Zelfstudie: Maak en configureer een door Azure Active Directory Domain Services beheerd domeinTutorial: Create and configure an Azure Active Directory Domain Services managed domain

Azure AD DS (Azure Active Directory Domain Services) biedt beheerde domeinservices, zoals lid worden van een domein, groepsbeleid, LDAP en Kerberos/NTLM-verificatie, die volledig compatibel zijn met Windows Server Active Directory.Azure Active Directory Domain Services (Azure AD DS) provides managed domain services such as domain join, group policy, LDAP, Kerberos/NTLM authentication that is fully compatible with Windows Server Active Directory. U gebruikt deze domeinservices zonder zelf domeincontrollers te implementeren, te beheren en er patches op toe te passen.You consume these domain services without deploying, managing, and patching domain controllers yourself. Azure AD DS kan met uw bestaande Azure AD-tenant worden geïntegreerd.Azure AD DS integrates with your existing Azure AD tenant. Met deze integratie kunnen gebruikers zich aanmelden met behulp van hun bedrijfsreferenties, en u kunt bestaande groepen en gebruikersaccounts gebruiken om de toegang tot resources te beveiligen.This integration lets users sign in using their corporate credentials, and you can use existing groups and user accounts to secure access to resources.

U kunt een beheerd domein maken met behulp van de standaardconfiguratieopties voor netwerken en synchronisatie, of deze instellingen handmatig definiëren.You can create a managed domain using default configuration options for networking and synchronization, or manually define these settings. In deze zelfstudie ziet u hoe u standaardopties gebruikt om een door Azure AD DS beheerd domein te maken en te configureren met behulp van Azure Portal.This tutorial shows you how to use default options to create and configure an Azure AD DS managed domain using the Azure portal.

In deze zelfstudie leert u het volgende:In this tutorial, you learn how to:

  • DNS-vereisten voor ee beheerd domein begrijpenUnderstand DNS requirements for a managed domain
  • Een beheerd domein makenCreate a managed domain
  • Wachtwoord-hashsynchronisatie inschakelenEnable password hash synchronization

Als u geen Azure-abonnement hebt, maakt u een account voordat u begint.If you don't have an Azure subscription, create an account before you begin.

VereistenPrerequisites

Om deze zelfstudie te voltooien, hebt u de volgende resources en machtigingen nodig:To complete this tutorial, you need the following resources and privileges:

Hoewel het voor Azure AD DS niet is vereist, wordt het wel aangeraden om Self-Service Password Reset (SSPR) te configureren voor de Azure AD-tenant.Although not required for Azure AD DS, it's recommended to configure self-service password reset (SSPR) for the Azure AD tenant. Gebruikers kunnen hun wachtwoord wijzigen zonder SSPR, maar met SSPR kunnen ze wel hun wachtwoord opnieuw instellen als ze dit zijn vergeten.Users can change their password without SSPR, but SSPR helps if they forget their password and need to reset it.

Belangrijk

Nadat u een beheerd domein hebt gemaakt, kunt u het beheerde domein vervolgens niet verplaatsen naar een andere resourcegroep, een ander virtueel netwerk, abonnement, enzovoort. Selecteer de meest geschikte abonnement, resourcegroep, regio en virtuele netwerk wanneer u het beheerde domein implementeert.After you create a managed domain, you can't then move the managed domain to a different resource group, virtual network, subscription, etc. Take care to select the most appropriate subscription, resource group, region, and virtual network when you deploy the managed domain.

Aanmelden bij Azure PortalSign in to the Azure portal

In deze zelfstudie gaat u het beheerde domein maken en configureren met behulp van Azure Portal.In this tutorial, you create and configure the managed domain using the Azure portal. Meld u eerst aan bij Azure Portal om aan de slag te gaan.To get started, first sign in to the Azure portal.

