Aangepaste installatie van Azure Active Directory Verbinding maken
Gebruik aangepaste instellingen in Azure Active Directory (Azure AD) Verbinding maken als u meer opties voor de installatie wilt. Gebruik deze instellingen, bijvoorbeeld als u meerdere forests hebt of als u optionele functies wilt configureren. Gebruik aangepaste instellingen in alle gevallen waarin snelle installatie niet voldoet aan uw implementatie- of topologiebehoeften.
Vereisten:
- Download Azure AD Verbinding maken.
- Voltooi de vereiste stappen in Azure AD Verbinding maken: Hardware en vereisten.
- Zorg ervoor dat u de accounts hebt die worden beschreven in Azure AD Verbinding maken accounts en machtigingen .
Aangepaste installatie-instellingen
Als u een aangepaste installatie voor Azure AD Verbinding maken, gaat u door de wizardpagina's die in de volgende secties worden beschreven.
Snelle instellingen
Selecteer op Instellingen pagina Express-instellingen aanpassen om een installatie met aangepaste instellingen te starten. In de rest van dit artikel wordt u door het aangepaste installatieproces geleid. Gebruik de volgende koppelingen om snel naar de informatie voor een bepaalde pagina te gaan:
Vereiste onderdelen installeren
Wanneer u de synchronisatieservices installeert, kunt u de optionele configuratiesectie uitgeschakeld laten. Azure AD Verbinding maken alles automatisch in. Er wordt een SQL Server 2019 Express LocalDB-exemplaar, de juiste groepen gemaakt en machtigingen toegewezen. Als u de standaardinstellingen wilt wijzigen, moet u de juiste vakken uit. De volgende tabel bevat een overzicht van deze opties en bevat koppelingen naar aanvullende informatie.
| Optionele configuratie | Beschrijving |
|---|---|
| Een aangepaste installatielocatie opgeven | Hiermee kunt u het standaardinstallatiepad voor Azure AD-Verbinding maken. |
| Een bestaande SQL Server gebruiken | Hiermee kunt u de naam van SQL Server en instantie opgeven. Kies deze optie als u al een databaseserver hebt die u wilt gebruiken. Voer bij Exemplaarnaam de naam van het exemplaar, een komma en het poortnummer in als voor uw SQL Server-exemplaar bladeren niet is ingeschakeld. Geef vervolgens de naam op van de Azure AD-Verbinding maken database. Uw SQL bepalen of er een nieuwe database kan worden gemaakt of dat uw SQL-beheerder de database vooraf moet maken. Als u beheerdersmachtigingen SQL Server, zie Azure AD-Verbinding maken installeren met behulp van een bestaande database. Als u gedelegeerde machtigingen (DBO) hebt, zie Azure AD-Verbinding maken installeren met SQL gedelegeerde beheerdersmachtigingen. |
| Een bestaand serviceaccount gebruiken | Standaard biedt Azure AD Verbinding maken een virtueel serviceaccount voor de synchronisatieservices. Als u een extern exemplaar van SQL Server of een proxy gebruikt die verificatie vereist, kunt u een beheerd serviceaccount of een met een wachtwoord beveiligd serviceaccount in het domein gebruiken. Voer in dergelijke gevallen het account in dat u wilt gebruiken. Als u de installatie wilt uitvoeren, moet u een SA in SQL zodat u aanmeldingsreferenties voor het serviceaccount kunt maken. Zie Azure AD Verbinding maken accounts en machtigingen voor meer informatie. Met behulp van de nieuwste build kan de SQL de database nu buiten-band inrichten. Vervolgens kan de Azure AD Verbinding maken beheerder deze installeren met eigenaarsrechten voor de database. Zie Install Azure AD Verbinding maken by using SQL delegated administrator permissions (Azure AD-machtigingen installeren met behulp SQL gedelegeerde beheerdersmachtigingen) voor meer informatie. |
| Aangepaste synchronisatiegroepen opgeven | Wanneer de synchronisatieservices zijn geïnstalleerd, maakt Azure AD standaard Verbinding maken groepen die lokaal zijn voor de server. Deze groepen zijn beheerders, operators, bladeren en wachtwoord opnieuw instellen. U kunt hier uw eigen groepen opgeven. De groepen moeten lokaal zijn op de server. Ze kunnen zich niet in het domein bevinden. |
| Synchronisatie-instellingen importeren (preview) | Hiermee kunt u instellingen importeren uit andere versies van Azure AD-Verbinding maken. Zie Importing and exporting Azure AD Verbinding maken configuration settings (Azure AD-configuratie-instellingenimporteren Verbinding maken exporteren) voor meer informatie. |
Gebruikersaanmelding
Nadat u de vereiste onderdelen hebt geïnstalleerd, selecteert u de methode voor een aanmelding van uw gebruikers. In de volgende tabel worden kort de beschikbare opties beschreven. Zie voor een volledige beschrijving van de aanmeldmethodes User sign-in.
