Custom installation of Azure AD Connect (Engelstalig)Custom installation of Azure AD Connect

Voor meer opties voor de installatie gaat u naar Aangepaste instellingen.Azure AD Connect Custom settings is used when you want more options for the installation. Deze instellingen gebruikt u wanneer u meerdere forests hebt of als u optionele functies wilt configureren die niet in de snelle installatie voorkomen.It is used if you have multiple forests or if you want to configure optional features not covered in the express installation. De aangepaste instellingen worden gebruikt in alle gevallen waarin de optie snelle installatie niet aan uw implementatie of topologie voldoet.It is used in all cases where the express installation option does not satisfy your deployment or topology.

Zorg ervoor dat u, voordat u begint met de installatie van Azure AD Connect, Azure AD Connect downloadt en de vereiste stappen uitvoert in Azure AD Connect: Hardware en vereisten.Before you start installing Azure AD Connect, make sure to download Azure AD Connect and complete the pre-requisite steps in Azure AD Connect: Hardware and prerequisites. Zorg er ook voor dat de benodigde accounts beschikbaar zijn, zoals beschreven in Azure AD Connect accounts and permissions.Also make sure you have required accounts available as described in Azure AD Connect accounts and permissions.

Als u aangepaste instellingen komt niet overeen met uw topologie, bijvoorbeeld om te upgraden van DirSync, ziet u gerelateerde documentatie voor andere scenario's.If customized settings does not match your topology, for example to upgrade DirSync, see related documentation for other scenarios.

Installatie van Azure AD Connect met aangepaste instellingenCustom settings installation of Azure AD Connect

Snelle instellingenExpress Settings

Klik op deze pagina op Aanpassen om met een installatie met aangepaste instellingen te beginnen.On this page, click Customize to start a customized settings installation.

Vereiste onderdelen installerenInstall required components

Wanneer u de synchronisatieservices installeert, kunt de optie voor optionele configuratie uitschakelen: Azure AD Connect stelt alles dan automatisch in.When you install the synchronization services, you can leave the optional configuration section unchecked and Azure AD Connect sets up everything automatically. Het programma stelt een exemplaar van SQL Server 2012 Express LocalDB in, maakt de juiste groepen aan en wijst machtigingen toe.It sets up a SQL Server 2012 Express LocalDB instance, create the appropriate groups, and assign permissions. Als u de standaardinstellingen wilt wijzigen, kunt u in de volgende tabel zien welke opties voor optionele configuratie beschikbaar zijn.If you wish to change the defaults, you can use the following table to understand the optional configuration options that are available.

Vereiste onderdelen

Optionele configuratieOptional Configuration DescriptionDescription
Een bestaande SQL Server gebruikenUse an existing SQL Server Hiermee kunt u de naam van de SQL Server en de exemplaarnaam opgeven.Allows you to specify the SQL Server name and the instance name. Kies deze optie als u al een databaseserver heeft die u wilt gebruiken.Choose this option if you already have a database server that you would like to use. Voer de exemplaarnaam, gevolgd door een komma en poortnummer, in bij Exemplaarnaam als bladeren niet is ingeschakeld voor uw SQL Server.Enter the instance name followed by a comma and port number in Instance Name if your SQL Server does not have browsing enabled. Vervolgens geeft u de naam van de Azure AD Connect-database.Then specify the name of the Azure AD Connect database. Uw SQL-bevoegdheden te bepalen of een nieuwe database wordt gemaakt of uw SQL-beheerder moet de database vooraf maken.Your SQL privileges determine whether a new database will be created or your SQL administrator must create the database in advance. Als u beschikt over SQL-SA-machtigingen Zie installeren met behulp van een bestaande database.If you have SQL SA permissions see How to install using an existing database. Als u gedelegeerde machtigingen (DBO) zijn Installeer Azure AD Connect met SQL-gedelegeerde beheerdersmachtigingen.If you have been delegated permissions (DBO) see Install Azure AD Connect with SQL delegated administrator permissions.
Een bestaand serviceaccount gebruikenUse an existing service account Azure AD Connect maakt standaard gebruik van een virtueel serviceaccount voor de synchronisatieservices.By default Azure AD Connect uses a virtual service account for the synchronization services to use. Als u een externe SQL-server gebruikt of een proxyserver waarvoor verificatie is vereist, hebt u een beheerd serviceaccount of een serviceaccount in het domein nodig en moet u het wachtwoord kennen.If you use a remote SQL server or use a proxy that requires authentication, you need to use a managed service account or use a service account in the domain and know the password. Voer in dat geval het te gebruiken account in.In those cases, enter the account to use. Zorg dat de gebruiker die de installatie uitvoert een SA in SQL is, zodat een aanmelding voor het serviceaccount kan worden aangemaakt.Make sure the user running the installation is an SA in SQL so a login for the service account can be created. Zie Azure AD Connect: accounts and permissions (Azure AD Connect: accounts en machtigingen).See Azure AD Connect accounts and permissions.
In de laatste versie kan de inrichting van de database out-of-band worden uitgevoerd door de SQL-beheerder en vervolgens worden geïnstalleerd door de Azure AD Connect-beheerder met eigendomsrechten voor de database.With the latest build, provisioning the database can now be performed out of band by the SQL administrator and then installed by the Azure AD Connect administrator with database owner rights. Raadpleeg Install Azure AD Connect using SQL delegated administrator permissions (Azure AD Connect installeren met SQL-gedelegeerde beheerdersmachtigingen) voor meer informatie.For more information see Install Azure AD Connect using SQL delegated administrator permissions.
Aangepaste synchronisatiegroepen opgevenSpecify custom sync groups Azure AD Connect maakt standaard vier groepen lokaal op de server aan wanneer de synchronisatieservices worden geïnstalleerd.By default Azure AD Connect creates four groups local to the server when the synchronization services are installed. Deze groepen zijn: Beheerders, Operators, Bladeren en Wachtwoord opnieuw instellen.These groups are: Administrators group, Operators group, Browse group, and the Password Reset Group. U kunt hier uw eigen groepen opgeven.You can specify your own groups here. De groepen moeten lokaal op de server zijn en mogen zich niet in het domein bevinden.The groups must be local on the server and cannot be located in the domain.

GebruikersaanmeldingUser sign-in

Nadat de vereiste onderdelen zijn geïnstalleerd, wordt u gevraagd een eenmalige aanmeldmethode voor uw gebruikers te selecteren.After installing the required components, you are asked to select your users single sign-on method. In de volgende tabel staan de beschikbare opties kort beschreven.The following table provides a brief description of the available options. Zie voor een volledige beschrijving van de aanmeldmethodes User sign-in.For a full description of the sign-in methods, see User sign-in.

