Aanmeldingsopties voor Microsoft Entra Connect-gebruikers
Met Microsoft Entra Connect kunnen uw gebruikers zich met dezelfde wachtwoorden aanmelden bij zowel cloudresources als on-premises resources. In dit artikel worden de belangrijkste concepten voor elk identiteitsmodel beschreven, zodat u de identiteit kunt kiezen die u wilt gebruiken voor het aanmelden bij Microsoft Entra-id.
Als u al bekend bent met het Microsoft Entra-identiteitsmodel en meer wilt weten over een specifieke methode, raadpleegt u de juiste koppeling:
- wachtwoord-hashsynchronisatie met naadloze eenmalige aanmelding (SSO)
- passthrough-verificatie met naadloze eenmalige aanmelding (SSO)
- Federatieve Single Sign-On (met Active Directory Federation Services (AD FS))
- Federatie met PingFederate
Notitie
Het is belangrijk te onthouden dat u door federatie voor Microsoft Entra-id te configureren, vertrouwensrelatie tot stand brengt tussen uw Microsoft Entra-tenant en uw federatieve domeinen. Met dit vertrouwde federatieve domein hebben gebruikers toegang tot Microsoft Entra-cloudbronnen binnen de tenant.
De aanmeldingsmethode voor gebruikers kiezen voor uw organisatie
De eerste beslissing voor het implementeren van Microsoft Entra Connect is het kiezen welke verificatiemethode uw gebruikers gebruiken om zich aan te melden. Het is belangrijk om ervoor te zorgen dat u de juiste methode kiest die voldoet aan de beveiligings- en geavanceerde vereisten van uw organisatie. Verificatie is essentieel, omdat de identiteiten van de gebruiker worden gevalideerd voor toegang tot apps en gegevens in de cloud. Als u de juiste verificatiemethode wilt kiezen, moet u rekening houden met de tijd, bestaande infrastructuur, complexiteit en kosten voor het implementeren van uw keuze. Deze factoren verschillen voor elke organisatie en kunnen na verloop van tijd veranderen.
Microsoft Entra ID ondersteunt de volgende verificatiemethoden:
-
cloudverificatie: wanneer u deze verificatiemethode kiest, verwerkt Microsoft Entra ID het verificatieproces voor de aanmelding van de gebruiker. Met cloudverificatie kunt u kiezen uit twee opties:
- PHS- -Wachtwoord-hashsynchronisatie stelt gebruikers in staat om dezelfde gebruikersnaam en hetzelfde wachtwoord te gebruiken als on-premises, zonder dat ze extra infrastructuur naast Microsoft Entra Connect hoeven te implementeren.
- passthrough-verificatie (PTA): deze optie is vergelijkbaar met wachtwoord-hashsynchronisatie, maar biedt een eenvoudige wachtwoordvalidatie met behulp van on-premises softwareagents voor organisaties met sterk beveiligings- en nalevingsbeleid.
- federatieve verificatie: wanneer u deze verificatiemethode kiest, geeft Microsoft Entra ID het verificatieproces af aan een afzonderlijk vertrouwd verificatiesysteem, zoals AD FS of een federatiesysteem van derden, om de aanmelding van de gebruiker te valideren.
Voor de meeste organisaties die zich alleen willen aanmelden bij Microsoft 365, SaaS-toepassingen en andere bronnen op basis van Microsoft Entra ID, raden we de standaardoptie wachtwoord-hashsynchronisatie aan.
Zie De juiste verificatiemethode kiezen voor uw hybride identiteitsoplossing van Microsoft Entra voor gedetailleerde informatie over het kiezen van een verificatiemethode
Wachtwoord-hashsynchronisatie
Met wachtwoord-hashsynchronisatie worden hashes van gebruikerswachtwoorden gesynchroniseerd vanuit on-premises Active Directory naar Microsoft Entra-id. Wanneer wachtwoorden on-premises worden gewijzigd of opnieuw worden ingesteld, worden de nieuwe wachtwoordhashes onmiddellijk gesynchroniseerd met Microsoft Entra-id, zodat uw gebruikers altijd hetzelfde wachtwoord kunnen gebruiken voor cloudresources en on-premises resources. De wachtwoorden worden nooit in duidelijke tekst naar Microsoft Entra-id verzonden of opgeslagen in Microsoft Entra-id. U kunt wachtwoord-hashsynchronisatie samen met wachtwoord terugschrijven gebruiken om selfservice voor wachtwoordherstel in te schakelen in Microsoft Entra ID.