| Optie voor een aanmelding | Beschrijving |
|---|---|
| Synchronisatie van wachtwoord-hashes | Gebruikers kunnen zich aanmelden bij Microsoft-cloudservices, zoals Microsoft 365, met hetzelfde wachtwoord dat ze in hun on-premises netwerk gebruiken. Gebruikerswachtwoorden worden gesynchroniseerd met Azure AD als een wachtwoordhash. Verificatie vindt plaats in de cloud. Zie Wachtwoord-hashsynchronisatie voor meer informatie. |
| Pass-through-verificatie | Gebruikers kunnen zich aanmelden bij Microsoft-cloudservices, zoals Microsoft 365, met hetzelfde wachtwoord dat ze in hun on-premises netwerk gebruiken. Gebruikerswachtwoorden worden gevalideerd door te worden doorgegeven aan de on-premises Active Directory domeincontroller. |
| Federatie met AD FS | Gebruikers kunnen zich aanmelden bij Microsoft-cloudservices, zoals Microsoft 365, met hetzelfde wachtwoord dat ze in hun on-premises netwerk gebruiken. Gebruikers worden omgeleid naar hun on-premises exemplaar van Azure Directory Federation Services (AD FS) om zich aan te melden. Verificatie vindt on-premises plaats. |
| Federatie met PingFederate | Gebruikers kunnen zich aanmelden bij Microsoft-cloudservices, zoals Microsoft 365, met hetzelfde wachtwoord dat ze in hun on-premises netwerk gebruiken. Gebruikers worden omgeleid naar hun on-premises PingFederate-exemplaar om zich aan te melden. Verificatie vindt on-premises plaats. |
| Niet configureren | Er is geen functie voor het aanmelden van gebruikers geïnstalleerd of geconfigureerd. Kies deze optie als u al een federatieserver van derden of een andere oplossing hebt. |
| Eenmalige aanmelding inschakelen | Deze optie is beschikbaar bij zowel wachtwoord-hashsynchronisatie als pass-through-verificatie. Het biedt een ervaring voor een enkele aanmelding voor desktopgebruikers in bedrijfsnetwerken. Zie Een aanmelding voor meer informatie. Opmerking: Voor AD FS is deze optie niet beschikbaar. AD FS biedt al hetzelfde niveau van een aanmelding. |
Verbinding maken met Azure AD
Voer op Verbinding maken naar Azure AD-pagina een account en wachtwoord voor globale beheerders in. Als u Federatie met AD FS op de vorige pagina hebt geselecteerd, meldt u zich niet aan met een account in een domein dat u wilt inschakelen voor federatie.
Mogelijk wilt u een account gebruiken in het standaarddomein onmicrosoft.com, dat wordt geleverd bij uw Azure AD-tenant. Dit account wordt alleen gebruikt om een serviceaccount te maken in Azure AD. Deze wordt niet gebruikt nadat de installatie is voltooien.
Als voor uw globale beheerdersaccount meervoudige verificatie is ingeschakeld, geeft u het wachtwoord opnieuw op in het aanmeldingsvenster en moet u de meervoudige verificatie voltooien. De uitdaging kan een verificatiecode of een telefoongesprek zijn.
Voor het globale beheerdersaccount kan ook privileged identity management zijn ingeschakeld.
Zie Connectiviteitsproblemen oplossen als u een fout ziet of problemen hebt met de connectiviteit.
Pagina's synchroniseren
In de volgende secties worden de pagina's in de sectie Synchroniseren beschreven.
Verbinding maken met uw directory’s
Om verbinding te Active Directory Domain Services (Azure AD DS), heeft Azure AD Verbinding maken de forestnaam en referenties nodig van een account met voldoende machtigingen.
Nadat u de forestnaam hebt invoeren en Map toevoegen hebt geselecteerd, wordt er een venster weergegeven. In de volgende tabel worden uw opties beschreven.
| Optie | Beschrijving |
|---|---|
| Nieuw account maken | Maak het Azure AD DS account dat Azure AD Verbinding maken verbinding moet maken met het Active Directory-forest tijdens directorysynchronisatie. Nadat u deze optie hebt geselecteerd, voert u de gebruikersnaam en het wachtwoord in voor een ondernemingsbeheerdersaccount. Azure AD Verbinding maken het opgegeven ondernemingsbeheerdersaccount om het vereiste Azure AD DS maken. U kunt het domeingedeelte in NetBIOS-indeling of FQDN-indeling invoeren. Dat wil zeggen: voer FABRIKAM\administrator of fabrikam.com\administrator in. |
| Bestaand account gebruiken | Geef een bestaand Azure AD DS op dat Azure AD Verbinding maken kan gebruiken om verbinding te maken met het Active Directory-forest tijdens directorysynchronisatie. U kunt het domeingedeelte in NetBIOS-indeling of FQDN-indeling invoeren. Dat wil zeggen: voer FABRIKAM\syncuser of fabrikam.com\syncuser in. Dit account kan een normaal gebruikersaccount zijn omdat alleen de standaard leesmachtigingen nodig zijn. Maar afhankelijk van uw scenario hebt u mogelijk meer machtigingen nodig. Zie Azure AD Verbinding maken accounts en machtigingen voor meer informatie. |
Notitie
Vanaf build 1.4.18.0 kunt u geen ondernemingsbeheerder of domeinbeheerdersaccount meer gebruiken als Azure AD DS connectoraccount. Wanneer u Bestaande account gebruiken selecteert als u probeert een ondernemingsbeheerdersaccount of een domeinbeheerdersaccount in te voeren, ziet u de volgende fout: 'Het gebruik van een Enterprise- of Domeinbeheerdersaccount voor uw AD-forestaccount is niet toegestaan. Laat Azure AD Verbinding maken het account voor u te maken of geef een synchronisatieaccount met de juiste machtigingen op.
