Migreren naar cloudverificatie met gefaseerde implementatie

Met gefaseerde implementatie kunt u selectief groepen gebruikers testen met mogelijkheden voor cloudverificatie, zoals Meervoudige verificatie van Microsoft Entra, Voorwaardelijke toegang, Microsoft Entra ID Protection voor gelekte referenties, Identiteitsbeheer en andere, voordat u uw domeinen oversijpt. In dit artikel wordt beschreven hoe u de overstap maakt.

Voordat u met de gefaseerde implementatie begint, moet u rekening houden met de gevolgen als aan een of meer van de volgende voorwaarden wordt voldaan:

• U gebruikt momenteel een on-premises Multi-Factor Authentication-server.
• U gebruikt smartcards voor verificatie.
• Uw huidige server biedt bepaalde functies die alleen federatief zijn.
• U stapt over van een federatieoplossing van derden naar beheerde services.

Voordat u deze functie probeert, raden we u aan onze handleiding te bekijken over het kiezen van de juiste verificatiemethode. Zie de tabel 'Methoden vergelijken' in De juiste verificatiemethode kiezen voor uw hybride identiteitsoplossing van Microsoft Entra voor meer informatie.

Bekijk deze video 'Wat is gefaseerde implementatie?' voor een overzicht van de functie:

Vereisten

• U hebt een Microsoft Entra-tenant met federatieve domeinen.

• U hebt besloten een van de volgende opties te verplaatsen:

  • Wachtwoord-hashsynchronisatie (sync). Zie Wat is wachtwoord-hashsynchronisatie? voor meer informatie.
  • Pass-through-verificatie Zie Wat is passthrough-verificatie? voor meer informatie.
  • CBA-instellingen (Microsoft Entra Certificate-Based Authentication). Zie Overzicht van verificatie op basis van Microsoft Entra-certificaten voor meer informatie

  Voor beide opties raden we aan om single sign-on (SSO) in te schakelen om een probleemloze aanmeldervaring te bereiken. Voor Windows 7 of 8.1 domein-gekoppelde apparaten raden we u aan naadloze SSO te gebruiken. Zie Wat is naadloze SSO? voor meer informatie. Voor Windows 10, Windows Server 2016 en latere versies is het raadzaam om SSO te gebruiken via Primary Refresh Token (PRT) met aan Microsoft Entra gekoppelde apparaten, Microsoft Entra hybride gekoppelde apparaten of persoonlijke geregistreerde apparaten via de optie Werk- of schoolaccount toevoegen.

• U hebt alle juiste tenant-huisstijl en beleidsregels voor voorwaardelijke toegang geconfigureerd die u nodig hebt voor gebruikers die worden gemigreerd naar cloudverificatie.

• Als u bent overgestapt van federatieve naar cloudverificatie, moet u controleren of de DirSync-instelling synchronizeUpnForManagedUsersEnabled is ingesteld op true, anders staat Microsoft Entra-id synchronisatie-updates voor de UPN of alternatieve aanmeldings-id niet toe voor gelicentieerde gebruikersaccounts die gebruikmaken van beheerde verificatie. Zie de functies van de Microsoft Entra Connect Sync-service voor meer informatie.

• Als u van plan bent om meervoudige verificatie van Microsoft Entra te gebruiken, raden we u aan gecombineerde registratie te gebruiken voor selfservice voor wachtwoordherstel (SSPR) en meervoudige verificatie , zodat uw gebruikers hun verificatiemethoden eenmalig kunnen registreren. Opmerking: wanneer u SSPR gebruikt om het wachtwoord opnieuw in te stellen of het wachtwoord te wijzigen met behulp van de pagina MyProfile tijdens de gefaseerde implementatie, moet Microsoft Entra Connect de nieuwe wachtwoordhash synchroniseren die maximaal 2 minuten na het opnieuw instellen kan duren.