Aanmelding door een gebruiker

Optie voor eenmalige aanmeldingSingle Sign On option DescriptionDescription
WachtwoordhashsynchronisatiePassword Hash Sync Gebruikers kunnen zich bij Microsoft-cloudservices, zoals Office 365, aanmelden met hetzelfde wachtwoord als ze in hun on-premises netwerk gebruiken.Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. De wachtwoorden van gebruikers worden gesynchroniseerd naar Azure AD als een wachtwoord-hash en verificatie vindt plaats in de cloud.The users passwords are synchronized to Azure AD as a password hash and authentication occurs in the cloud. Zie Wachtwoordhashsynchronisatie voor meer informatie.See Password hash synchronization for more information.
Pass-through-verificatiePass-through Authentication Gebruikers kunnen zich bij Microsoft-cloudservices, zoals Office 365, aanmelden met hetzelfde wachtwoord als ze in hun on-premises netwerk gebruiken.Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. Het wachtwoord van de gebruiker wordt doorgegeven aan de on-premises Active Directory-domeincontroller voor validatie.The users password is passed through to the on-premises Active Directory domain controller to be validated.
Federatie met AD FSFederation with AD FS Gebruikers kunnen zich bij Microsoft-cloudservices, zoals Office 365, aanmelden met hetzelfde wachtwoord als ze in hun on-premises netwerk gebruiken.Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. De gebruikers worden omgeleid naar hun on-premises AD FS-exemplaar om zich aan te melden en de verificatie vindt plaats on-premises.The users are redirected to their on-premises AD FS instance to sign in and authentication occurs on-premises.
Federatie met PingFederateFederation with PingFederate Gebruikers kunnen zich bij Microsoft-cloudservices, zoals Office 365, aanmelden met hetzelfde wachtwoord als ze in hun on-premises netwerk gebruiken.Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. De gebruikers worden omgeleid naar hun on-premises exemplaar van PingFederate om zich aan te melden en de verificatie vindt on-premises plaats.The users are redirected to their on-premises PingFederate instance to sign in and authentication occurs on-premises.
Niet configurerenDo not configure Er is geen functie voor gebruikersaanmelding geïnstalleerd en geconfigureerd.No user sign-in feature is installed and configured. Kies deze optie als u al een federatieserver van derden of een andere bestaande oplossing heeft.Choose this option if you already have a 3rd party federation server or another existing solution in place.
Eenmalige aanmelding inschakelenEnable Single Sign on Deze optie is beschikbaar bij zowel wachtwoord-hashsynchronisatie als pass-through-verificatie en biedt een eenmalige aanmelding voor desktopgebruikers binnen het bedrijfsnetwerk.This options is available with both password hash sync and pass-through authentication and provides a single sign on experience for desktop users on the corporate network. Zie Eenmalige aanmelding voor meer informatie.See Single sign-on for more information.
Deze optie is niet beschikbaar voor AD FS-klanten omdat AD FS hetzelfde niveau van eenmalige aanmelding biedt.Note for AD FS customers this option is not available because AD FS already offers the same level of single sign on.

Verbinding maken met Azure ADConnect to Azure AD

Voer op het scherm Verbinding maken met Azure AD het account en wachtwoord van een globale beheerder in.On the Connect to Azure AD screen, enter a global admin account and password. Als u op de vorige pagina Federatie met AD FS hebt geselecteerd, meld u dan niet aan met een account in een domein waarvoor u federatie wilt inschakelen.If you selected Federation with AD FS on the previous page, do not sign in with an account in a domain you plan to enable for federation. Het wordt aangeraden om een account te gebruiken uit het standaarddomein onmicrosoft.com, dat bij uw Azure AD-tenant wordt geleverd.A recommendation is to use an account in the default onmicrosoft.com domain, which comes with your Azure AD tenant.

Dit account wordt alleen gebruikt om een serviceaccount in Azure AD aan te maken en wordt niet gebruikt wanneer de wizard is voltooid.This account is only used to create a service account in Azure AD and is not used after the wizard has completed.
Aanmelding door een gebruiker

Als MFA voor het account van de globale beheerder is ingeschakeld, dan moet u het wachtwoord opnieuw in het aanmeldpopupvenster invoeren en de MFA-controle voltooien.If your global admin account has MFA enabled, then you need to provide the password again in the sign-in popup and complete the MFA challenge. De controle kan bestaan uit het invoeren van een verificatiecode of uit een telefonische oproep.The challenge could be a providing a verification code or a phone call.
Aanmelding door een gebruiker bij MFA

Voor het account van de globale beheerder kan ook Privileged Identity Management zijn ingeschakeld.The global admin account can also have Privileged Identity Management enabled.

Zie Connectiviteitsproblemen oplossen als u een foutbericht krijgt en u problemen hebt met de connectiviteit.If you receive an error and have problems with connectivity, then see Troubleshoot connectivity problems.

Pagina's in de sectie SynchronisatiePages under the Sync section

Verbinding maken met uw directory’sConnect your directories

Azure AD Connect heeft de forestnaam en de referenties van een account met de juiste machtigingen nodig om verbinding met uw Active Directory-domeinservice te maken.To connect to your Active Directory Domain Service, Azure AD Connect needs the forest name and credentials of an account with sufficient permissions.

Verbinding maken met Directory

Nadat u de forestnaam hebt ingevoerd en op Map toevoegen hebt geklikt, wordt een pop-upvenster met de volgende opties weergegeven:After entering the forest name and clicking Add Directory, a pop-up dialog appears and prompts you with the following options:

OptieOption DescriptionDescription
Nieuw account makenCreate new account Selecteer deze optie als u wilt dat de Azure AD Connect-wizard het AD DS-account maakt dat Azure AD Connect nodig heeft om verbinding te maken met de AD-forest tijdens directorysynchronisatie.Select this option if you want Azure AD Connect wizard to create the AD DS account required by Azure AD Connect for connecting to the AD forest during directory synchronization. Voer wanneer deze optie is geselecteerd de gebruikersnaam en het wachtwoord in voor een enterprisebeheerdersaccount.When this option is selected, enter the username and password for an enterprise admin account. Het opgegeven enterprisebeheerdersaccount wordt door de Azure AD Connect-wizard gebruikt om het vereiste AD DS-account te maken.The enterprise admin account provided will be used by Azure AD Connect wizard to create the required AD DS account. U kunt het domeingedeelte in NetBios- of FQDN-indeling invoeren, dat wil zeggen FABRIKAM\administrator of fabrikam.com\administrator.You can enter the domain part in either NetBios or FQDN format, that is, FABRIKAM\administrator or fabrikam.com\administrator.
Bestaand account gebruikenUse existing account Selecteer deze optie als u wilt toestaan dat een bestaand AD DS-account wordt gebruikt door Azure AD Connect om verbinding te maken met de AD-forest tijdens directorysynchronisatie.Select this option if you want to provide an existing AD DS account to be used Azure AD Connect for connecting to the AD forest during directory synchronization. U kunt het domeingedeelte in NetBios- of FQDN-indeling invoeren, dat wil zeggen FABRIKAM\syncuser of fabrikam.com\syncuser.You can enter the domain part in either NetBios or FQDN format, that is, FABRIKAM\syncuser or fabrikam.com\syncuser. Dit account mag een normaal gebruikersaccount zijn, omdat alleen de standaard leesmachtigingen nodig zijn.This account can be a regular user account because it only needs the default read permissions. Afhankelijk van uw scenario heeft u echter mogelijk meer machtigingen nodig.However, depending on your scenario, you may need more permissions. Zie Azure AD Connect Accounts and permissions voor meer informatie.For more information, see Azure AD Connect Accounts and permissions.

Verbinding maken met Directory

Aanmeldconfiguratie Azure ADAzure AD sign-in configuration

Op deze pagina kunt u bekijken welke UPN-domeinen zich in de on-premises AD DS bevinden en in Azure AD zijn geverifieerd.This page allows you to review the UPN domains present in on-premises AD DS and which have been verified in Azure AD. Daarnaast kunt u op deze pagina het kenmerk configureren dat voor de userPrincipalName moet worden gebruikt.This page also allows you to configure the attribute to use for the userPrincipalName.

Niet-geverifieerde domeinenUnverified domains
Bekijk elk domein waarbij Niet toegevoegd en Niet geverifieerd staat.Review every domain marked Not Added and Not Verified. Zorg ervoor dat de domeinen die u gebruikt in Azure AD zijn geverifieerd.Make sure those domains you use have been verified in Azure AD. Klik op het symbool Vernieuwen wanneer u uw domeinen hebt geverifieerd.Click the Refresh symbol when you have verified your domains. Zie voor meer informatie add and verify the domainFor more information, see add and verify the domain

UserPrincipalName - Met het kenmerk userPrincipalName melden gebruikers zich aan bij Azure AD en Office 365.UserPrincipalName - The attribute userPrincipalName is the attribute users use when they sign in to Azure AD and Office 365. De gebruikte domeinen, ook wel het UPN-achtervoegsel genoemd, moeten worden geverifieerd in Azure AD voordat de gebruikers worden gesynchroniseerd.The domains used, also known as the UPN-suffix, should be verified in Azure AD before the users are synchronized. Het wordt door Microsoft aangeraden om het standaardkenmerk userPrincipalName te behouden.Microsoft recommends to keep the default attribute userPrincipalName. Als dit kenmerk niet-routeerbaar is en niet kan worden geverifieerd, dan kunt u een ander kenmerk selecteren.If this attribute is non-routable and cannot be verified, then it is possible to select another attribute. U kunt bijvoorbeeld e-mail selecteren als het kenmerk met het aanmeldings-id.You can for example select email as the attribute holding the sign-in ID. Het gebruik van een ander kenmerk dan userPrincipalName wordt alternatieve id genoemd.Using another attribute than userPrincipalName is known as Alternate ID. De waarde van het alternatieve-id-kenmerk moet aan de standaard RFC822 voldoen.The Alternate ID attribute value must follow the RFC822 standard. Een alternatieve ID kan worden gebruikt met wachtwoord-hashsynchronisatie, pass-through-verificatie en federatie.An Alternate ID can be used with password hash sync, pass-through authentication, and federation. Het kenmerk mag in Active Directory niet met meerdere waarden worden gedefinieerd, zelfs als het slechts één waarde heeft.The attribute must not be defined in Active Directory as multi-valued, even if it only has a single value.

