Vereisten voor Azure AD Connect

In dit artikel worden de vereisten en de hardwarevereisten voor Azure Active Directory (Azure AD)-Verbinding maken.

Voordat u Azure AD-Verbinding maken

Voordat u Azure AD Verbinding maken, zijn er enkele dingen die u nodig hebt.

Azure AD

  • U hebt een Azure AD-tenant nodig. U krijgt er een met een gratis proefversie van Azure. U kunt een van de volgende portals gebruiken om Azure AD-Verbinding maken:
  • Voeg het domein toe en verifieer het dat u wilt gebruiken in Azure AD. Als u bijvoorbeeld van plan bent om contoso.com te gebruiken voor uw gebruikers, moet u ervoor zorgen dat dit domein is geverifieerd en dat u niet alleen het contoso.onmicrosoft.com gebruikt.
  • Een Azure AD-tenant staat standaard 50.000 objecten toe. Wanneer u uw domein verifieert, wordt de limiet verhoogd naar 300.000 objecten. Als u nog meer objecten in Azure AD nodig hebt, opent u een ondersteuningscase om de limiet nog verder te laten toenemen. Als u meer dan 500.000 objecten nodig hebt, hebt u een licentie nodig, zoals Microsoft 365, Azure AD Premium of Enterprise Mobility + Security.

Uw on-premises gegevens voorbereiden

On-premises Active Directory

  • De schemaversie en het functionele forestniveau van Active Directory moeten Windows Server 2003 of hoger zijn. Op de domeincontrollers kan om het even welke versie worden uitgevoerd zolang de schemaversie- en forestniveau-vereisten worden vervuld.
  • Als u van plan bent om het functiewachtwoord terugschrijven te gebruiken, moeten de domeincontrollers zich op Windows Server 2016 of hoger.
  • De domeincontroller die door Azure AD wordt gebruikt, moet schrijfbaar zijn. Het gebruik van een alleen-lezen domeincontroller (RODC) wordt niet ondersteund en Azure AD Verbinding maken geen schrijfomleidingen.
  • On-premises forests of domeinen gebruiken met behulp van 'gestippeld' (naam bevat een punt '.') NetBIOS-namen worden niet ondersteund.
  • U wordt aangeraden de Prullenbak van Active Directory in teschakelen.

PowerShell-uitvoeringsbeleid

Azure Active Directory Verbinding maken ondertekende PowerShell-scripts uitvoeren als onderdeel van de installatie. Zorg ervoor dat het PowerShell-uitvoeringsbeleid het uitvoeren van scripts toestaat.

Het aanbevolen uitvoeringsbeleid tijdens de installatie is RemoteSigned.

Zie Set-ExecutionPolicy voor meer informatie over het instellen van het PowerShell-uitvoeringsbeleid.

Azure AD Verbinding maken-server

De Azure AD Verbinding maken-server bevat kritieke identiteitsgegevens. Het is belangrijk dat beheerderstoegang tot deze server goed is beveiligd. Volg de richtlijnen in Bevoorrechte toegang beveiligen.

De Azure AD Verbinding maken-server moet worden behandeld als een laag 0-onderdeel, zoals beschreven in het Active Directory-beheerlaagmodel

Zie Best practices for securing Active Directory (Best practices voor het beveiligen van Active Directory) voor meer informatie over het beveiligen van uw Active Directory-omgeving.