Een beheerd domein makenCreate a managed domain

Voer de volgende stappen uit om de wizard Azure AD Domain Services inschakelen te starten:To launch the Enable Azure AD Domain Services wizard, complete the following steps:

  1. Selecteer in het menu van de Azure-portal of op de startpagina de optie Een resource maken.On the Azure portal menu or from the Home page, select Create a resource.
  2. Voer Domain Services in op de zoekbalk en kies vervolgens Azure AD Domain Services bij de zoeksuggesties.Enter Domain Services into the search bar, then choose Azure AD Domain Services from the search suggestions.
  3. Selecteer Maken op de Azure AD Domain Services-pagina.On the Azure AD Domain Services page, select Create. De wizard Azure AD Domain Services inschakelen wordt gestart.The Enable Azure AD Domain Services wizard is launched.
  4. Selecteer het Abonnement voor Azure waarin u het beheerde domein wilt maken.Select the Azure Subscription in which you would like to create the managed domain.
  5. Selecteer de Resourcegroep waarvan het beheerde domein deel moet uitmaken.Select the Resource group to which the managed domain should belong. Kies voor Nieuwe maken of selecteer een bestaande resourcegroep.Choose to Create new or select an existing resource group.

Wanneer u een beheerd domein wilt maken, geeft u een DNS-naam op.When you create a managed domain, you specify a DNS name. Er is een aantal factoren waar u rekening mee moet houden wanneer u deze DNS-naam kiest:There are some considerations when you choose this DNS name:

  • Ingebouwde domeinnaam: Standaard wordt de ingebouwde domeinnaam van de directory gebruikt (met het achtervoegsel .onmicrosoft.com).Built-in domain name: By default, the built-in domain name of the directory is used (a .onmicrosoft.com suffix). Als u beveiligde LDAP-toegang tot het beheerde domein wilt krijgen via een internetverbinding, kunt u geen digitaal certificaat maken om de verbinding met dit standaarddomein te beveiligen.If you wish to enable secure LDAP access to the managed domain over the internet, you can't create a digital certificate to secure the connection with this default domain. Microsoft is de eigenaar van het domein .onmicrosoft.com, dus een Certificate Authority (CA) zal geen certificaat uitgeven.Microsoft owns the .onmicrosoft.com domain, so a Certificate Authority (CA) won't issue a certificate.
  • Aangepaste domeinnamen: De meestgebruikte methode is via het opgeven van een aangepaste domeinnaam, vaak een domein waarvan u al de eigenaar bent en waarnaar kan worden gerouteerd.Custom domain names: The most common approach is to specify a custom domain name, typically one that you already own and is routable. Wanneer u een routeerbaar, aangepast domein gebruikt, kan verkeer op de juiste manier stromen om uw toepassingen te ondersteunen.When you use a routable, custom domain, traffic can correctly flow as needed to support your applications.
  • Niet-routeerbare domeinachtervoegsels: Over het algemeen wordt aangeraden een niet-routeerbaar domeinnaamachtervoegsel, zoals contoso.local, te vermijden.Non-routable domain suffixes: We generally recommend that you avoid a non-routable domain name suffix, such as contoso.local. Het achtervoegsel .local is niet routeerbaar en kan problemen veroorzaken met de DNS-resolutie.The .local suffix isn't routable and can cause issues with DNS resolution.

Tip

Als u een aangepaste domeinnaam maakt, wees dan voorzichtig met bestaande DNS-naamruimten.If you create a custom domain name, take care with existing DNS namespaces. U wordt aangeraden een domeinnaam te gebruiken die losstaat van een bestaande Azure- of on-premises DNS-naamruimte.It's recommended to use a domain name separate from any existing Azure or on-premises DNS name space.

Als u bijvoorbeeld contoso.com als bestaande DNS-naamruimte hebt, maakt u een beheerd domein met de aangepaste domeinnaam aaddscontoso.com.For example, if you have an existing DNS name space of contoso.com, create a managed domain with the custom domain name of aaddscontoso.com. Als u beveiligde LDAP moet gebruiken, moet u dit aangepaste domeinnaam registreren en hier eigenaar van zijn om de vereiste certificaten te genereren.If you need to use secure LDAP, you must register and own this custom domain name to generate the required certificates.

Mogelijk moet u een aantal aanvullende DNS-records maken voor andere services in uw omgeving, of voorwaardelijke DNS-doorstuurservers maken tussen bestaande DNS-naamruimten in uw omgeving.You may need to create some additional DNS records for other services in your environment, or conditional DNS forwarders between existing DNS name spaces in your environment. Als u bijvoorbeeld een webserver hebt waar een site wordt gehost met de root-DNS-naam, kunnen naamconflicten ontstaan waardoor extra DNS-vermeldingen vereist zijn.For example, if you run a webserver that hosts a site using the root DNS name, there can be naming conflicts that require additional DNS entries.