Notitie

Als u Pass-through-verificatie inschakelt, moet u ten minste één geverifieerd domein hebben om de wizard te voltooien.When you enable Pass-through Authentication you must have at least one verified domain in order to continue through the wizard.

Waarschuwing

Het gebruik van een alternatieve id is niet met alle Office 365-werkbelastingen compatibel.Using an Alternate ID is not compatible with all Office 365 workloads. Zie Alternatieve aanmeldings-id configureren.For more information, refer to Configuring Alternate Login ID.

Domein- en OE-filtersDomain and OU filtering

Standaard worden alle domeinen en OE's gesynchroniseerd.By default all domains and OUs are synchronized. Van domeinen of OE’s die u niet wilt synchroniseren naar Azure AD kunt u de selectie opheffen.If there are some domains or OUs you do not want to synchronize to Azure AD, you can unselect these domains and OUs.
Domein- en OE-filtersDomainOU filtering
Op deze pagina in de wizard configureert u filteren op basis van een domein en OE.This page in the wizard is configuring domain-based and OU-based filtering. Als u wijzigingen wilt aanbrengen, gaat u naar domain-based filtering en OE filteren voordat u deze wijzigingen aanbrengt.If you plan to make changes, then see domain-based filtering and ou-based filtering before you make these changes. Sommige OE's zijn essentieel voor de functionaliteit en mogen niet worden uitgeschakeld.Some OUs are essential for the functionality and should not be unselected.

Als u OE-filters gebruikt met een versie van Azure AD Connect lager dan 1.1.524.0, worden nieuwe OE's die later zijn toegevoegd, standaard gesynchroniseerd.If you use OU-based filtering with Azure AD Connect version before 1.1.524.0, new OUs added later are synchronized by default. Als u wilt dat nieuwe OE's niet worden gesynchroniseerd, kunt u dit met OE filteren instellen nadat de wizard is voltooid.If you want the behavior that new OUs should not be synchronized, then you can configure it after the wizard has completed with ou-based filtering. Voor Azure AD Connect versie 1.1.524.0 en hoger kunt u aangeven of u wilt dat nieuwe OE's moeten worden gesynchroniseerd of niet.For Azure AD Connect version 1.1.524.0 or after, you can indicate whether you want new OUs to be synchronized or not.

Als u Groep filteren wilt gebruiken, zorgt u ervoor dat de OE met de groep is opgenomen en dat u niet filtert met OE filteren.If you plan to use group-based filtering, then make sure the OU with the group is included and not filtered with OU-filtering. OE filteren wordt geëvalueerd vóór groep filteren.OU filtering is evaluated before group-based filtering.

Sommige domeinen kunnen ook onbereikbaar zijn door firewallbeperkingen.It is also possible that some domains are not reachable due to firewall restrictions. Deze domeinen zijn standaard uitgeschakeld en hebben een waarschuwing.These domains are unselected by default and have a warning.
Onbereikbare domeinen
Als u deze waarschuwing ziet, verzeker uzelf er dan van dat deze domeinen inderdaad onbereikbaar zijn en de waarschuwing wordt verwacht.If you see this warning, make sure that these domains are indeed unreachable and the warning is expected.

Uw gebruikers een unieke id gevenUniquely identifying your users

Selecteren hoe gebruikers moeten worden aangeduid in uw on-premises directory’sSelect how users should be identified in your on-premises directories

Met de functie Overeenkomend in forests kunt u definiëren hoe gebruikers van uw AD DS-forests worden weergegeven in Azure AD.The Matching across forests feature allows you to define how users from your AD DS forests are represented in Azure AD. Een gebruiker kan ofwel slechts één keer in alle forests worden weergegeven of een combinatie van ingeschakelde en uitgeschakelde accounts hebben.A user might either be represented only once across all forests or have a combination of enabled and disabled accounts. De gebruiker kan in sommige forests ook worden weergegeven als een contactpersoon.The user might also be represented as a contact in some forests.

Uniek

InstellingSetting DescriptionDescription
Gebruikers worden slechts één keer weergegeven in alle forestsUsers are only represented once across all forests Alle gebruikers worden als afzonderlijke objecten in Azure AD aangemaakt.All users are created as individual objects in Azure AD. De objecten zijn niet gekoppeld in de metaverse.The objects are not joined in the metaverse.
E-mailkenmerkMail attribute Deze optie koppelt gebruikers en contactpersonen als het e-mailkenmerk in verschillende forests dezelfde waarde heeft.This option joins users and contacts if the mail attribute has the same value in different forests. Gebruik deze optie wanneer uw contactpersonen met behulp van GALSync zijn aangemaakt.Use this option when your contacts have been created using GALSync. Als u deze optie kiest, worden gebruikersobjecten waarvan het e-mailkenmerk niet is ingevuld, niet naar Azure AD gesynchroniseerd.If this option is chosen, User objects whose Mail attribute aren't populated will not be synchronized to Azure AD.
ObjectSID en msExchangeMasterAccountSID / msRTCSIP-OriginatorSidObjectSID and msExchangeMasterAccountSID/ msRTCSIP-OriginatorSid Deze optie koppelt een ingeschakelde gebruiker in een account-forest met een uitgeschakelde gebruiker in een bron-forest.This option joins an enabled user in an account forest with a disabled user in a resource forest. In Exchange wordt deze configuratie een gekoppeld postvak genoemd.In Exchange, this configuration is known as a linked mailbox. Deze optie kan ook worden gebruikt als u alleen Lync gebruikt en Exchange niet in de bron-forest aanwezig is.This option can also be used if you only use Lync and Exchange is not present in the resource forest.
sAMAccountName en MailNickNamesAMAccountName and MailNickName Deze optie koppelt kenmerken waarbij wordt verwacht dat de aanmeldings-id van de gebruiker gevonden kan worden.This option joins on attributes where it is expected the sign-in ID for the user can be found.
Een specifiek kenmerkA specific attribute Met deze optie kunt u uw eigen kenmerk selecteren.This option allows you to select your own attribute. Als u deze optie kiest, worden gebruikersobjecten waarvan het (geselecteerde) kenmerk niet is ingevuld, niet naar Azure AD gesynchroniseerd.If this option is chosen, User objects whose (selected) attribute aren't populated will not be synchronized to Azure AD. Beperking: Zorg dat u een kenmerk kiest dat al in de metaverse te vinden is.Limitation: Make sure to pick an attribute that already can be found in the metaverse. Als u een aangepast kenmerk kiest dat niet in de metaverse staat, kan de wizard niet voltooid worden.If you pick a custom attribute (not in the metaverse), the wizard cannot complete.

Selecteren hoe gebruikers moeten worden aangeduid met Azure AD - bronankerSelect how users should be identified with Azure AD - Source Anchor

Het kenmerk sourceAnchor is onveranderbaar tijdens de levensduur van een gebruikersobject.The attribute sourceAnchor is an attribute that is immutable during the lifetime of a user object. Het is de primaire sleutel die de on-premises gebruiker aan de gebruiker in Azure AD koppelt.It is the primary key linking the on-premises user with the user in Azure AD.