Installatievereisten

  • Azure AD Verbinding maken moeten worden geïnstalleerd op een domein-Windows Server 2016 of hoger.
  • Azure AD Verbinding maken kan niet vóór 2019 worden geïnstalleerd op Small Business Server of Windows Server Essentials (Windows Server Essentials 2019 wordt ondersteund). De server moet gebruikmaken van Windows serverstandaard of beter.
  • Op de Azure AD Verbinding maken server moet een volledige GUI zijn geïnstalleerd. Het installeren van Azure AD Verbinding maken op Windows Server Core wordt niet ondersteund.
  • Op de Azure AD Verbinding maken-server mag PowerShell-transcriptie groepsbeleid niet zijn ingeschakeld als u de wizard Azure AD Verbinding maken gebruikt voor het beheren van de configuratie van Active Directory Federation Services (AD FS). U kunt PowerShell-transcriptie inschakelen als u de Azure AD Verbinding maken om de synchronisatieconfiguratie te beheren.
  • Als AD FS wordt geïmplementeerd:
    • De servers waarop AD FS of Web toepassingsproxy zijn geïnstalleerd, moeten Windows Server 2012 R2 of hoger zijn. Windows extern beheer moet zijn ingeschakeld op deze servers voor externe installatie.
    • U moet TLS/SSL-certificaten configureren. Zie Managing SSL/TLS protocols and cipher suites for AD FS and Managing SSL certificates in AD FSvoor meer informatie.
    • U moet naamresolutie configureren.
  • Het wordt niet ondersteund om verkeer tussen Azure AD-Verbinding maken en Azure AD te analyseren. Als u dit doet, kan dit de service verstoren.
  • Als MFA is ingeschakeld voor uw globale beheerders, moet de URL https://secure.aadcdn.microsoftonline-p.com in de lijst met vertrouwde sites staan. U wordt gevraagd om deze site toe te voegen aan de lijst met vertrouwde sites wanneer u wordt gevraagd om een MFA-uitdaging en deze nog niet eerder is toegevoegd. U kunt deze Internet Explorer om deze toe te voegen aan uw vertrouwde sites.
  • Als u van plan bent om Azure AD Verbinding maken Health te gebruiken voor synchronisatie, moet u ervoor zorgen dat ook aan de vereisten voor Azure AD Verbinding maken Health wordt voldaan. Zie Azure AD Verbinding maken Health agent installation (Installatie van Azure AD Verbinding maken Health-agent) voor meer informatie.

Uw Azure AD-server Verbinding maken 2012

U wordt aangeraden uw Azure AD-Verbinding maken server te beperken om de beveiligingsrisico's voor dit kritieke onderdeel van uw IT-omgeving te verminderen. Als u deze aanbevelingen volgt, kunt u een aantal beveiligingsrisico's voor uw organisatie beperken.

  • Behandel Azure AD-Verbinding maken hetzelfde als een domeincontroller en andere Tier 0-resources. Zie Active Directory-beheerlaagmodel voor meer informatie.
  • Beperk beheerderstoegang tot de Azure AD Verbinding maken-server tot alleen domeinbeheerders of andere nauw beheerde beveiligingsgroepen.
  • Maak een toegewezen account voor alle medewerkers met bevoegde toegang. Beheerders mogen niet op internet surfen, hun e-mail controleren en dagelijkse productiviteitstaken uitvoeren met accounts met hoge bevoegdheden.
  • Volg de richtlijnen in Bevoorrechte toegang beveiligen.
  • Gebruik van NTLM-verificatie met de AADConnect-server weigeren. Hier zijn enkele manieren om dit te doen: NTLM op de AADConnect-server beperken en NTLM in een domein beperken
  • Zorg ervoor dat elke computer een uniek lokaal beheerderswachtwoord heeft. Zie voor meer informatie Oplossing voor wachtwoorden voor lokale beheerder (LAPS) unieke willekeurige wachtwoorden op elk werkstation kan configureren en opgeslagen in Active Directory die wordt beveiligd door een ACL. Alleen in aanmerking komende geautoriseerde gebruikers kunnen het opnieuw instellen van deze lokale beheerdersaccountwachtwoorden lezen of aanvragen. U kunt de LAPS verkrijgen voor gebruik op werkstations en servers via het Microsoft Downloadcentrum. Aanvullende richtlijnen voor het beheren van een omgeving met LAPS en privileged access workstations (PAWs) vindt u in Operationele standaarden op basis van het schone bron-principe.
  • Implementeert toegewezen werkstations met bevoegde toegang voor alle medewerkers met bevoegde toegang tot de informatiesystemen van uw organisatie.
  • Volg deze aanvullende richtlijnen om het aanvalsoppervlak van uw Active Directory-omgeving te verminderen.
  • Volg wijzigingen in de federatieconfiguratie bewaken om waarschuwingen in te stellen voor het controleren van wijzigingen in de vertrouwensrelatie tussen uw IDP en Azure AD.
  • Schakel Multi Factor Authentication (MFA) in voor alle gebruikers met bevoegde toegang in Azure AD of in AD. Een beveiligingsprobleem met het gebruik van AADConnect is dat als een aanvaller controle kan krijgen over de Azure AD Verbinding maken-server, hij gebruikers in Azure AD kan manipuleren. Om te voorkomen dat een aanvaller deze mogelijkheden gebruikt om Azure AD-accounts over te nemen, biedt MFA beveiliging zodat zelfs als een aanvaller erin slaagt om bijvoorbeeld het wachtwoord van een gebruiker opnieuw in te stellen met behulp van Azure AD Verbinding maken ze de tweede factor nog steeds niet kunnen omzeilen.