Aanmeldconfiguratie Azure AD
Controleer op de configuratiepagina voor aanmelding bij Azure AD de user principal name (UPN) in on-premises Azure AD DS. Deze UPN-domeinen zijn geverifieerd in Azure AD. Op deze pagina configureert u het kenmerk dat moet worden gebruikt voor de userPrincipalName.
Controleer elk domein dat is gemarkeerd als Niet toegevoegd of Niet geverifieerd. Zorg ervoor dat de domeinen die u gebruikt, zijn geverifieerd in Azure AD. Nadat u uw domeinen hebt gecontroleerd, selecteert u het pictogram voor cirkelvormige vernieuwing. Zie Het domein toevoegen en verifiëren voor meer informatie.
Gebruikers gebruiken het kenmerk userPrincipalName wanneer ze zich aanmelden bij Azure AD en Microsoft 365. Azure AD moet de domeinen, ook wel het UPN-achtervoegsel genoemd, controleren voordat gebruikers worden gesynchroniseerd. Microsoft raadt u aan het standaardkenmerk userPrincipalName te behouden.
Als het kenmerk userPrincipalName niet-routeerbaar is en niet kan worden geverifieerd, kunt u een ander kenmerk selecteren. U kunt bijvoorbeeld e-mail selecteren als het kenmerk dat de aanmeldings-id bevat. Wanneer u een ander kenmerk dan userPrincipalName gebruikt, wordt dit ook wel een alternatieve id genoemd.
De waarde van het alternatieve-id-kenmerk moet aan de standaard RFC822 voldoen. Een alternatieve id kan worden gebruikt met wachtwoord-hashsynchronisatie, passthrough-verificatie en federatie. In Active Directory kan het kenmerk niet worden gedefinieerd als met meerdere waarden, zelfs niet als het slechts één waarde heeft. Zie Pass-through-verificatie: veelgesteldevragen voor meer informatie over de alternatieve id.
Notitie
Wanneer u pass-through-verificatie inschakelen, moet u ten minste één geverifieerd domein hebben om door te gaan met het aangepaste installatieproces.
Waarschuwing
Alternatieve ID's zijn niet compatibel met alle Microsoft 365 workloads. Zie Configuring alternate sign-in IDs (Alternatieve aanmeldings-ID's configureren) voor meer informatie.
Domein en OE filteren
Standaard worden alle domeinen en organisatie-eenheden (OE's) gesynchroniseerd. Als u sommige domeinen of OE's niet wilt synchroniseren met Azure AD, kunt u de juiste selecties leeg maken.
Op deze pagina configureert u filteren op basis van domeinen en OE's. Als u van plan bent om wijzigingen aan te brengen, zie dan Filteren op basis van domein en filteren op basis van een OE. Sommige OE's zijn essentieel voor functionaliteit, dus u moet ze geselecteerd laten.
Als u OE-filtering gebruikt met een Azure AD Verbinding maken-versie ouder dan 1.1.524.0, worden nieuwe OE's standaard gesynchroniseerd. Als u niet wilt dat nieuwe OE's worden gesynchroniseerd, kunt u het standaardgedrag aanpassen na de filterstap op basis van een OE. Voor Azure AD Verbinding maken 1.1.524.0 of hoger kunt u aangeven of u wilt dat nieuwe OE's worden gesynchroniseerd.
Als u van plan bent om filteren op basis van groepen te gebruiken,moet u ervoor zorgen dat de OE met de groep is opgenomen en niet is gefilterd met OE-filtering. OE-filtering wordt geëvalueerd voordat filteren op basis van groepen wordt geëvalueerd.
Het is ook mogelijk dat sommige domeinen onbereikbaar zijn vanwege firewallbeperkingen. Deze domeinen zijn standaard uitgeschakeld en er wordt een waarschuwing weergegeven.
Als u deze waarschuwing ziet, moet u ervoor zorgen dat deze domeinen inderdaad onbereikbaar zijn en dat de waarschuwing wordt verwacht.
Uw gebruikers een unieke id geven
Kies op de pagina Gebruikers identificeren hoe u gebruikers in uw on-premises directories identificeert en hoe u ze identificeert met behulp van het kenmerk sourceAnchor.
Selecteren hoe gebruikers moeten worden aangeduid in uw on-premises directory’s
Met behulp van de functie Matching across forests kunt u definiëren hoe gebruikers uit uw Azure AD DS forests worden weergegeven in Azure AD. Een gebruiker kan slechts één keer worden weergegeven in alle forests of een combinatie van ingeschakelde en uitgeschakelde accounts hebben. De gebruiker kan in sommige forests ook worden weergegeven als een contactpersoon.