InstellingSetting DescriptionDescription
Azure het bronanker voor mij laten beherenLet Azure manage the source anchor for me Selecteer deze optie als u wilt dat Azure AD het kenmerk voor u selecteert.Select this option if you want Azure AD to pick the attribute for you. Als u deze optie selecteert, Azure AD Connect-wizard van toepassing is de sourceAnchor-kenmerk selectie logica die worden beschreven in de sectie Azure AD Connect: Ontwerpconcepten - ms-DS-ConsistencyGuid gebruiken als sourceAnchor.If you select this option, Azure AD Connect wizard applies the sourceAnchor attribute selection logic described in article section Azure AD Connect: Design concepts - Using ms-DS-ConsistencyGuid as sourceAnchor. De wizard geeft aan welk kenmerk is geselecteerd als het kenmerk SourceAnchor nadat de aangepaste installatie is voltooid.The wizard informs you which attribute has been picked as the Source Anchor attribute after Custom installation completes.
Een specifiek kenmerkA specific attribute Selecteer deze optie als u een bestaand AD-kenmerk opgeeft als het kenmerk sourceAnchor.Select this option if you wish to specify an existing AD attribute as the sourceAnchor attribute.

Omdat het kenmerk niet kan worden gewijzigd, moet u een goed kenmerk kiezen.Since the attribute cannot be changed, you must plan for a good attribute to use. Een goede kandidaat is objectGUID.A good candidate is objectGUID. Dit kenmerk wordt niet gewijzigd, tenzij het gebruikersaccount worden verplaatst tussen forests/domeinen.This attribute is not changed, unless the user account is moved between forests/domains. Vermijd kenmerken die wijzigen wanneer iemand trouwt of een andere taak krijgt.Avoid attributes that would change when a person marries or change assignments. U kunt geen kenmerken met een @-sign gebruiken, dus het e-mailadres en userPrincipalName kunnen niet worden gebruikt.You cannot use attributes with an @-sign, so email and userPrincipalName cannot be used. Het kenmerk is ook hoofdlettergevoelig, dus als u een object tussen forests verplaatst, zorg dan dat de hoofdletters en kleine letters hetzelfde blijven.The attribute is also case-sensitive so when you move an object between forests, make sure to preserve the upper/lower case. Binaire kenmerken krijgen base64-codering, maar andere kenmerktypen blijven ongecodeerd.Binary attributes are base64-encoded, but other attribute types remain in its unencoded state. In scenario's met federatie en in sommige Azure AD-interfaces wordt dit kenmerk ook wel onveranderbare id genoemd.In federation scenarios and some Azure AD interfaces, this attribute is also known as immutableID. Meer informatie over het bronanker vindt u in de ontwerpconcepten.More information about the source anchor can be found in the design concepts.

Synchronisatiefilters op basis van groepenSync filtering based on groups

Met de functie Filteren op groep kunt u bij wijze van proef een kleine subset van objecten synchroniseren.The filtering on groups feature allows you to sync only a small subset of objects for a pilot. Om deze functie te gebruiken maakt u voor dit doel een groep aan in uw on-premises Active Directory.To use this feature, create a group for this purpose in your on-premises Active Directory. Voeg vervolgens gebruikers en groepen toe die naar Azure AD moeten worden gesynchroniseerd als directe leden.Then add users and groups that should be synchronized to Azure AD as direct members. U kunt later gebruikers aan deze groep toevoegen en eruit verwijderen om de lijst te onderhouden met objecten die in Azure AD aanwezig moeten zijn.You can later add and remove users to this group to maintain the list of objects that should be present in Azure AD. Alle objecten die u wilt synchroniseren moet een direct lid van de groep zijn.All objects you want to synchronize must be a direct member of the group. Gebruikers, groepen, contactpersonen en computers/apparaten moeten allemaal directe leden zijn.Users, groups, contacts, and computers/devices must all be direct members. Genest groepslidmaatschap is niet opgelost.Nested group membership is not resolved. Wanneer u een groep als lid toevoegt, wordt alleen de groep zelf toegevoegd en niet de leden ervan.When you add a group as a member, only the group itself is added and not its members.

Synchronisatiefilters

Waarschuwing

Deze functie is alleen bedoeld ter ondersteuning van een proef-implementatie.This feature is only intended to support a pilot deployment. Gebruik deze functie niet bij een volledige productie-implementatie.Do not use it in a full-blown production deployment.

Bij een volledige productie-implementatie wordt het door alle objecten die gesynchroniseerd moeten worden, moeilijk om één groep te behouden.In a full-blown production deployment, it is going to be hard to maintain a single group with all objects to synchronize. Gebruik in plaats daarvan een van de methodes in Configure filtering.Instead you should use one of the methods in Configure filtering.

Optionele functiesOptional Features

In dit scherm kunt u de optionele functies voor uw specifieke scenario's selecteren.This screen allows you to select the optional features for your specific scenarios.

Waarschuwing

Azure AD Connect-versies 1.0.8641.0 en ouder zijn afhankelijk van de Azure Access Control Service voor het terugschrijven van wachtwoorden.Azure AD Connect versions 1.0.8641.0 and older rely on the Azure Access Control service for password writeback. Deze service wordt op 7 november 2018 buiten gebruik gesteld.This service will be retired on November 7th 2018. Als u een van deze versies van Azure AD Connect gebruikt en wachtwoord terugschrijven hebt ingeschakeld, kunnen gebruikers mogelijk niet meer hun wachtwoord wijzigen of opnieuw instellen wanneer de service buiten gebruik is gesteld.If you are using any of these versions of Azure AD Connect and have enabled password writeback, users may lose the ability to change or reset their passwords once the service is retired. Het terugschrijven van wachtwoorden met deze versies van Azure AD Connect zal niet worden ondersteund.Password writeback with these versions of Azure AD Connect will not be supported.

Voor meer informatie over de Azure Access Control service Zie het: Migreren vanuit de Azure Access Control-serviceFor more information on the Azure Access Control service see How to: Migrate from the Azure Access Control service

Klik hier om de nieuwste versie van Azure AD Connect te downloaden.To download the latest version of Azure AD Connect click here.

Optionele functies

Waarschuwing

Als DirSync of Azure AD Sync momenteel actief zijn, activeer dan geen terugschrijffuncties in Azure AD Connect.If you currently have DirSync or Azure AD Sync active, do not activate any of the writeback features in Azure AD Connect.