SQL Server gebruikt door Azure AD Connect

  • Azure AD Connect vereist een SQL Server-database voor het opslaan van identiteitsgegevens. Standaard wordt een SQL Server 2019 Express LocalDB (een lichte versie van SQL Server Express) geïnstalleerd. SQL Server Express hebt een limiet van 10 GB waarmee u ongeveer 100.000 objecten kunt beheren. Als u een groter volume van mapobjecten wilt beheren, moet u de installatiewizard naar een andere installatie van de SQL Server. Het type installatie van SQL Server kan van invloed zijn op de prestaties van Azure AD Verbinding maken.
  • Als u een andere installatie van een SQL Server, gelden deze vereisten:
    • Azure AD Verbinding maken alle versies van SQL Server van 2012 (met het nieuwste servicepack) tot SQL Server 2019. Azure SQL Database wordt niet ondersteund als een database.
    • U moet een niet-case-niet-SQL gebruiken. Deze collaties worden geïdentificeerd met een _ CI_ in hun naam. Het gebruik van een casegevoelige collatie die wordt geïdentificeerd _ door CS_ in hun naam wordt niet ondersteund.
    • U kunt slechts één synchronisatie-engine per SQL hebben. Het delen SQL exemplaar met FIM/MIM Sync, DirSync of Azure AD Sync wordt niet ondersteund.

Accounts

  • U moet een Azure AD Global Administrator-account hebben voor de Azure AD-tenant met wie u wilt integreren. Dit account moet een school- of organisatieaccount zijn en mag geen account Microsoft-account.
  • Als u express-instellingen gebruikt of een upgrade van DirSync gebruikt, moet u een Enterprise Administrator-account voor uw on-premises Active Directory.
  • Als u het installatiepad voor aangepaste instellingen gebruikt, hebt u meer opties. Zie Aangepaste installatie-instellingen voor meer informatie.

Connectiviteit

  • De Azure AD Verbinding maken server heeft DNS-resolutie nodig voor intranet en internet. De DNS-server moet namen kunnen oplossen voor zowel uw on-premises Active Directory als de Azure AD-eindpunten.

  • Azure AD Verbinding maken vereist netwerkconnectiviteit met alle geconfigureerde domeinen

  • Als uw intranet firewalls heeft en u poorten moet openen tussen de Azure AD Verbinding maken-servers en uw domeincontrollers, zie Azure AD Verbinding maken-poorten voor meer informatie.

  • Als uw proxy of firewall beperkt welke URL's toegankelijk zijn, moeten de URL's die zijn gedocumenteerd in Office 365 URL's en IP-adresbereiken worden geopend. Zie ook Safelist the Azure Portal URL's on your firewall or proxy server (Veilige lijst met url's maken op uw firewall of proxyserver).