| Instelling | Beschrijving |
|---|---|
| Gebruikers worden slechts één keer weergegeven in alle forests | Alle gebruikers worden als afzonderlijke objecten in Azure AD aangemaakt. De objecten worden niet samengevoegd in de metaverse. |
| E-mailkenmerk | Deze optie koppelt gebruikers en contactpersonen als het e-mailkenmerk in verschillende forests dezelfde waarde heeft. Gebruik deze optie wanneer uw contactpersonen zijn gemaakt met behulp van GALSync. Als u deze optie kiest, worden gebruikersobjecten waarvan het e-mailkenmerk niet is ingevuld, niet gesynchroniseerd met Azure AD. |
| Kenmerken ObjectSID en msExchangeMasterAccountSID/ msRTCSIP-OriginatorSID | Deze optie koppelt een ingeschakelde gebruiker in een account-forest met een uitgeschakelde gebruiker in een bron-forest. In Exchange wordt deze configuratie een gekoppeld postvak genoemd. U kunt deze optie gebruiken als u alleen Lync gebruikt en als Exchange niet aanwezig is in het resource-forest. |
| Kenmerken SAMAccountName en MailNickName | Deze optie wordt toegevoegd aan kenmerken waar de aanmeldings-id voor de gebruiker naar verwachting wordt gevonden. |
| Een specifiek kenmerk kiezen | Met deze optie kunt u uw eigen kenmerk selecteren. Als u deze optie kiest, worden gebruikersobjecten waarvan het (geselecteerde) kenmerk niet is ingevuld, niet gesynchroniseerd met Azure AD. Beperking: Alleen kenmerken die zich al in de metaverse zijn beschikbaar voor deze optie. |
Selecteren hoe gebruikers moeten worden geïdentificeerd met behulp van een bronanker
Het kenmerk sourceAnchor is onveranderbaar tijdens de levensduur van een gebruikersobject. Dit is de primaire sleutel die de on-premises gebruiker koppelt aan de gebruiker in Azure AD.
| Instelling | Beschrijving |
|---|---|
| Azure het bronanker laten beheren | Selecteer deze optie als u wilt dat Azure AD het kenmerk voor u selecteert. Als u deze optie selecteert, past Azure AD Verbinding maken de selectielogica van het kenmerk sourceAnchor toe die wordt beschreven in Ms-DS-ConsistencyGuid gebruiken als sourceAnchor. Nadat de aangepaste installatie is voltooien, ziet u welk kenmerk is opgehaald als het kenmerk sourceAnchor. |
| Een specifiek kenmerk kiezen | Selecteer deze optie als u een bestaand AD-kenmerk wilt opgeven als het kenmerk sourceAnchor. |
Omdat het kenmerk sourceAnchor niet kan worden gewijzigd, moet u een geschikt kenmerk kiezen. Een goede kandidaat is objectGUID. Dit kenmerk wordt niet gewijzigd, tenzij het gebruikersaccount wordt verplaatst tussen forests of domeinen. Kies geen kenmerken die kunnen worden gewijzigd wanneer een persoon gaat of toewijzingen wijzigt.
U kunt geen kenmerken gebruiken die een bevatten op het teken (@), zodat u geen e-mail en userPrincipalName kunt gebruiken. Het kenmerk is ook hoofdlettergevoelig, dus wanneer u een object tussen forests verplaatst, moet u hoofdletters en kleine letters behouden. Binaire kenmerken zijn met Base64 gecodeerd, maar andere kenmerktypen blijven ongecodeerd.
In federatiescenario's en sommige Azure AD-interfaces wordt het kenmerk sourceAnchor ook wel onveranderbareID genoemd.
Zie Ontwerpconcepten voor meer informatie over het bronanker.
Synchronisatiefilters op basis van groepen
Met de functie Filteren op groepen kunt u slechts een kleine subset van objecten synchroniseren voor een pilot. Als u deze functie wilt gebruiken, maakt u een groep voor dit doel in uw on-premises exemplaar van Active Directory. Voeg vervolgens gebruikers en groepen toe die naar Azure AD moeten worden gesynchroniseerd als directe leden. U kunt later gebruikers toevoegen aan of verwijderen uit deze groep om de lijst met objecten te onderhouden die aanwezig moeten zijn in Azure AD.
Alle objecten die u wilt synchroniseren, moeten directe leden van de groep zijn. Gebruikers, groepen, contactpersonen en computers of apparaten moeten allemaal directe leden zijn. Genest groepslidmaatschap wordt niet opgelost. Wanneer u een groep als lid toevoegt, wordt alleen de groep zelf toegevoegd. De leden worden niet toegevoegd.
Waarschuwing
Deze functie is alleen bedoeld ter ondersteuning van een testimplementatie. Gebruik deze niet in een volledige productie-implementatie.
In een volledige productie-implementatie zou het lastig zijn om één groep en alle objecten ervan te synchroniseren. Gebruik in plaats van de functie filteren op groepen een van de methoden die worden beschreven in Filteren configureren.
Optionele functies
Op de volgende pagina kunt u optionele functies voor uw scenario selecteren.
Waarschuwing
Azure AD Verbinding maken versies 1.0.8641.0 en eerder zijn afhankelijk van Azure Access Control Service voor wachtwoord terugschrijven. Deze service is op 7 november 2018 uit gebruik genomen. Als u een van deze versies van Azure AD Verbinding maken gebruikt en wachtwoord terugschrijven hebt ingeschakeld, kunnen gebruikers hun wachtwoord mogelijk niet meer wijzigen of opnieuw instellen wanneer de service wordt gestopt. Deze versies van Azure AD Verbinding maken geen ondersteuning voor wachtwoord terugschrijven.
Zie Migrate from Azure Access Control Service (Migreren vanuit Azure Access Control Service) voor meer informatie.
Als u wachtwoord terugschrijven wilt gebruiken, downloadt u de nieuwste versie van Azure AD Verbinding maken.
