wordt er standaard geen wachtwoordverloop toegepast. Wachtwoordverloop kan worden toegepast door CloudPasswordPolicyForPasswordSyncedUsersEnabled in te schakelen. Wanneer 'CloudPasswordPolicyForPasswordSyncedUsersEnabled' is ingeschakeld, wordt het wachtwoordverloopbeleid ingesteld op 90 dagen vanaf het moment dat het wachtwoord on-premises is ingesteld zonder optie om het aan te passen. Het kenmerk PasswordPolicies wordt programmatisch bijgewerkt en wordt niet ondersteund terwijl gebruikers zich in gefaseerde implementatie bevinden. Zie Wachtwoordverloopbeleid voor informatie over het instellen van CloudPasswordPolicyForPasswordSyncedUsersEnabled.

• Windows 10 Hybrid Join of Microsoft Entra join primary refresh token acquisition for Windows 10 version ouder dan 1903. Dit scenario valt terug op het WS-Trust-eindpunt van de federatieserver, zelfs als de gebruiker zich aanmeldt binnen het bereik van de gefaseerde implementatie.

• Windows 10 Hybrid Join of Microsoft Entra join primary refresh token acquisition for all versions, when user's on-premises UPN is niet routeerbaar. Dit scenario valt terug op het WS-Trust-eindpunt in de gefaseerde implementatiemodus, maar werkt niet meer wanneer de gefaseerde migratie is voltooid en gebruikersaanmelding niet meer afhankelijk is van de federatieserver.

• Als u een niet-persistente VDI-installatie hebt met Windows 10, versie 1903 of hoger, moet u een federatief domein blijven gebruiken. Verplaatsen naar een beheerd domein wordt niet ondersteund op niet-persistente VDI. Zie Apparaatidentiteit en bureaubladvirtualisatie voor meer informatie.

• Als u een Windows Hello voor Bedrijven hybride certificaatvertrouwensrelatie hebt met certificaten die zijn uitgegeven via uw federatieserver en fungeren als registratie-instantie of smartcardgebruikers, wordt het scenario niet ondersteund voor een gefaseerde implementatie.

  Notitie

  U moet nog steeds de laatste cutover maken van federatieve naar cloudverificatie met behulp van Microsoft Entra Verbinding maken of PowerShell. Gefaseerde implementatie schakelt niet over van federatieve naar beheerde domeinen. Zie Migreren van federatie naar wachtwoord-hashsynchronisatie en Migreren van federatie naar passthrough-verificatie voor meer informatie over domein-cutover.

Aan de slag met gefaseerde implementatie

Als u de aanmelding voor wachtwoord-hashsynchronisatie wilt testen met behulp van gefaseerde implementatie, volgt u de instructies in de volgende sectie.

Zie Microsoft Entra ID 2.0 preview voor informatie over welke PowerShell-cmdlets moeten worden gebruikt.

Voorbereiding voor wachtwoord-hashsynchronisatie

1. Schakel wachtwoordhashsynchronisatie in vanaf de pagina Optionele functies in Microsoft Entra Verbinding maken. 

   

2. Zorg ervoor dat een volledige synchronisatiecyclus voor wachtwoordhash is uitgevoerd, zodat alle wachtwoordhashes van de gebruikers zijn gesynchroniseerd met Microsoft Entra-id. Als u de status van wachtwoord-hashsynchronisatie wilt controleren, kunt u de diagnostische gegevens van PowerShell gebruiken in Wachtwoord-hashsynchronisatie oplossen met Microsoft Entra Verbinding maken Sync.

   

Als u passthrough-verificatie-aanmelding wilt testen met behulp van gefaseerde implementatie, schakelt u deze in door de instructies in de volgende sectie te volgen.

Voorbereiding voor passthrough-verificatie

1. Identificeer een server waarop Windows Server 2012 R2 of hoger wordt uitgevoerd, waar u de agent voor passthrough-verificatie wilt uitvoeren.

   Kies niet de Microsoft Entra Verbinding maken-server. Zorg ervoor dat de server lid is van een domein, kan geselecteerde gebruikers verifiëren met Active Directory en kan communiceren met Microsoft Entra-id op uitgaande poorten en URL's. Zie de sectie 'Stap 1: De vereisten controleren' van quickstart: Naadloze eenmalige aanmelding van Microsoft Entra voor meer informatie.

2. Download de Microsoft Entra Verbinding maken verificatieagent en installeer deze op de server. 

3. Als u hoge beschikbaarheid wilt inschakelen, installeert u extra verificatieagents op andere servers.

4. Zorg ervoor dat u uw instellingen voor slimme vergrendeling op de juiste manier hebt geconfigureerd. Dit helpt te verzekeren dat de on-premises Active Directory-accounts van uw gebruikers niet worden vergrendeld door kwaadwillende actoren.

We raden u aan naadloze SSO in te schakelen, ongeacht de aanmeldingsmethode (wachtwoord-hashsynchronisatie of passthrough-verificatie) die u selecteert voor gefaseerde implementatie. Volg de instructies in de volgende sectie om naadloze eenmalige aanmelding in te schakelen.