    • Als u de Microsoft-cloud in Duitsland of de Microsoft Azure Government-cloud gebruikt, zie Azure AD Verbinding maken-synchronisatieservice-instanties voor URL's.
  • Azure AD Verbinding maken (versie 1.1.614.0 en later) gebruikt standaard TLS 1.2 voor het versleutelen van communicatie tussen de synchronisatie-engine en Azure AD. Als TLS 1.2 niet beschikbaar is op het onderliggende besturingssysteem, Verbinding maken Azure AD incrementeel terugvallen op oudere protocollen (TLS 1.1 en TLS 1.0). Vanaf Azure AD Verbinding maken versie 2.0 en hoger. TLS 1.0 en 1.1 worden niet meer ondersteund en de installatie mislukt als TLS 1.2 niet is ingeschakeld.

  • Vóór versie 1.1.614.0 maakt Azure AD Verbinding maken standaard gebruik van TLS 1.0 voor het versleutelen van communicatie tussen de synchronisatie-engine en Azure AD. Als u wilt overstappen op TLS 1.2, volgt u de stappen in TLS 1.2 voor Azure ADinschakelen Verbinding maken .

  • Als u een uitgaande proxy gebruikt om verbinding te maken met internet, moet de volgende instelling in het C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config-bestand worden toegevoegd voor de installatiewizard en Azure AD Verbinding maken Sync om verbinding te kunnen maken met internet en Azure AD. Deze tekst moet onderaan het bestand worden ingevoerd. In deze code vertegenwoordigt < PROXYADDRESS het > werkelijke PROXY-IP-adres of de hostnaam.

        <system.net>
            <defaultProxy>
                <proxy
                usesystemdefault="true"
                proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
                bypassonlocal="true"
                />
            </defaultProxy>
        </system.net>
    
  • Als uw proxyserver verificatie vereist, moet het serviceaccount zich in het domein bevinden. Gebruik het installatiepad voor aangepaste instellingen om een aangepast serviceaccount op te geven. U hebt ook een andere wijziging in de machine.config. Met deze wijziging in machine.config, reageren de installatiewizard en synchronisatie-engine op verificatieaanvragen van de proxyserver. Op alle pagina's van de installatiewizard, met uitzondering van de pagina Configureren, worden de referenties van de aangemelde gebruiker gebruikt. Op de pagina Configureren aan het einde van de installatiewizard wordt de context overgeschakeld naar het serviceaccount dat u hebt gemaakt. De machine.config ziet er als volgende uit:

        <system.net>
            <defaultProxy enabled="true" useDefaultCredentials="true">
                <proxy
                usesystemdefault="true"
                proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
                bypassonlocal="true"
                />
            </defaultProxy>
        </system.net>
    
  • Als de proxyconfiguratie wordt uitgevoerd in een bestaande installatie, moet de Microsoft Azure AD Sync-service eenmaal opnieuw worden opgestart voor de Azure AD-Verbinding maken om de proxyconfiguratie te lezen en het gedrag bij te werken.

  • Wanneer Azure AD Verbinding maken een webaanvraag naar Azure AD verzendt als onderdeel van directorysynchronisatie, kan het tot vijf minuten duren voordat Azure AD reageert. Het is gebruikelijk dat proxyservers een time-outconfiguratie voor inactieve verbindingen hebben. Zorg ervoor dat de configuratie is ingesteld op ten minste 6 minuten of meer.

Zie MSDN over het standaardproxyelement voor meer informatie. Zie Connectiviteitsproblemen oplossen voor meer informatie over problemen met de connectiviteit.

Anders

Optioneel: Gebruik een testgebruikersaccount om de synchronisatie te controleren.

Vereisten voor onderdelen

PowerShell en .NET Framework

Azure AD Verbinding maken afhankelijk van Microsoft PowerShell 5.0 en .NET Framework 4.5.1. U moet deze versie of een latere versie op uw server installeren.

TLS 1.2 inschakelen voor Azure AD-Verbinding maken

Vóór versie 1.1.614.0 maakt Azure AD Verbinding maken standaard gebruik van TLS 1.0 voor het versleutelen van de communicatie tussen de synchronisatie-engineserver en Azure AD. U kunt .NET-toepassingen standaard configureren voor het gebruik van TLS 1.2 op de server. Zie Microsoft Security Advisory 2960358 voor meer informatie over TLS1.2.