Waarschuwing
Als Azure AD Sync of Directe synchronisatie (DirSync) actief zijn, activeert u geen write-backfuncties in Azure AD-Verbinding maken.
| Optionele functies | Beschrijving |
|---|---|
| Exchange hybride implementatie | Met Exchange hybride implementatiefunctie kunnen postvakken on-premises en in Exchange naast elkaar worden Microsoft 365. Azure AD Verbinding maken een specifieke set kenmerken van Azure AD terug naar uw on-premises directory. |
| Exchange openbare e-mailmappen maken | Met Exchange functie openbare e-mailmappen kunt u openbare mapobjecten met e-mail van uw on-premises exemplaar van Active Directory synchroniseren met Azure AD. |
| Azure AD-app- en -kenmerkfilters | Door het inschakelen van azure AD-app- en kenmerkfiltering kunt u de set gesynchroniseerde kenmerken aanpassen. Door deze optie worden twee extra configuratiepagina’s aan de wizard toegevoegd. Zie voor meer informatie Azure AD app and attribute filtering. |
| Synchronisatie van wachtwoord-hashes | Als u federatie als de aanmeldingsoplossing hebt geselecteerd, kunt u wachtwoord-hashsynchronisatie inschakelen. Vervolgens kunt u deze gebruiken als back-upoptie. Als u pass-through-verificatie hebt geselecteerd, kunt u deze optie inschakelen om te zorgen voor ondersteuning voor verouderde clients en om een back-up te maken. Zie Wachtwoord-hashsynchronisatie voor meer informatie. |
| Wachtwoord terugschrijven | Gebruik deze optie om ervoor te zorgen dat wachtwoordwijzigingen die afkomstig zijn van Azure AD, worden teruggeschreven naar uw on-premises directory. Zie voor meer informatie Getting started with password management. |
| Groep terugschrijven | Als u Microsoft 365 groepen gebruikt, kunt u groepen vertegenwoordigen in uw on-premises exemplaar van Active Directory. Deze optie is alleen beschikbaar als u Exchange hebt in uw on-premises exemplaar van Active Directory. Zie Azure AD Verbinding maken write-back voor meer informatie. |
| Apparaat terugschrijven | Gebruik deze optie voor scenario's met voorwaardelijke toegang om apparaatobjecten in Azure AD terug te schrijven naar uw on-premises exemplaar van Active Directory. Zie voor meer informatie Enabling device writeback in Azure AD Connect. |
| Synchronisatie van directory-extensiekenmerken | Selecteer deze optie om opgegeven kenmerken te synchroniseren met Azure AD. Zie voor meer informatie Directory extensions. |
Azure AD-app- en -kenmerkfilters
Als u wilt beperken welke kenmerken worden gesynchroniseerd met Azure AD, selecteert u eerst de services die u gebruikt. Als u de selecties op deze pagina wijzigt, moet u expliciet een nieuwe service selecteren door de installatiewizard opnieuw uit te werken.
Op basis van de services die u in de vorige stap hebt geselecteerd, worden op deze pagina alle kenmerken weergegeven die zijn gesynchroniseerd. Deze lijst is een combinatie van alle objecttypen die worden gesynchroniseerd. Als u wilt dat sommige kenmerken niet-gesynchroniseerd blijven, kunt u de selectie van deze kenmerken leeg maken.
Waarschuwing
Het verwijderen van kenmerken kan van invloed zijn op de functionaliteit. Zie Kenmerken om te synchroniseren voor aanbevolen procedures en aanbevelingen.
Synchronisatie van directory-extensiekenmerken
U kunt het schema in Azure AD uitbreiden met behulp van aangepaste kenmerken die uw organisatie heeft toegevoegd of met behulp van andere kenmerken in Active Directory. Als u deze functie wilt gebruiken, selecteert u op de pagina Optionele functies de optie Synchronisatie van directory-extensiekenmerken. Op de pagina Mapextensies kunt u meer kenmerken selecteren om te synchroniseren.
Notitie
Het veld Beschikbare kenmerken is casegevoelig.
Zie voor meer informatie Directory extensions.
Een aanmelding inschakelen
Op de pagina Een aanmelding configureert u een aanmelding voor gebruik met wachtwoordsynchronisatie of pass-through-verificatie. U doet deze stap eenmaal voor elk forest dat wordt gesynchroniseerd met Azure AD. Configuratie bestaat uit twee stappen:
- Maak het benodigde computeraccount in uw on-premises exemplaar van Active Directory.
- Configureer de intranetzone van de clientmachines ter ondersteuning van een aanmelding.
Het computeraccount maken in Active Directory
Voor elk forest dat is toegevoegd in Azure AD Verbinding maken, moet u domeinbeheerdersreferenties leveren zodat het computeraccount in elk forest kan worden gemaakt. De referenties worden alleen gebruikt om het account te maken. Ze worden niet opgeslagen of gebruikt voor een andere bewerking. Voeg de referenties toe op de pagina Een aanmelding inschakelen, zoals in de volgende afbeelding wordt weergegeven.
Notitie
U kunt forests overslaan waar u geen een aanmelding wilt gebruiken.
De intranetzone voor clientmachines configureren
Om ervoor te zorgen dat de client zich automatisch in de intranetzone meldt, moet u ervoor zorgen dat de URL deel uitmaakt van de intranetzone. Deze stap zorgt ervoor dat de computer die lid is van een domein automatisch een Kerberos-ticket naar Azure AD verzendt wanneer deze is verbonden met het bedrijfsnetwerk.