Optionele functiesOptional Features DescriptionDescription
Hybride implementatie voor ExchangeExchange Hybrid Deployment Met de functie Hybride implementatie voor Exchange kunnen on-premises en in Office 365 meerdere Exchange-postbussen naast elkaar bestaan.The Exchange Hybrid Deployment feature allows for the co-existence of Exchange mailboxes both on-premises and in Office 365. Azure AD Connect synchroniseert een specifieke set kenmerken vanuit Azure AD naar uw on-premises directory.Azure AD Connect is synchronizing a specific set of attributes from Azure AD back into your on-premises directory.
Openbare e-mailmappen van ExchangeExchange Mail Public Folders Met de functie Openbare e-mailmappen van Exchange kunt u de voor e-mail ingeschakelde openbare mapobjecten van Active Directory synchroniseren naar Azure AD.The Exchange Mail Public Folders feature allows you to synchronize mail-enabled Public Folder objects from your on-premises Active Directory to Azure AD.
Azure AD-app- en -kenmerkfiltersAzure AD app and attribute filtering Door de Azure AD-app- en -kenmerkfilters in te schakelen kan de set gesynchroniseerde kenmerken worden aangepast.By enabling Azure AD app and attribute filtering, the set of synchronized attributes can be tailored. Door deze optie worden twee extra configuratiepagina’s aan de wizard toegevoegd.This option adds two more configuration pages to the wizard. Zie voor meer informatie Azure AD app and attribute filtering.For more information, see Azure AD app and attribute filtering.
Synchronisatie van wachtwoord-hashesPassword hash synchronization Als u federatie als de oplossing voor aanmelden hebt geselecteerd, dan kunt u deze optie inschakelen.If you selected federation as the sign-in solution, then you can enable this option. Synchronisatie van wachtwoord-hashes kan vervolgens als een back-upoptie worden gebruikt.Password hash synchronization can then be used as a backup option. Zie Wachtwoord-hashsynchronisatie voor meer informatie.For additional information, see Password hash synchronization.
Als u Pass-through-verificatie hebt geselecteerd, kan deze optie ook worden ingeschakeld als ondersteuning voor verouderde clients en als back-upoptie.If you selected Pass-through Authentication this option can also be enabled to ensure support for legacy clients and as a backup option. Zie Wachtwoord-hashsynchronisatie voor meer informatie.For additional information, see Password hash synchronization.
Wachtwoord terugschrijvenPassword writeback Door wachtwoord terugschrijven in te schakelen worden wachtwoordwijzigingen in Azure AD teruggeschreven naar uw on-premises directory.By enabling password writeback, password changes that originate in Azure AD is written back to your on-premises directory. Zie voor meer informatie Getting started with password management.For more information, see Getting started with password management.
Groep terugschrijvenGroup writeback Als u de functie Office 365-groepen gebruikt, dan kunnen deze groepen in uw on-premises Active Directory worden weergegeven.If you use the Office 365 Groups feature, then you can have these groups represented in your on-premises Active Directory. Deze optie is alleen beschikbaar als Exchange in uw on-premises Active Directory aanwezig is.This option is only available if you have Exchange present in your on-premises Active Directory. Zie voor meer informatie Group writeback.For more information, see Group writeback.
Apparaat terugschrijvenDevice writeback Kunt u Write-back van apparaatobjecten in Azure AD naar uw on-premises Active Directory voor scenario's voor voorwaardelijke toegang.Allows you to writeback device objects in Azure AD to your on-premises Active Directory for Conditional Access scenarios. Zie voor meer informatie Enabling device writeback in Azure AD Connect.For more information, see Enabling device writeback in Azure AD Connect.
Synchronisatie van directory-extensiekenmerkenDirectory extension attribute sync Door synchronisatie van directory-extensiekenmerken in te schakelen worden de opgegeven kenmerken gesynchroniseerd naar Azure AD.By enabling directory extensions attribute sync, attributes specified are synced to Azure AD. Zie voor meer informatie Directory extensions.For more information, see Directory extensions.

Azure AD-app- en -kenmerkfiltersAzure AD app and attribute filtering

Als u wilt beperken welke kenmerken met Azure AD moeten worden gesynchroniseerd, begin dan met te selecteren welke services u gebruikt.If you want to limit which attributes to synchronize to Azure AD, then start by selecting which services you are using. Als u de configuratie op deze pagina wijzigt, moet u expliciet een nieuwe service selecteren door de installatiewizard opnieuw uit te voeren.If you make configuration changes on this page, a new service has to be selected explicitly by rerunning the installation wizard.

Optionele functies apps

Op deze pagina worden alle kenmerken die worden gesynchroniseerd weergegeven op basis van de services die u in de vorige stap heeft geselecteerd.Based on the services selected in the previous step, this page shows all attributes that are synchronized. In deze lijst staan alle objecttypen die worden gesynchroniseerd.This list is a combination of all object types being synchronized. Als er een aantal specifieke kenmerken zijn die niet moeten worden gesynchroniseerd, dan kunt u de selectie van deze kenmerken opheffen.If there are some particular attributes you need to not synchronize, you can unselect those attributes.

Optionele functies kenmerken

Waarschuwing

Het verwijderen van kenmerken kan invloed hebben op de functionaliteit.Removing attributes can impact functionality. Zie voor aanbevolen procedures en andere aanbevelingen attributes synchronized.For best practices and recommendations, see attributes synchronized.

Synchronisatie van directory-extensiekenmerkenDirectory Extension attribute sync

U kunt het schema in Azure AD uitbreiden met aangepaste kenmerken die door uw organisatie zijn toegevoegd of met andere kenmerken in Active Directory.You can extend the schema in Azure AD with custom attributes added by your organization or other attributes in Active Directory. Om deze functie te gebruiken, selecteert u Synchronisatie van directory-extensiekenmerken op de pagina optionele functies.To use this feature, select Directory Extension attribute sync on the Optional Features page. U kunt op deze pagina meer kenmerken selecteren om te synchroniseren.You can select more attributes to sync on this page.

Notitie

Het vak Beschikbare kenmerken is hoofdlettergevoelig.The Available attributes box is case sensitive.

Uitbreidingen van de directory

Zie voor meer informatie Directory extensions.For more information, see Directory extensions.

Eenmalige aanmelding (SSO) inschakelenEnabling Single sign on (SSO)

Het configureren van eenmalige aanmelding voor gebruik met wachtwoordsynchronisatie of passthrough-verificatie is een eenvoudig proces dat u slechts één keer hoeft te doorlopen voor elk forest dat wordt gesynchroniseerd met Azure AD.Configuring single sign-on for use with Password Synchronization or Pass-through authentication is a simple process that you only need to complete once for each forest that is being synchronized to Azure AD. De configuratie omvat de volgende twee stappen:Configuration involves two steps as follows:

  1. Maak het benodigde computeraccount in uw on-premises Active Directory.Create the necessary computer account in your on-premises Active Directory.
  2. Configureer de intranetzone van de clientcomputers voor de ondersteuning van eenmalige aanmelding.Configure the intranet zone of the client machines to support single sign on.

Het computeraccount maken in Active DirectoryCreate the computer account in Active Directory

Voor elk forest in Azure AD Connect dat is toegevoegd, moet u referenties van de domeinbeheerder opgeven, zodat het computeraccount in elk forest kan worden gemaakt.For each forest that has been added in Azure AD Connect, you will need to supply Domain Administrator credentials so that the computer account can be created in each forest. De referenties worden alleen gebruikt om het account te maken. Ze worden niet opgeslagen of voor andere zaken gebruikt.The credentials are only used to create the account and are not stored or used for any other operation. Voeg de referenties toe op de pagina Eenmalige aanmelding inschakelen van de wizard Azure AD Connect, zoals hieronder wordt weergegeven:Simply add the credentials on the Enable Single sign on page of the Azure AD Connect wizard as shown:

Eenmalige aanmelding inschakelen

Notitie

Forests waarvoor u eenmalige aanmelding niet wilt gebruiken, kunt u overslaan.You can skip a particular forest if you do not wish to use Single sign on with that forest.

De intranetzone voor clientcomputers configurerenConfigure the Intranet Zone for client machines

Om ervoor te zorgen dat de client aanmeldingen automatisch in de intranetzone moet u ervoor zorgen dat de URL deel uit van de intranetzone maakt.To ensure that the client sign-ins automatically in the intranet zone you need to ensure that the URL is part of the intranet zone. De desktopcomputers die via het domein zijn gekoppeld, verzenden dan automatisch een Kerberos-ticket wanneer ze zijn verbonden met het bedrijfsnetwerk.This ensures that the domain joined computer automatically sends a Kerberos ticket to Azure AD when it is connected to the corporate network. Op een computer met de hulpprogramma's voor Groepsbeleidsbeheer.On a computer that has the Group Policy management tools.

  1. Open de hulpprogramma's voor GroepsbeleidsbeheerOpen the Group Policy Management tools

  2. Bewerk het groepsbeleid dat op alle gebruikers wordt toegepast.Edit the Group policy that will be applied to all users. Bijvoorbeeld het standaard domeinbeleid.For example, the Default Domain Policy.

  3. Ga naar Gebruikersconfiguratie\Beheersjablonen\Windows-onderdelen\Internet Explorer\Onderdeel Internetopties van het Configuratiescherm\Het tabblad Beveiliging en selecteer Lijst van zonetoewijzingen voor websites, zoals in de afbeelding hieronder.Navigate to User Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page and select Site to Zone Assignment List per the image below.

  4. Schakel het beleid in en geef het volgende item op in het dialoogvenster.Enable the policy, and enter the following item in the dialog box.

