Zelfstudie: Een enkele forest integreren met enkele Azure AD-tenant

  • Artikel
  • 5 minuten om te lezen

Deze zelfstudie helpt u bij het maken van een hybride identiteitsomgeving met behulp van Azure Active Directory (Azure AD) Connect-cloudsynchronisatie.

Maken

U kunt de omgeving die u in deze zelfstudie maakt gebruiken om te testen of om vertrouwd te raken met cloudsynchronisatie.

Vereisten

In het Azure Active Directory-beheercentrum

  1. Maak een alleen-cloud account voor globale beheerders in uw Azure AD-tenant. Op deze manier kunt u de configuratie van uw tenant beheren als uw on-premises services mislukken of niet meer beschikbaar zijn. Meer informatie over het toevoegen van een alleen-cloud account voor globale beheerders. Het voltooien van deze stap is van cruciaal belang om ervoor te zorgen dat de tenant niet wordt vergrendeld.
  2. Voeg een of meer aangepaste domeinnamen toe aan uw Azure AD-tenant. Uw gebruikers kunnen zich aanmelden met een van deze domeinnamen.

In uw on-premises omgeving

  1. Identificeer een hostserver die lid is van een domein met Windows Server 2016 of hoger met minimaal 4 GB RAM en .NET 4.7.1+ runtime

  2. Als er een firewall is tussen uw servers en Azure AD, moet u de volgende items configureren:

    • Zorg ervoor dat agenten uitgaande aanvragen voor Azure AD via de volgende poorten kunnen maken:

      Poortnummer Hoe dat wordt gebruikt
      80 Downloadt de certificaatintrekkingslijsten (CRL's) tijdens het valideren van het TLS-/SSL-certificaat
      443 Verwerkt alle uitgaande communicatie met de service
      8080 (optioneel) Agents rapporteren hun status elke 10 minuten via poort 8080, als poort 443 niet beschikbaar is. Deze status wordt weergegeven in de Azure AD-portal.

      Als met uw firewall regels worden afgedwongen op basis van de herkomst van gebruikers, opent u deze poorten voor verkeer dat afkomstig is van Windows-services die als een netwerkservice worden uitgevoerd.

    • Als uw firewall of proxyserver het opgeven van veilige achtervoegsels toestaat, kunt u verbindingen met *.msappproxy.net en *.servicebus.windows.net toevoegen. Als dat niet het geval is, moet u toegang toestaan tot de IP-adresbereiken van Azure Datacenter, die elke week worden bijgewerkt.

    • Uw agenten hebben voor de eerste registratie toegang nodig tot login.windows.net en login.microsoftonline.com. Open uw firewall ook voor deze URL's.

    • Voor certificaatvalidatie deblokkeert u de volgende URL's: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 en www.microsoft.com:80. Omdat deze URL's worden gebruikt voor certificaatvalidatie met andere Microsoft-producten, is het mogelijk dat u deze URL's al hebt gedeblokkeerd.

De agent voor Azure AD Connect-inrichting installeren

  1. Meld u aan bij de server die is toegevoegd aan het domein. Als u de zelfstudie Basis-A D en Azure-omgeving gebruikt, is dit DC1.

  2. Meld u aan bij de Azure-portal met behulp van de referenties van de alleen-cloud account voor globale beheerders.

  3. Selecteer aan de linkerkant Azure Active Directory, klik Azure AD Connect en selecteer cloudsynchronisatie beheren in het midden.

    Azure Portal

  4. Klik op Agent downloaden.

  5. Voer de agent voor Azure AD Connect-inrichting uit.

  6. Ga in het welkomstscherm akkoord met de licentievoorwaarden en klik op Installeren.

    Schermopname van het startscherm 'Microsoft Azure A D ConnectProvisioning Agent Package' wordt weergegeven.

  7. Zodra deze bewerking is voltooid, wordt de configuratiewizard gestart. Meld u aan met uw globale beheerdersreferenties voor Azure AD. Houd er rekening mee dat als u verbeterde beveiliging van Internet Explorer hebt ingeschakeld, aanmelding wordt geblokkeerd. Als dit het geval is, sluit u de installatie, schakelt u verbeterde beveiliging van Internet Explorer in Serverbeheer uit en klikt u op de wizard voor de AAD Connect-inrichtingsagent om de installatie opnieuw te starten.