Op een computer met groepsbeleid-beheerprogramma's:
Open de groepsbeleid-beheerprogramma's.
Bewerk het groepsbeleid dat wordt toegepast op alle gebruikers. Bijvoorbeeld het beleid Standaarddomein.
Ga naar de pagina > Beheersjablonen > Windows Components > Internet Explorer > Internet Configuratiescherm > . Selecteer vervolgens Site-naar-zonetoewijzingslijst.
Schakel het beleid in. Voer vervolgens in het dialoogvenster een waardenaam in van
https://autologon.microsoftazuread-sso.comen de waarde van1. Uw installatie moet er uitzien zoals in de volgende afbeelding.
Selecteer twee keer OK.
Federatie met AD FS configureren
U kunt de AD FS met Azure AD Verbinding maken in slechts enkele klikken. Voordat u begint, hebt u het volgende nodig:
- Windows Server 2012 R2 of hoger voor de federatieserver. Extern beheer moet zijn ingeschakeld.
- Windows Server 2012 R2 of hoger voor de webserver toepassingsproxy webserver. Extern beheer moet zijn ingeschakeld.
- Een TLS/SSL-certificaat voor de naam van de federation-service die u wilt gebruiken (bijvoorbeeld sts.contoso.com).
Notitie
U kunt een TLS/SSL-certificaat voor uw AD FS-farm bijwerken met behulp van Azure AD Verbinding maken, zelfs als u dit niet gebruikt om uw federatieve vertrouwensrelatie te beheren.
AD FS configureren
Als u uw AD FS farm wilt configureren met behulp van Azure AD Verbinding maken, moet WinRM zijn ingeschakeld op de externe servers. Zorg ervoor dat u de andere taken in Federatievoorwaarden hebt voltooid. Zorg er ook voor dat u de poortvereisten volgt die worden vermeld in de tabel Azure AD Verbinding maken-/WAP-servers.
Maak een nieuwe AD FS-farm aan of gebruik een bestaande AD FS-farm
U kunt een bestaande AD FS farm of een nieuwe maken. Als u ervoor kiest om een nieuw certificaat te maken, moet u het TLS/SSL-certificaat verstrekken. Als het TLS/SSL-certificaat wordt beveiligd met een wachtwoord, wordt u gevraagd het wachtwoord op te geven.
Als u ervoor kiest om een bestaande AD FS-farm te gebruiken, ziet u de pagina waar u de vertrouwensrelatie tussen AD FS en Azure AD kunt configureren.
Notitie
U kunt Azure AD-Verbinding maken slechts één farm AD FS beheren. Als u een bestaande federatieve vertrouwensrelatie hebt waarin Azure AD is geconfigureerd op de geselecteerde AD FS-farm, kan Verbinding maken vertrouwensrelatie opnieuw worden gemaakt.
Geef de AD FS-servers op
Geef de servers op waarop u de AD FS. U kunt een of meer servers toevoegen, afhankelijk van uw capaciteitsbehoeften. Voordat u deze configuratie in stelt, moet u alle AD FS toevoegen aan Active Directory. Deze stap is niet vereist voor de Web toepassingsproxy servers.
Het wordt door Microsoft aangeraden om voor proefimplementaties één AD FS-server te installeren. Na de eerste configuratie kunt u meer servers toevoegen en implementeren om te voldoen aan uw schaalbehoeften door Azure AD-Verbinding maken uitvoeren.
Notitie
Voordat u deze configuratie in stelt, moet u ervoor zorgen dat al uw servers lid zijn van een Azure AD-domein.
Geef de webtoepassingsproxyservers op
Geef uw webservers toepassingsproxy op. De Web toepassingsproxy-server wordt geïmplementeerd in uw perimeternetwerk, met de oog op het extranet. Het ondersteunt verificatieaanvragen van het extranet. U kunt een of meer servers toevoegen, afhankelijk van uw capaciteitsbehoeften.
Microsoft raadt aan om één web-toepassingsproxy te installeren voor test- en testimplementaties. Na de eerste configuratie kunt u meer servers toevoegen en implementeren om te voldoen aan uw schaalbehoeften door Azure AD-Verbinding maken uitvoeren. U wordt aangeraden een gelijk aantal proxyservers te gebruiken om te voldoen aan de verificatie van het intranet.
Notitie
- Als het account dat u gebruikt geen lokale beheerder is op de Web toepassingsproxy-servers, wordt u gevraagd om beheerdersreferenties.
- Voordat u Web toepassingsproxy-servers opgeeft, moet u ervoor zorgen dat er EEN HTTP/HTTPS-verbinding is tussen de Azure AD Verbinding maken-server en de Web toepassingsproxy server.
- Zorg ervoor dat er EEN HTTP/HTTPS-verbinding is tussen de webtoepassingsserver en de AD FS-server om verificatieaanvragen door te laten stromen.
U wordt gevraagd referenties in te voeren, zodat de webtoepassingsserver een beveiligde verbinding met de AD FS maken. Deze referenties moeten voor een lokaal beheerdersaccount op de AD FS zijn.