• Als u de functie Gefaseerde implementatie wilt gebruiken, moet u een hybride identiteitsbeheerder voor uw tenant zijn.

• Als u naadloze SSO wilt inschakelen voor een specifiek Active Directory-forest, moet u een domeinbeheerder zijn.

• Als u hybrid Microsoft Entra ID of Microsoft Entra join implementeert, moet u een upgrade uitvoeren naar de Windows 10 1903-update.

Ondersteunde scenario's

De volgende scenario's worden ondersteund voor gefaseerde implementatie. De functie werkt alleen voor:

• Gebruikers die zijn toegewezen aan Microsoft Entra ID met behulp van Microsoft Entra Connect. Dit geldt niet voor gebruikers in de cloud.

• Gebruikersaanmeldingsverkeer in browsers en clients met moderne verificatie. Toepassingen of cloudservices die gebruikmaken van verouderde verificatie vallen terug op federatieve verificatiestromen. Een voorbeeld van verouderde verificatie kan Exchange Online zijn met moderne verificatie uitgeschakeld of Outlook 2010, dat geen ondersteuning biedt voor moderne verificatie.

• De groepsgrootte is momenteel beperkt tot 50.000 gebruikers. Als u groepen hebt die groter zijn dan 50.000 gebruikers, is het raadzaam om deze groep te splitsen over meerdere groepen voor gefaseerde implementatie.

• Windows 10 Hybrid Join of Microsoft Entra-verbinding voor het verkrijgen van een primary refresh-token zonder zichtlijn naar de federatieserver voor Windows 10 versie 1903 en nieuwer, wanneer de UPN van de gebruiker routeerbaar is en het domeinachtervoegsel geverifieerd is in Microsoft Entra ID.

• Autopilot-inschrijving wordt ondersteund in gefaseerde implementatie met Windows 10 versie 1909 of hoger.

Niet-ondersteunde scenario's

De volgende scenario's worden niet ondersteund voor gefaseerde implementatie:

• Verouderde verificatie, zoals POP3 en SMTP, worden niet ondersteund.

• Bepaalde toepassingen verzenden de queryparameter 'domain_hint' naar Microsoft Entra-id tijdens verificatie. Deze stromen worden voortgezet en gebruikers die zijn ingeschakeld voor gefaseerde implementatie, blijven federatie gebruiken voor verificatie.

• Beheerders kunnen cloudverificatie implementeren met behulp van beveiligingsgroepen. Om synchronisatielatentie te voorkomen wanneer u on-premises Active Directory-beveiligingsgroepen gebruikt, raden we u aan cloudbeveiligingsgroepen te gebruiken. De volgende voorwaarden zijn van toepassing:

  • U kunt maximaal 10 groepen per functie gebruiken. Dat wil zeggen, u kunt 10 groepen gebruiken voor wachtwoord-hashsynchronisatie, 10 groepen voor passthrough-verificatie en 10 groepen voor naadloze SSO.
  • Geneste groepen worden niet ondersteund.
  • Dynamische groepen worden niet ondersteund voor gefaseerde implementatie.
  • Contactobjecten in de groep blokkeren dat de groep wordt toegevoegd.

• Wanneer u voor het eerst een beveiligingsgroep toevoegt voor gefaseerde implementatie, bent u beperkt tot 200 gebruikers om een UX-time-out te voorkomen. Nadat u de groep hebt toegevoegd, kunt u naar behoefte meer gebruikers rechtstreeks aan de groep toevoegen.