    Value: `https://autologon.microsoftazuread-sso.com`  
    Data: 1  
    
  5. Het moet er ongeveer als volgt uitzien:It should look similar to the following:
    Intranetzones

  6. Klik twee keer op OK.Click Ok twice.

Federatie configureren met AD FSConfiguring federation with AD FS

AD FS is heel eenvoudig met een paar muisklikken met Azure AD Connect te configureren.Configuring AD FS with Azure AD Connect is simple and only requires a few clicks. Voorafgaand aan de configuratie is het volgende vereist.The following is required before the configuration.

  • Een Windows Server 2012 R2-server of later als de federatieserver, waarop extern beheer is ingeschakeldA Windows Server 2012 R2 or later server for the federation server with remote management enabled
  • Een Windows Server 2012 R2-server of later als de webtoepassingsproxyserver, waarop extern beheer is ingeschakeldA Windows Server 2012 R2 or later server for the Web Application Proxy server with remote management enabled
  • Een SSL-certificaat voor de Federation Service-naam die u wilt gebruiken (bijvoorbeeld sts.contoso.com)An SSL certificate for the federation service name you intend to use (for example sts.contoso.com)

Notitie

U kunt het SSL-certificaat van de AD FS-farm bijwerken met behulp van Azure AD Connect, zelfs als u Azure AD Connect niet gebruikt om de federatieve vertrouwensrelatie te beheren.You can update SSL certificate for your AD FS farm using Azure AD Connect even if you do not use it to manage your federation trust.

Vereisten voor de AD FS-configuratieAD FS configuration pre-requisites

Zorg dat WinRM is ingeschakeld op de externe servers om uw AD FS-farm met behulp van Azure AD Connect te configureren.To configure your AD FS farm using Azure AD Connect, ensure WinRM is enabled on the remote servers. Zorg ervoor dat u de andere taken in federatievereisten hebt uitgevoerd.Make sure you have completed the other tasks in federation prerequisites. Neem daarnaast de vereisten voor poorten door die vermeld staan in Tabel 3 - Azure AD Connect en federatieve servers/WAP.In addition, go through the ports requirement listed in Table 3 - Azure AD Connect and Federation Servers/WAP.

Maak een nieuwe AD FS-farm aan of gebruik een bestaande AD FS-farmCreate a new AD FS farm or use an existing AD FS farm

U kunt een bestaande AD FS-farm gebruiken of u kunt ervoor kiezen een nieuwe AD FS-farm aan te maken.You can use an existing AD FS farm or you can choose to create a new AD FS farm. Als u ervoor kiest om een nieuwe aan te maken, dan dient u het SSL-certificaat op te geven.If you choose to create a new one, you are required to provide the SSL certificate. Als het SSL-certificaat met een wachtwoord is beveiligd, dan wordt u gevraagd het wachtwoord op te geven.If the SSL certificate is protected by a password, you are prompted for the password.

AD FS-Farm

Als u een bestaande AD FS-farm gebruikt, wordt u meteen doorgestuurd naar het scherm De vertrouwensrelatie tussen AD FS en Azure AD configureren.If you choose to use an existing AD FS farm, you are taken directly to the configuring the trust relationship between AD FS and Azure AD screen.

Notitie

Azure AD Connect kan worden gebruikt om slechts één AD FS-farm te beheren.Azure AD Connect can be used to manage only one AD FS farm. Als op de geselecteerde AD FS-farm al een federatieve vertrouwensrelatie is geconfigureerd, wordt deze relatie helemaal opnieuw gemaakt met Azure AD Connect.If you have existing federation trust with Azure AD configured on the selected AD FS farm, the trust will be re-created again from scratch by Azure AD Connect.

Geef de AD FS-servers opSpecify the AD FS servers

Voer de servers in waarop u AD FS wilt installeren.Enter the servers that you want to install AD FS on. U kunt naar gelang de behoeften van uw capaciteitsplanning een of meer servers toevoegen.You can add one or more servers based on your capacity planning needs. Koppel alle AD FS-servers (niet vereist voor de WAP-servers) aan Active Directory voordat u deze configuratie uitvoert.Join all AD FS servers (not required for the WAP servers) to Active Directory before you perform this configuration. Het wordt door Microsoft aangeraden om voor proefimplementaties één AD FS-server te installeren.Microsoft recommends installing a single AD FS server for test and pilot deployments. Voeg vervolgens meer servers toe en implementeer deze om aan uw schaalbehoeften te voldoen door Azure AD Connect na de eerste configuratie opnieuw uit te voeren.Then add and deploy more servers to meet your scaling needs by running Azure AD Connect again after initial configuration.

Notitie

Zorg ervoor dat alle servers aan een AD-domein zijn gekoppeld voordat u deze configuratie uitvoert.Ensure that all your servers are joined to an AD domain before you do this configuration.

AD FS-Servers

Geef de webtoepassingsproxyservers opSpecify the Web Application Proxy servers

Voer de servers in die u als uw webtoepassingsproxyservers wilt gebruiken.Enter the servers that you want as your Web Application proxy servers. De webtoepassingsproxyserver wordt in uw DMS (extranetgericht) geïmplementeerd en ondersteunt verificatieaanvragen van het extranet.The web application proxy server is deployed in your DMZ (extranet facing) and supports authentication requests from the extranet. U kunt naar gelang de behoeften van uw capaciteitsplanning een of meer servers toevoegen.You can add one or more servers based on your capacity planning needs. Het wordt door Microsoft aangeraden om voor proefimplementaties één webtoepassingsproxyserver te installeren.Microsoft recommends installing a single Web application proxy server for test and pilot deployments. Voeg vervolgens meer servers toe en implementeer deze om aan uw schaalbehoeften te voldoen door Azure AD Connect na de eerste configuratie opnieuw uit te voeren.Then add and deploy more servers to meet your scaling needs by running Azure AD Connect again after initial configuration. Het is aan te raden een gelijk aantal proxyservers te hebben om aan de verificatie van het intranet te voldoen.We recommend having an equivalent number of proxy servers to satisfy authentication from the intranet.

Notitie

  • Als het account dat u gebruikt geen lokale beheerder op de WAP-servers is, wordt u gevraagd om beheerreferenties.If the account you use is not a local admin on the WAP servers, then you are prompted for admin credentials.
  • Zorg ervoor dat er een HTTP/HTTPS-verbinding tussen de Azure AD Connect-server en de webtoepassingsproxyserver is voordat u deze stap uitvoert.Ensure that there is HTTP/HTTPS connectivity between the Azure AD Connect server and the Web Application Proxy server before you run this step.
  • Zorg ervoor dat er een HTTP/HTTPS-verbinding tussen de webtoepassingsserver en de AD FS-server is, zodat verificatieaanvragen door kunnen stromen.Ensure that there is HTTP/HTTPS connectivity between the Web Application Server and the AD FS server to allow authentication requests to flow through.
  • Web-app

    U wordt gevraagd referenties op te geven zodat de webtoepassingsserver een beveiligde verbinding met de AD FS-server kan maken.You are prompted to enter credentials so that the web application server can establish a secure connection to the AD FS server. Deze referenties moeten van een lokale beheerder op de AD FS-server zijn.These credentials need to be a local administrator on the AD FS server.

    Proxy

    Geef het serviceaccount voor de AD FS-service opSpecify the service account for the AD FS service

    De AD FS-service vereist een domeinserviceaccount om gebruikers te verifiëren en gebruikersinformatie in Active Directory op te zoeken.The AD FS service requires a domain service account to authenticate users and lookup user information in Active Directory. De service kan twee soorten serviceaccounts ondersteunen:It can support two types of service accounts:

    • Beheerd serviceaccount voor groepen - Geïntroduceerd in Active Directory-domainservices met WindowsServer 2012.Group Managed Service Account - Introduced in Active Directory Domain Services with Windows Server 2012. Dit type account biedt services, zoals AD FS, één account zonder dat het accountwachtwoord regelmatig bijgewerkt hoeft te worden.This type of account provides services, such as AD FS, a single account without needing to update the account password regularly. Gebruik deze optie als u al Windows Server 2012-domeincontrollers hebt in het domein waarbij uw AD FS-servers horen.Use this option if you already have Windows Server 2012 domain controllers in the domain that your AD FS servers belong to.
    • Domeingebruikersaccount - Voor dit type account moet u een wachtwoord opgeven en het wachtwoord regelmatig bijwerken wanneer het wachtwoord wordt gewijzigd of verloopt.Domain User Account - This type of account requires you to provide a password and regularly update the password when the password changes or expires. Gebruik deze optie alleen als u geen Windows Server 2012-domeincontrollers heeft in het domein waarbij uw AD FS-servers horen.Use this option only when you do not have Windows Server 2012 domain controllers in the domain that your AD FS servers belong to.