Geef het serviceaccount voor de AD FS-service op
De AD FS-service vereist een domeinserviceaccount om gebruikers te verifiëren en gebruikersgegevens op te zoeken in Active Directory. De service kan twee soorten serviceaccounts ondersteunen:
- Door een groep beheerd serviceaccount: dit accounttype is geïntroduceerd in AD DS door Windows Server 2012. Dit type account biedt services zoals AD FS. Het is één account waarin u het wachtwoord niet regelmatig hoeft bij te werken. Gebruik deze optie als u al Windows Server 2012-domeincontrollers hebt in het domein waarbij uw AD FS-servers horen.
- Domeingebruikersaccount: voor dit type account moet u een wachtwoord opgeven en dit regelmatig bijwerken wanneer het verloopt. Gebruik deze optie alleen als u geen domeincontrollers Windows Server 2012 domeincontrollers in het domein waar uw AD FS-servers bij horen.
Als u Een beheerd serviceaccount voor groepen maken hebt geselecteerd en deze functie nog nooit in Active Directory is gebruikt, voert u de referenties van uw ondernemingsbeheerder in. Deze referenties worden gebruikt om de sleutelopslagplaats te beginnen en de functie in Active Directory in te schakelen.
Notitie
Azure AD Verbinding maken controleert of de AD FS-service al is geregistreerd als een SERVICE Principal Name (SPN) in het domein. Azure AD DS staat niet toe dat dubbele SPN's tegelijkertijd worden geregistreerd. Als er een dubbele SPN wordt gevonden, kunt u pas verder gaan als de SPN is verwijderd.
Selecteer het Azure AD-domein dat u wilt federeren
Gebruik de pagina Azure AD-domein om de federatierelatie tussen AD FS en Azure AD in te stellen. Hier configureert u AD FS beveiligingstokens aan Azure AD te leveren. U configureert Azure AD ook om de tokens van dit AD FS vertrouwen.
Op deze pagina kunt u slechts één domein configureren in de eerste installatie. U kunt later meer domeinen configureren door Azure AD Connect nogmaals uit te voeren.
Controleer het Azure AD-domein dat voor federatie is geselecteerd
Wanneer u het domein selecteert dat u wilt federeren, biedt Azure AD Verbinding maken informatie die u kunt gebruiken om een niet-geverifieerd domein te verifiëren. Zie Het domein toevoegen en verifiëren voor meer informatie.
Notitie
Azure AD Verbinding maken probeert het domein te verifiëren tijdens de configuratiefase. Als u de benodigde DNS Domain Name System records niet toevoegt, kan de configuratie niet worden voltooid.
Federatie configureren met PingFederate
U kunt PingFederate met Azure AD-Verbinding maken in slechts enkele klikken configureren. De volgende vereisten zijn vereist:
- PingFederate 8.4 of hoger. Zie PingFederate integration with Azure Active Directory and Microsoft 365 (PingFederate-integratie met Azure Active Directory en Microsoft 365).
- Een TLS/SSL-certificaat voor de naam van de federation-service die u wilt gebruiken (bijvoorbeeld sts.contoso.com).
Het domein verifiëren
Nadat u ervoor hebt gekozen om federatie in te stellen met behulp van PingFederate, wordt u gevraagd om het domein te verifiëren dat u wilt federeren. Selecteer het domein in de vervolgkeuzelijst.
De PingFederate-instellingen exporteren
Configureer PingFederate als de federatieserver voor elk federatief Azure-domein. Selecteer Export Instellingen om deze informatie te delen met uw PingFederate-beheerder. De federatieserverbeheerder werkt de configuratie bij en geeft vervolgens de URL en het poortnummer van de PingFederate-server op, zodat Azure AD Verbinding maken de metagegevensinstellingen kan verifiëren.
Neem contact op met de beheerder van PingFederate als er validatieproblemen zijn. In de volgende afbeelding ziet u informatie over een PingFederate-server die geen geldige vertrouwensrelatie heeft met Azure.
Federatieve connectiviteit verifiëren
Azure AD Verbinding maken probeert de verificatie-eindpunten te valideren die in de vorige stap zijn opgehaald uit de PingFederate-metagegevens. Azure AD Verbinding maken eerst geprobeerd om de eindpunten om te zetten met behulp van uw lokale DNS-servers. Vervolgens wordt geprobeerd de eindpunten op te lossen met behulp van een externe DNS-provider. Neem contact op met de beheerder van PingFederate als er validatieproblemen zijn.
Federatie-aanmelding controleren
Ten slotte kunt u de zojuist geconfigureerde federatieve aanmeldingsstroom verifiëren door u aan te melden bij het federatieve domein. Als uw aanmelding slaagt, is de federatie met PingFederate geconfigureerd.
Configureer en verifieer pagina 's
De configuratie vindt plaats op de pagina Configureren.
Notitie
Als u federatie hebt geconfigureerd, moet u ervoor zorgen dat u ook Naamoplossing voor federatieservers hebt geconfigureerd voordat u doorgaat met de installatie.
Faseringsmodus gebruiken
Het is mogelijk om een nieuwe synchronisatieserver parallel in te stellen met de faseringsmodus. Als u deze installatie wilt gebruiken, kan slechts één synchronisatieserver exporteren naar één map in de cloud. Maar als u van een andere server wilt verplaatsen, bijvoorbeeld een server met DirSync, kunt u Azure AD-Verbinding maken in de faseringsmodus.