  1. Zorg ervoor dat de hotfix .NET 4.5.1 is geïnstalleerd voor uw besturingssysteem. Zie Microsoft Security Advisory 2960358 (Microsoft-beveiligingsadvies) voor 2960358. Mogelijk hebt u deze hotfix of een latere versie al op uw server geïnstalleerd.

  2. Voor alle besturingssystemen stelt u deze registersleutel in en start u de server opnieuw op.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
    "SchUseStrongCrypto"=dword:00000001
    
  3. Als u TLS 1.2 ook wilt inschakelen tussen de synchronisatie-engineserver en een externe SQL Server, moet u ervoor zorgen dat de vereiste versies zijn geïnstalleerd voor TLS 1.2-ondersteuning voor Microsoft SQL Server.

DCOM-vereisten op de synchronisatieserver

Tijdens de installatie van de synchronisatieservice controleert Azure AD Verbinding maken of de volgende registersleutel aanwezig is:

  • HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

Onder deze registersleutel controleert Azure AD Verbinding maken of de volgende waarden aanwezig en onversleuteld zijn:

Vereisten voor federatie-installatie en -configuratie

Windows Remote Management

Wanneer u Azure AD-Verbinding maken voor het implementeren van AD FS of de Web toepassingsproxy (WAP), controleert u deze vereisten:

  • Als de doelserver lid is van een domein, controleert u of Windows Extern beheerd is ingeschakeld.
    • Gebruik in een PowerShell-opdrachtvenster met verhoogde bevoegdheid de opdracht Enable-PSRemoting –force .
  • Als de doelserver een WAP-computer is die geen lid is van een domein, zijn er een aantal aanvullende vereisten:
    • Op de doelmachine (WAP-machine):
      • Zorg ervoor Windows de WinRM-service (Remote Management/WS-Management) wordt uitgevoerd via de module Services.
      • Gebruik in een PowerShell-opdrachtvenster met verhoogde bevoegdheid de opdracht Enable-PSRemoting –force .
    • Op de computer waarop de wizard wordt uitgevoerd (als de doelmachine geen lid is van een domein of een niet-vertrouwd domein is):
      • Gebruik in een PowerShell-opdrachtvenster met verhoogde bevoegdheid de opdracht Set-Item.WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –Concatenate .
      • In serverbeheer:
        • Voeg een DMZ WAP-host toe aan een machinegroep. Selecteer in serverbeheer Servers toevoegen beheren > en gebruik vervolgens het tabblad DNS.
        • Klik op Serverbeheer tabblad Alle servers met de rechtermuisknop op de WAP-server en selecteer Beheren als. Voer lokale (geen domein)-referenties in voor de WAP-machine.
        • Als u externe PowerShell-connectiviteit wilt valideren, klikt u op Serverbeheer tabblad Alle servers met de rechtermuisknop op de WAP-server en selecteert u Windows PowerShell. Er moet een externe PowerShell-sessie worden geopend om ervoor te zorgen dat externe PowerShell-sessies tot stand kunnen worden gebracht.