    Als u Beheerd serviceaccount voor groepen heeft geselecteerd en deze functie nog nooit in Active Directory is gebruikt, wordt u gevraagd om referenties van de ondernemingsbeheerder.If you selected Group Managed Service Account and this feature has never been used in Active Directory, you are prompted for Enterprise Admin credentials. Deze referenties worden gebruikt om de sleutelopslagplaats te beginnen en de functie in Active Directory in te schakelen.These credentials are used to initiate the key store and enable the feature in Active Directory.

    Notitie

    Azure AD Connect controleert of de AD FS-service al is geregistreerd als een SPN in het domein.Azure AD Connect performs a check to detect if the AD FS service is already registered as a SPN in the domain. Het is in AD DS niet toegestaan om in één bewerking dubbele SPN's te registreren.AD DS will not allow duplicate SPN’s to be registered at once. Als er een dubbele SPN wordt gevonden, kunt u pas verdergaan nadat de SPN is verwijderd.If a duplicate SPN is found, you will not be able to proceed further until the SPN is removed.

    AD FS-serviceaccount

    Selecteer het Azure AD-domein dat u wilt federerenSelect the Azure AD domain that you wish to federate

    Deze configuratie wordt gebruikt voor het instellen van de federatieverbinding tussen AD FS en Azure AD.This configuration is used to setup the federation relationship between AD FS and Azure AD. AD FS wordt hiermee geconfigureerd om beveiligingstokens aan Azure AD te verstrekken en Azure AD wordt geconfigureerd om de tokens van deze specifieke AD FS-instantie te vertrouwen.It configures AD FS to issue security tokens to Azure AD and configures Azure AD to trust the tokens from this specific AD FS instance. Op deze pagina kunt u tijdens de eerste installatie slechts één domein configureren.This page only allows you to configure a single domain in the initial installation. U kunt later meer domeinen configureren door Azure AD Connect nogmaals uit te voeren.You can configure more domains later by running Azure AD Connect again.

    Azure AD-domein

    Controleer het Azure AD-domein dat voor federatie is geselecteerdVerify the Azure AD domain selected for federation

    Wanneer u het te federeren domein selecteert, geeft Azure AD Connect u de informatie die u nodig heeft om een niet-geverifieerd domein te verifiëren.When you select the domain to be federated, Azure AD Connect provides you with necessary information to verify an unverified domain. Zie Add and verify the domain om uit te vinden hoe deze informatie gebruikt moet worden.See Add and verify the domain for how to use this information.

    Azure AD-domein

    Notitie

    AD Connect probeert het domein tijdens de configuratiefase te verifiëren.AD Connect tries to verify the domain during the configure stage. Als u doorgaat met de configuratie zonder de vereiste DNS-records toe te voegen, dan kan de wizard de configuratie niet voltooien.If you continue to configure without adding the necessary DNS records, the wizard is not able to complete the configuration.

    Federatie configureren met PingFederateConfiguring federation with PingFederate

    PingFederate is heel eenvoudig met een paar muisklikken met Azure AD Connect te configureren.Configuring PingFederate with Azure AD Connect is simple and only requires a few clicks. Er moet echter wel aan de volgende voorwaarden worden voldaan.However, the following prerequisites are required.

    Het domein verifiërenVerify the domain

    Nadat u Federatie met PingFederate hebt geselecteerd, wordt u gevraagd om het domein te verifiëren dat u wilt federeren.After selecting Federation with PingFederate, you will be asked to verify the domain you want to federate. Selecteer het domein in de vervolgkeuzelijst.Select the domain from the drop-down box.

    Domein verifiëren

    De PingFederate-instellingen exporterenExport the PingFederate settings

    PingFederate moet voor elk federatief Azure-domein worden geconfigureerd als de federatieserver.PingFederate must be configured as the federation server for each federated Azure domain. Klik op de knop Instellingen exporteren en deel deze informatie met de beheerder van PingFederate.Click the Export Settings button and share this information with your PingFederate administrator. De beheerder van de federatieserver zal de configuratie bijwerken, waarna u de URL en het poortnummer van de PingFederate-server krijgt zodat Azure AD Connect de metagegevensinstellingen kan verifiëren.The federation server administrator will update the configuration, then provide the PingFederate server URL and port number so Azure AD Connect can verify the metadata settings.

    Domein verifiëren

    Neem contact op met de beheerder van PingFederate als er validatieproblemen zijn.Contact your PingFederate administrator to resolve any validation issues. Hier volgt een voorbeeld van een PingFederate-server die geen geldige vertrouwensrelatie heeft met Azure:The following is an example of a PingFederate server that does not have a valid trust relationship with Azure:

    Vertrouwen

    Federatieve connectiviteit verifiërenVerify federation connectivity

    Azure AD Connect probeert om de verificatie-eindpunten te valideren die zijn opgehaald uit de PingFederate-metagegevens in de vorige stap.Azure AD Connect will attempt to validate the authentication endpoints retrieved from the PingFederate metadata in the previous step. Azure AD Connect zal eerst proberen om de eindpunten om te zetten met behulp van de lokale DNS-servers.Azure AD Connect will first attempt to resolve the endpoints using your local DNS servers. Vervolgens wordt geprobeerd om de eindpunten om te zetten via een externe DNS-provider.Next it will attempt to resolve the endpoints using an external DNS provider. Neem contact op met de beheerder van PingFederate als er validatieproblemen zijn.Contact your PingFederate administrator to resolve any validation issues.

    Connectiviteit verifiëren

    Federatieve aanmelding verifiërenVerify federation login

    Ten slotte kunt u de zojuist geconfigureerde federatieve aanmeldingsstroom verifiëren door u aan te melden bij het federatieve domein.Finally, you can verify the newly configured federated login flow by signing in to the federated domain. Als dit is gelukt, is de federatie met PingFederate juist geconfigureerd.When this succeeds, the federation with PingFederate is successfully configured. Aanmelding verifiërenVerify login

    Configureer en verifieer pagina 'sConfigure and verify pages

    De configuratie wordt op deze pagina uitgevoerd.The configuration happens on this page.

    Notitie

    Als u de federatie heeft geconfigureerd, zorg dan dat u, voordat u doorgaat met de installatie, de Naamomzetting voor federatieservers heeft geconfigureerd.Before you continue installation and if you configured federation, make sure that you have configured Name resolution for federation servers.

    Klaar om te configureren

    FaseringsmodusStaging mode

    Het is mogelijk om een nieuwe synchronisatieserver parallel met de faseringsmodus in te stellen.It is possible to setup a new sync server in parallel with staging mode. Het is alleen ondersteund als u één synchronisatieserver naar één map in de cloud laat exporteren.It is only supported to have one sync server exporting to one directory in the cloud. Als u echter vanaf een andere server wilt verplaatsen, bijvoorbeeld een server met DirSync, dan kunt u Azure AD Connect in de faseringsmodus inschakelen.But if you want to move from another server, for example one running DirSync, then you can enable Azure AD Connect in staging mode. Wanneer dit is ingeschakeld, importeert en synchroniseert de synchronisatie-engine zoals gewoonlijk, maar hij exporteert niets naar Azure AD of AD.When enabled, the sync engine import and synchronize data as normal, but it does not export anything to Azure AD or AD. De functies Wachtwoordsynchronisatie en Wachtwoord terugschrijven zijn uitgeschakeld in de faseringsmodus.The features password sync and password writeback are disabled while in staging mode.