Wanneer u de faseringsinstallatie inschakelen, importeert en synchroniseert de synchronisatie-engine gegevens zoals normaal. Er worden echter geen gegevens naar Azure AD of Active Directory geexporteert. In de faseringsmodus zijn de functie voor wachtwoordsynchronisatie en het terugschrijven van wachtwoorden uitgeschakeld.
In de faseringsmodus kunt u de vereiste wijzigingen aanbrengen in de synchronisatie-engine en controleren wat er wordt geëxporteerd. Voer de installatiewizard opnieuw uit en schakel de faseringsmodus uit wanneer de configuratie er goed uitziet.
Gegevens worden nu vanaf de server geëxporteerd naar Azure AD. Schakel de andere server op hetzelfde moment uit, zodat slechts één server actief aan het exporteren is.
Zie voor meer informatie Staging mode.
Controleer uw federatieconfiguratie
Azure AD Verbinding maken controleert de DNS-instellingen wanneer u de knop Verifiëren selecteert. De volgende instellingen worden gecontroleerd:
- Intranetconnectiviteit
- Federatie-FQDN oplossen: Azure AD Verbinding maken controleert of de DNS de federatie-FQDN kan oplossen om de connectiviteit te garanderen. Als Azure AD Verbinding maken de FQDN niet kan oplossen, mislukt de verificatie. Zorg ervoor dat er een DNS-record aanwezig is voor de FQDN van de federation-service om de verificatie te voltooien.
- DNS A-record: Azure AD Verbinding maken controleert of uw federatieservice een A-record heeft. Als er geen A-record is, mislukt de verificatie. Als u de verificatie wilt voltooien, maakt u een A-record (geen CNAME-record) voor uw federatie-FQDN.
- Extranetconnectiviteit
Federatie-FQDN oplossen: Azure AD Verbinding maken controleert of de DNS de federatie-FQDN kan oplossen om de connectiviteit te garanderen.
Voer een of meer van de volgende tests handmatig uit om end-to-end-verificatie te valideren:
- Wanneer de synchronisatie is uitgevoerd, gebruikt u in Azure AD Verbinding maken de aanvullende taak Federatief aanmelden controleren om de verificatie te verifiëren voor een on-premises gebruikersaccount dat u kiest.
- Zorg ervoor dat u zich vanuit een browser kunt aanmelden vanaf een computer die lid is van een domein op het intranet. Verbinding maken naar https://myapps.microsoft.com . Gebruik vervolgens uw aangemelde account om de aanmelding te controleren. Het ingebouwde Azure AD DS beheerdersaccount wordt niet gesynchroniseerd en u kunt het niet gebruiken voor verificatie.
- Zorg ervoor dat u zich kunt aanmelden vanaf een apparaat op het extranet. Maak op een thuismachine of mobiel apparaat verbinding met https://myapps.microsoft.com . Geef vervolgens uw referenties op.
- Aanmelding uitgebreide client controleren. Verbinding maken naar https://testconnectivity.microsoft.com . Selecteer vervolgens Office 365 > Office 365 Single Sign-On Test.
Problemen oplossen
Deze sectie bevat informatie over probleemoplossing die u kunt gebruiken als u een probleem hebt tijdens het installeren van Azure AD-Verbinding maken.
Wanneer u een Installatie van Azure AD Verbinding maken, kunt u op de pagina Vereiste onderdelen installeren de optie Een bestaande SQL Server. Mogelijk ziet u de volgende fout: 'De ADSync database bevat al gegevens en kan niet worden overschreven. Verwijder de bestaande database en probeer het opnieuw.
U ziet deze fout omdat er al een database ADSync met de naam bestaat op SQL exemplaar van SQL Server die u hebt opgegeven.
Normaal gesproken wordt deze fout weergegeven nadat u Azure AD-Verbinding maken. De database wordt niet verwijderd van de computer waarop de SQL Server wanneer u Azure AD-Verbinding maken.
U kunt dit probleem als volgende oplossen:
Controleer de ADSync database die door Azure AD Verbinding maken gebruikt voordat deze werd verwijderd. Zorg ervoor dat de database niet meer wordt gebruikt.
Een back-up maken van de database.
De database verwijderen:
- Gebruik Microsoft SQL Server Management Studio verbinding te maken met het SQL-exemplaar.
- Zoek de ADSync database en klik er met de rechtermuisknop op.
- Selecteer Verwijderen in het contextmenu.
- Selecteer OK om de database te verwijderen.
Nadat u de database ADSync verwijderd, selecteert u Installeren om de installatie opnieuw uit te proberen.
Volgende stappen
Nadat de installatie is uitgevoerd, meld u zich af bij Windows. Meld u vervolgens opnieuw aan voordat u Synchronization Service Manager of synchronisatieregeleditor gebruikt.
Nu u Azure AD hebt geïnstalleerd Verbinding maken, kunt u de installatie controleren en licenties toewijzen.
Zie Prevent accidental deletes (Onbedoeld verwijderen voorkomen) en Azure AD Verbinding maken Health voor meer informatie over de functies die u tijdens de installatie hebt ingeschakeld.
Zie Azure AD Verbinding maken sync: Scheduler and Integrate your on-premises identities with Azure AD (Azure AD-synchronisatie: Scheduler en Uw on-premises identiteiten integreren met Azure AD) voor meer informatie over andere veelvoorkomende onderwerpen.