• Terwijl gebruikers zich in gefaseerde implementatie bevinden met wachtwoord-hashsynchronisatie (PHS), wordt er standaard geen wachtwoordverloop toegepast. Wachtwoordverloop kan worden toegepast door CloudPasswordPolicyForPasswordSyncedUsersEnabled in te schakelen. Wanneer 'CloudPasswordPolicyForPasswordSyncedUsersEnabled' is ingeschakeld, wordt het wachtwoordverloopbeleid ingesteld op 90 dagen vanaf het moment dat het wachtwoord on-premises is ingesteld zonder optie om het aan te passen. Programmatisch bijwerken van het kenmerk PasswordPolicies wordt niet ondersteund zolang gebruikers zich in een gefaseerde uitrol bevinden. Zie Wachtwoordverloopbeleid voor uitleg over hoe 'CloudPasswordPolicyForPasswordSyncedUsersEnabled' ingesteld moet worden.

• Windows 10 Hybrid Join of Microsoft Entra join primaire vernieuwings tokenverzameling voor Windows 10-versies ouder dan 1903. nl-NL: Dit scenario valt terug op het WS-Trust-eindpunt van de federatieserver, zelfs als de gebruiker zich aanmeldt binnen de reikwijdte van de gefaseerde implementatie.

• Windows 10 Hybrid Join of Microsoft Entra join primair vernieuwen token acquisitie voor alle versies, wanneer de on-premises UPN van de gebruiker niet routeerbaar is. Dit scenario valt terug op het WS-Trust-eindpunt in de gefaseerde implementatiemodus, maar werkt niet meer wanneer de gefaseerde migratie is voltooid en gebruikersaanmelding niet meer afhankelijk is van de federatieserver.

• Als u een niet-persistente VDI-installatie hebt met Windows 10, versie 1903 of hoger, moet u een federatief domein blijven gebruiken. Verplaatsen naar een beheerd domein wordt niet ondersteund op niet-persistente VDI. Zie Apparaatidentiteit en bureaubladvirtualisatie voor meer informatie.

• Als u een Windows Hello voor Bedrijven hybride certificaatvertrouwensrelatie hebt met certificaten die zijn uitgegeven via uw federatieserver en fungeren als registratie-instantie of smartcardgebruikers, wordt het scenario niet ondersteund voor een gefaseerde implementatie.

  Notitie

  U moet nog steeds de laatste cutover maken van federatieve naar cloudverificatie met behulp van Microsoft Entra Connect of PowerShell. Gefaseerde implementatie schakelt niet over van federatieve naar beheerde domeinen. Zie Migreren van federatie naar wachtwoord-hashsynchronisatie en Migreren van federatie naar passthrough-verificatie voor meer informatie over domein-cutover.

Aan de slag met gefaseerde implementatie

Als u de aanmelding voor wachtwoordhashsynchronisatie wilt testen met behulp van gefaseerde uitrol, volgt u de instructies in de volgende sectie.

Zie Microsoft Entra ID 2.0 preview voor informatie over welke PowerShell-cmdlets moeten worden gebruikt.

Voorbereiding voor wachtwoord-hashsynchronisatie

1. Schakel wachtwoord-hashsynchronisatie in vanaf de pagina Optionele functies in Microsoft Entra Connect. 

   

2. Zorg ervoor dat een volledige synchronisatiecyclus voor wachtwoordhash is uitgevoerd, zodat alle wachtwoordhashes van de gebruikers zijn gesynchroniseerd met Microsoft Entra-id. Als u de status van wachtwoord-hashsynchronisatie wilt controleren, kunt u de diagnostische gegevens van PowerShell gebruiken in Problemen met wachtwoord-hashsynchronisatie oplossen met Microsoft Entra Connect Sync.

   

Als u passthrough-verificatie-aanmelding wilt testen met behulp van Staged Rollout, schakelt u deze in door de instructies in de volgende sectie te volgen.

Voorbereiding voor passthrough-verificatie

1. Identificeer een server waarop Windows Server 2012 R2 of hoger wordt uitgevoerd, waar u de agent voor passthrough-verificatie wilt uitvoeren.