Daarnaast kunt u Seamless Single Sign-On (SSO) inschakelen voor gebruikers op domeingebonden computers binnen het bedrijfsnetwerk. Bij eenmalige aanmelding hoeven ingeschakelde gebruikers alleen een gebruikersnaam in te voeren om hen te helpen veilig toegang te krijgen tot cloudresources.
Zie het artikel wachtwoord-hashsynchronisatie voor meer informatie.
Passthrough-verificatie
Met passthrough-verificatie wordt het wachtwoord van de gebruiker gevalideerd op basis van de on-premises Active Directory-controller. Het wachtwoord hoeft in geen enkele vorm aanwezig te zijn in Microsoft Entra ID. Hierdoor kunnen on-premises beleidsregels, zoals aanmeldingsuurbeperkingen, worden geëvalueerd tijdens verificatie bij cloudservices.
Passthrough-verificatie maakt gebruik van een eenvoudige agent op een computer die lid is van een Windows Server-domein in de on-premises omgeving. Deze agent luistert naar aanvragen voor wachtwoordvalidatie. Er hoeven geen binnenkomende poorten te zijn geopend voor internet.
Daarnaast kunt u eenmalige aanmelding ook inschakelen voor gebruikers op computers die lid zijn van een domein in het bedrijfsnetwerk. Bij eenmalige aanmelding hoeven ingeschakelde gebruikers alleen een gebruikersnaam in te voeren om hen te helpen veilig toegang te krijgen tot cloudresources.
Zie voor meer informatie:
Federatie die gebruikmaakt van een nieuwe of bestaande farm met AD FS in Windows Server
Met federatieve aanmelding kunnen uw gebruikers zich aanmelden bij Microsoft Entra ID-services met hun on-premises wachtwoorden. Terwijl ze zich op het bedrijfsnetwerk bevinden, hoeven ze hun wachtwoorden niet eens in te voeren. Met de federatieoptie met AD FS kunt u een nieuwe of bestaande farm implementeren met AD FS in Windows Server 2022. Als u ervoor kiest om een bestaande farm op te geven, configureert Microsoft Entra Connect de vertrouwensrelatie tussen uw farm en Microsoft Entra-id, zodat uw gebruikers zich kunnen aanmelden.
Federatie implementeren met AD FS in Windows Server 2022
Als u een nieuwe farm implementeert, hebt u het volgende nodig:
Een Windows Server 2022-server voor de federatieserver.
Een Windows Server 2022-server voor de webtoepassingsproxy.
Een PFX-bestand met één TLS/SSL-certificaat voor de naam van de beoogde federation-service. Bijvoorbeeld: fs.contoso.com.
Als u een nieuwe farm implementeert of een bestaande farm gebruikt, hebt u het volgende nodig:
- Lokale beheerdersreferenties op uw federatieservers.
- Lokale beheerdersreferenties op werkgroepservers (niet aan een domein gekoppeld) waarop u de rol Webtoepassingsproxy wilt implementeren.
- De machine waarop u de wizard uitvoert zodat verbinding kan worden gemaakt met willekeurige andere computers waarop u AD FS of Web Application Proxy wilt installeren door Windows Remote Management te gebruiken.
Zie Eenmalige aanmelding configureren met AD FS-voor meer informatie.
Federatie met PingFederate
Met federatieve aanmelding kunnen uw gebruikers zich aanmelden bij Microsoft Entra ID-services met hun on-premises wachtwoorden. Terwijl ze zich op het bedrijfsnetwerk bevinden, hoeven ze hun wachtwoorden niet eens in te voeren.
Zie Ping Identity Support-voor meer informatie over het configureren van PingFederate voor gebruik met Microsoft Entra ID.