In deze zelfstudies en artikelen met instructies wordt het aangepaste domein aaddscontoso.com gebruikt als een kort voorbeeld.In these tutorials and how-to articles, the custom domain of aaddscontoso.com is used as a short example. In alle opdrachten geeft u uw eigen domeinnaam op.In all commands, specify your own domain name.

De volgende DNS-naambeperkingen zijn ook van toepassing:The following DNS name restrictions also apply:

  • Beperkingen voor voorvoegsels voor domeinen: U kunt geen beheerd domein maken met een voorvoegsel van meer dan 15 tekens.Domain prefix restrictions: You can't create a managed domain with a prefix longer than 15 characters. Het voorvoegsel van uw opgegeven domeinnaam (zoals aaddscontoso in de domeinnaam aaddscontoso.com) mag maximaal 15 tekens bevatten.The prefix of your specified domain name (such as aaddscontoso in the aaddscontoso.com domain name) must contain 15 or fewer characters.
  • Conflicten met de netwerknaam: De DNS-domeinnaam voor uw beheerde domein mag nog niet bestaan in het virtuele netwerk.Network name conflicts: The DNS domain name for your managed domain shouldn't already exist in the virtual network. Controleer met name op de volgende scenario's die kunnen leiden tot een naamconflict:Specifically, check for the following scenarios that would lead to a name conflict:
    • Of u al een Active Directory-domein met deze DNS-domeinnaam in het virtuele Azure-netwerk hebt.If you already have an Active Directory domain with the same DNS domain name on the Azure virtual network.
    • Of het virtuele netwerk waarin u het beheerde domein wilt inschakelen, over een VPN-verbinding met uw on-premises netwerk beschikt.If the virtual network where you plan to enable the managed domain has a VPN connection with your on-premises network. In dit scenario moet u ervoor zorgen dat u geen domein met dezelfde DNS-domeinnaam in uw on-premises netwerk hebt.In this scenario, ensure you don't have a domain with the same DNS domain name on your on-premises network.
    • Als u een bestaande Azure-cloudservice hebt met die naam op het virtuele Azure-netwerk.If you have an existing Azure cloud service with that name on the Azure virtual network.

Vul de velden in het venster Basisinstellingen van het Azure-portal in om een beheerd domein te maken:Complete the fields in the Basics window of the Azure portal to create a managed domain:

  1. Voer een DNS-domeinnaam in voor uw beheerde domein, waarbij u rekening houdt met de vorige punten.Enter a DNS domain name for your managed domain, taking into consideration the previous points.

  2. Kies de Azure-locatie waarin het beheerde domein moet worden gemaakt.Choose the Azure Location in which the managed domain should be created. Als u een regio kiest die Azure-beschikbaarheidszones ondersteunt, worden de Azure AD DS-resources gedistribueerd over zones voor aanvullende redundantie.If you choose a region that supports Azure Availability Zones, the Azure AD DS resources are distributed across zones for additional redundancy.

    Tip

    Beschikbaarheidszones zijn unieke, fysieke locaties binnen een Azure-regio.Availability Zones are unique physical locations within an Azure region. Elke zone bestaat uit een of meer datacenters die zijn voorzien van een onafhankelijke stroomvoorziening, koeling en netwerken.Each zone is made up of one or more datacenters equipped with independent power, cooling, and networking. Tolerantie wordt gegarandeerd door aanwezigheid van minimaal drie afzonderlijke zones in alle actieve regio's.To ensure resiliency, there's a minimum of three separate zones in all enabled regions.

    U hoeft niets te configureren voor Azure AD DS om te worden gedistribueerd over zones.There's nothing for you to configure for Azure AD DS to be distributed across zones. De distributie van resources over zones wordt automatisch afgehandeld op het Azure-platform.The Azure platform automatically handles the zone distribution of resources. Zie Wat zijn beschikbaarheidszones in Azure? voor meer informatie en om de beschikbaarheid van regio's te zien.For more information and to see region availability, see What are Availability Zones in Azure?