   Kies niet de Microsoft Entra Connect-server. Zorg ervoor dat de server lid is van een domein, kan geselecteerde gebruikers verifiëren met Active Directory en kan communiceren met Microsoft Entra-id op uitgaande poorten en URL's. Zie de sectie 'Stap 1: De vereisten controleren' van quickstart: Naadloze eenmalige aanmelding van Microsoft Entra voor meer informatie.

2. Download de Microsoft Entra Connect-verificatieagent en installeer deze op de server. 

3. Als u hoge beschikbaarheid wilt inschakelen, installeert u extra verificatieagents op andere servers.

4. Zorg ervoor dat u uw instellingen voor slimme vergrendeling op de juiste manier hebt geconfigureerd. Dit helpt te verzekeren dat de on-premises Active Directory-accounts van uw gebruikers niet worden vergrendeld door kwaadwillende actoren.

We raden u aan naadloze SSO in te schakelen, ongeacht de aanmeldingsmethode (wachtwoord-hashsynchronisatie of passthrough-verificatie) die u selecteert voor gefaseerde implementatie. Volg de instructies in de volgende sectie om naadloze SSO in te schakelen.

Voorbereiding voor naadloze single sign-on

Schakel naadloze SSO in voor de Active Directory-forests met behulp van PowerShell. Als u meer dan één Active Directory-forest hebt, schakelt u dit afzonderlijk in voor elk forest.  Naadloze SSO wordt alleen geactiveerd voor gebruikers die zijn geselecteerd voor gefaseerde implementatie. Dit heeft geen invloed op uw bestaande federatie-installatie.

Schakel naadloze eenmalige aanmelding in door de volgende taken uit te voeren:

1. Meld u aan bij Microsoft Entra Connect Server.

2. Ga naar de map %programfiles%\Microsoft Entra Connect.

3. Importeer de naadloze PowerShell-module voor eenmalige aanmelding door de volgende opdracht uit te voeren:

   Import-Module .\AzureADSSO.psd1

4. Voer PowerShell uit als beheerder. Roep New-AzureADSSOAuthenticationContext aan in PowerShell. Met deze opdracht opent u een deelvenster waarin u de referenties van de hybride identiteitsbeheerder van uw tenant kunt invoeren.

5. Roep Get-AzureADSSOStatus | ConvertFrom-Json aan. Met deze opdracht wordt een lijst met Active Directory-forests weergegeven (zie de lijst Domeinen) waarvoor deze functie is ingeschakeld. Deze is standaard ingesteld op onwaar op tenantniveau.

   

6. Roep $creds = Get-Credential aan. Voer in de opdrachtprompt de domeinbeheerder-referenties in voor het beoogde Active Directory-forest.

7. Roep Enable-AzureADSSOForest -OnPremCredentials $creds aan. Met deze opdracht wordt het AZUREADSSOACC-computeraccount gemaakt vanuit de on-premises domeincontroller voor het Active Directory-forest dat vereist is voor naadloze SSO.

8. Voor naadloze SSO moeten URL's zich in de intranetzone bevinden. Om deze URL's te implementeren met behulp van groepsbeleid, raadpleegt u de snelle startgids: Naadloze eenmalige aanmelding van Microsoft Entra.

9. Voor volledige stapsgewijze instructies kunt u ook onze implementatieplannen voor naadloze SSO downloaden.

Gefaseerde implementatie inschakelen

Als u een specifieke functie (passthrough-verificatie, wachtwoord-hashsynchronisatie of naadloze SSO) wilt implementeren voor een bepaalde set gebruikers in een groep, volgt u de instructies in de volgende secties.

Een gefaseerde implementatie van een specifieke functie inschakelen voor uw tenant

U kunt deze opties implementeren:

• Wachtwoord-hashsynchronisatie + Naadloze SSO
• Passthrough-verificatie + Naadloze SSO
• Niet ondersteund - Wachtwoord-hashsynchronisatie + Passthrough-verificatie + Naadloze SSO
• Instellingen voor verificatie op basis van certificaat
• Meervoudige verificatie van Azure

Voer de volgende stappen uit om gefaseerde implementatie te configureren:

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride identiteitsbeheerder.