Zie aangepaste installatie van Microsoft Entra Connect voor meer informatie over het instellen van Microsoft Entra Connect met PingFederate.
Aanmelden met een eerdere versie van AD FS of een oplossing van derden
Als u cloudaanmelding al hebt geconfigureerd met behulp van een eerdere versie van AD FS (zoals AD FS 2.0) of een federatieprovider van derden, kunt u ervoor kiezen om de aanmeldingsconfiguratie van gebruikers over te slaan via Microsoft Entra Connect. Hierdoor kunt u de meest recente synchronisatie en andere mogelijkheden van Microsoft Entra Connect krijgen terwijl u nog steeds uw bestaande oplossing gebruikt voor aanmelding.
Voor meer informatie, zie de compatibiliteitslijst voor derden voor Microsoft Entra-federatie.
Gebruikersaanmelding en UserPrincipalName
Begrip van UserPrincipalName
In Active Directory is het standaardachtervoegsel UserPrincipalName (UPN) de DNS-naam van het domein waarin het gebruikersaccount is gemaakt. In de meeste gevallen is dit de domeinnaam die is geregistreerd als het ondernemingsdomein op internet. U kunt echter meer UPN-achtervoegsels toevoegen met behulp van Active Directory-domeinen en -vertrouwensrelaties.
De UPN van de gebruiker heeft de indeling username@domain. Voor een Active Directory-domein met de naam 'contoso.com' kan een gebruiker met de naam John bijvoorbeeld de UPNjohn@contoso.comhebben. De UPN van de gebruiker is gebaseerd op RFC 822. Hoewel de UPN en e-mail dezelfde indeling delen, is de waarde van de UPN voor een gebruiker mogelijk of niet hetzelfde als het e-mailadres van de gebruiker.
UserPrincipalName in Microsoft Entra ID
De Microsoft Entra Connect-wizard gebruikt het kenmerk userPrincipalName, of u kunt in een aangepaste installatie een ander kenmerk opgeven dat on-premises moet worden gebruikt als de userPrincipalName in Microsoft Entra ID. Dit is de waarde die wordt gebruikt voor het aanmelden bij Microsoft Entra ID. Als de waarde van het kenmerk userPrincipalName niet overeenkomt met een geverifieerd domein in Microsoft Entra ID, vervangt Microsoft Entra ID deze door een standaardwaarde .onmicrosoft.com.
Elke map in Microsoft Entra-id wordt geleverd met een ingebouwde domeinnaam, met de indeling contoso.onmicrosoft.com, waarmee u aan de slag kunt met Microsoft Entra of andere onlineservices van Microsoft. U kunt de aanmeldingservaring verbeteren en vereenvoudigen met behulp van aangepaste domeinen. Zie Uw aangepaste domeinnaam toevoegen aan Microsoft Entra IDvoor meer informatie over aangepaste domeinnamen in Microsoft Entra-id en het verifiëren van een domein.
Aanmeldingsconfiguratie van Microsoft Entra
Aanmeldingsconfiguratie van Microsoft Entra met Microsoft Entra Connect
De aanmeldingservaring van Microsoft Entra is afhankelijk van of de Microsoft Entra-id overeenkomt met het achtervoegsel UserPrincipalName van een gebruiker die wordt gesynchroniseerd met een van de aangepaste domeinen die zijn geverifieerd in de Microsoft Entra-directory. Microsoft Entra Connect biedt hulp bij het configureren van de aanmeldingsinstellingen van Microsoft Entra, zodat de gebruikersaanmeldingservaring in de cloud vergelijkbaar is met de on-premises ervaring.