  3. De SKU bepaalt de prestaties, back-upfrequentie en het maximum aantal forestvertrouwensrelaties dat u kunt maken.The SKU determines the performance, backup frequency, and maximum number of forest trusts you can create. U kunt de SKU wijzigen zodra het beheerde domein is gemaakt wanneer uw zakelijke behoeften of vereisten veranderen.You can change the SKU after the managed domain has been created if your business demands or requirements change. Zie Azure AD DS SKU-concepten voor meer informatie.For more information, see Azure AD DS SKU concepts.

    Voor deze zelfstudie selecteert u de Standaard-SKU.For this tutorial, select the Standard SKU.

  4. Een forest is een logische constructie die door Active Directory Domain Services wordt gebruikt om een of meer domeinen te groeperen.A forest is a logical construct used by Active Directory Domain Services to group one or more domains. Een beheerd domein wordt standaard gemaakt als een Gebruikersforest.By default, a managed domain is created as a User forest. Met dit type forest worden alle objecten van Azure AD gesynchroniseerd, waaronder alle gebruikersaccounts die zijn gemaakt in een on-premises AD DS-omgeving.This type of forest synchronizes all objects from Azure AD, including any user accounts created in an on-premises AD DS environment.

    Met een resourceforest worden alleen gebruikers en groepen gesynchroniseerd die rechtstreeks in Azure AD zijn gemaakt.A Resource forest only synchronizes users and groups created directly in Azure AD. Raadpleeg Overzicht van Azure AD DS-resourceforests voor meer informatie over resourceforests, waaronder redenen om deze te gebruiken en hoe u forestvertrouwensrelaties maakt met on-premises AD DS-domeinen.For more information on Resource forests, including why you may use one and how to create forest trusts with on-premises AD DS domains, see Azure AD DS resource forests overview.

    Voor deze zelfstudie kiest u voor het maken van een gebruikersforest.For this tutorial, choose to create a User forest.

    Basisinstellingen configureren voor een door Azure AD Domain Services beheerd domein

Als u snel een beheerd domein wilt maken, kunt u Beoordelen en maken selecteren om aanvullende opties voor standaardinstellingen te accepteren.To quickly create a managed domain, you can select Review + create to accept additional default configuration options. De volgende standaardinstellingen worden geconfigureerd wanneer u deze maakoptie kiest:The following defaults are configured when you choose this create option:

  • Hiermee maakt u een virtueel netwerk met de naam aadds-vnet dat het IP-adresbereik van 10.0.2.0/24 gebruikt.Creates a virtual network named aadds-vnet that uses the IP address range of 10.0.2.0/24.
  • Hiermee maakt u een subnet met de naam aadds-subnet met behulp van het IP-adresbereik van 10.0.2.0/24.Creates a subnet named aadds-subnet using the IP address range of 10.0.2.0/24.
  • Hiermee worden alle gebruikers van Azure AD gesynchroniseerd met het beheerde domein.Synchronizes All users from Azure AD into the managed domain.

Selecteer Beoordelen en maken om deze opties voor standaardinstellingen te accepteren.Select Review + create to accept these default configuration options.

Het beheerde domein implementerenDeploy the managed domain

Ga naar de pagina Samenvatting van de wizard om de configuratie-instellingen voor uw beheerde domein te controleren.On the Summary page of the wizard, review the configuration settings for your managed domain. U kunt teruggaan naar elke stap van de wizard om wijzigingen door te voeren.You can go back to any step of the wizard to make changes. Als u een beheerd domein opnieuw en consistent wilt implementeren in een andere Azure AD-tenant met behulp van deze configuratieopties, dan kunt u ook Een sjabloon downloaden voor automatisering.To redeploy a managed domain to a different Azure AD tenant in a consistent way using these configuration options, you can also Download a template for automation.

  1. Voor het maken van het beheerde domein selecteert u Maken.To create the managed domain, select Create. Er wordt een opmerking weergegeven dat bepaalde configuratieopties, zoals de DNS-naam of een virtueel netwerk, niet kunnen worden gewijzigd zodra het beheerde Azure AD DS-domein is gemaakt.A note is displayed that certain configuration options such as DNS name or virtual network can't be changed once the Azure AD DS managed has been created. Selecteer OK om door te gaan.To continue, select OK.

  2. Het inrichtingsproces van uw beheerde domein duurt ongeveer een uur.The process of provisioning your managed domain can take up to an hour. Er wordt een melding weergegeven in het portal met de voortgang van uw Azure AD DS-implementatie.A notification is displayed in the portal that shows the progress of your Azure AD DS deployment. Selecteer de melding om gedetailleerde voortgangsinformatie voor de implementatie weer te geven.Select the notification to see detailed progress for the deployment.