    Faseringsmodus

    In de faseringsmodus kunt u vereiste wijzigingen in de synchronisatie-engine aanbrengen en controleren wat geëxporteerd gaat worden.While in staging mode, it is possible to make required changes to the sync engine and review what is about to be exported. Voer de installatiewizard opnieuw uit en schakel de faseringsmodus uit wanneer de configuratie er goed uitziet.When the configuration looks good, run the installation wizard again and disable staging mode. De gegevens zijn nu van deze server naar Azure AD geëxporteerd.Data is now exported to Azure AD from this server. Schakel de andere server op hetzelfde moment uit, zodat slechts één server actief aan het exporteren is.Make sure to disable the other server at the same time so only one server is actively exporting.

    Zie voor meer informatie Staging mode.For more information, see Staging mode.

    Controleer uw federatieconfiguratieVerify your federation configuration

    Azure AD Connect verifieert de DNS-instellingen voor u wanneer u op Verifiëren klikt.Azure AD Connect verifies the DNS settings for you when you click the Verify button.

    Controles voor connectiviteit intranetIntranet connectivity checks

    • Federatie-FQDN omzetten: Azure AD Connect controleert of als de FQDN van de Federatie kan worden omgezet door DNS om ervoor te zorgen connectiviteit.Resolve federation FQDN: Azure AD Connect checks if the federation FQDN can be resolved by DNS to ensure connectivity. Als de FQDN kan niet worden omgezet in Azure AD Connect, mislukt de verificatie.If Azure AD Connect cannot resolve the FQDN, the verification will fail. Zorg ervoor dat er een DNS-record aanwezig is voor de FQDN van de federatieservice om de verificatie voltooien.Ensure that a DNS record is present for the federation service FQDN in order to successfully complete the verification.
    • DNS A-record: Azure AD Connect controleert of er een A-record voor uw federation-service.DNS A record: Azure AD Connect checks if there is an A record for your federation service. Als het A-record ontbreekt, mislukt de verificatie.In the absence of an A record, the verification will fail. Maak een A-record voor de FQDN van uw federatie, in plaats van een CNAME-record, om de verificatie voltooien.Create an A record and not CNAME record for your federation FQDN in order to successfully complete the verification.

    Controles voor connectiviteit extranetExtranet connectivity checks

    • Federatie-FQDN omzetten: Azure AD Connect controleert of als de FQDN van de Federatie kan worden omgezet door DNS om ervoor te zorgen connectiviteit.Resolve federation FQDN: Azure AD Connect checks if the federation FQDN can be resolved by DNS to ensure connectivity.

    Voltooien

    Verifiëren

    Als u wilt controleren of end-to-end-verificatie is gelukt, voert u een of meer van de volgende tests handmatig uit:To validate end-to-end authentication is successful you should manually perform one or more the following tests:

    • Als de synchronisatie is voltooid, gebruikt u de aanvullende taak Federatieve aanmelding verifiëren in Azure AD Connect om de verificatie voor een on-premises gebruikersaccount naar keuze te controleren.Once synchronization in complete, use the Verify federated login additional task in Azure AD Connect to verify authentication for an on-premises user account of your choice.
    • Valideren dat u kunt zich aanmelden met een browser op een computer domein is gekoppeld op het intranet: Verbinding maken met https://myapps.microsoft.com en controleer of de aanmelding met uw aangemelde account.Validate that you can sign in from a browser from a domain joined machine on the intranet: Connect to https://myapps.microsoft.com and verify the sign-in with your logged in account. Het ingebouwde beheerdersaccount van AD DS wordt niet gesynchroniseerd en kan niet worden gebruikt voor verificatie.The built-in AD DS administrator account is not synchronized and cannot be used for verification.
    • Controleer of u zich kunt aanmelden met een apparaat vanaf het extranet.Validate that you can sign in from a device from the extranet. Maak op een computer thuis of op een mobiel apparaat verbinding met https://myapps.microsoft.com en voer uw referenties in.On a home machine or a mobile device, connect to https://myapps.microsoft.com and supply your credentials.
    • Aanmelding uitgebreide client controleren.Validate rich client sign-in. Maak verbinding met https://testconnectivity.microsoft.com, kies het tabblad Office 365 en vervolgens Office 365 Test Eenmalige aanmelding.Connect to https://testconnectivity.microsoft.com, choose the Office 365 tab and chose the Office 365 Single Sign-On Test.

    Problemen oplossenTroubleshooting

    De volgende sectie bevat oplossingen voor fouten en informatie die u kunt gebruiken als u een probleem ondervindt bij het installeren van Azure AD Connect.The following section contains troubleshooting and information that you can use if you encounter an issue installing Azure AD Connect.

    De ADSync-database bevat al gegevens en kan niet worden overschreven“The ADSync database already contains data and cannot be overwritten”

    Wanneer u een aangepaste installatie van Azure AD Connect uitvoert en op de pagina Vereiste onderdelen installeren de optie Een bestaande SQL-server gebruiken selecteert, kan er een fout optreden waarin staat: De ADSync-database bevat al gegevens en kan niet worden overschreven. Verwijder de bestaande database en probeer het opnieuw.When you custom install Azure AD Connect and select the option Use an existing SQL server on the Install required components page, you might encounter an error that states The ADSync database already contains data and cannot be overwritten. Please remove the existing database and try again.

    Fout

    Dit komt omdat er al een database met de naam ADSync bestaat in het SQL-exemplaar van de SQL-server die u hebt opgegeven in de bovenstaande tekstvakken.This is because there is already an existing database named ADSync on the SQL instance of the SQL server, which you specified in the above textboxes.

    Dit komt meestal voor nadat u Azure AD Connect hebt verwijderd.This typically occurs after you have uninstalled Azure AD Connect. Wanneer u de installatie verwijdert, wordt de database niet verwijderd uit de SQL-server.The database will not be deleted from the SQL Server when you uninstall.

    Als u dit probleem wilt oplossen, moet u eerst controleren of de ADSync-database die vóór het verwijderen werd gebruikt in Azure AD Connect, niet meer wordt gebruikt.To fix this issue, first verify that the ADSync database that was used by Azure AD Connect prior to being uninstalled, is no longer being used.

    Vervolgens is het raadzaam om een back-up te maken van de database voordat u deze verwijdert.Next, it is recommended that you backup the database prior to deleting it.

    Tot slot moet u de database verwijderen.Finally, you need to delete the database. U doet dit door Microsoft SQL Server Management Studio te gebruiken en verbinding te maken met het SQL-exemplaar.You can do this by using Microsoft SQL Server Management Studio and connect to the SQL instance. Ga naar de ADSync-database, klik er met de rechtermuisknop op en selecteer Verwijderen in het contextmenu.Find the ADSync database, right click on it, and select Delete from the context menu. Klik vervolgens op de knop OK om de database te verwijderen.Then click OK button to delete it.

    Fout

    Nadat u de ADSync-database hebt verwijderd, kunt u op de knop Installeren klikken om opnieuw te proberen de installatie uit te voeren.After you delete the ADSync database, you can click the install button, to retry installation.

    Volgende stappenNext steps

    Nadat de installatie is voltooid, dient u zich af te melden en weer aan te melden bij Windows voordat u de Synchronization Service Manager of Synchronization Rule Editor gaat gebruiken.After the installation has completed, sign out and sign in again to Windows before you use Synchronization Service Manager or Synchronization Rule Editor.

    Nu u Azure AD Connect geïnstalleerd hebt kunt u de installatie verifiëren en licenties toewijzen.Now that you have Azure AD Connect installed you can verify the installation and assign licenses.

    Meer informatie over deze functies, die de installatie zijn ingeschakeld: Onopzettelijke verwijderingen voorkomen en Azure AD Connect Health.Learn more about these features, which were enabled with the installation: Prevent accidental deletes and Azure AD Connect Health.

    Meer informatie over deze algemene onderwerpen: scheduler and how to trigger sync.Learn more about these common topics: scheduler and how to trigger sync.

    Lees meer over het integreren van uw on-premises identiteiten met Azure Active Directory .Learn more about Integrating your on-premises identities with Azure Active Directory.