Microsoft Entra Connect vermeldt de UPN-achtervoegsels die zijn gedefinieerd voor de domeinen en probeert deze overeen te laten komen met een aangepast domein in Microsoft Entra ID. Vervolgens helpt het u met de juiste actie die moet worden ondernomen. De aanmeldingspagina van Microsoft Entra bevat de UPN-achtervoegsels die zijn gedefinieerd voor on-premises Active Directory en geeft de bijbehorende status weer voor elk achtervoegsel. De statuswaarden kunnen een van de volgende zijn:
| Staat | Beschrijving | Actie vereist |
|---|---|---|
| Geverifieerd | Microsoft Entra Connect heeft een overeenkomend geverifieerd domein gevonden in Microsoft Entra ID. Alle gebruikers voor dit domein kunnen zich aanmelden met hun on-premises referenties. | Er is geen actie nodig. |
| Niet geverifieerd | Microsoft Entra Connect heeft een overeenkomend aangepast domein gevonden in Microsoft Entra ID, maar is niet geverifieerd. Het UPN-achtervoegsel van de gebruikers van dit domein wordt gewijzigd in het standaardachtervoegsel .onmicrosoft.com na synchronisatie als het domein niet is geverifieerd. | Controleer het aangepaste domein in Microsoft Entra ID. |
| Niet toegevoegd | Microsoft Entra Connect heeft geen aangepast domein gevonden dat overeenkomt met het UPN-achtervoegsel. Het UPN-achtervoegsel van de gebruikers van dit domein wordt gewijzigd in het standaardachtervoegsel .onmicrosoft.com als het domein niet is toegevoegd en geverifieerd in entra-id. | Een aangepast domein toevoegen en verifiëren dat overeenkomt met het UPN-achtervoegsel. |
De aanmeldingspagina van Microsoft Entra bevat de UPN-achtervoegsels die zijn gedefinieerd voor on-premises Active Directory en het bijbehorende aangepaste domein in Microsoft Entra-id met de huidige verificatiestatus. In een aangepaste installatie kunt u nu het kenmerk voor userPrincipalName selecteren op de aanmeldingspagina van Microsoft Entra.
U kunt op de knop Vernieuwen klikken om de meest recente status van de aangepaste domeinen opnieuw op te halen uit Microsoft Entra-id.
Het kenmerk voor userPrincipalName selecteren in Microsoft Entra-id
Het kenmerk userPrincipalName is het kenmerk dat gebruikers gebruiken wanneer ze zich aanmelden bij Microsoft Entra ID en Microsoft 365. Controleer de domeinen (ook wel UPN-achtervoegsels genoemd) die worden gebruikt in Microsoft Entra-id voordat de gebruikers worden gesynchroniseerd.
We raden u ten zeerste aan om het standaardkenmerk userPrincipalName te behouden. Als dit kenmerk niet routeerbaar is en niet kan worden geverifieerd, kunt u een ander kenmerk (bijvoorbeeld e-mail) selecteren als het kenmerk dat de aanmeldings-id bevat. Dit wordt de alternatieve id genoemd. De waarde van het kenmerk Alternatieve id moet voldoen aan de RFC 822-standaard. U kunt een Alternatieve ID gebruiken met zowel wachtwoord-SSO als federatie-SSO als aanmeldoplossing.
Notitie
Het gebruik van een alternatieve id is niet compatibel met alle Microsoft 365-workloads. Zie Alternatieve aanmeldings-id configurerenvoor meer informatie.
Verschillende aangepaste domeinstatussen en hun effect op de aanmeldingservaring van Entra-id
Het is erg belangrijk om inzicht te krijgen in de relatie tussen de statussen van het aangepaste domein in uw Microsoft Entra-directory en de UPN-achtervoegsels die on-premises zijn gedefinieerd. Laten we eens de verschillende mogelijke Entra ID-aanmeldervaringen doorlopen als u synchronisatie instelt met behulp van Microsoft Entra Connect.
Voor de volgende informatie gaan we ervan uit dat we ons bezighouden met het UPN-achtervoegsel contoso.com, dat wordt gebruikt in de on-premises map als onderdeel van UPN, bijvoorbeeld user@contoso.com.