  8. Klik in het scherm Verbinding maken met Active Directory op Directory toevoegen en meld u aan met uw Active Directory-domeinbeheerdersaccount. OPMERKING: Het domeinbeheerdersaccount mag geen vereisten voor wachtwoordwijziging hebben. Als het wachtwoord verloopt of wordt gewijzigd, moet u de agent opnieuw configureren met de nieuwe referenties. Met deze bewerking wordt uw on-premises adreslijst toegevoegd. Klik op Volgende.

    Schermopname van het venster 'Verbinding maken met Active Directory'.

  9. Klik in het scherm Configuratie voltooid op Bevestigen. Met deze bewerking wordt de agent geregistreerd en opnieuw gestart.

    Schermopname met het scherm Configuratie voltooid.

  10. Zodra deze bewerking is voltooid, ziet u een melding: De agentconfiguratie is gecontroleerd. U kunt op Afsluiten klikken.
    Welkomstscherm

  11. Als het welkomstscherm nog steeds wordt weergegeven, klikt u op Sluiten.

Agentinstallatie verifiëren

Verificatie van de agent vindt plaats in de Azure Portal en op de lokale server waarop de agent wordt uitgevoerd.

Verificatie van Azure Portal-agent

Voer de volgende stappen uit om te controleren of de agent wordt gedetecteerd door Azure:

  1. Meld u aan bij Azure Portal.

  2. Selecteer aan de linkerkant Azure Active Directory, klik Azure AD Connect klik in het midden op Cloudsynchronisatie beheren.
    Azure-portal

  3. Klik in Azure AD Connect cloudsynchronisatiescherm op Alle agents controleren. Azure A D-inrichting

  4. In het scherm On-premises inrichtingsagents ziet u de agents die u hebt geïnstalleerd. Controleer of de agent in kwestie beschikbaar is en op Uitgeschakeld staat. Inrichtingsagenten

Op de lokale server

Voer de volgende stappen uit om te controleren of de agent wordt uitgevoerd:

  1. Meld u aan bij de server met een beheerdersaccount
  2. Open Services door hiernaartoe te navigeren of via Start/Uitvoeren/Services. msc.
  3. Controleer onder Services of Microsoft Azure AD Connect-agentupdater en Microsoft Azure AD Connect-inrichtingsagent aanwezig zijn en of de status Actief is. Services

Cloudsynchronisatie Azure AD Connect configureren

Voer de volgende stappen uit om de inrichting te configureren

  1. Meld u aan bij de Azure AD-portal.
  2. Klik op Azure Active Directory
  3. Klik op Azure AD Connect
  4. Selecteer Cloudsynchronisatie beheren Schermopname met de koppeling Cloudsynchronisatie beheren.
  5. Klik op Nieuwe configuratie Schermopname van azure A D Connect-cloudsynchronisatiescherm met de koppeling Nieuwe configuratie gemarkeerd.
  6. Voer in het configuratiescherm een E-mailadres voor meldingen in, zet de selector op Inschakelen en klik op Opslaan. Schermopname van het scherm Configureren waarin het e-mailadres voor meldingen is ingevuld en Inschakelen is geselecteerd.
  7. De configuratiestatus moet nu In orde zijn. Schermopname van azure A D Connect-cloudsynchronisatiescherm met de status In orde.

Controleer of gebruikers zijn gemaakt en synchronisatie plaatsvindt

U gaat nu controleren of de gebruikers die u in uw on-premises directory had, zijn gesynchroniseerd en nu bestaan in uw Azure AD-tenant. Dit synchronisatieproces kan enkele uren duren. Ga als volgt te werk om te controleren of gebruikers zijn gesynchroniseerd.

  1. Meld u bij de Azure Portal aan met een account waaraan een Azure-abonnement is gekoppeld.
  2. Selecteer links Azure Active Directory
  3. Onder Beheren, selecteer Gebruikers.
  4. Controleer of u de nieuwe gebruikers in uw tenant ziet

Aanmelden testen met een van uw gebruikers

  1. Blader naar https://myapps.microsoft.com
  2. Meld u aan met een gebruikersaccount dat in uw tenant is gemaakt. U moet zich aanmelden met de volgende indeling: (user@domain.onmicrosoft.com). Gebruik hetzelfde wachtwoord dat de gebruiker gebruikt om zich on-premises aan te melden.
    Verifiëren

U hebt nu een hybride identiteitsomgeving geconfigureerd met behulp van Azure AD Connect cloudsynchronisatie.

Volgende stappen