Voorbereiding voor naadloze eenmalige aanmelding

Schakel naadloze SSO in voor de Active Directory-forests met behulp van PowerShell. Als u meer dan één Active Directory-forest hebt, schakelt u dit afzonderlijk in voor elk forest. Naadloze SSO wordt alleen geactiveerd voor gebruikers die zijn geselecteerd voor gefaseerde implementatie. Dit heeft geen invloed op uw bestaande federatie-installatie.

Schakel naadloze eenmalige aanmelding in door de volgende taken uit te voeren:

1. Meld u aan bij Microsoft Entra Verbinding maken Server.

2. Ga naar de map %programfiles%\Microsoft Entra Verbinding maken.

3. Importeer de naadloze PowerShell-module voor eenmalige aanmelding door de volgende opdracht uit te voeren:

   Import-Module .\AzureADSSO.psd1

4. Voer PowerShell uit als beheerder. Roep New-AzureADSSOAuthenticationContext aan in PowerShell. Met deze opdracht opent u een deelvenster waarin u de referenties van de hybride identiteit van uw tenant kunt invoeren Beheer istrator.

5. Roep Get-AzureADSSOStatus | ConvertFrom-Json aan. Met deze opdracht wordt een lijst met Active Directory-forests weergegeven (zie de lijst Domeinen) waarvoor deze functie is ingeschakeld. Deze is standaard ingesteld op onwaar op tenantniveau.

   

6. Roep $creds = Get-Credential aan. Voer bij de prompt de referenties voor domeinbeheerder in voor het beoogde Active Directory-forest.

7. Roep Enable-AzureADSSOForest -OnPremCredentials $creds aan. Met deze opdracht wordt het AZUREADSSOACC-computeraccount gemaakt vanuit de on-premises domeincontroller voor het Active Directory-forest dat vereist is voor naadloze SSO.

8. Voor naadloze SSO moeten URL's zich in de intranetzone bevinden. Als u deze URL's wilt implementeren met behulp van groepsbeleid, raadpleegt u quickstart: Naadloze eenmalige aanmelding van Microsoft Entra.

9. Voor volledige stapsgewijze instructies kunt u ook onze implementatieplannen voor naadloze SSO downloaden.

Gefaseerde implementatie inschakelen

Als u een specifieke functie (passthrough-verificatie, wachtwoord-hashsynchronisatie of naadloze SSO) wilt implementeren voor een bepaalde set gebruikers in een groep, volgt u de instructies in de volgende secties.

Een gefaseerde implementatie van een specifieke functie inschakelen voor uw tenant

U kunt deze opties implementeren:

• Wachtwoord-hashsynchronisatie + Naadloze SSO
• Passthrough-verificatie + Naadloze SSO
• Niet ondersteund - Wachtwoord-hashsynchronisatie + Passthrough-verificatie + Naadloze SSO
• Instellingen voor verificatie op basis van certificaat
• Meervoudige verificatie van Azure

Voer de volgende stappen uit om gefaseerde implementatie te configureren:

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride identiteit Beheer istrator.

2. Blader naar >hybride identiteitsbeheer>microsoft Entra Verbinding maken> Verbinding maken synchroniseren.

3. Selecteer op de pagina Microsoft Entra Verbinding maken, onder de gefaseerde implementatie van cloudverificatie, de gefaseerde implementatie inschakelen voor aanmeldingskoppeling voor beheerde gebruikers.

4. Selecteer op de pagina Gefaseerde implementatiefunctie inschakelen de opties die u wilt inschakelen: Wachtwoord-hashsynchronisatie, passthrough-verificatie, naadloze eenmalige aanmelding of verificatie op basis van certificaten. Als u bijvoorbeeld Wachtwoord-hashsynchronisatie en Naadloze eenmalige aanmelding wilt inschakelen, schuift u beide besturingselementen naar Aan.

5. Groepen toevoegen aan de functies die u hebt geselecteerd. Bijvoorbeeld passthrough-verificatie en naadloze eenmalige aanmelding. Om een time-out te voorkomen, moet u ervoor zorgen dat de beveiligingsgroepen in eerste instantie niet meer dan 200 leden bevatten.

   Notitie

   De leden in een groep worden automatisch ingeschakeld voor gefaseerde implementatie. Geneste en dynamische groepen worden niet ondersteund voor gefaseerde implementatie. Wanneer u een nieuwe groep toevoegt, worden gebruikers in de groep (maximaal 200 gebruikers voor een nieuwe groep) bijgewerkt om onmiddellijk beheerde verificatie te gebruiken. Wanneer u een groep bewerkt (gebruikers toevoegt of verwijdert), kan het tot 24 uur duren voordat de wijzigingen van kracht worden. Naadloze SSO is alleen van toepassing als gebruikers zich in de groep Naadloze SSO bevinden en ook in een PTA- of PHS-groep.