2. Blader naar Identiteit>Hybride beheer>Microsoft Entra Connect>Connect sync.

3. Selecteer op de Microsoft Entra Connect pagina, onder de gefaseerde implementatie van cloudverificatie, de link Gefaseerde implementatie voor aanmelding inschakelen voor beheerde gebruikers.

4. Selecteer op de pagina Gefaseerde implementatiefunctie inschakelen de opties die u wilt inschakelen: Wachtwoord-hashsynchronisatie, passthrough-verificatie, naadloze eenmalige aanmelding of verificatie op basis van certificaten. Als u bijvoorbeeld Wachtwoord-hashsynchronisatie en Naadloze eenmalige aanmelding wilt inschakelen, schuift u beide besturingselementen naar Aan.

5. Groepen toevoegen aan de functies die u hebt geselecteerd. Bijvoorbeeld passthrough-verificatie en naadloze eenmalige aanmelding. Om een time-out te voorkomen, moet u ervoor zorgen dat de beveiligingsgroepen in eerste instantie niet meer dan 200 leden bevatten.

   Notitie

   De leden in een groep worden automatisch ingeschakeld voor gefaseerde implementatie. Geneste en dynamische lidmaatschapsgroepen worden niet ondersteund voor gefaseerde implementatie. Wanneer u een nieuwe groep toevoegt, worden gebruikers in de groep (maximaal 200 gebruikers voor een nieuwe groep) bijgewerkt om onmiddellijk beheerde verificatie te gebruiken. Wanneer u een groep bewerkt (gebruikers toevoegt of verwijdert), kan het tot 24 uur duren voordat de wijzigingen van kracht worden. Naadloze SSO is alleen van toepassing als gebruikers zich in de groep Naadloze SSO bevinden en ook in een PTA- of PHS-groep.

Controle

We hebben controlegebeurtenissen ingeschakeld voor de verschillende acties die we uitvoeren voor gefaseerde implementatie:

• Controlegebeurtenis wanneer u een gefaseerde implementatie inschakelt voor wachtwoord-hashsynchronisatie, passthrough-verificatie of naadloze SSO.

  Notitie

  Er wordt een controlegebeurtenis geregistreerd wanneer naadloze SSO wordt ingeschakeld met behulp van gefaseerde implementatie.

  

  

• Controlegebeurtenis wanneer een groep wordt toegevoegd aan wachtwoord-hashsynchronisatie, passthrough-verificatie of naadloze SSO.

  Notitie

  Er wordt een controlegebeurtenis geregistreerd wanneer een groep wordt toegevoegd aan wachtwoord-hashsynchronisatie voor gefaseerde implementatie.

  

  

• Controlegebeurtenis wanneer een gebruiker die aan de groep is toegevoegd, wordt ingeschakeld voor gefaseerde implementatie.

  

  

Validatie

Voer de volgende taken uit om de aanmelding te testen met wachtwoord-hashsynchronisatie of passthrough-verificatie (aanmelding met gebruikersnaam en wachtwoord):

1. Ga in het extranet naar de pagina Apps in een privébrowsersessie en voer vervolgens de UserPrincipalName (UPN) in van het gebruikersaccount dat is geselecteerd voor gefaseerde implementatie.

   Gebruikers die zijn gericht op gefaseerde implementatie, worden niet omgeleid naar uw federatieve aanmeldingspagina. In plaats daarvan wordt hen gevraagd zich aan te melden op de door de Microsoft Entra-tenant gebrande aanmeldingspagina.

2. Zorg ervoor dat de aanmelding succesvol zichtbaar is in het Microsoft Entra aanmeldingsactiviteitenrapport door te filteren met de UserPrincipalName.

