Als u functies van on-prem Active Directory (AD) gebruikt en ook gebruik wilt maken van Azure AD-functies zoals conditionele toegang, single sign-on (SSO) en meer, dan is dit artikel iets voor u. In dit artikel leert u hoe u een modus instelt die Microsoft Hybrid Azure AD Join noemt.
Wat is Hybrid Azure AD Join?
In een notendop is Hybrid Azure AD Join een modus waarmee u apparaten kunt beheren via traditionele on-premises AD-tools, maar deze ook kunt registreren bij Azure AD. Voor meer informatie kunt u de Microsoft-documentatie over apparaten die zijn verbonden met Hybrid Azure AD raadplegen.
Vereisten
Voordat u begint met de stappen in dit artikel, moet u voldoen aan of beschikken over de volgende zaken:
- Apparaten moeten een ondersteund actueel Windows-apparaat zijn (Windows 10 1809 of hoger of Windows Server 2016 en hoger)
- Een Windows 10-apparaat dat is verbonden met on-prem AD
- Internetverbinding op het Windows-apparaat (enterpriseregistration.windows.net:443, login.microsoftonline.com:443 en device.login.microsoftonline.com:443)
- On-prem AD moet synchroniseren met Azure AD naar slechts één Azure AD-tenant. Beide domeinen voor alle voorbeelden in dit artikel worden adamtheautomator.com genoemd. Als u meerdere Azure AD-tenants wilt synchroniseren, moet u GPO in plaats van SCP gebruiken.
- U moet uw wereldwijde beheerdersaccount voor Azure AD kennen. Het voorbeeld in dit artikel zal de accountnaam van adam gebruiken.
- U moet een enterprise-beheerdersaccount voor on-prem AD kennen. Het voorbeeld in dit artikel zal de accountnaam van [email protected] gebruiken.
- U heeft Azure AD Connect 1.1.819.0 geïnstalleerd op de lidserver en gesynchroniseerd met Azure AD.
Alle voorbeelden in dit artikel zullen gebruikmaken van een on-prem AD-domein genaamd adamtheautomator.com met een gesynchroniseerd Azure AD van dezelfde naam.
Voor een volledige lijst met vereisten, raadpleeg de Plan hybride Azure Active Directory-aanmeldingsimplementatie Microsoft-doc.
Configuratie van Azure AD Connect
De eerste stap om hybride Azure AD-verbonden apparaten in te stellen, is het configureren van Azure AD Connect. Hier zult u het synchronisatieproces van Azure AD instellen om op de hoogte te zijn van de hybride modus die u van plan bent.
Om dingen in te stellen, opent u eerst Azure AD Connect en klikt u op Configureren.
Op het volgende scherm klikt u op Apparaatopties configureren en klik op Volgende.
Voer de inloggegevens van de globale beheerder van uw Azure AD-tenant in en klik op Volgende.
Klik op Hybride Azure AD-verbinding configureren en Volgende.
Op de pagina Besturingssystemen van apparaten selecteert u de typen apparaten die u wilt toevoegen. Voor dit artikel gaan we alleen huidige apparaten (Windows 10) toevoegen. Kies Windows 10 of latere apparaten die zijn toegevoegd aan een domein en klik op Volgende.
Voor informatie over het configureren van Windows-down-level apparaten (Windows 8.1+ en Windows Server 2008 R2+), raadpleegt u de Microsoft-documentatie over het configureren van hybride Azure Active Directory-verbindingen voor beheerde domeinen.
Je gaat nu de serviceverbinding tot stand brengen (SCP) in Azure om je apparaten in staat te stellen Azure AD tenant informatie te lezen. Controleer je bosnaam onder Forest, kies Azure Active Directory als de Authenticatieservice en klik vervolgens op Toevoegen om referenties te verstrekken voor je on-premises enterprise-beheerdersaccount. Klik op Volgende wanneer dit gereed is.
Op het volgende scherm klik je op Configureren om het proces te starten. Alles zou slechts enkele seconden moeten duren.
Wanneer het gereed is, krijg je te horen dat je enkele aanvullende stappen moet configureren. Klik op Sluiten wanneer dit gereed is.
Bevestigen van de Azure AD Join-status
Zodra je Azure AD Connect hebt geconfigureerd, moet je nu controleren of je inspanningen vruchten hebben afgeworpen! Gelukkig zouden alle Windows 10-apparaten uiteindelijk automatisch hybride AD-joined moeten worden, maar voor het eerste apparaat moet je dit bevestigen.
Controle aan de clientzijde
Om de registratie van het Windows 10-apparaat te bevestigen, herstart je er een. Nadat deze weer is opgestart, maak je er verbinding mee, ofwel op afstand ofwel op de console, en open je een opdrachtprompt. Typ in de opdrachtprompt dsregcmd /status. Als je AzureADJoined: YES ziet onder Apparaatstatus, zit je goed.
Als het apparaat nog niet als Azure AD-joined wordt weergegeven, komt dit misschien doordat het computerobject nog niet is gesynchroniseerd met Azure AD. Je kunt proberen een registratie af te dwingen door dsregcmd /join uit te voeren en de status opnieuw te bekijken.
Het lijkt erop dat het apparaat nog niet is toegevoegd aan Azure AD. Je kunt deze oplossingsgids raadplegen. Je kunt ook dit PowerShell-script downloaden en uitvoeren op het apparaat om verschillende veelvoorkomende tests uit te voeren.
Controleer aan de Azure-zijde
Zodra je hebt bevestigd dat de Windows 10-client zegt dat deze is toegevoegd, moet je ook aan de Azure-kant controleren. Ga hiervoor naar het Apparaten-gedeelte in je Azure AD-tenant. Hier zou je moeten zien dat het AANSLUITTYPE ‘Hybride Azure AD-toegewezen’ is en dat ‘Geregistreerd’ een recente tijdstempel heeft voor het Windows 10-apparaat.
Als je ziet dat apparaten worden weergegeven als ‘Geregistreerd’ en ‘Hybride Azure AD-toegewezen’, kan het zijn dat AAD Conditional Access (CA)-regels niet correct werken met de ‘Geregistreerde’ vermeldingen. Om dit op te lossen, upgrade je alle apparaten naar Windows 10 1903. Je moet ook alle ‘Geregistreerde’ vermeldingen mogelijk verwijderen met een script.
Zodra je hebt bevestigd dat je test-Windows 10-machine is geregistreerd en toegevoegd als hybride Azure AD-toegewezen, zouden alle andere huidige apparaten in AD automatisch moeten beginnen met registreren.
Als een gebruiker is aangemeld bij de toegewezen client, moeten ze zich afmelden en weer aanmelden om een primaire vernieuwingstoken te krijgen.
Samenvatting
Zodra geconfigureerd, zullen apparaten die zijn aangesloten in een hybride Azure AD-aanmeldingsmodel zich automatisch registreren. Nadat u alle benodigde stappen in dit artikel hebt uitgevoerd, is het meeste werk voor u gedaan. Op dit punt kunt u beginnen met het gebruiken van de verschillende services die Azure AD te bieden heeft om al uw domein-gekoppelde apparaten te beheren.