    Melding in het Azure-portal van de voortgang van de implementatie

  3. De pagina wordt geladen met updates over het implementatieproces, waaronder de creatie van nieuwe resources in uw map.The page will load with updates on the deployment process, including the creation of new resources in your directory.

  4. Selecteer uw resourcegroep, zoals myResourceGroup en kies vervolgens uw beheerde domein uit de lijst met Azure-resources, zoals aaddscontoso.com.Select your resource group, such as myResourceGroup, then choose your managed domain from the list of Azure resources, such as aaddscontoso.com. Op het tabblad Overzicht ziet u dat het beheerde domein momenteel Wordt geïmplementeerd.The Overview tab shows that the managed domain is currently Deploying. U kunt het beheerde domein pas configureren wanneer dit volledig is ingericht.You can't configure the managed domain until it's fully provisioned.

    De status van Domain Services tijdens de inrichtingsfase

  5. Wanneer het beheerde domein volledig is ingericht, wordt de domeinstatus op het tabblad Overzicht weergegeven als Wordt uitgevoerd.When the managed domain is fully provisioned, the Overview tab shows the domain status as Running.

    Status van Domain Services zodra het domein is ingericht

Belangrijk

Het beheerde domein is gekoppeld aan uw Azure AD-tenant.The managed domain is associated with your Azure AD tenant. Tijdens het inrichtingsproces worden in Azure AD DS twee Enterprise-toepassingen met de naam Domain Controller Services en AzureActiveDirectoryDomainControllerServices gemaakt in de Azure AD-tenant.During the provisioning process, Azure AD DS creates two Enterprise Applications named Domain Controller Services and AzureActiveDirectoryDomainControllerServices in the Azure AD tenant. Deze Enterprise-toepassingen zijn nodig voor het onderhoud van uw beheerde domein.These Enterprise Applications are needed to service your managed domain. Verwijder deze toepassingen niet.Don't delete these applications.

DNS-instellingen bijwerken voor het virtuele Azure-netwerkUpdate DNS settings for the Azure virtual network

Nu Azure AD DS is geïmplementeerd, gaat u het virtuele netwerk configureren zodat andere verbonden virtuele machines en toepassingen van het beheerde domein gebruik kunnen maken.With Azure AD DS successfully deployed, now configure the virtual network to allow other connected VMs and applications to use the managed domain. Om deze connectiviteit te leveren moet u de DNS-serverinstellingen voor uw virtuele netwerk bijwerken zodat wordt verwezen naar de twee IP-adressen waar het beheerde domein is geïmplementeerd.To provide this connectivity, update the DNS server settings for your virtual network to point to the two IP addresses where the managed domain is deployed.

  1. Op het tabblad Overzicht voor uw beheerde domein wordt een aantal Vereiste configuratiestappen weergegeven.The Overview tab for your managed domain shows some Required configuration steps. De eerste configuratiestap is het bijwerken van de DNS-serverinstellingen voor het virtuele netwerk.The first configuration step is to update DNS server settings for your virtual network. Zodra de DNS-instellingen goed zijn geconfigureerd, wordt deze stap niet meer weergegeven.Once the DNS settings are correctly configured, this step is no longer shown.

    De vermelde adressen zijn de domeincontrollers die in het virtuele netwerk moeten worden gebruikt.The addresses listed are the domain controllers for use in the virtual network. In dit voorbeeld zijn die adressen 10.0.2.4 en 10.0.2.5.In this example, those addresses are 10.0.2.4 and 10.0.2.5. U kunt deze IP-adressen terugvinden op het tabblad Eigenschappen.You can later find these IP addresses on the Properties tab.

    DNS-instellingen voor uw virtuele netwerk configureren met de IP-adressen van Azure AD Domain Services

  2. Selecteer de knop Configureren om de DNS-serverinstellingen bij te werken voor het virtuele netwerk.To update the DNS server settings for the virtual network, select the Configure button. De DNS-instellingen worden automatisch geconfigureerd voor uw virtuele netwerk.The DNS settings are automatically configured for your virtual network.