Express-instellingen/wachtwoord-hashsynchronisatie
| Staat | Effect op de aanmeldingservaring van de Entra-id van de gebruiker |
|---|---|
| Niet toegevoegd | In dit geval is er geen aangepast domein voor contoso.com toegevoegd in de map Microsoft Entra. Gebruikers die on-premises UPN hebben met het achtervoegsel @contoso.com kunnen hun on-premises UPN niet gebruiken om zich aan te melden bij Entra ID. In plaats daarvan moeten ze een nieuwe UPN gebruiken die aan hen wordt verstrekt door Microsoft Entra ID door het achtervoegsel toe te voegen aan de UPN voor de standaard Microsoft Entra-directory. Als u bijvoorbeeld gebruikers synchroniseert met de Microsoft Entra-directory contoso.onmicrosoft.com, krijgt de on-premises gebruiker user@contoso.com een UPN van user@contoso.onmicrosoft.com. |
| Niet geverifieerd | In dit geval hebben we een aangepast domein contoso.com dat is toegevoegd in de Microsoft Entra-map. Het is echter nog niet geverifieerd. Als u gebruikers synchroniseert zonder het domein te verifiëren, krijgen de gebruikers een nieuwe UPN toegewezen door Microsoft Entra ID, net zoals in het scenario 'Niet toegevoegd'. |
| Geverifieerd | In dit geval hebben we een aangepast domein contoso.com dat al is toegevoegd en geverifieerd in Microsoft Entra-id voor het UPN-achtervoegsel. Gebruikers kunnen hun on-premises UserPrincipalName, bijvoorbeeld user@contoso.com, gebruiken om zich aan te melden bij Entra nadat ze zijn gesynchroniseerd met Microsoft Entra ID. |
AD FS-federatie
U kunt geen federatie maken met het standaarddomein .onmicrosoft.com in Microsoft Entra ID of een niet-geverifieerd aangepast domein in Microsoft Entra-id. Wanneer u de wizard Microsoft Entra Connect uitvoert en u een niet-geverifieerd domein selecteert om een federatie te maken, wordt u door Microsoft Entra Connect gevraagd om de benodigde records te maken waar uw DNS voor het domein wordt gehost. Zie Het Microsoft Entra-domein controleren dat is geselecteerd voor federatievoor meer informatie.
Als u de gebruikersaanmeldingsoptie Federatie met AD FShebt geselecteerd, moet u een aangepast domein hebben om door te gaan met het maken van een federatie in Microsoft Entra ID. Voor onze discussie betekent dit dat we een aangepast domein contoso.com moeten hebben toegevoegd in de Microsoft Entra-directory.
| Staat | Effect op de aanmeldingservaring van de Entra-id van de gebruiker |
|---|---|
| Niet toegevoegd | In dit geval heeft Microsoft Entra Connect geen overeenkomend aangepast domein gevonden voor het UPN-achtervoegsel contoso.com in de Microsoft Entra-map. U moet een aangepast domein toevoegen contoso.com als u wilt dat gebruikers zich aanmelden met AD FS met hun on-premises UPN (zoals user@contoso.com). |
| Niet geverifieerd | In dit geval geeft Microsoft Entra Connect u de juiste details over hoe u op een later moment uw domein kunt verifiëren. |
| Geverifieerd | In dit geval kunt u doorgaan met de configuratie zonder verdere actie. |
De aanmeldingsmethode voor gebruikers wijzigen
U kunt de aanmeldingsmethode voor gebruikers wijzigen van federatie, wachtwoord-hashsynchronisatie of passthrough-verificatie met behulp van de taken die beschikbaar zijn in Microsoft Entra Connect na de eerste configuratie van Microsoft Entra Connect met de wizard. Voer de wizard Microsoft Entra Connect opnieuw uit en u ziet een lijst met taken die u kunt uitvoeren. Selecteer Gebruikersaanmelding wijzigen in de lijst met taken.
Op de volgende pagina wordt u gevraagd om de referenties voor Microsoft Entra ID in te voeren.
Selecteer op de pagina Gebruikersaanmelding de gewenste aanmelding van de gebruiker.
Notitie
Als u alleen een tijdelijke overschakeling naar wachtwoordhashsynchronisatie doet, vinkt u het selectievakje Gebruikersaccounts niet converteren aan. Als u de optie niet inschakelt, wordt elke gebruiker geconverteerd naar de federatierol en kan het proces enkele uren duren.
Volgende stappen
- Meer informatie over het integreren van uw on-premises identiteiten met Microsoft Entra ID.
- Meer informatie over ontwerpconcepten van Microsoft Entra Connect.