Controle

We hebben controlegebeurtenissen ingeschakeld voor de verschillende acties die we uitvoeren voor gefaseerde implementatie:

• Controlegebeurtenis wanneer u een gefaseerde implementatie inschakelt voor wachtwoord-hashsynchronisatie, passthrough-verificatie of naadloze SSO.

  Notitie

  Er wordt een controlegebeurtenis geregistreerd wanneer naadloze SSO wordt ingeschakeld met behulp van gefaseerde implementatie.

  

  

• Controlegebeurtenis wanneer een groep wordt toegevoegd aan wachtwoord-hashsynchronisatie, passthrough-verificatie of naadloze SSO.

  Notitie

  Er wordt een controlegebeurtenis geregistreerd wanneer een groep wordt toegevoegd aan wachtwoord-hashsynchronisatie voor gefaseerde implementatie.

  

  

• Controlegebeurtenis wanneer een gebruiker die aan de groep is toegevoegd, wordt ingeschakeld voor gefaseerde implementatie.

  

  

Validatie

Voer de volgende taken uit om de aanmelding te testen met wachtwoord-hashsynchronisatie of passthrough-verificatie (aanmelding met gebruikersnaam en wachtwoord):

1. Ga in het extranet naar de pagina Apps in een privébrowsersessie en voer vervolgens de UserPrincipalName (UPN) in van het gebruikersaccount dat is geselecteerd voor gefaseerde implementatie.

   Gebruikers die zijn gericht op gefaseerde implementatie, worden niet omgeleid naar uw federatieve aanmeldingspagina. In plaats daarvan wordt ze gevraagd zich aan te melden op de aanmeldingspagina van de Microsoft Entra-tenant.

2. Zorg ervoor dat de aanmelding is weergegeven in het activiteitenrapport van Microsoft Entra door te filteren met userPrincipalName.

Aanmelding met naadloze SSO testen:

1. Ga in het intranet naar de pagina Apps in een privébrowsersessie en voer vervolgens de UserPrincipalName (UPN) in van het gebruikersaccount dat is geselecteerd voor gefaseerde implementatie.

   Gebruikers die zijn gericht op gefaseerde implementatie van naadloze eenmalige aanmelding , krijgen de opdracht 'U probeert u aan te melden...' bericht voordat ze op de achtergrond zijn aangemeld.

2. Zorg ervoor dat de aanmelding is weergegeven in het activiteitenrapport van Microsoft Entra door te filteren met userPrincipalName.

   Als u wilt zien welke gebruikersaanmeldingen nog steeds plaatsvinden op Active Directory Federation Services (AD FS) voor bepaalde gefaseerde-implementatiegebruikers, volgt u de instructies in Problemen met AD FS oplossen: Gebeurtenissen en logboekregistratie. Raadpleeg de documentatie van de leverancier over hoe u dit kunt controleren voor externe federatieproviders.

   Notitie

   Terwijl gebruikers zich in de gefaseerde implementatie met PHS bevinden, kan het wijzigen van wachtwoorden 2 minuten duren vanwege de synchronisatietijd. Stel uw gebruikers hiervan op de hoogte om telefoontjes naar de helpdesk te voorkomen nadat ze hun wachtwoord hebben gewijzigd.

Controleren

U kunt de gebruikers en groepen bewaken die zijn toegevoegd aan of verwijderd uit gefaseerde implementatie en aanmeldingen van gebruikers tijdens de gefaseerde implementatie, met behulp van de nieuwe Hybride verificatiewerkmappen in het Microsoft Entra-beheercentrum.

Een gebruiker verwijderen uit gefaseerde implementatie

Als u een gebruiker uit de groep verwijdert, wordt gefaseerde implementatie voor die gebruiker uitgeschakeld. Om de functie 'Gefaseerde implementatie' uit te schakelen, schuift u het besturingselement terug naar Uit.

Veelgestelde vragen

V: Kan ik deze mogelijkheid gebruiken in productie?

A: Ja, u kunt deze functie gebruiken in uw productietenant, maar we raden u aan deze eerst uit te proberen in uw testtenant.

V: Kan deze functie worden gebruikt om een permanente 'co-existentie' te onderhouden, waarbij sommige gebruikers federatieve verificatie gebruiken en andere gebruikers cloudverificatie gebruiken?

A: Nee, deze functie is ontworpen voor het testen van cloudverificatie. Na een geslaagde test moet u enkele groepen gebruikers overschakelen naar cloudverificatie. We raden u niet aan een permanente gemengde status te gebruiken, omdat deze benadering kan leiden tot onverwachte verificatiestromen.

V: Kan ik PowerShell gebruiken om gefaseerde implementatie uit te voeren?

A: Ja. Zie Microsoft Entra ID Preview voor meer informatie over het gebruik van PowerShell om gefaseerde implementatie uit te voeren.

Volgende stappen

• Microsoft Entra ID 2.0 preview
• De aanmeldingsmethode wijzigen in wachtwoord-hashsynchronisatie
• De aanmeldingsmethode wijzigen in passthrough-verificatie