Tip

Als u een bestaand virtueel netwerk in de vorige stappen hebt geselecteerd, worden de nieuwe DNS-instellingen pas ingesteld op virtuele machines die met het netwerk zijn verbonden zodra u de machine opnieuw hebt opgestart.If you selected an existing virtual network in the previous steps, any VMs connected to the network only get the new DNS settings after a restart. U kunt virtuele machines opnieuw opstarten met behulp van Azure Portal, Azure PowerShell of de Azure CLI.You can restart VMs using the Azure portal, Azure PowerShell, or the Azure CLI.

Gebruikersaccounts voor Azure AD DS inschakelenEnable user accounts for Azure AD DS

Voor de verificatie van gebruikers in het beheerde domein heeft Azure AD DS wachtwoordhashes nodig in een indeling die geschikt is voor NTLM- (NT LAN Manager) en Kerberos-verificatie.To authenticate users on the managed domain, Azure AD DS needs password hashes in a format that's suitable for NT LAN Manager (NTLM) and Kerberos authentication. Totdat u Azure AD DS voor uw tenant inschakelt, maakt of bewaart Azure AD geen wachtwoordhashes in de vereiste indeling voor NTLM- of Kerberos-verificatie.Azure AD doesn't generate or store password hashes in the format that's required for NTLM or Kerberos authentication until you enable Azure AD DS for your tenant. Om veiligheidsredenen slaat Azure AD ook geen wachtwoorden op in niet-gecodeerde vorm.For security reasons, Azure AD also doesn't store any password credentials in clear-text form. Azure AD kan deze wachtwoordhashes voor NTLM of Kerberos niet automatisch genereren op basis van bestaande referenties van gebruikers.Therefore, Azure AD can't automatically generate these NTLM or Kerberos password hashes based on users' existing credentials.

Notitie

Zodra de configuratie is geslaagd, worden de bruikbare wachtwoordhashes opgeslagen in het beheerde domein.Once appropriately configured, the usable password hashes are stored in the managed domain. Als u het beheerde domein verwijdert, worden alle wachtwoordhashes die op dat punt zijn opgeslagen ook verwijderd.If you delete the managed domain, any password hashes stored at that point are also deleted.

Gesynchroniseerde referentiegegevens in Azure AD kunnen niet opnieuw worden gebruikt als u later een beheerd domein maakt; u moet de synchronisatie van wachtwoordhashes opnieuw configureren om de wachtwoordhashes opnieuw op te slaan.Synchronized credential information in Azure AD can't be re-used if you later create a managed domain - you must reconfigure the password hash synchronization to store the password hashes again. Eerder aan het domein toegevoegde virtuele machines of gebruikers kunnen niet direct een verificatie uitvoeren; Azure AD moet eerst de wachtwoordhashes in het nieuwe beheerd domein genereren en opslaan.Previously domain-joined VMs or users won't be able to immediately authenticate - Azure AD needs to generate and store the password hashes in the new managed domain.

Zie Synchronisatieproces voor wachtwoordhashes voor Azure AD DS en Azure AD Connect voor meer informatie.For more information, see Password hash sync process for Azure AD DS and Azure AD Connect.

De stappen om deze wachtwoordhashes te genereren en op te slaan zijn voor cloudgebruikersaccounts die in Azure AD zijn gemaakt anders dan de stappen voor gebruikersaccounts die zijn gesynchroniseerd vanuit uw on-premises directory met behulp van Azure AD Connect.The steps to generate and store these password hashes are different for cloud-only user accounts created in Azure AD versus user accounts that are synchronized from your on-premises directory using Azure AD Connect.

Een cloudgebruikersaccount is een account dat is gemaakt in uw Azure AD-directory via de Azure portal of Azure AD PowerShell-cmdlets.A cloud-only user account is an account that was created in your Azure AD directory using either the Azure portal or Azure AD PowerShell cmdlets. Deze gebruikersaccounts zijn niet gesynchroniseerd vanuit een on-premises map.These user accounts aren't synchronized from an on-premises directory.

In deze zelfstudie gaat u aan de slag met een basisaccount voor cloudgebruikers.In this tutorial, let's work with a basic cloud-only user account. Zie Wachtwoordhashes synchroniseren voor gebruikersaccounts die vanaf uw on-premises AD bij uw beheerde domein zijn gesynchroniseerd voor meer informatie over de aanvullende stappen die vereist zijn om Azure AD Connect te gebruiken.For more information on the additional steps required to use Azure AD Connect, see Synchronize password hashes for user accounts synced from your on-premises AD to your managed domain.