Aanmelding met naadloze SSO testen:

1. Ga op het intranet naar de pagina Apps met behulp van een browsersessie en voer vervolgens de UPN (UserPrincipalName) in van het gebruikersaccount dat is geselecteerd voor gefaseerde implementatie.

   Gebruikers die zijn opgenomen in de gefaseerde implementatie van naadloze eenmalige aanmelding, krijgen het bericht 'Bezig met aanmelden ...' te zien voordat ze stilletjes worden aangemeld.

2. Zorg ervoor dat de aanmelding succesvol verschijnt in het Microsoft Entra-aanmeldingsactiviteitenrapport door te filteren met de UserPrincipalName.

   Als u wilt zien welke gebruikersaanmeldingen nog steeds plaatsvinden op Active Directory Federation Services (AD FS) voor bepaalde gefaseerde-implementatiegebruikers, volgt u de instructies in Problemen met AD FS oplossen: Gebeurtenissen en logboekregistratie. Raadpleeg de documentatie van de leverancier over hoe u dit kunt controleren voor externe federatieproviders.

   Notitie

   Terwijl gebruikers zich in de gefaseerde implementatie met PHS bevinden, kan het wijzigen van wachtwoorden 2 minuten duren vanwege de synchronisatietijd. Stel uw gebruikers hiervan op de hoogte om telefoontjes naar de helpdesk te voorkomen nadat ze hun wachtwoord hebben gewijzigd.

Controleren

U kunt de gebruikers en groepen bewaken die zijn toegevoegd aan of verwijderd uit gefaseerde implementatie en aanmeldingen van gebruikers tijdens de gefaseerde implementatie, met behulp van de nieuwe Hybride verificatiewerkmappen in het Microsoft Entra-beheercentrum.

Een gebruiker verwijderen uit een gefaseerde uitrol

Als u een gebruiker uit de groep verwijdert, wordt gefaseerde implementatie voor die gebruiker uitgeschakeld. Om de functie 'Gefaseerde implementatie' uit te schakelen, schuift u het besturingselement terug naar Uit.

Belangrijk

Wanneer u een gebruiker verwijdert uit een groep in gefaseerde implementatie voor verificatie op basis van certificaten, waarbij de gebruiker zich met een certificaat heeft aangemeld bij Windows-apparaten, wordt aanbevolen om de gebruiker ingeschakeld te houden voor de verificatiemethode op basis van certificaten in Entra-id. De gebruiker moet ingeschakeld blijven voor authenticatie op basis van certificaten nadat deze is verwijderd uit de gefaseerde uitrol, zodat de gebruiker zich kan aanmelden bij Windows en hun primaire vernieuwingstoken kan vernieuwen met behulp van de federatieve id-provider.

Veelgestelde vragen

V: Kan ik deze mogelijkheid gebruiken in productie?

A: Ja, u kunt deze functie gebruiken in uw productietenant, maar we raden u aan deze eerst uit te proberen in uw testtenant.

V: Kan deze functie worden gebruikt om een permanente 'co-existentie' te onderhouden, waarbij sommige gebruikers federatieve verificatie gebruiken en andere gebruikers cloudverificatie gebruiken?

A: Nee, deze functie is ontworpen voor het testen van cloudverificatie. Na een geslaagde test moet u enkele groepen gebruikers overschakelen naar cloudverificatie. We raden niet aan een permanente gemengde status te gebruiken, omdat deze benadering kan leiden tot onverwachte authenticatiestromen.

V: Kan ik PowerShell gebruiken om gefaseerde implementatie uit te voeren?

A: Ja. Zie Microsoft Entra ID Preview voor meer informatie over het gebruik van PowerShell om gefaseerde implementatie uit te voeren.

Volgende stappen

• Microsoft Entra ID 2.0 preview
• De aanmeldingsmethode wijzigen in wachtwoord-hashsynchronisatie
• Aanmeldingsmethode wijzigen naar pass-through verificatie