TLS/SSL-certificaatvereisten

  • U wordt aangeraden hetzelfde TLS/SSL-certificaat te gebruiken op alle knooppunten van uw AD FS-farm en alle webservers toepassingsproxy webservers.
  • Het certificaat moet een X509-certificaat zijn.
  • U kunt een zelf-ondertekend certificaat op federatieservers gebruiken in een testomgeving. Voor een productieomgeving wordt u aangeraden het certificaat te verkrijgen van een openbare certificeringsinstantie.
    • Als u een certificaat gebruikt dat niet openbaar wordt vertrouwd, moet u ervoor zorgen dat het certificaat dat op elke Web toepassingsproxy-server is geïnstalleerd, wordt vertrouwd op zowel de lokale server als op alle federatieservers.
  • De identiteit van het certificaat moet overeenkomen met de naam van de federation-service (bijvoorbeeld sts.contoso.com).
    • De identiteit is een SAN-extensie (Alternatieve naam voor onderwerp) van het type dNSName of, als er geen SAN-vermeldingen zijn, wordt de onderwerpnaam opgegeven als een algemene naam.
    • Er kunnen meerdere SAN-vermeldingen aanwezig zijn in het opgegeven certificaat. Een van deze vermeldingen komt overeen met de naam van de federation-service.
    • Als u van plan bent om Workplace Join, is een extra SAN vereist met de waarde enterpriseregistration. gevolgd door het user principal name (UPN) van uw organisatie, bijvoorbeeld enterpriseregistration.contoso.com.
  • Certificaten op basis van CryptoAPI CNG-sleutels (next-generation) en sleutelopslagproviders (KSP's) worden niet ondersteund. Als gevolg hiervan moet u een certificaat gebruiken op basis van een cryptografieprovider (CSP) en niet een KSP.
  • Jokerkaartcertificaten worden ondersteund.

Naamoplossing voor federatieservers

  • DNS-records instellen voor de AD FS naam (bijvoorbeeld sts.contoso.com) voor zowel het intranet (uw interne DNS-server) als het extranet (openbare DNS via uw domeinregistrar). Zorg ervoor dat u voor de intranet-DNS-record A-records gebruikt en niet CNAME-records. Het gebruik van A-records is vereist Windows verificatie correct werkt vanaf uw computer die lid is van een domein.
  • Als u meer dan één AD FS-server of Web toepassingsproxy-server implementeert, moet u ervoor zorgen dat u uw load balancer hebt geconfigureerd en dat de DNS-records voor de AD FS-naam (bijvoorbeeld sts.contoso.com) naar de load balancer wijzen.
  • Als Windows geïntegreerde verificatie werkt voor browsertoepassingen met behulp van Internet Explorer in uw intranet, moet u ervoor zorgen dat de AD FS-naam (bijvoorbeeld sts.contoso.com) wordt toegevoegd aan de intranetzone in Internet Explorer. Deze vereiste kan worden beheerd via groepsbeleid en geïmplementeerd op al uw computers die lid zijn van een domein.

Azure AD Verbinding maken ondersteunende onderdelen

Azure AD Verbinding maken installeert de volgende onderdelen op de server waarop Azure AD Verbinding maken is geïnstalleerd. Deze lijst is voor een eenvoudige Express-installatie. Als u ervoor kiest om een andere SQL Server te gebruiken op de pagina Synchronisatieservices installeren, SQL Express LocalDB niet lokaal geïnstalleerd.

  • Azure AD Connect Health (Engelstalig)
  • Microsoft SQL Server 2019 Command Line Utilities
  • Microsoft SQL Server 2019 Express LocalDB
  • Microsoft SQL Server 2019 Native Client
  • Microsoft Visual C++ 14 Redistribution Package

Hardwarevereisten voor Azure AD-Verbinding maken

In de volgende tabel ziet u de minimale vereisten voor de Azure AD-Verbinding maken-synchronisatiecomputer.

Aantal objecten in Active Directory CPU Geheugen Harde schijfgrootte
Minder dan 10.000 1,6 GHz 4 GB 70 GB
10,000–50,000 1,6 GHz 4 GB 70 GB
50,000–100,000 1,6 GHz 16 GB 100 GB
Voor 100.000 of meer objecten is de volledige versie van SQL Server vereist. Uit prestatieoverwegingen heeft lokaal installeren de voorkeur.
100,000–300,000 1,6 GHz 32 GB 300 GB
300,000–600,000 1,6 GHz 32 GB 450 GB
Meer dan 600.000 1,6 GHz 32 GB 500 GB

De minimale vereisten voor computers met AD FS- of webservers toepassingsproxy zijn:

  • CPU: Dual Core 1,6 GHz of hoger
  • Geheugen: 2 GB of hoger
  • Azure-VM: A2-configuratie of hoger

Volgende stappen

Lees meer over het integreren van uw on-premises identiteiten met Azure Active Directory.