Tip

Als de Azure AD-tenant een combinatie van cloudgebruikers en gebruikers van on-premises AD heeft, moet u beide sets met stappen uitvoeren.If your Azure AD tenant has a combination of cloud-only users and users from your on-premises AD, you need to complete both sets of steps.

Voor accounts voor cloudgebruikers moeten gebruikers hun wachtwoorden wijzigen voordat ze Azure AD DS kunnen gebruiken.For cloud-only user accounts, users must change their passwords before they can use Azure AD DS. Door deze wachtwoordwijziging worden de wachtwoordhashes voor Kerberos- en NTLM-verificatie gegenereerd en opgeslagen in Azure AD.This password change process causes the password hashes for Kerberos and NTLM authentication to be generated and stored in Azure AD. Het account wordt niet gesynchroniseerd vanuit Azure AD naar Azure AD DS totdat het wachtwoord wordt gewijzigd.The account isn't synchronized from Azure AD to Azure AD DS until the password is changed. Laat de wachtwoorden voor alle cloudgebruikers in de tenant die Azure AD DS moeten gebruiken verlopen (hierdoor moeten gebruikers hun wachtwoord wijzigen wanneer ze zich weer aanmelden) of instrueer cloudgebruikers om hun wachtwoorden handmatig te wijzigen.Either expire the passwords for all cloud users in the tenant who need to use Azure AD DS, which forces a password change on next sign-in, or instruct cloud users to manually change their passwords. Voor deze zelfstudie gaan we handmatig een gebruikerswachtwoord wijzigen.For this tutorial, let's manually change a user password.

Voordat een gebruiker zijn of haar wachtwoord opnieuw kan instellen, moet de Azure AD-tenant worden geconfigureerd voor het opnieuw instellen van wachtwoorden via de selfservice.Before a user can reset their password, the Azure AD tenant must be configured for self-service password reset.

Om het wachtwoord voor een cloudgebruiker te wijzigen, moet de gebruiker de volgende stappen uitvoeren:To change the password for a cloud-only user, the user must complete the following steps:

  1. Ga naar de pagina Toegangsvenster van Azure AD op https://myapps.microsoft.com.Go to the Azure AD Access Panel page at https://myapps.microsoft.com.

  2. Selecteer in de rechterbovenhoek uw naam en kies Profiel in het vervolgkeuzemenu.In the top-right corner, select your name, then choose Profile from the drop-down menu.

    Selecteer het profiel

  3. Selecteer op de pagina Profiel de optie Wachtwoord wijzigen.On the Profile page, select Change password.

  4. Voer op de pagina Wachtwoord wijzigen uw bestaande (oude) wachtwoord in, voer een nieuw wachtwoord in en bevestig dit nieuwe wachtwoord.On the Change password page, enter your existing (old) password, then enter and confirm a new password.

  5. Selecteer Indienen.Select Submit.

Nadat u uw wachtwoord hebt gewijzigd, duurt het enkele minuten voordat het nieuwe wachtwoord kan worden gebruikt in Azure AD DS en u zich kunt aanmelden bij computers die aan het beheerde domein zijn gekoppeld.It takes a few minutes after you've changed your password for the new password to be usable in Azure AD DS and to successfully sign in to computers joined to the managed domain.

Volgende stappenNext steps

In deze zelfstudie heeft u het volgende geleerd:In this tutorial, you learned how to:

  • DNS-vereisten voor ee beheerd domein begrijpenUnderstand DNS requirements for a managed domain
  • Een beheerd domein makenCreate a managed domain
  • Gebruikers met beheerdersrechten toevoegen aan domeinbeheerAdd administrative users to domain management
  • Gebruikersaccounts inschakelen voor Azure AD DS en wachtwoordhashes genererenEnable user accounts for Azure AD DS and generate password hashes

Voordat virtuele machines aan een domein toevoegt en toepassingen implementeert die het beheerde domein gebruiken, configureert u een virtueel Azure-netwerk voor toepassingsworkloads.Before you domain-join VMs and deploy applications that use the managed domain, configure an Azure virtual network for application workloads.